sosok battosai serang windows

Buat kalian yang bner2 mangaholic mesti tertarik buat baca artikel ini soalnya hampir 50% komputer seluruh indonesia telah terinfeksi oleh sebuah worm dengan ciri2 utama yaitu mengganti background windows korbannya dengan gambar battosai…..ga tau degh apa hubungannya manga jepang ma virus??yang jelas si VM# yang 1 ini penggemar beratna kenshin himura alias si battosai itu tuch…. walaupun tetep aktif di safe mode n safe mode with command prompt tapi virii yang ini tergolong sederhana coz dia ga nge blok aplikasi n fitur2 windows kaya tskmgr,regedit,msconfig.exe n folder option. berikut analisa tentang virii ini :

File VirusSeperti biasa, virus ini memiliki beberapa file induk yaitu diantaranya :

  • C:\WINDOWS\desktop.ini
  • C:\WINDOWS\System32\windxp.ini
  • C:\WINDOWS\system32\restoration.msd
  • C:\WINDOWS\system32\CommandPrompt.Sysm
  • C:\WINDOWS\explore.exe

  • Agar dapat aktif pada saat menyalakan komputer/reboot, ia membuat file pada startup windows, yaitu :
  • C:\Documents and settings\%user%\Start Menu\Programs\Startup\AdobeGamma.pif

 Serta membuat string registry pada saat windows login :o    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

            Shell ===> Explorer.exe “c:\windows\explore.exe”

membuat beberapa file duplikat, yaitu :

  • C:\WINDOWS\Temp\Vel.exe
  • C:\WINDOWS\Temp\Ngsys.exe
  • C:\WINDOWS\Temp\rvshost.exe
  • C:\WINDOWS\Temp\system31.exe
  • C:\WINDOWS\Temp\userint.exe
  • C:\WINDOWS\Temp\windxp.exe
  • C:\WINDOWS\Temp\winzipt.exe
  • C:\Documents and Settings\%user%\Local Settings\Temp\Ngsys
  • C:\Documents and Settings\%user%\Local Settings\Temp\runer
  • C:\Documents and Settings\%user%\Local Settings\Temp\rvshost
  • C:\Documents and Settings\%user%\Local Settings\Temp\system31
  • C:\Documents and Settings\%user%\Local Settings\Temp\userint
  • C:\Documents and Settings\%user%\Local Settings\Temp\vel
  • C:\Documents and Settings\%user%\Local Settings\Temp\windxp
  • C:\Documents and Settings\%user%\Local Settings\Temp\winzipt

 Semua file duplikat yang dibuat tersebut diatas mempunyai ciri sebagai berikut :

  • Icon tidak ada (hilang)
  • Ukuran file 91 kb
  • Tipe file icon
  • Extension exe

Selain aktif pada mode “normal”, virus ini pun aktif pada mode “safe mode” dan “safe mode with command prompt”. Untuk itu ia membuat string registry pada :o    HKLM\SYSTEM\ControlSet001\Control\SafeBoot      AlternateShell    ===> c:\windows\system32\CommandPrompt.Sysmo    HKLM\SYSTEM\ControlSet002\Control\SafeBoot      AlternateShell    ===> c:\windows\system32\CommandPrompt.Sysmo    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot

      AlternateShell    ===> c:\windows\system32\CommandPrompt.Sysm

  1. Disconnect komputer dari jaringan.

  2. Disable system restore (windows XP/Vista/2003) selama proses pembersihan.

  3. Matikan proses yang aktif di memory, dengan menggunakan task manager atau beberapa tools yang lain seperti curprocess atau procexp

  4. Hapus beberapa string registry yang dibuat virus. 

 [Version]Signature=”$Chicago$”

Provider=Senkouryu [DefaultInstall]AddReg=UnhookRegKeyDelReg=del [UnhookRegKey]HKCR, exefile,,,”Application”HKLM, SOFTWARE\Classes\exefile,,,”Application”HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0x00010001,0HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, CheckedValue,0x00010001,1HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, DefaultValue,0x00010001,1HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, “cmd.exe”HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”  [del]HKCR, exefile, NeverShowExtHKLM, SOFTWARE\Classes\scrfile, NeverShowExt      HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, defHKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, SysRestoreHKCU, ControlPanel\Desktop, SCRNSAVE.EXE

           5.Hapus file virus seperti yang saya sebutkan diatas… 

Published in: on Desember 19, 2007 at 6:36 am  Comments (2)  

The URI to TrackBack this entry is: https://nexsoft.wordpress.com/2007/12/19/sosok-battosai-serang-windows/trackback/

RSS feed for comments on this post.

2 KomentarTinggalkan komentar

  1. system32 yang laen bukan virus?
    antivirus ap siy yang paling tok cer buat lawan spyware?

  2. @vany
    maksudna yang baris pertama tuch apa mas?
    klo antivirus yang paling tok cer buat lawan spyware coba pake spyware doctor ato klo ga pake aja kaspersky kayanya jg bs


Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

%d blogger menyukai ini: