Setelah beberapa kali mencoba mengcrack virus maria eva ini, akhirnya terbuka berkat jan ”virus cracker” kristanto … umh sekarang kita liat aja dalamannya maria eva, maksudnya daleman virus maria eva ini, okay … thanks to jan …
Nama virus : w32.mariaeva@brontok
Ukuran : 119 kb
Virus maria eva memang varian brontok yang diprogram oleh seorang VX Bokeph_Memendez, umh tanda – tandanya sama dengan virus brontok lainnya, tapi ada tanda tanda atau manipulasi lainnya, yaitu:
MANIPULASI REGEDIT
Registry yang telah dimanipulasi oleh virus ini:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\DefaultValue
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\DefaultValue
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
FILE PEMICU
File pemicu virus ini ada di :
New Folder.exe ada di drive C:\
Empty.pif ada di C:\Documents and Settings\All Users\Start Menu\Programs\Startup atau di C:\Documents and Settings\User\Start Menu\Programs\Startup
LSASS.exe
WINLOGON.exe
SERVICES.exe
PENANGGULANGAN
1. Seperti biasa, donlot WAV 2005, atau pengontrol virus buatan anak – anak syntax-mania di:
Sintax mania Tools (develop by jan kristanto)
2. Jalankan file jan_mod.exe untuk menghentikan proses virus.
3. Hentikan proses yang bernama :
New Folder.exe
Empty.pif
LSASS.exe
WINLOGON.exe
SERVICES.exe
4. Hapus Registry dengan nilai:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\DefaultValue
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\DefaultValue
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
5. Scan dengan WAV 2005 update terbaru
6. Cari file berekstensi .pif, .exe atau .scr dengan besar 119 kb, kemudian hapus
http://ic2000.wordpress.com/2008/01/15/virus-w32mariaevabrontok/
0 komentar:
Posting Komentar
Dilarang keras membuat SPAM pada setiap komentar diblog ini