cara membasmi virus sality

Sality merupakan virus berjenis PE Infector (Polymorphic) yang menginfeksi file-file Executabe “exe”. Virus yang memiliki nama asli w32.Hllp.KukuJoker ini banyak dikeluhkan pengguna computer diseluruh dunia, terutama di indonesia banyak sekali pengguna komputer yang melaporkan telah terinfeksi oleh virus ini.
Virus ini masih belum jelas asal usulnya, dugaan sementara virus ini berasal dari cina, selain mempunyai kemampuan untuk menginfeksi file-file executable virus ini juga memilki kemampuan rootkit, sehingga selain sulit untuk dibersihkan dari system, file-file yang terinfeksi juga cukup sulit untuk diperbaiki,  menggunakan  beberapa tools  remover  dan antivirus  juga terkadang  malah  bisa  menimbulkan kerusakan pada file yang terinfeksi bahkan  bisa menghapusnya.

Beberapa Antivirus Luar mendeteksi Virus ini sebagai :

• Malware.Sality [PCTools]
• W32.Sality!dr [Symantec]
• Virus.Win32.Sality.bh [Kaspersky Lab]
• W32/Sality.dr [McAfee]
• Troj/SalLoad-C [Sophos]
• Virus:Win32/Sality.AT [Microsoft]
• Win32.SuspectCrc [Ikarus]
• Win32/Kashu.E [AhnLab]

Karakteristik Virus 
Jika kita lihat memang tidak terlalu banyak perbedaan antara file yang terinfeksi dengan file yang belum terinfeksi, yang membedakan hanyalah ukuran yang bertambah lebih besar dari ukuran sebelum terinfeksi, biasanya ukuran yang bertambah hanya beberapa KB saja. Bisa dilihat perbedaanya dari gambar dibawah ini.

Jika file terinfeksi tersebut dijalankan, maka file tersebut dapat berjalan seperti biasanya, sehingga user tidak mengira bahwa file yang ia jalankan tersebut telah terinfeksi virus, padahal dibalik itu virus sudah menetap di system.
Teknik yang digunakan virus sality adalah dengan membelokan EntryPoint asli file ke EntryPoint-nya virus, maka saat dijalankan virus yang terlebih dahulu aktif, baru kemudian virus meneruskan nya ke EntryPoint asli file yang terinfeksi, sehingga file yang dijalankan akan aktif seperti biasa nya.

Saat aktif virus akan membuat beberapa file induknya di system :

• %Windir%\system32\drivers\<acak>.sys

Virus akan mengektrak file driver dari dalam tubuhnya dan menaruhnya disystem dengan nama acak, driver ini digunakan untuk bersembunyi di system. Contoh : amsint32.sys dan  iirktn.sys

• %Windir%\System.ini

[MCIDRV_VER]
DEVICEMB=<random number>

• HKCU\Software\<Acak>

Virus akan menambahkan key baru diregistry dengan nama acak contoh “HKCU\Software\Avcgr”, key yang dibuat ini juga mempunyai rutin-rutin tertentu.

• Mutext

Virus akan membuat mutext pada setiap proses yang berjalan ini digunakan untuk menandakan bahwa thread virus sudah aktif pada setiap proses yang berjalan, mutext yang akan dibuatnya menyerupai nama proses yang di tumpangi nya :
<Nama Proses>M_<PID Proses>_
contoh nya : svchost.exeM_2168_

• Firewall

Pada komputer terinfeksi virus menambahkan rule baru dalam daftar port yang di ijinkan, ini digunakan virus agar firewall windows tidak memblok koneksi yang akan dibuat oleh virus

• Download Komponent virus lainya

Jika komputer korban terhubung dengan koenksi internet, virus akan berusaha mendownload komponen-komponen virus lainya, di beberapa situs yang sudah ditentukan oleh pembuatnya


Infeksi file Executable & Screen Saver
Virus akan mencari semua file berektensi ”.exe” & ”.scr” yang ada di seluruh drive computer korban  nya, jika virus menemukanya virus akan menginfeksinya dengan membelokan EntryPoint asli ke EntryPoint nya virus.

Sality mempunyai kemampuan untuk mengecek apakah file yang akan diinfeksi dilindungi oleh system atau tidak, jika file tersebut dilindungi oleh system maka sality tidak akan menginfeksinya,  seperti file-file yang dilindungi oleh Windows File Protection (WFP) atau System File Checker (SFC).

Infeksi Removeable Drive & Jaringan
Berbeda dengan teknik infeksi variant sebelumnya, variant sality kali ini memanfaatkan fitur Autorun untuk mempercepat penyebaranya. File Autorun yang digunakan virus memiliki nama dan ektensi acak (exe dan pif) . Seperti : xvftea.exe atau xvftea.pif, dan ukuranya sekitar 100 – 101 KB

Di jaringan virus juga akan menginfeksi setiap folder yang memiliki FULL ACCESS Read & Write, dengan membuat sebuah shortcut exploit yang akan langsung aktif apabila user memasuki folder yang sudah terdapat shortcut exploit tersebut.

Menghapus File
Sality akan mencari file berektensi “.VDB” dan “.AVC” jika ditemukan akan langsung dihapus. Ektensi file ini biasanya digunakan oleh beberapa antivirus untuk menyimpan database virus.

Block Website
Sality akan memblock website atau domain yang mengandung kata seperti :

upload_virus , sality-remov, virusinfo.  cureit. drweb. onlinescan. spywareinfo. ewido. virusscan. windowsecurity.  spywareguide. bitdefender. pandasoftware. agnmitum.  virustotal.sophos.  trendmicro.  etrust.com symantec.  mcafee. f-secure. eset.com, kaspersky. dll

Menghapus Registry Key
Untuk mempertahankan dirinya virus menghapus beberapa key di registry yang dianggap mebahayakan kehidupan virus.

• HKCU\System\CurrentControlSet\Control\SafeBoot
• HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
• HKLM\Software\Microsoft\WindowsNT\CurrentVersion\ProfileList
• HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\Stats
• HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats
• HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Effek dari beberapa key yang dihapus diatas membuat user tidak dapat memasuki modus SAFE MODE

Blue Screen saat mengakses SAFE MODE

Mensetting registry agar tidak menampilkan file yang dihidden

• HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden = 2

Selain itu sality mengunci akses ke Task Manager & Registry Tools

• HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableTaskMgr =dword:00000001

• HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableRegistryTools =dword:00000001

Cara Pembersihan
1. Untuk membersihkan virus ini secara tuntas, download tool removal sality dibawah ini :

Sality Killer :  http://dl.dropbox.com/u/56065140/Salitykiller2012.zip

Isi dari file download Sality Killer

 2. Kemudian ektrak lah semua file yang ada didalam ZIP tersebut ke dalam folder baru, kemudian jalankan file SalityCure.bat



3. Setelah dijalankan proses scanning akan langsung tampil, harap diperhatikan SELAMA PROSES PEMBERSIHAN SEDANG BERLANGSUNG, JANGAN PERNAH MENJALANKAN APLIKASI SEBELUM PROSES PEMBERSIHAN SELESAI, untuk mencegah virus kembali aktif, saat menjalankan file terinfeksi yang belum sempat dibersihkan.

Proses pembersihan sedang berjalan

4. Terakhir gunakan Smadav Revisi terbaru untuk memperbaiki Registry yang telah dirusak oleh virus sality.

Centang folder dan drive yang akan di scan, dan juga jangan lupa berikan centang pada bagian Syatem Area Deep (Over 1500 registry value), untuk memperbaiki registry yang telah rusak oleh virus, selanjutnya tekan tombol SCAN

Tunggu hingga proses perbaikan selesai, jika dialog pesan seperti diatas muncul tekan tombol OK dan terakhir tekan tombol Bersihkan

Kemudian Restart komputer

!!! Ok Selamat mencoba !!!


sumber : punggawa & master smadaver

bahaya dari auto run

Flashdisk adalah sumber utama penyebaran virus di Indonesia, sebagian besar kasus infeksi virus di Indonesia berasal dari pertukaran flashdisk dari satu komputer dengan komputer lainnya. Jadi, kalau kita mampu menjaga agar flashdisk tidak terinfeksi virus dari komputer lain maka tentunya komputer kita akan aman dan tidak akan sekali-kali terinfeksi virus. Suatu hal yang sangat fatal adalah kalau komputer kita terinfeksi virus impor (seperti conficker, sality, alman, dll). Berbeda kalau komputer terinfeksi virus lokal yang SEMUANYA mudah dibersihkan, virus impor akan sangat sulit dibersihkan, walaupun bisa dibersihkan tapi tetap saja akan meninggalkan bekas yang merusak.

Jadi, SOLUSI terbaik untuk masalah ini hanya satu, yaitu pencegahan. Hampir semua Virus Lokal & Impor sekarang memanfaatkan flashdisk sebagai sarana penyebarannya, tepatnya dengan membuat file autorun.inf yang diinfeksikan ke flashdisk. Sehingga kalau kita membuka flashdisk tersebut di komputer, virus akan berjalan secara otomatis tepat setelah kita membuka flashdisk. Smad-Lock berhasil membuat flashdisk Anda terkunci HANYA untuk file autorun.inf. Jadi, virus tidak akan mampu membuat file autorun.inf di flashdisk Anda, tentunya setelah flashdisk Anda sudah dikunci oleh Smad-Lock Smadav. Untuk mengaktifkan Smad-Lock Anda, harus mengaktifkan SmaRTP Proteksi Smadav terlebih dahulu. Smad-Lock akan aktif dan mengunci flashdisk Anda otomatis setelah Anda mencolok flashdisk. Jadi, kesimpulannya Smad-Lock telah memutuskan jalur penyebaran virus terbesar di Indonesia.

Tidak hanya sampai disini, setelah Smad-Lock mengunci flashdisk Anda. Smad-Lock juga membuat satu folder di flashdisk Anda, Folder itu bernama Smad-Lock (dengan karakter segitiga bagian kiri dan kanan). Folder Smad-Lock ini adalah folder teraman dari infeksi virus. Virus hampir tidak mungkin dapat memasuki dan menginfeksi folder ini dan semua file di dalamnya. Jadi, semua file yang Anda taruh dalam folder ini SANGAT AMAN dari infeksi virus. Tetapi, Anda tidak boleh me-rename nama folder ini sedikitpun. Folder ini sebaiknya hanya diisi dengan file yang dibuka dengan program buatan microsoft, seperti office (berjenis DOC, XLS, PPT, dan semua file office sejenisnya). Tapi sebenarnya Anda juga dapat mengisi file yang bukan berjenis dokumen office, seperti EXE, ZIP, RAR, tapi sebaiknya ketika Anda membuka file tersebut jangan langsung di dalam folder ini, Anda sebaiknya memindahkan file tersebut keluar folder ini terlebih dahulu sebelum membukanya.

TIPS MENGHINDARDARI PEMERKOSAAN DI ANGKOT

Tips menghindari pemerkosaan di angkot
karena maraknya aksi pelecehan seksual didalam angkot, berikut tips aman saat naik angkot...

1.Pas naek angkot Kaki duluan. Baru tangan. Jangan pernah handstand di dalem angkot.

2.Kalo di tanya supirnya “mau kemana” jangan di jawab “Ke hatimu”... Jangan bikin supirnya galau. Atau bahkan dibales nyanyi "kemana.. Kemana.. Kemana" nanti sopirnya malah kegatelan

3.Meskipun dia punya banyak duit seribuan, jangan cium tangan trus minta uang jajan sama supirnya. Dia bukan bapak lo

4.walau lo narsis..jng sampe lo ngajak supirnya foto bareng

5.nggak perlu dandan cantik deh soalnya cuma di FTV kita bisa nemu sopir angkot ganteng

6.Jangan nanya pintu daruratnya dimana. Please jangan!! ini bukan pesawat.

7.pas sopir mau pindahin gigi, gak usah sok2 romantis genggam tangan dan tatap matanya!

8.kalo ada yang malak dalem angkot, pura-pura tidur aja. Kemungkinannya kalo nggak dilewatin yah digamparin

9.kalo menerima uang kembalian, ucapkan: “Alhamdullillah yahh, sesuatu banget..”

11.kalo duduk di belakang supir, gak usah ngagetin dia dgn ngrangkul tutup matanya n blg “tebak aku siapa?!”

12.klo mau nanya ongkos jgn pake bhs “gan” ex: “brp ongkosnya gan?” ingat ini angkot bukan forum Smadaver atau sejenisnya..

13.sebelum naik, Perhatikan nomer plat nomernya, kalau RI 1 jangan dinaiki, klo tdk ingin digeplak paspampres.

14.Jangan mau naik angkot yang pake bensin campur. Apalagi campur dorong. Capek bro.

15.kalo lo cadel, ngomongnya Stop aja, jangan Kiri.. Ntar diketawain supir angkot lagi

16.nyalain lagu Beyonce..”turn the left turn the left~~” saat mau berenti

17.Gak usah curhat kesopirnya, siapa tau doi lagi galau jg. Gak konsen nyetir dan akhirnya #ngueeenngg #braaak

18.Tolong bayarnya pake uang, jangan pake alat sholat. Ini bukan ijab kabul:|

19.setelah sampai tujuan, ucapkan “kiri, beb!!” biar lebih romantis

20.berhentiin dulu angkotnya…jangan naik pas angkot lagi ngebut…

21.yang terakhir dan terpenting Sepenuh apapun, jgn duduk d pangkuan supirnya. Pokoknya jangan !!

mengalahkan virus FLyff 666.dll.vbs

Bedah Virus : FLyff 666.dll.vbs

Sudah pernah dengar virus ini kalau belum,gw juga baru2 aja dengar virus ginian.Ini salah satu virus yang dibuat oleh VM Indonesia Asli loh.....gw salut tuh sama VMnya [ om fly666 dari IH & DevilCode]... .Dab sepertinya virus ini belum disebarkan oleh siempunya,masih sebatas sharing di forum2 tertenu.Karena nih gw dapat dari teman saya di forum lain.

Lalu apa kehebatannya

Semua Drive di My Computer akan dihidden :

Control Panel akan didisable :

Pesan di IE :

 

Akibat yang ditimbulkan dari virus ini :
=>Mendisable TaskManager,CMD,MsConfig,Regedit,Folder Option dll.
=>Akan membuat pesan Startup :” H4x0r3d By Flyff 666" dan “Saya Adalah Program Jahat yang Akan Mengambil Alih Komputer kalian !! System Hasbeen Hacked BY : Flyff 666 From Indonesian Hackers Community".
=>Klik Kanan pada mouse akan didsable.
=>Disetiap Drive akan ada virus ini dan juga di C:\WINDOWS.
=>Dan sepertinya akan memblok beberapa AV,seperti Ansav,PCMAV dan NOD32.
=>Akan mendisable klik Kanan pada mouse.

Bersyukurlah klo anda pengguna Smadav,karena sejau ini Smadav blom masuk dalam kategori si empunya Virus....

Cara mengatasinya :

->Masuk ke Safe mode:
->Buka Smadav dan lakukan scanning.Samapi disini smadav akan menemukan beberapa registry yang rusak/tidak sesuai langsung aja repair semuanya dan nama virus ini akan kedetect sm smadav,Tp cuman autorun.inf aja yg mampu diclean Smadav.Virus induknya takan masuk ke quarantine.Di quarantine Silahkan delete semuanya.Trus masuk  ke Smadav >> Tools >> System Editor,select all dan apply.sekarang restart komputernya.
->Masuk C:\WINDOWS cari nama virus ini,dan silahkan delete terlebih dahulu.

Di startup masih ada pesan si empunya virus.....hapus di regedit.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeCaption", "H4x0r3d By Flyff 666"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\LegalNoticeText", "Saya Adalah Program Jahat yang Akan Mengambil Alih Komputer kalian !! System Hasbeen Hacked BY : Flyff 666 From Indonesian Hackers Community"
Delete LegalNoticecaption dan LegalNoticeText.

dan cari lagi di regedit.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon\LegalNoticeCaption", "Flyff 666 VM_Community"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon\LegalNoticeText", "Saya Adalah Program Jahat yang Mengambil Alih Komputer kalian !! dibuat Oleh Flyff 666"
Delete LegalNoticecaption dan LegalNoticeText

restart komputer.Silahkan Scan ulang dengan Smadav.Sampai disitu virus sudah tak berkutik........

sumber: bosnya smadav