Mengenal dan Membasmi Virus Autorun.FCN (rieysha)

Virus Harap hati-hati jika menemukan file dengan icon TXT (text document) yang mempunyai ukuran 443 KB dengan ekstensi EXE (Application) dalam komputer maupun Flash Disk sebaiknya jangan dibuka jika tidak ingin komputer anda di acak-acak oleh rieysa.

Dilihat dari script yang ada dalam tubuh virus serta pesan yang ditampilkan, kemungkinan virus ini berasal dari kota Gudeg (Jogjakarta). Virus ini sudah tidak lagi menggunakan program bahasa Visual Basic tetapi sudah dibuat dengan menggunakan program bahasa Borland Delphi 6.0. Oleh karena itu dalam salah satu misinya adalah berupaya melumpuhkan semua program yang dibuat dengan program bahasa Visual Basic 6.0.

Ciri-ciri komputer terinfeksi Autorun.FCN (rieysha)

Ciri umum yang dapat dikenali dari virus ini adalah akan munculnya pesan dari sang pembuat virus setiap kali komputer dinyalakan atau pada saat user membuka file yang mempunyai ekstensi .TXT, .BAT, .DOC atau .INI. (lihat gambar 1)

Gambar 1, Pesan dari sang pembuat virus
Selain itu pada jendela System Properties, virus ini akan merubah RegisterOwner menjadi rieysa dan RegisterOrganization menjadi anak Jogja gitu. (lihat gambar 2)

Gambar 2, Nama pemilik Windows yang diubah virus

Ciri lain yang akan didapat dari virus ini adalah, virus ini akan merubah halaman utama (start page IE) pada saat menjalankan aplikasi internet explorer menjadi alamat http://anharku.freevar.com, situs ini merupakan situs sang VM yang salah satu isinya adalah kumpulan virus-virus yang berhasil dibuat oleh sang VM. (lihat gambar 3)

Gambar 3, Web sang VM

Dengan update terbaru Norman Security Suite dan Norman Virus Control sudah dapat mengenali virus ini sebagai W32/Autorun.FCN

Media penyebaran

Untuk menyebarkan dirinya, Autorun.FCN akan membuat file dengan nama CatatanML.exe pada Flash Disk.

Cara membasmi Autorun.FCN
1.Matikan System Restore selama proses pembersihan
2.Matikan proses virus yang sedang aktif dimemori. Untuk mematikan proses ini anda dapat menggunakan tools pengganti task manager seperti “Curr Process kemudian matikan proses yang mempunyai icon “txt” (lihat gambar 10)

Gambar 10, Gunakan CurrProcess untuk mematikan proses virus
3.Fix registry Widows dengan membuat script berikut pada program notepad kemudian simpan dengan nama repair.inif. Jalankan file teresebut dengan cara: Klik kanan repair.inf | klik Install
Sebaiknya buat file repair.inf di komputer lain yang tidak terinfeksi virus agar virus tidak kembali aktif atau pada program wordpad.
[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOrganization,0, "Organization"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOwner ,0, "Owner"

HKCU, Control Panel\International, s1159,0, "AM"

HKCU, Control Panel\International, s2359,0, "PM"

HKCU, Software\Microsoft\Internet Explorer\Main, Start Page,0, "about:blank"

HKLM, SOFTWARE\Classes\.sys,,,"sysfile"

HKLM, SOFTWARE\Classes\.doc,,,"word.document.8"

HKLM, SOFTWARE\Classes\.bat,,,"batfile"

HKLM, SOFTWARE\Classes\.ini,,,"inifile"

HKLM, SOFTWARE\Classes\.dll,,,"dllfile"

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\explorer, NoDriveTypeAutoRun,0x00010001,255

[del]

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\run, RunDll

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices, Windll

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies, NoClose

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\explorer, NoClose

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\explorer, NoDrives

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\explorer, NoFind

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\explorer, NoFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\explorer, NoRun

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\explorer, NoViewOnDrive

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableCMD

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHiden

HKCU, SOFTWARE\Classes\exefile, Default

Catatan:

Pada saat menyimpan file repair.inf pada program wordpad, pada kolom “save as type” pilih “Text Document”

4.Hapus file virus dengan terlebih dahulu menampilkan file yang tersebunyi agar proses pencarian file lebih optimal. Jika folder option atau drive master (c:\) belum tampil, logoff komputer terlebih dahulu.

*
o

C:\Program Files
+

RunDll.exe
+

KenanganJogja.exe
o

C\WINDOWS\rieysha.exe
o

C:\Jadwal_Manggung.exe
o

C:\PesanBuatKekasih.bat
o

C:\rieysha.exe
o

C:\Windows
+

pesan.txt
+

rieysha.exe
o

C:\Windows\system32
+

Rahasiaku_Pacarku.exe
+

DaftarHacker_Blacklist.exe
+

Cerita_Panas_Mendebarkan.exe
+

Pesanku.doc
+

SuratCinta.exe
+

Autorun.inf
+

RieyshaAnakJogja.exe
+

Sampah.txt
+

notepad.exe
o

C\WINDOWS\system32\Restore\pesan1.txt
o

C\WINDOWS\system
+

psene_seng_gawe.rtf
+

rieysha.exe
+

Jogja_virus_maker.exe
o

D\DiaryRieysha.exe
o

D:\Puisi.txt
o

E\CatatanTugas.exe
o

H:\CeritaDewasa.exe
o

G:\CatatanML.exe
o

K\CeritaML.exe

5.Cari file rieysha_anak_jogja.txt, kemudian rename menjadi MSVBVM60.DLL setelah itu copy file tersebut ke direktori “C:\Windows\system32”

6.Ubah nama file “C:\Windows\bacaan_anak_tk.txt” atau “C:\Windows\ bacaanHot.txt” (pilih salah satu) menjadi C:\Windows\notepad.exe. Kemudian ubah juga nama file “C:\Windows\ReadMe.txt” menjadi “C:\Windows\cmd.exe”

7.Untuk pembersihan optimal dan melindungi komputer anda dari infeksi virus lebih lanjut, lindungi komputer anda dengan antivirus seperti Norman Security Suite yang sudah mampu mendeteksi dan membasmi virus ini dengan baik.

Sumber: http://vaksin.com/2008/0908/rieysha/rieysha.html

Recent Tube

Post Top Ad

Mengenal dan Membasmi Virus Autorun.FCN (rieysha)

Tidak ada komentar:

Posting Komentar

Post Bottom Ad

Facebook

Tags

Navigation

Slider

Tags

Laporkan Penyalahgunaan

Mengenai Saya

Post Top Ad

Cari Blog Ini

sponsor

Sports

Business

Life & style

Games

Fashion

Technology

Popular Post

Trending Now

Popular

Recent

Comments

Archive

Sponsor

Technology

Tags

Tags

Connect With us

Recent News

Formulir Kontak

Categories

Tags

Pages

Recent Tube

Post Top Ad

Mengenal dan Membasmi Virus Autorun.FCN (rieysha)

Tidak ada komentar:

Posting Komentar

Post Bottom Ad

Socialize

Facebook

Tags

Navigation

Slider

Tags

Laporkan Penyalahgunaan

Mengenai Saya

Post Top Ad

Cari Blog Ini

sponsor

Sports

Business

Life & style

Games

Fashion

Technology

Popular Post

Trending Now

Popular

Recent

Comments

Archive

Sponsor

Technology

Tags

Tags

Connect With us

Recent News

Formulir Kontak

Categories

Tags

Pages