<-Back-----<

 WWW.SPYROZONE.NET

MEMBANTAI "FAKE ANTIVIRUS GENERATOR" a.k.a Varian W32.Wayang
TANPA CD BOOTABLE

-------------------------------------------------------

Author  : SPYRO KiD

Contact : spyro_zone@yahoo.com ==> www.spyrozone.net

CopyLEFT (c) 2007 www.spyrozone.net All Rights Reserved
09/07/2007 08.028.21 WIB

-------------------------------------------------------

- Worm           : http://geocities.com/sisigelapdeny/AVgenerator.zip

- Installer Size : 32 KB

- Threat Size    : 84,903 KB

Menggunakan rekayasa sosial dengan memakai icon Antivirus AVIGEN milik VBBEGO. Disebarkan melalui kolom comment situs Jasakom dengan mengatakan bahwa link diatas adalah Antivirus Generator agar user tertarik mendownload.

Setelah dieksekusi, Worm ini akan menyebarkan diri dengan Icon Folder. Worm ini akan melakukan pemblokiran terhadap file-file executable (exe,com,pif,scr) dan script yang biasa dipergunakan untuk membasmi worm (.vbs, .vba, .bat & .inf) serta mencegah user mengakses System Configuration Utility, Registry Editor, Microsoft (r) Windows Based Script Host, killvb, System Restore dan Task Manager serta menyembunyikan beberapa drive anda. Worm ini juga menampilkan pesan saat windows startup yang (kalo gak salah sich) dikutip dari sebuah cerpen ;)

Satu-satunya Hal yang menyulitkan pembasmian worm ini ialah aksinya dalam melakukan pemblokiran file-file executables sehingga banyak orang yang melakukan pembasmian worm ini under DOS mode.

Sebenarnya kita nggak usah susah-susah cari CD Bootable, kita bisa membasminya dengan sangat mudah tanpa harus masuk kedalam lingkungan DOS. Berikut panduannya:

--< Apa yang kita butuhkan?

    -----------------------

     1. Security TaskManager V1.7 [Modified]

        --> Download : http://spyrozone.net [MEMBER AREA]

     2. Kick The Worm - Antivirus V1.5.0

        --> Download : http://spyrozone.net [MEMBER AREA]
        Alat kedua ini tidak harus Kick The Worm. Bisa juga diganti Antivirus Lokal lain kesayangan anda.

---< Langkah-Langkah:

     ------------------

1. Pinjam komputer teman yang masih dalam kondisi sehat wal afiat, Extract file hasil download program-program diatas kedalam flashdisk anda. Atau bakar dalam CD agar worm tidak dapat melakukan perubahan pada file-file tersebut. Setelah itu, Salin script berikut lalu simpan dengan nama terserah.html. Misalnya saja FIX_EXECUTABLES.html
   
   
   
   
    

2. Masih dengan komputer teman ^_^, salin script berikut lalu simpan dengan nama terserah_anda.html. Misalnya FIX_ALL.html
   
   
   
    

3. Sekarang datangi komputer anda dengan semangat yang membara ^_^ Jika memungkinkan, masuklah pada SAFE MODE (Tekan F8 saat booting). Bukalah windows explorer anda dengan menekan kombinasi tombol keyboard [Logo Windows] + [E] Perhatikan, di drive C: anda telah ada duplikat virus dengan nama yang 'menggoda'  ^_^ diantaranya: Bikini Bunga Citra Lestari.exe dan Bunga Citra Lestari.exe. Salin seluruh file yang ada dalam FlashDisk anda ke Local Disk anda.
   
   
   
   
    

4. Bukalah FIX_EXECUTABLES.html dengan menggunakan browser INTERNET EXPLORER. Jika ada notifikasi pada header halaman anda, klik notifikasi tersebut lalu pilih "Allow Blocked Contents" lalu pilih YES pada kotak dialog yang muncul. Perhatikan gambar berikut:
   
   
   
   
   
   
   
   
   
   
    

5. Setelah itu, Internet Explorer akan mengalami kondisi seakan-akan NOT RESPONDING. Hal ini karena file HTML yang kita jalankan tadi berisi script untuk menormalkan kembali asosiasi file executables dan melakukan perulangan tak terbatas. Abaikan INTERNET EXPLORER tersebut, jangan di klik atau melakukan apapun. Anda kini telah dapat menjalankan file executable di komputer anda. Segera buka Windows Explorer anda lalu jalankan Security TaskManager V1.7. Akan tampil sebuah kotak dialog yang menyatakan bahwa versi yang anda gunakan adalah versi Trial. Klik [Continue].
   
   
   
   Kemudian akan tampil sebuah message box. Klik [OK]. Setelah itu, Task Manager akan menginformasikan kepada anda tentang adanya pemblokiran terhadap situs tertentu yang dilakukan dengan mmodifikasi file hosts. Ini merupakan aksi dari worm dalam upayanya untuk mencegah user mengakses situs-situs penyedia tools security, penyedia layanan besar seperti Google dan Yahoo serta situs-situs p*rno ^_^ Klik [Yes] untuk melakukan pengeditan file tersebut.
   
   
   
   
   
   
   
   Hapus isi dari fle hosts yang terbuka di hadapan anda lalu simpan file tersebut.
   
    

6. Kini lihatlah daftar proses yang ditampilkan oleh Security TaskManager V1.7 . Klik proses yang memiliki icon folder. Tahan tombol [Ctrl] anda untuk melakukan multiple select. Klik menu [Remove] yang berada pada toolbar Security TaskManager V1.7. Akan tampil sebuah kotak dialog konfirmasi sebagai berikut:
   
   
   
   
   Klik opsi Move file to quarantine dan hilangkan tanda centang pada Create a restore point. Klik [OK] sesudahnya. Akan tampil sederetan kotak dialog konfirmasi. Klik [YES] / [OK] pada semua kotak dialog tersebut.
    

7. Setelah si Induk berhasil dibantai, hentikan juga proses milik Internet Explorer. Internet Explorer harus dihentikan secara paksa karena tugas file HTML pertama kita telah selesai. Biarkan ia beristirahat dengan tenang ;)
   
    

8. Tutup jendela Security TaskManager V1.7, Akan muncul sebuah kotak dialog. Pilik saja [NO].
   
   
   
    

9. Kini anda telah bisa mengandalkan Antivirus Lokal kesayangan anda untuk membersihkan sisa-sisa worm di Hard Disk anda. Jika anda ingin mencarinya secara manual menggunakan fasilitas search, cari file dengan ciri-ciri sebagai berikut:
   
   - Memakai icon folder dengan ekstensi .exe
   - Ukuran file 84,903 KB
   
   Jika anda menggunakan Kick The Worm, ikuti langkah selanjutnya.. ;)
   
    

10.  Jalankan Kick The Worm Antivirus V1.5.0, klik Browse Virus/Worm From Disk.
    
    
    
    Akan muncul jendela baru, klik Add Worm Sample. Akan muncul sebuah kotak dialog Open File. Klik salah satu contoh Worm lalu klik [Open]. Agar hasil scanning lebih optimal, tambahkan saja sample lainnya. Setelah Worm sample dimasukkan, klik Start Scanning. Tunggu sesaat, Kick The Worm akan melakukan analisa dan memulai proses scanning.
    
    
    
    
     

11. Setelah proses scanning selesai, akan muncul kotak pemberitahuan.
    
    
    
     

    Klik [OK]. Kini anda bisa memilih menu:
     

    [Delete Target]
     

    jika anda ingin langsung menghapus file-file yang telah terdeteksi sebagai Virus/Worm.

    
    atau pilih:
    
    [Quarantine]
     

    jika anda ingin memindahkan file-file Virus tersebut ke directory \Quarantine\. Setelah proses pemindahan selesai, Folder Quarantine akan otomatis terbuka. Hati-Hati, jangan sampai anda malah terinfeksi ulang ;p
    
    Tunggu sampai perintah yang anda berikan dituntaskan oleh Kick The Worm.

    
     

12. Setelah aksi penghapusan/pemindahan worm selesai, sekarang klik menu Repair Registry. Akan muncul sebuah message box yang menyatakan proses repair registry selesai.
    
     

13. Setelah itu, tutup Kick The Worm V1.5.0 dan jalankan file FIX_ALL.html yang kita ciptakan pada langkah No 2 tadi dengan menggunakan Browser INTERNET EXPLORER.
    
    
    
    Lakukan hal yang sama seperti langkah No.4 pada warning yang muncul. Jika proses berhasil dilaksanakan, akan tampil message box pemberitahuan:
    
    
    
     

14. Jika setelah sampai pada tahap ini Drive anda yang disembunyikan oleh worm ini belum juga muncul, RESTART Komputer anda. Jika Drive anda telah muncul kembali, lanjutkan ke langkah berikutnya.
    
     

15. Sekarang saatnya kita menormalkan atribut Folder yang telah diubah oleh worm ini. Klik [START] [Run] lalu ketik:
     

    cmd
     

    Tekan ENTER. Jendela Windows Command Processor akan terbuka. Pergilah ke directory utama drive aktif anda. Ketik perintah berikut untuk menuju directory utama:
     

    cd ../../
     

    Kemudian normalkan seluruh atribut folder yang telah diubah oleh worm dengan perintah berikut:
     

    attrib -s –h –r /s /d
     

    Tekan ENTER. Tunggulah hingga proses pengubahan atribut selesai. Ulangi langkah diatas untuk setiap drive. Untuk berpindah ke drive lain, ketik drive_yang_anda_tuju: Misalnya anda ingin berpindah ke drive D:\ maka ketik:

    D:

    lalu tekan ENTER.

     

    Untuk lebih jelasnya, perhatikan gambar berikut:
     

    

    
     

16. Cari file-file dengan ekstensi .zip.ini, worm ini akan mengubah ekstensi file .zip anda dengan ekstensi tersebut. Waspadai juga file-file zip yang belum diubah, pada beberapa kasus, worm ini akan menyusup kedalamnya. Hapus juga file-file berikut:
    
    c:\windows\underRok.exe
    c:\windows\system32\sman.4
    c:\windows\system32\eks-plorasi.htm
    
     

17. Berikut ini ialah isi dari file eks-plorasi.htm yang merupakan pesan dari si pembuat Worm:
    
    
    
     

18. Selesai, kini restartlah komputer anda lalu tersenyumlah pada dunia ;)

/* ------------------------------|EOF|------------------------------ */

 WWW.SPYROZONE.NET