Pada ruangan Sudut IT pada kali ini, saya ingin berkongsi kepada anda bagaimana caranya untuk menangani virus bulubebek daripada terus menjahanamkan komputer kita. Virus ini sebenarnya telah lama wujud cuma kadang kala kita tidak perasan dan tidak tahu macamana mahu menangani masalah ini. Bagai sesetengah orang yang kurang mahir memperbaiki komputer, mereka akan terus menghantar komputer di kedai repair yang berdekatan. Format sahaja mungkin dikenakan RM80. Dengan duit sebanyak itu sahaja kita boleh membeli barang keperluan seharian.
Bulubebek ini asalnya dari Negara Indonesia dan ianya seperti ada kaitan dengan virus ‘NadiaSaphira.ini’. Berhati-hati dengan virus ini kerana ia mungkin akan menyebabkan komputer anda tidak berfungsi dengan sempurna.
Bulubebek sama bahayanya juga dengan virus-virus yang menyerang komputer diserata dunia. Ianya dibuat dengan menggunakan Visual Basic dengan hanya berukuran 53 KB seperti yang anda lihat pada gambar 1 yang terdiri dari 2 jenis file EXE dan INI.Malahan telah banyak merosakkan komputer kita. Di ruangan ini saya ingin menunjukkan bagaimana caranya kita membuang virus bulubebek.
Gambar 1, File induk virus
Virus Bulubebek
Virus ini akan membuat satu file autorun.inf agar virus tersebut dapat aktif secara automatik setiap kali user mengakses folder. Dibawah ini adalah beberapa contoh yang jangkitan yang telah di buat oleh VBWorm.QXE
-
C:\Windows\Script.exe
-
C:\Windows\LSASS.exe
-
C:\Documents and Settings\%user%\autorun.inf
-
C:\Documents and Settings\%user%\bulubebek.ini
-
C:\bulubebek.ini
-
c:\autorun.inf
Auto start registry
Untuk memastikan agar file tersebut dapat dijalankan, ia akan membuat string pada registry berikut:
-
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
-
Shell = explorer.exe script.exe
-
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
-
Shell = explorer.exe script.exe
-
Gambar di bawah ini juga menunjukkan komputer anda sudah di ubah registrynya
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SPYXX.EXE
-
debugger = TAI BEBEK
-
Gambar 3, Error file Spyxx.exe
Ciri-Ciri
Ciri-ciri virus ini ialah virus ini akan membuat nama fail yang serupa: (lihat gambar 5)
-
Menggunakan icon Folder
-
Ukuran file 53 KB
-
Ekstensi EXE
-
Type File “Application
Gambar 5, File yang dibuat oleh VBWorm.QXE / bulubebek
Cara Membersihkan virus Bulubebek
-
Tutup Internet anda
-
Disable “System Restore”
-
Matikan proses virus yang sedang aktif di memori, untuk mematikan proses virus ini gunakan tools penggganti taks manager seperti procexp, kemudian matikan proses virus yang mempunyai icon “Folder”. (lihat gambar 6)
Gambar 6, Mematikan proses virus yang aktif dimemory
-
Repair registry Windows yang sudah di ubah oleh virus. Untuk mempercepat proses tersebut salin script dibawah ini pada program notepad kemdian simpan dengan nama repair.inf. Jalankan file tersebut dengan cara:
-
Klik kanan repair.inf
-
Klik Install
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1
HKLM, SOFTWARE\Microsoft\Command Processor, AutoRun,0,
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, CheckedValue, 0x00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, DefaultValue, 0x00010001,2
HKCU, Software\Microsoft\Command Processor, AutoRun,0,
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NOFind
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NORun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PAYXX.exe
HKCU, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\HideFileExt
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ShowFullPath
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ShowFullPathAddress
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SuperHidden
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
-
Sila ikuti langkah seterusnya di bawah (lihat gambar 7)
Gambar 7, Menampilkan file yang disembunyikan
Buangkan file folder yang dijangkiti virus bulubebek seperti contoh di bawah.
-
Menggunakan icon Folder
-
Ukuran file 53 KB
-
Ekstensi EXE
-
Type File “Application
Gambar 8, Mencari dan menghapus file duplikat Bulubebek
-
Tampilkan kembali file/folder pada Flash Disk yang sudah disembunyikan. Untuk menampilkan file yang disembunyikan cuba guna bebarapa tools alternatif seperti Batch File Utility atau dengan menggunakan perintah ATTRIB
Berikut cara menampilkan file/folder yang disembunyikan dengan menggunakan ATTRIB (lihat gambar 9)
-
Klik “Start”
-
Klik “Run”
-
Ketik “CMD”, kemudian tekan tombol “Enter”
-
Pindahkan posisi kursor ke drive Flash Disk
-
Kemudian klik perintah ATTRIB –s –h –r /s /d kemudian tekan “enter”
Gambar 9, Menampilkan file yang disembunyikan
-
Langkah terakhir update antivirus anda dan cuba scan sekali lagi.. Selamat Mencuba
No comments:
Post a Comment