waspada ...... email2 jahat.... mudah-mudahan info ini bisa bermanfaat...
salam\Bhayu Collection W32/Emmareg. A 23 Agustus 2006 Kenalan dengan Emma, Nova dan Alisa Hati-hati jika tiba-tiba computer anda menjadi lambat atau ada seseorang yang tiba-tiba menuduh anda karena mereka menerima email dari anda yang ternyata email tersebut telah disisipi virus, sebelum mengadakan counter attack menanggapi hal tersebut sebaiknya anda pastikan apakah komputer anda memang terinfeksi virus. Coba scan dengan antivirus yang up-to-date atau meminta bantuan pihak ke tiga yang mengerti mengenai virus dan antivirus. Jika sebelumnya virus lokal hanya mampu menyebar melalui media UFD / Disket, Rontokbro dan Mybro merupakan salah satu pelopor yang mencoba menyebar melalui email dan kemudian bermunculan berbagai virus yang mulai bermain dengan SMTP yakni menyebar melalui email salah satunya adalah virus W32/Emmareg. A Virus ini mempunyai ukuran 42 KB, untuk mempermudah penyebarannya virus ini akan menggunakan icon Folder. Dengan up-date terakhir Norman sudah dapat mengenali virus ini dengan baik. Lihat gambar 1) Gambar 1, Norman Virus Control sudah dapat mengenali virus W32/Emmareg. A Jika virus ini aktif maka ia akan membuat beberapa file induk untuk dijalankan pertama kali setiap kali komputer di nyalakan, diantaranya: C:\Windows\Mstry. exe C:\Windows\system32 regedit.exe nova.exe msconfig.exe Emma.exe Alisa.exe C:\Windows\system\ msconfig. exe C:\Program Files\Common Files\renova. exe Sebagai penunjang Emmareg.A akan membuat beberapa string pada registry, diantaranya: HKEY_CURRENT_ USER\Software\ Microsoft\ Windows\CurrentV ersion\Run shell = C:\Program files\common files\renova. exe HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\CurrentV ersion\Run renova = nova.exe HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\CurrentVersion\ Winlogon shell = explorer.exe "C:\Program Files\Common Files\Renova. exe" Userinit = explorer.exe "C:\Program Files\Common Files\Renova. exe" Blok Fungsi Windows Emmareg.A berusaha untuk melakukan bloking terhadap beberapa fungsi Windows Diantaranya : Msconfig Registry editor Taks manager Run CMD Dengan membuat string pada registry editor: HKEY_CURRENT_ USER\Software\ Microsoft\ Windows\CurrentV ersion\Policies\ System DisableRegistryTool s=1 DisabletaskMgr = 1 HKEY_CURRENT_ USER\Software\ Microsoft\ Windows\CurrentV ersion\Policies\ Explorer NoFind =1 HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\CurrentV ersion\policies\ Explorer o NoFind=1 Merename dirinya sebagai regedit dan msconfig Emmareg.A juga mempunyai trik lain untuk blok fungsi registry editor atau msconfig yakni dengan membuat file dengan nama regedit.exe dan msconfig.exe pada direktori [C:\Windows\ system32] sehingga jika anda menjalankan fungi registry editor dan msconfig maka secara tidak langsung akan menjalankan virus tersebut. Sebenarnya Emmareg.A juga berusaha untuk melakukan bloking menu Search/Control Panel atau Folder Option tetapi hal ini tidak berhasil dilakukan karena value pada string tersebut adalah 0 yang berarti = tidak HKEY_CURRENT_ USER\Software\ Microsoft\ Windows\CurrentV ersion\Policies\ Explorer NoControlPanel = 0 NoFind = 1 NoFolderOptions = 0 NoRun = 0 NoSaveSettings= 0 HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\CurrentV ersion\policies\ Explorer NoControlPanel = 0 NoFind = 1 NoFolderOptions = 0 o NoRun = 0 o NoSaveSettings= 0 Walaupun Emmareg.A tidak sampai menyembunyikan Folder Option, tetapi ia akan tetap bermain-main dengan option ini yakni dengan cara menghilangkan option [Hide extension for known type files] serta menambahkan option [RENOVA] pada menu Folder option, perhatikan gambar 2 dan 3 di bawah ini: Gambar 2, Emmareg.A menghilangkan option [Hide extension for known type files] Gambar 3, Emmareg.A menambahkan option [RENOVA] pada Folder Option Untuk melakukan hal tersebut ia akan membuat string pada regsitry editor: HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\CurrentV ersion\Explorer\ Advanced\ Folder\HideFileE xt type = HKCU, Software\Microsoft\ Windows\ShellNoR oam\MUICache, @shell32. dll,-30503 RENOVA Selain itu Emmareg.A juga akan membuat string berikut: HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\CurrentVersion\ Image File Execution Options\Msrun. exe Debugger = Debugger Lalu, Emmareg.A juga akan mencoba untuk blok program/file [dengan cara minimize program tersebut] yang dijalankan dengan membaca salah satu caption berikut : System Tools Virus Anti Control Virus My music Norman Virus Control Internet Explorer Internet Connection Aktif pada mode safe mode dan safe mode with command prompt Untuk mempertahankan eksistensinya, Emmareg.A akan mencoba untuk membuat beberapa string pada registry editor dengan harapan agar ia dapat tetap aktif walau dalam mode safe mode maupun safe mode with command prompt, yakni dengan membuat string berikut: HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\CurrentVersion\ Winlogon - shell = explorer.exe "C:\Program Files\Common Files\Renova. exe" - Userinit = explorer.exe "C:\Program Files\Common Files\Renova. exe HKEY_LOCAL_MACHINE\ SYSTEM\ControlSe t001\Control\ SafeBoot - AlternateShell = C:\Program Files\Common Files\Renova. exe HKEY_LOCAL_MACHINE\ SYSTEM\CurrentCo ntrolSet\ Control\SafeBoot - AlternateShell = C:\Program Files\Common Files\Renova. exe Merubah Product ID pemilik Windows Emmerag.A juga akan mencoba untuk merubah nama pemilik windows dengan membuat string pada registry editor: HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ WindowsNT\ CurrentVersion - ProductId = Renova - ProductName = RENOVA - RegisteredOrganizat ion = Xenova - RegisteredOwner = Renova Media penyebaran Dalam rangka menyebarkan dirinya, Emmerag.A akan menggunakan media Disket, UFD dan File Sharing, disamping itu ia juga akan mecoba menyebar melalui email dengan mengirimkan [reply] semua email yang ada di INBOX dengan menyertakan attachment NOVA.SCR Email yang akan dikirimkan akan mempunyai ciri-ciri (lihat gambar 4) : To : alamat email pemilik komputer yang telah terinfeksi Emmareg.A From : random [alamat email yang terdapat pada INBOX] Subject : RE:subject asli [random] Attachment : nova.scr, dengan ukuran file 43,1 KB Body : Sorry, Saya lupa nih :) Gambar 4, Emmareg.A berusaha membalas email yang ada di INBOX dengan menyertakan lampiran yang sudah mengandung virus. Untuk menyebarkan dirinya melalui email, Emmareg.A akan menggunakan metode yang berbeda dengan apa yang dilakukan oleh Rontokbro/Mybro, dimana untuk mengirimkan dirinya melalui email Emmareg.A tidak akan menggunakn SMTP sendiri, tetapi dengan menggunakan SMTP dari komputer yang telah di infeksinya serta untuk alamat pengirim akan menggunakan alamat email dari komputer yang telah di infeksinya, perhatikan gambar 5 dibawah ini: Gambar 5, Daftar antrian email yang akan di kirim oleh Emamareg.A Cara membersihkan W32/Emmareg. A 1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan. 2. Jika menggunakan Windows ME/XP, matikan [system restore] untuk sementara selama proses pembersihan 3. Matikan proses virus yang sedang aktif di memori, anda dapat menggunakan tool "currprocess" (lihat gambar 6) kemudian matikan proses dengan nama: Alisa Emma Tools ini dapat di download di alamat: http://www.freedown loadmanager. org/downloads/ CurrProcess_ 37457_p/ Gambar 6, Dengan menggunakan CurrProcess Anda dapat mematikan proses virus Emmareg.A 4. Hapus file induk yang dibuat oleh virus di lokasi berikut, sebelumnya pastikan anda sudah menampilkan file/folder yang disembunyikan. Kemudian hapus file berikut: C:\Windows\Mstry. exe C:\Windows\system32 regedit.exe nova.exe msconfig.exe Emma.exe Alisa.exe C:\Windows\system\ msconfig. exe C:\Program Files\Common Files\renova. exe 5. Hapus registry key yang dibuat oleh virus dengan cara membuat file repair.inf. Copy teks dibawah ini pada Notepad, lalu safe sebagai file repair.inf (jangan .txt). [Version] Signature="$ Chicago$" Provider=Vaksincom [DefaultInstall] AddReg=UnhookRegKey DelReg=del [UnhookRegKey] HKLM, Software\CLASSES\ batfile\shell\ open\command, ,,"""%1"" %*" HKLM, Software\CLASSES\ comfile\shell\ open\command, ,,"""%1"" %*" HKLM, Software\CLASSES\ exefile\shell\ open\command, ,,"""%1"" %*" HKLM, Software\CLASSES\ piffile\shell\ open\command, ,,"""%1"" %*" HKLM, Software\CLASSES\ regfile\shell\ open\command, ,,"regedit. exe "%1"" HKLM, Software\CLASSES\ scrfile\shell\ open\command, ,,"""%1"" %*" HKLM, SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ Winlogon, Shell,0, "Explorer.exe" HKLM, SYSTEM\ControlSet00 1\Control\ SafeBoot, AlternateShell, 0, "cmd.exe" HKLM, SYSTEM\CurrentContr olSet\Control\ SafeBoot, AlternateShell, 0, "cmd.exe" HKLM,SOFTWARE\ Microsoft\ Windows\CurrentV ersion\Explorer\ Advanced\ Folder\HideFileE xt, type,0, "checkbox" HKLM,SOFTWARE\ Microsoft\ Windows\CurrentV ersion\Explorer\ Advanced\ Folder\HideFileE xt, Text,0, "Hide Extensions for known file types" HKCU, Software\Microsoft\ Windows\ShellNoR oam\MUICache, @shell32. dll,-30503, 0, "Hide Extensions for known file types" HKLM, Software\Microsoft\ Windows NT\CurrentVersion, ProductId,0, "Your ProductID" HKLM, Software\Microsoft\ Windows NT\CurrentVersion, ProductName, 0,"Your Product Name" HKLM, Software\Microsoft\ Windows NT\CurrentVersion, RegisteredOrganizat ion,0,"Your Organization" HKLM, Software\Microsoft\ Windows NT\CurrentVersion, RegisteredOwner, 0, "Owner [del] HKCU,Software\ Microsoft\ Windows\CurrentV ersion\Policies\ System,DisableRe gistryTools HKCU,Software\ Microsoft\ Windows\CurrentV ersion\Policies\ System,DisableTa skMgr HKCU,Software\ Microsoft\ Windows\CurrentV ersion\Policies\ Explorer, NoFolderOptions HKCU,Software\ Microsoft\ Windows\CurrentV ersion\Policies\ Explorer, NoRun HKCU,Software\ Microsoft\ Windows\CurrentV ersion\Policies\ Explorer, NoFind HKCU,Software\ Microsoft\ Windows\CurrentV ersion\Policies\ Explorer, NoSaveSettings HKCU,Software\ Microsoft\ Windows\CurrentV ersion\Policies\ Explorer, NoControlPanel HKLM, Software\Microsoft\ Windows\CurrentV ersion\Run, renova HKCU, Software\Microsoft\ Windows\CurrentV ersion\Run, Shell HKLM,SOFTWARE\ Microsoft\ Windows\CurrentV ersion\policies\ Explorer, NoFolderOptions HKLM,SOFTWARE\ Microsoft\ Windows\CurrentV ersion\policies\ Explorer, NoRun HKLM,SOFTWARE\ Microsoft\ Windows\CurrentV ersion\policies\ Explorer, NoFind HKLM,SOFTWARE\ Microsoft\ Windows\CurrentV ersion\policies\ Explorer, NoControlPanel Catatan: setelah menjalankan repair.inf, sebaiknya cek kembali registry key berikut: HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\CurrentVersion\ Winlogon o Userinit = explorer.exe "C:\Program Files\Common Files\Renova. exe" Kemudian hapus value Explorer.exe C:\Program Files\Common Files\Renova. exe" pada string Userinit, kemudian isi dengan value: o Jika menggunakan Windows XP/2003 § C:\Windows\system32 \userinit. exe, o Jika menggunakan Windows 2000 § C:\Winnt\system32\ userinit. exe, 6. Untuk mencegah infeksi ulang dan mempermudah deteksi virus baru di kemudian hari, pertimbangkan untuk menggunakan Norman Virus Control dengan update terakhir yang telah dapat mendeteksi virus Emmareg dengan baik. [Non-text portions of this message have been removed] -- www.itcenter.or.id - Komunitas Teknologi Informasi Indonesia Info, Gabung, Keluar, Mode Kirim : [EMAIL PROTECTED] :: Hapus bagian yang tidak perlu (footer, dst) saat reply! :: ## Jobs: itcenter.or.id/jobs ## Bursa: itcenter.or.id/bursa ## $$ Iklan/promosi : www.itcenter.or.id/sponsorship $$ [@@] Jaket ITCENTER tersedia di http://shop.itcenter.or.id Yahoo! Groups Links <*> To visit your group on the web, go to: http://groups.yahoo.com/group/ITCENTER/ <*> To unsubscribe from this group, send an email to: [EMAIL PROTECTED] <*> Your use of Yahoo! Groups is subject to: http://docs.yahoo.com/info/terms/