RSS

virus shorcut part 2

17.07 | Label:

Apakah anda terinfeksi varian baru worm shortcut/random ??? Walaupun anda sudah meng-update antivirus, tetapi tetap saja worm tersebut mampu menyambangi komputer anda.
 
Setelah aksi yang dilakukan trojan Stuxnet, worm shortcut mampu mencuri perhatian sebagian pengguna komputer di Indonesia dengan penyebaran yang luar biasa. Bahkan setelah kami membuat salah satu artikel worm shortcut terbaru http://vaksin.com/2010/0810/VBWorm.BEUA/VBWorm.BEUA.htm, kami mendapatkan puluhan sample shortcut yang berbeda-beda. Kejadian ini mirip dengan worm YM (conime/secupdat) dan virus Sality yang juga menyebar cepat dengan varian yang berbeda-beda. Dengan teknik yang sama varian malware menyebar dengan memanfaatkan celah keamanan dari system Windows yaitu MS10-046 (celah keamanan .lnk/shortcut).
 
Dengan maraknya penyebaran malware dengan varian yang berbeda-beda, terkadang menyulitkan bagi antivirus untuk mendeteksi varian yang sama sehingga dibutuhkan sample dari virus tersebut. Tetapi ada pula beberapa antivirus yang memiliki teknologi khusus untuk mengatasi malware tanpa membutuhkan sample, sehingga dengan mudah mendeteksi dan menambahkan sendiri sesuai database yang dimiliki tanpa memerlukan update seperti Dr Web dengan teknologi Origins Tracing (lihat gambar 1).
Gambar 1, Teknologi Origins Tracing pada Dr.Web, mampu mendeteksi varian Shortcut tanpa perlu update
 
Varian Malware pengguna celah Keamanan .LNK (shortcut)
Hingga saat ini, telah banyak varian malware yang menggunakan celah keamanan .LNK (shortcut) untuk melakukan penyebaran secara cepat. Beberapa malware yang telah menggunakan celah tersebut diantaranya sebagai berikut :
ü  Sality (Tanatos)
Varian virus polymorphic yang melakukan infeksi file executable, dan juga ternyata menggunakan celah keamanan ini untuk melakukan penyebaran. Selain melalui file yang di-infeksi, Sality membuat 2 file (1 file autorun.inf dan 1 file executable dengan nama acak) melalui media USB dan jaringan yang menggunakan full sharing (dengan menyertakan pula ratusan file executable sampah dengan nama acak).  Anda dapat membaca artikel virus Sality.
ü  Zeus (Zbot atau botnet)
Varian trojan yang melakukan infeksi pada web-web bank dan finansial. Dengan menambahkan keylogger pada halaman web tersebut dengan maksud mendapatkan username dan password. Worm ini mampu menginfeksi komputer melalui celah pada browser seperti Internet Explorer dan Mozilla Firefox. Worm ini juga dapat melakukan broadcast spam kepada alamat e-mail tertentu.
ü  Chymine (worm YM atau conime/secupdat).
Worm yang sangat populer menginfeksi komputer melalui media Yahoo Messenger. Dengan teknik penyebaran yang sama seperti Zeus/Zbot dan Sality, dan memiliki varian yang berbeda-beda. Anda dapat membaca selengkapnya pada artikel virus google dan virus YM.
ü  Stuxnet
Trojan yang baru-baru ini menyebar dengan cepat dengan memanfaatkan koneksi jaringan dan media USB. Trojan ini membuat space harddisk kita menjadi habis. Selengkapnya dapat anda baca pada artikel stuxnet.
ü  VBNA/Hllw.Autoruner (worm Vobfus atau Shortcut/Random)
Worm shortcut yang memiliki karakter seperti worm YM. Dengan menggunakan banyak file acak dan ukuran yang berbeda-beda, maka tak jarang tidak semua antivirus mampu mendeteksi varian virus worm ini. Saat ini worm ini cukup populer dan mampu menyebar dengan pesat. Anda dapat membaca salah satu artikel shorcut.
 
File Worm
Worm Vobfus (Visual basic Obfuscated) atau shortcut/random dibuat menggunakan bahasa pemrograman Visual Basic dan memiliki ukuran yang bervariasi tergantung varian worm. File worm juga menggunakan icon Visual Basic dengan ekstensi file exe (application) dan scr (Screen Saver). (lihat gambar 2)
Gambar 2, File worm shortcut/random
 
Saat menginfeksi komputer korban, worm akan membuat beberapa file induk diantaranya :
ü  C:\Documents and Settings\%user%\alg.exe atau x.exe (Windows 2000/XP/2003)
ü  C\Documents and Settings\%user%\[nama_acak].exe (Windows 2000/XP/2003)
ü  C:\User\%user%\alg.exe atau x.exe (Vista/7/2008)
ü  C\User\%user%\[nama_acak].exe (Vista/7/2008)
 
Dan juga membuat beberapa file virus pada removable drive/disk yaitu :
  • [nama_acak].exe
  • [nama_acak].scr
 
Selain itu, worm akan membuat file shortcut yang disesuaikan dengan nama folder yang telah disembunyikan. Selain itu worm akan akan membuat file shortcut yang lain yaitu :
  • Documents.lnk
  • Music.lnk
  • New Folder.lnk
  • Passwords.lnk
  • Pictures.lnk
  • Video.lnk
  • [nama_acak].lnk (hingga beberapa file)
 
Gejala & Efek Worm
Beberapa gejala dan efek yang terjadi jika anda terinfeksi worm ini yaitu sebagai berikut :
 
Ø  Melindungi proses worm dan mencegah proses aplikasi/program keamanan
Worm mencoba memonitor proses yang berjalan di memori dan memastikan agar proses worm tidak dimatikan oleh program/aplikasi keamanan seperti antivirus dan removal. Jika ada program/aplikasi keamanan yang berjalan, maka worm akan mencoba menginfeksi dan membuat error pada program tersebut. (lihat gambar 3)
Gambar 3, Program/aplikasi keamanan yang di injeksi oleh worm menjadi error
 
Ø  Menyembunyikan folder dan membuat file shortcut
Salah satu aksi worm ini mampu membuat pengguna komputer dag dig dug (kerepotan) karena menyembunyikan seluruh isi folder "My Documents" user dan menggantinya dengan file shortcut. File shortcut tersebut justru diarahkan ke salah satu file virus dengan nama acak. Beberapa varian lain hanya menyembunyikan folder dan membuat file shortcut pada removable drive/disk. (lihat gambar 4)
Gambar 4, Menyembunyikan folder pada removable dan membuat file shortcut
 
Ø  Koneksi Remote Server dan mendownload file virus lain
Dengan memonitor proses yang berjalan, worm mencoba melakukan koneksi ke IP remote server yang dituju melalui file system yang diinfeksi seperti file explorer.exe atau svchost.exe. Setelah terkoneksi, worm mendownload varian malware lain agar tidak mudah terdeteksi dari antivirus atau removal tool. (lihat gambar 5)
Gambar 5, Worm melakukan koneksi ke remote server dan mendownload varian virus lain
 
Ø  Modifikasi key Folder Options
Secara umum, worm ini tidak akan melakukan blok terhadap bebrapa program Windows seperti regedit, Task Manager, Folder Options, dll. Tetapi worm menggunakan cara lain agar file virus tidak mudah dilihat atau dihapus, untuk itu virus memodifikasi fitur Folder Options dengan menghapus salah satu key yang ada yaitu : (lihat gambar 6)
-         Hide protected operating system files (recommended)
Gambar 6, Fitur Folder Options sebelumworm aktif
 
Dengan selalu mengaktifkan key tersebut, pengguna komputer tidak dapat melihat file virus bahkan menghapusnya. (lihat gambar 7)
Gambar 7, Fitur Folder Options setelah worm aktif
 
Metode Penyebaran
Sama seperti worm YM (conime/secupdat) dan Stuxnet, metode awal penyebaran worm ini berasal pada link website yang mengandung trojan dan link spam pada e-mail. Tetapi setelah komputer pengguna terinfeksi, worm mulai melakukan penyebaran menggunakan media removable drive/disk.
 
Selain itu, dalam jaringan akan memanfaatkan file sharing (full) dan mapping drive dengan membuat beberapa file virus dan shortcut. (lihat gambar 8)
Gambar 8, Worm infeksi jaringan
 
Modifikasi Registry
Beberapa modifikasi registry yang dilakukan oleh worm yaitu :
 
Ø  Merubah registry
Ø  Folder Options
Agar file worm tidak dapat dilihat, maka worm merubah key pada Folder Options, untuk itu virus merubah key menjadi berikut :
§  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowSuperHidden = 0
 
Ø  Menambah registry
Ø  Start-up
Agar file worm dapat langsung aktif pada saat menghidupkan komputer, maka worm menambah key sebagai berikut :
§  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
[nama_acak] = C:\Documents and Settings\%user%\[nama_acak].exe
 
Pembersihan Worm
Langkah-langkah yang harus dilakukan untuk melakukan pembersihan worm adalah : (lihat gambar 9)
ü  Putuskan koneksi jaringan/internet.
ü  Matikan System Restore (Windows XP/ME)
o   Klik kanan My Computer, pilih Properties.
o   Pilih tab System Restore, beri ceklist pilihan “Turn off System restore”.
o   Klik Apply, Klik OK.
Gambar 9, Matikan System restore
 
ü  Matikan dan hapus virus. (lihat gambar 10)
o   Download tools Dr.Web CureIt pada :
http://www.freedrweb.com/download+cureit
o   Jalankan file tools tersebut, kemudian pilih semua drive yang ada.
o   Klik Scan, biarkan hingga selesai. (jangan di restart dahulu).
Gambar 10, Scan dengan Dr.Web CureIt
 
klik 2x file yang telah anda download, hingga muncul pesan komputer yang sedang berjalan pada mode EPM (Enhanced Protection Mode), dan klik OK.
Klik OK jika muncul notifikasi untuk menjalankan, kemudian klik START pada menu yang ditampilkan dan klik “Yes” pada notifikasi Start scan now?.
Maka Dr.Web akan melakukan proses scanning pada komputer anda dan akan memunculkan pesan jika terdapat virus, klik Move. Biarkan hingga selesai.
Restart komputer, jika diperlukan.
 
ü  Hapus Registry Windows yang telah ditambahkan oleh worm dengan langkah berikut :
o   Klik Menu [Start]
o   Klik [Run]
o   Ketik "regedit", kemudian klik tombol [OK] hingga muncul tampilan "Registry Editor"
o   Pada aplikasi tersebut, cari key berikut :
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run (lihat gambar 11)
o   Hapus key yang memiliki data seperti "C:\Documents and Settings\%user%\[nama_acak].exe"
Gambar 11, Hapus key
 
ü  Rubah Registry Windows yang telah ditambahkan oleh worm dengan langkah berikut : (lihat gambar 12)
Ø Klik Menu [Start]
Ø Klik [Run]
Ø Ketik "regedit", kemudian klik tombol [OK] hingga muncul tampilan "Registry Editor"
Ø Pada aplikasi tersebut, cari key berikut :
Ø HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
Ø Rubah key yang memiliki data seperti "ShowSuperHidden" dari 0 menjadi 1.
Gambar 12, Rubah key
 
ü  Tampilkan folder yang disembunyikan dengan menggunakan script berikut :
attrib -s -h /s /d
·         Klik Menu [Start]
·         Klik [Run]
·         Ketik "cmd", kemudian klik tombol [OK] hingga muncul tampilan "Command Prompt"
·         Arahkan lokasi cursor pada drive removable folder yang disembunyikan
·         Kemudian jalankan script "attrib -s -h /s /d" (lihat gambar 13)
Gambar 13, Munculkan folder yang disembunyikan
 
ü  Install Security Patch MS10-046 sesuai dengan versi windows yang anda miliki. Silahkan anda download pada link berikut :
http://www.microsoft.com/technet/security/Bulletin/MS10-046.mspx
 
ü  Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mengenali virus ini dengan baik.

sumber : http://vaksin.com/2010/1010/shortcut/shortcut.htm

Share
  • Digg
  • Del.icio.us
  • StumbleUpon
  • Reddit
  • RSS
Read User's Comments(0)
Diposting oleh I Putu Agus Suyasa

virus shorcut

17.05 | Label:


Virus Shortcut eksploitasi celah keamanan
 
Pernahkan Anda mengalami semua  folder yang ada di UFD tba-tiba berubah menjadi “shortcut”,  harap berhati-hati dan scan komputer Anda dan berharap ini bukan ulah virus yang berbahaya.
 
Baru-baru ini Vaksincom banyak menerima laporan tentang penyebaran virus yang cukup merepotkan, laporan ini pertamakali datang dari kota “Gorontalo-Sulawesi” merkipun hal ini tidak menjamin bahwa virus ini berasal dari kota tersebut. Walaupun media penyebaran virus ini hanya sebatas UFD, tetapi pengalaman menunjukkan penyebarannya bisa meluas ke daerah-daerah yang lain dengan mudah, jadi tetap waspada dan pastikan antivirus anda selalu terupdate dengan baik agar dapat mengenali virus ini dengan baik.
 
Dengan update terbaru Norman Security Suite sudah dapat mendeteksi virus ini sebagai W32/VBWorm.BEUA, untuk file shortcut di kenali sebagai Trojan: LNK/CplLnk.A dan file .DLL dideteksi sebagai W32/Suspicious_Gen2.BTDDL dan sampai saat ini sudah melahirkan beberapa varian (lihat gambar 1)
 
Gambar 1, Hasil Deteksi Norman Security Suite
 
Dr.Web Anti-virus mendeteksi virus ini sebagai  W32/HLLW.Autoruner.25850, untuk file shortcut di kenali sebagai Exploit.Cpllnk dan file .DLL dideteksi sebagai Win32.HLLW.VBNA.3 (lihat gambar 2)
 
Gambar 2, Hasil Deteksi Dr. Web Anti-virus
 
Virus ini dibuat dengan mengunakan program bahasa Visual Basic dan mempunyai ukuran sekitar 128  KB (untuk varian lain nya akan mempunyai ukruan yang bervariasi). Virus ini akan mempunyai ekstensi EXE atau SCR serta menggunakan icon Microsoft Visual Basic Project. (lihat gambar 2)
 
Gambar 2, File induk W32/VBWorm.BEUA  dan varian
 
Pada saat virus ini menginfeksi komputer target, ia akan membuat beberapa file induk dengan nama file acak yang akan diaktifkan secara otomatis pada saat komputer dinyalakan
 
  • C:\Documents and Settings\%user%\%file%.exe
Catatan:
    • %user%, tergantung nama user yang digunakan oleh user pada saat login Windows
    • %file%, contohnya x.exe, alg.exe, smyeok.exe atau smyeokx.exe
 
Untuk meyakinkan agar dirinya dapat aktif secara otomatis pada saat komputer dinyalakan ia akan membuat string pada registri berikut dengan string yang berbeda-beda
 
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • %string% = C:\Documents and Settings\%user%\%string%.exe
 
Catatan:
    • %string%, berbeda-beda sesuai dengan nama file induk  yang dibuat
    • %user%, berbeda-beda sesuai dengan nama user yang digunakan pada saat login Windows.
 
Agar file induk tidak mudah dihapus oleh user, ia akan menyembunyikan file tersebut dan mencegah agar user tidak dapat menampilkan file teersebut dengan cara merubah pada setting “Folder Options” dengan selalu memilih opsi “Hide protected operating system files (Recommended)” dengan merubah registri : (lihat gambar 3)
  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    • ShowSuperHidden = 0
 

Gambar 3, Setting Folder Options yang diubah oleh VBWorm.BEUA
 
Proteksi Proses Virus dan blok software security
Virus ini mempunyai kemampuan untuk melindungi setiap proses virus yang aktif di memori. Jika user mencoba untuk mematikan proses virus tersebut dengan menggunakan aplikasi kill proses seperti Security Task Manager, process explorer atau tools/software security lainnya  dengan cara mematikan aplikasi tersebut atau menyebabkan aplikasi tersebut menjadi  hang/crash”. (lihat gambar 4 dan 5)
 
Gambar 4, Aplikasi Process Explore yang di blok oleh W32/VBWorm.BEUA
 
Gambar 5, Aplikasi Security Task Manager yang di blok oleh W32/VBWorm.BEUA
 
Menyembunyikan Folder dan membuat file shortcut
Aksi lain yang akan dilakukan oleh virus ini adalah akan menyembunyikan folder “C:\Documents and  Settings”  dan akan menyembunyikan foder “C:\Documents and settings\%user% (%user%, ini berbeda-beda tergantung nama user yang digunakan pada saat login Windows). Untuk mengelabui user ia akan membuat file duplikat berupa file shortcut yang akan mengarah (pointing) ke salah satu file induk yang sudah dibuat, file ini akan mempunyai nama yang sama dengan folder yang disembunyikan dengan ciri-ciri:
  • Menggunakan Icon Folder
  • Mempunyai Ekstensi .LNK
  • Type File “Shortcut”
  • Ukuran file 1 KB
 
Selain itu ia juga akan membuat file shortcut lain seperti :
  • Documents.lnk
  • Music.lnk
  • Pictures.lnk
  • Video.lnk
  • Password.lnk (icon )
  • Serta beberapa file shortcut yang mempunyai icon  dengan nama file acak seperti zbg.lnk atau zcu.lnk (lihat gambar 6)
 
Gambar 6, File duplikat dan file shortcut yang akan dibuat oleh W32/VBWorm.BEUA
 
Jika file shortcut tersebut di jalankan, maka secara otomatis akan mengaktifkan salah satu file induk (acak)  virus yang telah ditentukan (lihat gambar 7).
 
Gambar 7, File target yang terdapat pada file shortcut
 
Media penyebaran
Untuk menyebarkan dirinya, ia akan menggunakan media UFD dan drive/folder yang di share (dengan askes full) dengan cara membuat beberapa file induk acak (contoh: x.exe, xuris.exe, xurinx.exe) serta file “.dll”  (contoh: ert.dll) dengan ciri-ciri (lihat gambar 8)
  • Menggunakan Icon “Visual Basic Project”
  • Ukuran File 128 KB (untuk varian lain ukuran file acak)
  • Ekstesi file “.EXE” atau “.SCR”
  • Type File “Application” atau “Screen Saver” (lihat gambar 8)
 
Gambar 8, File induk yang dibuat di media UFD
 
Selain membuat file induk tersebut, ia juga akan menyembunyikan folder yang ada di media UFD/Folder yang di share serta membuat file duplikat sesuai dengan nama folder yang disembunyikan berupa file shortcut serta beberapa file shorcut lainnya seperti:
  • Documents.lnk
  • Music.lnk
  • Pictures.lnk
  • Video.lnk
  • Password.lnk (icon )
  • Serta beberapa file shortcut yang mempunyai icon  dengan nama file acak seperti (zbg.lnk, zcu.lnk)
 
Agar virus ini dapat aktif secara otomatis pada saat user mengakses UFD/Folder yang di share, ia akan memanfaatkan fitur “Autoplay Windows” dengan membuat file “Autorun.inf”. File ini akan menjalankan sebuah file induk (acak) yang sudah di tanamkan di UFD/folder yang di share tersebut. (lihat gambar 9)
 
Gambar 9, isi file autorun.inf
 
Eksploitasi celah keamanan yang terlupakan
Seperti yang sudah di jelaskan sebelumnya bahwa virus ini akan membuat beberapa file shortcut yang mempunyai icon  di media removable disk (UFD) atau di folder/drive yang di share (dengan akses full), hal ini dilakukan untuk mengantisipasi jika fitur “autoplay” sudah di matikan oleh user yakni dengan memanfaatkan salah satu celah keamanan Windows (Microsoft Windows Shell shortcut handling remote code execution vulnerability-MS10-046) yang memungkinkan Windows untuk menjalankan secara otomatis  kode jahat yang  terdapat pada file shortcut (.lnk) tersebut pada saat user mengakses Drive/Folder/UFD hal ini di tandai komputer menjadi lambat (bahkan komputer terkesan hang) pada saat mengakses UFD /drive yang sudah di tanam file shortcut tersebut. Hal ini yang membedakan virus ini dari virus lokal lain yang kebanyakan mengandalkan rekayasa sosial dan penyebaran yang mengandalkan autorun saja tanpa mengeksploitasi celah keamanan.
 
Cara membersihkan VBWorm.BEUA (W32/HLLW.Autoruner.25850)
 
  1. Nonaktifkan “System Restore” untuk sementara selama proses pembersihan
  2. Putuskan komputer yang akan dibersihkan dari jaringan
  3. Matikan proses virus yang aktif di memori dengan menggunakan tools “Ice Sword”. Setelah tools tersebut terinstal, pilih file yang mempunyai icon  “Microsoft Visual Basic Project” kemudian klik “Terminate Process” (lihat gambar 10)
 
Silahkan download tools tersebut di alamat http://icesword.en.softonic.com/
 
Gambar 10, Gunakan Ice Sword untuk mematikan proses virus
 
  1. Hapus registri yang sudah dibuat oleh virus dengan cara:
    1. Klik menu [Start]
    2. Klik [Run]
    3. Ketik REGEDIT.exe, kemudian klik tombol [OK]
    4. Pada aplikasi Registry Editor, telusuri key
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    1. Kemudian hapus key yang mempunyai data [C:\Document and Settings\%user%], seperti terlihat pada gambar 11 dibawah ini
 
            Gambar 11, Lokasi registri virus
 
  1. Disable Autoplay/autorun Windows. Copy script dibawah ini pada program NOTEPAD kemudian simpan dengan nama REPAIR.INF, install file tersebut dengan cara:
 
    1. Klik kanan REPAIR.INF
    2. Klik INSTALL
 
[Version]
Signature="$Chicago$"
Provider=Vaksincom
 
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
 
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255
 
  1. Hapus File induk dan file duplikat yang dibuat oleh virus termasuk di UFD. Untuk mempercepat proses pencarian,  Anda dapat menggunakan  fungsi “Search”. Sebelum melakukan pencarian sebaiknya tampilkan semua  file yang tersembunyi dengan merubah pada setting Folder Options (lihat gambar 12)
 
Gambar 12, Menampilkan file yang tersembunyi
 
 
 
Jangan sampai terjadi kesalahan pada saat menghapus file induk maupun file duplikat yang telah dibuat oleh virus.
 
Hapus File induk virus (lihat gambar 13) yang mempunyai ciri-ciri:
    • Icon “Microsoft Visual Basic Project”
    • Ukuran File 128 KB (untuk varian lain akan mempunyai ukuran yang bervariasi)
    • Ekstesi file “.EXE” atau “.SCR”
    • Type File “Application” Satau “Screen Saver”
Gambar 13, Mencari  file induk virus
 
Kemudian hapus File duplikat shortcut (lihat gambar 14) yang mempunyai ciri-ciri
    • Icon Folder atau icon
    • Ekstensi .LNK
    • Type File “Shortcut”
    • Ukuran file 1 KB
Gambar 14, Mencari file duplikat dan file shortcut virus
 
Hapus juga file yang .DLL (contoh: ert.dll) dan file Autorun.inf di UFD atau folder yang di share.
 
Catatan:
Untuk menghindari virus tersebut aktif kembali, hapus file induk yang mempunyai ekstensi EXE atau SCR terlebih dahulu baru kemudian hapus file Shortcut (.LNK)
 
  1. Tampilkan kembali folder yang telah disembunyikan oleh virus. Untuk mempercepat proses tersebut, silahkan download tools UnHide File and Folder. Silahkan download tools tersebut di alamat  http://www.flashshare.com/bfu/download.html (lihat gambar 15)
 
·         Setelah di install, pilih direktori [C:\Documents and settings] dan Folder yang ada di UFD dengan cara menggeser ke kolom yang sudah tersedia
·         Pada menu [Attributes] kosongkan semua pilihan yang ada
·         Kemudian klik tombol [Change Attributes]
 
Gambar 15, Menampilkan Folder yang disembunyikan
 
  1. Install security patch “Microsoft Windows Shell shortcut handling remote code execution vulnerability-MS10-046”
Silahkan download security patch tersebut di alamat berikut:
http://www.microsoft.com/technet/security/Bulletin/MS10-046.mspx
 
  1. Untuk pembersihan secara optimal dan menecegah infeksi ulang, sebaiknya install dan scan dengan antivirus yang up-to-date  dan sudah dapat mendeteksi virus ini dengan baik

    sumber : http://vaksin.com/2010/0810/VBWorm.BEUA/VBWorm.BEUA.htm

Share
  • Digg
  • Del.icio.us
  • StumbleUpon
  • Reddit
  • RSS
Read User's Comments(0)
Diposting oleh I Putu Agus Suyasa
Langganan: Postingan (Atom)