waspada ...... email2 jahat....
mudah-mudahan info ini bisa bermanfaat...
salam\Bhayu Collection
W32/Emmareg. A 23 Agustus 2006
Kenalan dengan Emma, Nova dan Alisa
Hati-hati jika tiba-tiba computer anda menjadi lambat atau ada seseorang
yang tiba-tiba menuduh anda karena mereka menerima email dari anda yang
ternyata email tersebut telah disisipi virus, sebelum mengadakan counter
attack menanggapi hal tersebut sebaiknya anda pastikan apakah komputer anda
memang terinfeksi virus. Coba scan dengan antivirus yang up-to-date atau
meminta bantuan pihak ke tiga yang mengerti mengenai virus dan antivirus.
Jika sebelumnya virus lokal hanya mampu menyebar melalui media UFD / Disket,
Rontokbro dan Mybro merupakan salah satu pelopor yang mencoba menyebar melalui
email dan kemudian bermunculan berbagai virus yang mulai bermain dengan SMTP
yakni menyebar melalui email salah satunya adalah virus W32/Emmareg. A
Virus ini mempunyai ukuran 42 KB, untuk mempermudah penyebarannya virus ini
akan menggunakan icon Folder. Dengan up-date terakhir Norman sudah dapat
mengenali virus ini dengan baik. Lihat gambar 1)
Gambar 1, Norman Virus Control sudah dapat mengenali virus W32/Emmareg. A
Jika virus ini aktif maka ia akan membuat beberapa file induk untuk
dijalankan pertama kali setiap kali komputer di nyalakan, diantaranya:
C:\Windows\Mstry. exe C:\Windows\system32 regedit.exe
nova.exe msconfig.exe Emma.exe Alisa.exe
C:\Windows\system\ msconfig. exe C:\Program Files\Common Files\renova.
exe
Sebagai penunjang Emmareg.A akan membuat beberapa string pada registry,
diantaranya:
HKEY_CURRENT_ USER\Software\ Microsoft\ Windows\CurrentV ersion\Run
shell = C:\Program files\common files\renova. exe HKEY_LOCAL_MACHINE\
SOFTWARE\ Microsoft\ Windows\CurrentV ersion\Run renova =
nova.exe
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\CurrentVersion\
Winlogon shell = explorer.exe "C:\Program Files\Common
Files\Renova. exe" Userinit = explorer.exe
"C:\Program Files\Common Files\Renova. exe"
Blok Fungsi Windows
Emmareg.A berusaha untuk melakukan bloking terhadap beberapa fungsi Windows
Diantaranya :
Msconfig Registry editor Taks manager Run CMD
Dengan membuat string pada registry editor: HKEY_CURRENT_
USER\Software\ Microsoft\ Windows\CurrentV ersion\Policies\ System
DisableRegistryTool s=1 DisabletaskMgr = 1
HKEY_CURRENT_ USER\Software\ Microsoft\ Windows\CurrentV ersion\Policies\
Explorer NoFind =1
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\CurrentV ersion\policies\
Explorer o NoFind=1
Merename dirinya sebagai regedit dan msconfig
Emmareg.A juga mempunyai trik lain untuk blok fungsi registry editor atau
msconfig yakni dengan membuat file dengan nama regedit.exe dan msconfig.exe
pada direktori [C:\Windows\ system32] sehingga jika anda menjalankan fungi
registry editor dan msconfig maka secara tidak langsung akan menjalankan virus
tersebut.
Sebenarnya Emmareg.A juga berusaha untuk melakukan bloking menu
Search/Control Panel atau Folder Option tetapi hal ini tidak berhasil
dilakukan karena value pada string tersebut adalah 0 yang berarti = tidak
HKEY_CURRENT_ USER\Software\ Microsoft\ Windows\CurrentV ersion\Policies\
Explorer NoControlPanel = 0 NoFind = 1
NoFolderOptions = 0 NoRun = 0 NoSaveSettings= 0
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\CurrentV ersion\policies\
Explorer NoControlPanel = 0 NoFind = 1
NoFolderOptions = 0 o NoRun = 0
o NoSaveSettings= 0
Walaupun Emmareg.A tidak sampai menyembunyikan Folder Option, tetapi ia akan
tetap bermain-main dengan option ini yakni dengan cara menghilangkan option
[Hide extension for known type files] serta menambahkan option [RENOVA] pada
menu Folder option, perhatikan gambar 2 dan 3 di bawah ini:
Gambar 2, Emmareg.A menghilangkan option [Hide extension for known type
files]
Gambar 3, Emmareg.A menambahkan option [RENOVA] pada Folder Option
Untuk melakukan hal tersebut ia akan membuat string pada regsitry editor:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\CurrentV ersion\Explorer\
Advanced\ Folder\HideFileE xt type = HKCU,
Software\Microsoft\ Windows\ShellNoR oam\MUICache, @shell32. dll,-30503
RENOVA
Selain itu Emmareg.A juga akan membuat string berikut:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\CurrentVersion\
Image File Execution Options\Msrun. exe Debugger = Debugger
Lalu, Emmareg.A juga akan mencoba untuk blok program/file [dengan cara
minimize program tersebut] yang dijalankan dengan membaca salah satu caption
berikut :
System Tools Virus Anti Control Virus
My music Norman Virus Control Internet Explorer
Internet Connection
Aktif pada mode safe mode dan safe mode with command prompt
Untuk mempertahankan eksistensinya, Emmareg.A akan mencoba untuk membuat
beberapa string pada registry editor dengan harapan agar ia dapat tetap aktif
walau dalam mode safe mode maupun safe mode with command prompt, yakni dengan
membuat string berikut:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\CurrentVersion\
Winlogon - shell = explorer.exe "C:\Program Files\Common
Files\Renova. exe"
- Userinit = explorer.exe "C:\Program Files\Common Files\Renova.
exe
HKEY_LOCAL_MACHINE\ SYSTEM\ControlSe t001\Control\ SafeBoot -
AlternateShell = C:\Program Files\Common Files\Renova. exe
HKEY_LOCAL_MACHINE\ SYSTEM\CurrentCo ntrolSet\ Control\SafeBoot -
AlternateShell = C:\Program Files\Common Files\Renova. exe
Merubah Product ID pemilik Windows
Emmerag.A juga akan mencoba untuk merubah nama pemilik windows dengan
membuat string pada registry editor:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ WindowsNT\ CurrentVersion
- ProductId = Renova
- ProductName = RENOVA
- RegisteredOrganizat ion = Xenova
- RegisteredOwner = Renova
Media penyebaran
Dalam rangka menyebarkan dirinya, Emmerag.A akan menggunakan media Disket,
UFD dan File Sharing, disamping itu ia juga akan mecoba menyebar melalui email
dengan mengirimkan [reply] semua email yang ada di INBOX dengan menyertakan
attachment NOVA.SCR
Email yang akan dikirimkan akan mempunyai ciri-ciri (lihat gambar 4) :
To : alamat email pemilik komputer yang telah terinfeksi
Emmareg.A
From : random [alamat email yang terdapat pada INBOX]
Subject : RE:subject asli [random]
Attachment : nova.scr, dengan ukuran file 43,1 KB
Body : Sorry, Saya lupa nih :)
Gambar 4, Emmareg.A berusaha membalas email yang ada di INBOX dengan
menyertakan lampiran yang sudah mengandung virus.
Untuk menyebarkan dirinya melalui email, Emmareg.A akan menggunakan metode
yang berbeda dengan apa yang dilakukan oleh Rontokbro/Mybro, dimana untuk
mengirimkan dirinya melalui email Emmareg.A tidak akan menggunakn SMTP
sendiri, tetapi dengan menggunakan SMTP dari komputer yang telah di infeksinya
serta untuk alamat pengirim akan menggunakan alamat email dari komputer yang
telah di infeksinya, perhatikan gambar 5 dibawah ini:
Gambar 5, Daftar antrian email yang akan di kirim oleh Emamareg.A
Cara membersihkan W32/Emmareg. A
1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan.
2. Jika menggunakan Windows ME/XP, matikan [system restore] untuk
sementara selama proses pembersihan
3. Matikan proses virus yang sedang aktif di memori, anda dapat
menggunakan tool "currprocess" (lihat gambar 6) kemudian matikan proses
dengan nama:
Alisa Emma
Tools ini dapat di download di alamat:
http://www.freedown loadmanager. org/downloads/ CurrProcess_ 37457_p/
Gambar 6, Dengan menggunakan CurrProcess Anda dapat mematikan proses virus
Emmareg.A
4. Hapus file induk yang dibuat oleh virus di lokasi berikut,
sebelumnya pastikan anda sudah menampilkan file/folder yang disembunyikan.
Kemudian hapus file berikut:
C:\Windows\Mstry. exe C:\Windows\system32 regedit.exe
nova.exe msconfig.exe Emma.exe Alisa.exe
C:\Windows\system\ msconfig. exe C:\Program Files\Common Files\renova.
exe 5. Hapus registry key yang dibuat oleh virus dengan cara membuat
file repair.inf. Copy teks dibawah ini pada Notepad, lalu safe sebagai file
repair.inf (jangan .txt).
[Version]
Signature="$ Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\ batfile\shell\ open\command, ,,"""%1"" %*"
HKLM, Software\CLASSES\ comfile\shell\ open\command, ,,"""%1"" %*"
HKLM, Software\CLASSES\ exefile\shell\ open\command, ,,"""%1"" %*"
HKLM, Software\CLASSES\ piffile\shell\ open\command, ,,"""%1"" %*"
HKLM, Software\CLASSES\ regfile\shell\ open\command, ,,"regedit. exe "%1""
HKLM, Software\CLASSES\ scrfile\shell\ open\command, ,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ Winlogon, Shell,0,
"Explorer.exe"
HKLM, SYSTEM\ControlSet00 1\Control\ SafeBoot, AlternateShell, 0, "cmd.exe"
HKLM, SYSTEM\CurrentContr olSet\Control\ SafeBoot, AlternateShell, 0,
"cmd.exe"
HKLM,SOFTWARE\ Microsoft\ Windows\CurrentV ersion\Explorer\ Advanced\
Folder\HideFileE xt, type,0, "checkbox"
HKLM,SOFTWARE\ Microsoft\ Windows\CurrentV ersion\Explorer\ Advanced\
Folder\HideFileE xt, Text,0, "Hide Extensions for known file types"
HKCU, Software\Microsoft\ Windows\ShellNoR oam\MUICache, @shell32.
dll,-30503, 0, "Hide Extensions for known file types"
HKLM, Software\Microsoft\ Windows NT\CurrentVersion, ProductId,0, "Your
ProductID"
HKLM, Software\Microsoft\ Windows NT\CurrentVersion, ProductName, 0,"Your
Product Name"
HKLM, Software\Microsoft\ Windows NT\CurrentVersion, RegisteredOrganizat
ion,0,"Your Organization"
HKLM, Software\Microsoft\ Windows NT\CurrentVersion, RegisteredOwner, 0,
"Owner
[del]
HKCU,Software\ Microsoft\ Windows\CurrentV ersion\Policies\ System,DisableRe
gistryTools
HKCU,Software\ Microsoft\ Windows\CurrentV ersion\Policies\ System,DisableTa
skMgr
HKCU,Software\ Microsoft\ Windows\CurrentV ersion\Policies\ Explorer,
NoFolderOptions
HKCU,Software\ Microsoft\ Windows\CurrentV ersion\Policies\ Explorer, NoRun
HKCU,Software\ Microsoft\ Windows\CurrentV ersion\Policies\ Explorer, NoFind
HKCU,Software\ Microsoft\ Windows\CurrentV ersion\Policies\ Explorer,
NoSaveSettings
HKCU,Software\ Microsoft\ Windows\CurrentV ersion\Policies\ Explorer,
NoControlPanel
HKLM, Software\Microsoft\ Windows\CurrentV ersion\Run, renova
HKCU, Software\Microsoft\ Windows\CurrentV ersion\Run, Shell
HKLM,SOFTWARE\ Microsoft\ Windows\CurrentV ersion\policies\ Explorer,
NoFolderOptions
HKLM,SOFTWARE\ Microsoft\ Windows\CurrentV ersion\policies\ Explorer, NoRun
HKLM,SOFTWARE\ Microsoft\ Windows\CurrentV ersion\policies\ Explorer, NoFind
HKLM,SOFTWARE\ Microsoft\ Windows\CurrentV ersion\policies\ Explorer,
NoControlPanel
Catatan:
setelah menjalankan repair.inf, sebaiknya cek kembali registry key berikut:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\CurrentVersion\
Winlogon o Userinit = explorer.exe "C:\Program Files\Common
Files\Renova. exe"
Kemudian hapus value Explorer.exe C:\Program Files\Common Files\Renova. exe"
pada string Userinit, kemudian isi dengan value:
o Jika menggunakan Windows XP/2003
§ C:\Windows\system32 \userinit. exe,
o Jika menggunakan Windows 2000
§ C:\Winnt\system32\ userinit. exe,
6. Untuk mencegah infeksi ulang dan mempermudah deteksi virus baru di
kemudian hari, pertimbangkan untuk menggunakan Norman Virus Control dengan
update terakhir yang telah dapat mendeteksi virus Emmareg dengan baik.
[Non-text portions of this message have been removed]
--
www.itcenter.or.id - Komunitas Teknologi Informasi Indonesia
Info, Gabung, Keluar, Mode Kirim : [EMAIL PROTECTED]
:: Hapus bagian yang tidak perlu (footer, dst) saat reply! ::
## Jobs: itcenter.or.id/jobs ## Bursa: itcenter.or.id/bursa ##
$$ Iklan/promosi : www.itcenter.or.id/sponsorship $$
[@@] Jaket ITCENTER tersedia di http://shop.itcenter.or.id
Yahoo! Groups Links
<*> To visit your group on the web, go to:
http://groups.yahoo.com/group/ITCENTER/
<*> To unsubscribe from this group, send an email to:
[EMAIL PROTECTED]
<*> Your use of Yahoo! Groups is subject to:
http://docs.yahoo.com/info/terms/
