Apakah Gutbai.exe itu?

Beberapa waktu yang lalu anggota crew yogyafree berhasil membuat sebuah mahakarya yang di klaim merupakan celah di windows yang dapat menyebabkan Bill Gates gulung tikar…dan berikut analisa “mahakarya” tersebut :
1. Compiled dari VB 6.0, dengan no packer dan native code.
2. Mengubah/menambah beberapa key registry :
* DisableRegistryTools
* DisableTaskMgr
* HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell\Explorer.exe menjadi gutbai.exe
* HKLM\Software\Microsoft\Windows\CurrentVersion\policies\system\Shell\Gutbai.exe
3. Mencopy dirinya sendiri ke C:\Windows
4. “Membunuh” proses Explorer.exe

Bila dijalankan, aplikasi ini akan memunculkan window dengan 2 Button yang pertama berisi tantangan untuk meng-kliknya dan
kedua akan menutup aplikasinya. Bila button pertama diklik maka akan muncul MessageBox yang berisi bahwa anda sudah menjalankan
tantangannya dan aplikasi akan me-Log Off anda. Begitu anda Log On kembali maka anda hanya dihadapkan tampilan wallpaper saja.
Mengapa demikian?? karena pada dasarnya Windows melakukan boot secara garis besar sbb:

Boot Sector -> NTLDR -|
|-> Ntdetect.com -> HKLM\HARDWARE\DESCRIPTION
|-> HKLM\SYSTEM\CurrentControlSet\Services
|-> Ntoskrnl.exe |-> bootvid.dll
|-> Windows Session Manager (smss.exe) -> HKLM\SYSTEM\CurrentControlSet\Session Manager\Bootexecute
-> HKLM\SYSTEM\CurrentControlSet\Session Manager\Memory Management\PagingFiles
-> HKLM\SYSTEM\CurrentControlSet\Session Manager\Environment
-> Winlogon -> MSGina.dll
-> Shell (Explorer.exe) ;Nah disini lah permasalahan terjadi

Sang gutbai.exe menggantikan dirinya sebagai shell yang asli, yaitu Explorer.exe. Maka dari itu anda tidak mempunyai shell tapi mempunyai logon yang valid,
karena MSGina sudah dieksekusi terlebih dahulu. TaskManager tidak bisa dibuka, sama halnya dengan Registry Editor (Regedit) karena telah di blok.

Banyak cara untuk mengembalikan shell asli anda, seperti menggunakan media boot CD, disket, USB, dll. Yang pada dasarnya mengganti value registry yang telah
diganti oleh aplikasi tsb. Berhubung kita menggunakan media boot, maka tidak dapat mengubah Registry secara langsung. DIperlukan aplikasi yang dapat membaca
dan mengubah value registry. Untuk penyimpanan Registry Windows terdapat pada %SystemRoot%\Config\Software (karena HKLM\Software yang kita tuju).
Dianjurkan menggunakan aplikasi yang sifatnya GUI (Graphical User Interface) dalam mengubah registry supaya memudahkan recovery. Penulis menggunakan
CD Recovery XP 1.00 Build On PEBuilder yang didalamnya sudah terintegrasi Regedit bawaan. UNtuk mendapatkan atau mengetahui cara membuat CD tsb bisa menghubungi
penulis.

Cara Recovery:
1. Buka Regedit dari Run
2. Browse HKEY_LOCAL_Machine
3. Pilih File pada menu dan pilih Load Hive (File Type : Hive File)
4. Browse ke Drive windows anda (biasanya C:)
5. Browse ke C:\Windows\System32\Config, lalu pilih file Software
6. Akan muncul kotak input box, Buat nama key baru misal HKEY_BARU
7. Browse ke HKEY_BARU\Microsoft\Windows\CurrentVersion\policies\system lalu hapus value Shell
8. Browse ke HKEY_BARU\Microsoft\Windows NT\CurrentVersion\Winlogon lalu ganti value Shell menjadi Explorer.exe
9.Pilih File pada menu dan pilih Export
10.Save 1 folder dengan file software tadi, misal dengan nama software2. Jangan lupa untuk memilih selected branch : HKEY_LOCAL_MACHINE\HKEY_BARU
11.Pilih File pada menu dan pilih UnLoad Hive
12.Browse ke C:\Windows lalu hapus file gutbai.exe
13.Browse ke folder C:\Windows\System32\Config, lalu hapus file Software dan rename file software2 menjadi software
14.Reboot Komputer anda
15.Gunakan file ini

Regards,
senkouryu
_NewBie^Foreva-

Published in: on Januari 21, 2008 at 3:31 pm  Comments (1)  

One CommentTinggalkan komentar

  1. Kok identik sama artikel yang pernah ditulis oleh PushMov ya???? Ataukah anda memang PushMov??? Atau…..


Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

%d blogger menyukai ini: