Setelah dihebohkan dengan dengan virus MJ alias Michael Jackson,
baru-baru ini beredar juga virus lokal dengan nama Virus "Mbah Surip"
Virus ini buatan anak negeri dengan menggunakan bahasa pemrograman Visual Basic ( VBS )
Meskipun hanya menggunakan VBS tapi virus ini cukup merepotkan.
Penyanyi lagu 'Tak Gendong' itu akan muncul pertama kali ketika komputer yang telah terinfeksi memasuki Internet Explorer. Dengan demikian, korban selanjutnya akan disusupi folder bernama 'Album Bokep' di setiap drive maupun flash disk yang isinya seakan-akan file film porno. Namun folder 'panas' itu sebenarnya merupakan file virus yang siap 'menggendong' komputer Anda bila dijalankan.
Bagaimana Virus Mbah Surip bekerja
File induk VBS/Cryf.A ini mempunyai nama [drvconfg.drv] dengan ukuran file sebesar 218 KB, file ini mempunyai ekstensi [.drv] dan mempunyai type file sebagai 'device driver', file ini akan di enkipsi sehingga kode virusnya tidak mudah di baca.
Pada saat file virus dijalankan, pertama kali yang akan di lakukan adalah memanggil file [svchost.vbs] yang sudah dienkript yang berada di direktori [%Driver%:\Recycled\S-1-5-21-343818398-18970151121-842a92511246-500\Thumbs.db]. Kemudian file [svchost.vbs] ini akan menjalankan file utama virus yakni file [drvconfg.drv], file inilah yang berisi runtime untuk menginfeksi dan menanamkan aksi-aksi lain nya di dalam komputer target.
Pada saat user menjalankan dirinya, VBS/Cryf.A akan memanggil program [Windows Media Player]. Kemudian akan membuat beberapa file induk yang salah satunya akan dijalankan saat komputer dinyalakan.
Sementara untuk mempertahankan eksistensinya, ia akan mencoba untuk blok beberapa fungsi windows seperti: Task Manager, Regedit, CMD, MSCONFIG, hingga tidak dapat merubah Wallpaper
Selain itu, virus ini juga akan menyembunyikan file tersebut [regedit.exe, tskmgr.exe. cmd.exe dan MSConfig.exe] dan sebagai gantinya ia akan membuat file yang sama. Bedanya, ia akan mempunyai dua ekstensi yakni [.exe.lnk], antara file 'gadungan' dan file asli akan mempunyai icon yang sama. Jika user mencoba untuk memanggil salah satu fungsi Windows tersebut maka akan muncul pesan error.
Tetapi jika user mencoba untuk langsung menjalankan file 'gadungan' yang telah dibuat oleh virus sebagai pengganti file asli yang telah disembunyikan [contoh: regedit.exe.lnk] maka secara otomatis akan menjalankan file virus yang berada di direktori [C:\WINDOWS\system32\svchost.dls].
Tak hanya itu, ia juga akan melakukan Debugger terhadap ketiga fungsi windows tersebut untuk menjalankan file virus [C:\WINDOWS\appsys.exe] dengan membuat string pada registry.
Beberapa tools security khususnya antivirus lokal seperti PCMAV atau ANSAV. VBS/Cryf.A juga akan melakukan Debugger terhadap program yang telah ditentukan dengan membuat string.
Virus ini juga akan mencoba untuk mengaktifkan dirinya secara otomatis dengan menjalankan file [C:\windows\system\svchost.exe atau C:\windows\WinUpdt.scx] setiap kali user menjalankan file yang mempunyai ekstensi berikut: .reg, .vbs, dan .inf.
Penanggulangan virus Mbah Surip :
Vaksincom yang membuat ramuan untuk memberantas virus ini ( detikcom )
1. Matikan proses virus yang sedang aktif di memori. Untuk mematikan proses virus ini silahkan gunakan tools pengganti task manager seperti Currproses, kemudian matikan proses yang mempunyai product name 'Microsoft ® Windows Script Hosta' dengan cara:
Pilih [blok] proses yang mempunyai product name 'Microsoft ® Windows Script Hosta'
Klik kanan pada proses yang sudah di blok
Pilih [Kill Selected Processes]
2. Blok agar file virus tidak dapat dijalankan untuk sementara selama proses pembersihan dengan menggunakan fitur 'Software Restriction Policiesa', fitur ini hanya ada di Windows XP/2003/Vista/2008. Untuk blok file tesebut lakukan langkah berikut:
Klik menu [Start]
Klik [Run]
Pada dialog box [Run], ketik SECPOL.MSC kemudian klik tombol [OK]
Pada layar [Local Security Policy], klik [Software restriction policies]
Klik kanan pada [software restriction policies] dan pilih [Create new policies]
Kemudian klik kanan di [Additional Rule], dan pilih [New Hash Rule].
Di Kolom [File Hash], klik tombol [Browse] dan pilih file yang akan diblok. Pada kolom [File information] akan terisi informasi dari file tersebut secara otomatis.
* Pada Security Level pilih [Disallowed]
* Pada kolom 'descriptiona' isi deskripsi dari nama file tersebut (bebas),
3. Fix Registry dengan menjalankan file [FixRegistry.exe], silahkan download dsini
4. Hapus file induk virus yang telah dibuat. File induk virus ini akan disembunyikan. Jika file induk tersebut tidak dapat ditampilkan silahkan gunakan tools penggganti Windows Explorer seperti 'Explorer XP'. Silahkan download di alamat berikut:
http://www.explorerxp.com/explorerxpsetup.exe
Setelah software tersebut di install, cari dan hapus file berikut: svchost.vbs, desktop.ini, drvconfg.drv. SHELL32.dll, %Drive%:\Album BOKEP\Naughty America dan C:\windows.
5. Tampilkan file [TaskMgr.exe/Regedt32.exe/Regedit.exe/CMD.exe/Logoff.exe] yang disembunyikan oleh virus, caranya:
Klik menu [Start]
Klik [Run]
Ketik CMD kemudian klik tombol [OK]
Pada layar 'Dos Prompt' pindahkan posisi kursor ke drive yang akan di periksa
Ketik perintah ATTRIB regedit.exe kemudian klik tombol
Kemudian ketik perintah saya yang membedakan hanya nama file yang akan ditampilkan yakni Taskmgr.exe, cmd.exe dan Logoff.exe
6. Untuk pembersihan optimal dan mencegah infeksi ulang silahkan install dan scan dengan antivirus yang up-to-date.
7. Jika komputer sudah benar-benar bersih dari virus, hapus rule blok file [WSCript.exe] yang telah dibuat pada langkah nomor 2, caranya:
Klik menu [Start]
Klik [Run]
Pada dialog box [Run], ketik SECPOL.MSC kemudian klik tombol [OK]
Pada layar [Local Security Policy], klik 2x [Software restriction policies]
Klik [Additional Rule]
Hapus Rule yang pernah Anda buat sebelumnya
Virus ini buatan anak negeri dengan menggunakan bahasa pemrograman Visual Basic ( VBS )
Meskipun hanya menggunakan VBS tapi virus ini cukup merepotkan.
Penyanyi lagu 'Tak Gendong' itu akan muncul pertama kali ketika komputer yang telah terinfeksi memasuki Internet Explorer. Dengan demikian, korban selanjutnya akan disusupi folder bernama 'Album Bokep' di setiap drive maupun flash disk yang isinya seakan-akan file film porno. Namun folder 'panas' itu sebenarnya merupakan file virus yang siap 'menggendong' komputer Anda bila dijalankan.
Bagaimana Virus Mbah Surip bekerja
File induk VBS/Cryf.A ini mempunyai nama [drvconfg.drv] dengan ukuran file sebesar 218 KB, file ini mempunyai ekstensi [.drv] dan mempunyai type file sebagai 'device driver', file ini akan di enkipsi sehingga kode virusnya tidak mudah di baca.
Pada saat file virus dijalankan, pertama kali yang akan di lakukan adalah memanggil file [svchost.vbs] yang sudah dienkript yang berada di direktori [%Driver%:\Recycled\S-1-5-21-343818398-18970151121-842a92511246-500\Thumbs.db]. Kemudian file [svchost.vbs] ini akan menjalankan file utama virus yakni file [drvconfg.drv], file inilah yang berisi runtime untuk menginfeksi dan menanamkan aksi-aksi lain nya di dalam komputer target.
Pada saat user menjalankan dirinya, VBS/Cryf.A akan memanggil program [Windows Media Player]. Kemudian akan membuat beberapa file induk yang salah satunya akan dijalankan saat komputer dinyalakan.
Sementara untuk mempertahankan eksistensinya, ia akan mencoba untuk blok beberapa fungsi windows seperti: Task Manager, Regedit, CMD, MSCONFIG, hingga tidak dapat merubah Wallpaper
Selain itu, virus ini juga akan menyembunyikan file tersebut [regedit.exe, tskmgr.exe. cmd.exe dan MSConfig.exe] dan sebagai gantinya ia akan membuat file yang sama. Bedanya, ia akan mempunyai dua ekstensi yakni [.exe.lnk], antara file 'gadungan' dan file asli akan mempunyai icon yang sama. Jika user mencoba untuk memanggil salah satu fungsi Windows tersebut maka akan muncul pesan error.
Tetapi jika user mencoba untuk langsung menjalankan file 'gadungan' yang telah dibuat oleh virus sebagai pengganti file asli yang telah disembunyikan [contoh: regedit.exe.lnk] maka secara otomatis akan menjalankan file virus yang berada di direktori [C:\WINDOWS\system32\svchost.dls].
Tak hanya itu, ia juga akan melakukan Debugger terhadap ketiga fungsi windows tersebut untuk menjalankan file virus [C:\WINDOWS\appsys.exe] dengan membuat string pada registry.
Beberapa tools security khususnya antivirus lokal seperti PCMAV atau ANSAV. VBS/Cryf.A juga akan melakukan Debugger terhadap program yang telah ditentukan dengan membuat string.
Virus ini juga akan mencoba untuk mengaktifkan dirinya secara otomatis dengan menjalankan file [C:\windows\system\svchost.exe atau C:\windows\WinUpdt.scx] setiap kali user menjalankan file yang mempunyai ekstensi berikut: .reg, .vbs, dan .inf.
Penanggulangan virus Mbah Surip :
Vaksincom yang membuat ramuan untuk memberantas virus ini ( detikcom )
1. Matikan proses virus yang sedang aktif di memori. Untuk mematikan proses virus ini silahkan gunakan tools pengganti task manager seperti Currproses, kemudian matikan proses yang mempunyai product name 'Microsoft ® Windows Script Hosta' dengan cara:
Pilih [blok] proses yang mempunyai product name 'Microsoft ® Windows Script Hosta'
Klik kanan pada proses yang sudah di blok
Pilih [Kill Selected Processes]
2. Blok agar file virus tidak dapat dijalankan untuk sementara selama proses pembersihan dengan menggunakan fitur 'Software Restriction Policiesa', fitur ini hanya ada di Windows XP/2003/Vista/2008. Untuk blok file tesebut lakukan langkah berikut:
Klik menu [Start]
Klik [Run]
Pada dialog box [Run], ketik SECPOL.MSC kemudian klik tombol [OK]
Pada layar [Local Security Policy], klik [Software restriction policies]
Klik kanan pada [software restriction policies] dan pilih [Create new policies]
Kemudian klik kanan di [Additional Rule], dan pilih [New Hash Rule].
Di Kolom [File Hash], klik tombol [Browse] dan pilih file yang akan diblok. Pada kolom [File information] akan terisi informasi dari file tersebut secara otomatis.
* Pada Security Level pilih [Disallowed]
* Pada kolom 'descriptiona' isi deskripsi dari nama file tersebut (bebas),
3. Fix Registry dengan menjalankan file [FixRegistry.exe], silahkan download dsini
4. Hapus file induk virus yang telah dibuat. File induk virus ini akan disembunyikan. Jika file induk tersebut tidak dapat ditampilkan silahkan gunakan tools penggganti Windows Explorer seperti 'Explorer XP'. Silahkan download di alamat berikut:
http://www.explorerxp.com/explorerxpsetup.exe
Setelah software tersebut di install, cari dan hapus file berikut: svchost.vbs, desktop.ini, drvconfg.drv. SHELL32.dll, %Drive%:\Album BOKEP\Naughty America dan C:\windows.
5. Tampilkan file [TaskMgr.exe/Regedt32.exe/Regedit.exe/CMD.exe/Logoff.exe] yang disembunyikan oleh virus, caranya:
Klik menu [Start]
Klik [Run]
Ketik CMD kemudian klik tombol [OK]
Pada layar 'Dos Prompt' pindahkan posisi kursor ke drive yang akan di periksa
Ketik perintah ATTRIB regedit.exe kemudian klik tombol
Kemudian ketik perintah saya yang membedakan hanya nama file yang akan ditampilkan yakni Taskmgr.exe, cmd.exe dan Logoff.exe
6. Untuk pembersihan optimal dan mencegah infeksi ulang silahkan install dan scan dengan antivirus yang up-to-date.
7. Jika komputer sudah benar-benar bersih dari virus, hapus rule blok file [WSCript.exe] yang telah dibuat pada langkah nomor 2, caranya:
Klik menu [Start]
Klik [Run]
Pada dialog box [Run], ketik SECPOL.MSC kemudian klik tombol [OK]
Pada layar [Local Security Policy], klik 2x [Software restriction policies]
Klik [Additional Rule]
Hapus Rule yang pernah Anda buat sebelumnya