Trending Topic

Virus w32.mariaeva@brontok

Posted by agus darlis On Kamis, 03 Juni 2010 0 komentar

Setelah beberapa kali mencoba mengcrack virus maria eva ini, akhirnya terbuka berkat jan ”virus cracker” kristanto … umh sekarang kita liat aja dalamannya maria eva, maksudnya daleman virus maria eva ini, okay … thanks to jan …

Nama virus : w32.mariaeva@brontok
Ukuran : 119 kb

Virus maria eva memang varian brontok yang diprogram oleh seorang VX Bokeph_Memendez, umh tanda – tandanya sama dengan virus brontok lainnya, tapi ada tanda tanda atau manipulasi lainnya, yaitu:

MANIPULASI REGEDIT

Registry yang telah dimanipulasi oleh virus ini:

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\DefaultValue

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\DefaultValue

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr

FILE PEMICU

File pemicu virus ini ada di :

New Folder.exe ada di drive C:\

Empty.pif ada di C:\Documents and Settings\All Users\Start Menu\Programs\Startup atau di C:\Documents and Settings\User\Start Menu\Programs\Startup

LSASS.exe
WINLOGON.exe
SERVICES.exe

PENANGGULANGAN

1. Seperti biasa, donlot WAV 2005, atau pengontrol virus buatan anak – anak syntax-mania di:

Sintax mania Tools (develop by jan kristanto)

2. Jalankan file jan_mod.exe untuk menghentikan proses virus.
3. Hentikan proses yang bernama :

New Folder.exe
Empty.pif
LSASS.exe
WINLOGON.exe
SERVICES.exe

4. Hapus Registry dengan nilai:

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\DefaultValue

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\DefaultValue

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr

5. Scan dengan WAV 2005 update terbaru
6. Cari file berekstensi .pif, .exe atau .scr dengan besar 119 kb, kemudian hapus

http://ic2000.wordpress.com/2008/01/15/virus-w32mariaevabrontok/

Label:

0 komentar:

Posting Komentar

Dilarang keras membuat SPAM pada setiap komentar diblog ini

  • BloggerHack
  • PBT