Virus Alice
Kebangkitan VBS
virus Alice
- file berekstensi .vbe (biasanya merubah nama documen jadi nama documen.vbe) dengan kapasitas 8 KB (gambar di bawah ini sekilas mirip dengan file berekstensi .doc), bila diperhatikan denga teliti, dengan klik kanan pilih Properties, telihat size on disk berukuran 8 KB, padahal ukuran sebenarnya dari file berekstensi .doc tersebut lebih dari 10 KB.
- alice.alc
- autorun.inf
- alice.sys : terdapat di C:\WINDOWS\System32\Drivers\
Media penyebaran virus melalui: USB Flashdisk, Harddisk drive
Cara kerja virus:
Dengan membuka file berekstensi .vbe dengan kapasitas 8 KB (yang mana file berekstensi .vbe ini merupakan replikasi dari file berekstensi .doc dengan nama yang sama, yang sudah disembunyikan oleh virus), mulailah eksekusi penyebaran virus dengan membuat file alice.alc & autorun.inf pada USB flashdisk.
Isi file autorun.inf
Pada setiap drive di harddisk (misal drive C:\) terdapat file alice.alc, autorun.inf, file .vbe akibat virus itu telah tersebar, serta di C:\WINDOWS\System32\Drivers terdapat file alice.sys. Setiap kali membuka salah satu drive di harddisk, autorun.inf akan bekerja dan mengeksekusi jalannya virus. Tanda-tanda autorun.inf itu bekerja yaitu saat double-click maka akan muncul sebuah windows explorer.
Melalui aplikasi Process Explorer, dimana proses wscript.exe muncul dengan merujuk pada C:\WINDOWS\System32\drivers\alice.sys. Alice.sys ini bisa dikatakan inti / core dari virus.
Aplikasi Process Explorer
Virus ini juga bisa membuat crash pada saat membuka web browser seperti: Mozilla Firefox.
Melalui aplikasi RegAlyzer, didapatkan registry key yang sudah dirubah dan ditambahkan oleh virus sebagai berikut:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer
* NoFileAssociate, value: 1
* NoFind, value: 1
* NoFolderOptions, value: 1
* NoRun, value: 1
- HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System
* DisableRegistryTools, value: 1
* DisableTaskMgr, value: 1
- HKEY_CURRENT_USER\Software\Policies\Microsoft\Wind ows\System
* DisableCMD, value: 1
- HKEY_LOCAL_MACHINE\Software\Classes\VBEFile\
* [Default], value: Microsoft Word Document
* FriendlyTypeName, value: Microsoft Word Document
* NeverShowExt
- HKEY_LOCAL_MACHINE\Software\Classes\VBEFile\Defaul tIcon
* [Default], value: C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\wordicon.exe,1
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
* RegisteredOwner, value: ALICE
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore
* DisableSR, value: 1
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,
* Userinit, value: C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system 32\wscript.exe //e:vbscript.encode C:\WINDOWS\system32\drivers\alice.sys
Aplikasi RegAlyzer
Registry key yang dihapus oleh virus ini:
- HKEY_LOCAL_MACHINE\Software\Classes\inffile\shell\ Install
* [Default], value: &Install
- HKEY_LOCAL_MACHINE\Software\Classes\inffile\shell\ Install\command
* [Default], value: %SystemRoot%\System32\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1
Membersihkan virus Alice
1. Matikan proses wscript.exe menggunakan aplikasi Process Explorer, dengan klik kanan wscript.exe, Kill Process
2. Hapus registry key yang dibuat oleh virus, antara lain:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer
* NoFileAssociate, value: 1
* NoFind, value: 1
* NoFolderOptions, value: 1
* NoRun, value: 1
- HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System
* DisableRegistryTools, value: 1
* DisableTaskMgr, value: 1
- HKEY_CURRENT_USER\Software\Policies\Microsoft\Wind ows\System
* DisableCMD, value: 1
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore
* DisableSR, value: 1
- HKEY_LOCAL_MACHINE\Software\Classes\VBEFile\
* NeverShowExt
3. Edit registry key yang sudah dirubah oleh virus, antara lain:
- HKEY_LOCAL_MACHINE\Software\Classes\VBEFile\
* [Default], value: VBScript Encoded Script File
* FriendlyTypeName, value: @%SystemRoot%\System32\wshext.dll,-4803
- HKEY_LOCAL_MACHINE\Software\Classes\VBEFile\Defaul tIcon
* [Default], value: %SystemRoot%\System32\WScript.exe,2
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
* RegisteredOwner, value: [ganti dengan nama anda atau nama apa saja]
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
* Userinit, value: C:\WINDOWS\system32\userinit.exe,
4. Tambahkan registry key berikut ini:
- HKEY_LOCAL_MACHINE\Software\Classes\inffile\shell\ Install
* [Default], value: &Install
- HKEY_LOCAL_MACHINE\Software\Classes\inffile\shell\ Install\command
* [Default], value: %SystemRoot%\System32\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1
5. Hapus seluruh file yang sudah terinfeksi virus, antara lain:
- seluruh file berekstensi .vbe dengan kapasitas 8 KB
- alice.alc yang berada di setiap drive harddisk dan removable disk (seperti C:\, D:\, dst)
- autorun.inf yang berada di setiap drive harddisk dan removable disk (seperti C:\, D:\, dst)
- alice.sys : terdapat di C:\WINDOWS\System32\Drivers\
Catatan: Saat mencari dan menghapus file-file di atas, JANGAN SEKALI-KALI double-click salah satu drive karena virus bisa beraksi kembali dan menjadi sia-sialah upaya pembersihan sebelumnya. Atau jika ingin membuka windows explorer cukup tekan tombol Windows dan E pada keyboard satu kali saja untuk berpindah-pindah antar drive atau folder. Gunakan juga aplikasi pengganti menu Find seperti Hidden File Tool, dengan ketik filter yang diinginkan (seperti: *.vbe), lalu tekan tombol search.
6. Sebelum melakukan langkah no 5; pastikan bahwa pengaturan di Control Panel – Folder Options adalah sbb : Show hidden files and folders –> dicentang, Hide protected operating system files –> tidak dicentang. Supaya alice.alc dan alice.sys-nya bisa ditemukan dan dihapus.
7. Pastikan langkah-langkah di atas telah selesai dilakukan, lalu restart computer
8. Saat ini sistem Windows telah kembali seperti semula, sudah bisa menjalankan Task Manager, Command Prompt, Registry Editor, Folder Options, menu Run, menu Search / Find, System Restore. Mengubah atribut file bertipe dokumen (.doc) yang awalnya disembunyikan karena efek dari virus menjadi dapat terlihat seluruhnya.
Caranya: buka jendela command prompt dengan klik Start, Run, ketikkan cmd lalu OK. Kemudian pada command prompt, ketikkan: attrib –s –h c:\*.doc /s lalu tekan Enter, jika pada driver yang lain selain C juga ada file dokumen, lakukanlah hal yang sama dengan mengganti c: menjadi d: atau e: dst. Seteleh selesai ketikkan: exit, maka jendela command prompt akan tutup.
Bila anda kurang memahami cara mengubah atribut file menggunakan command prompt, anda bisa melihat posting-an saya sebelumnya mengenai “ubah atribut file melalui command prompt”.
Command prompt
Sekian pembahasan mengenai virus Alice ini.
* Alice yang saya maksudkan di sini adalah nama virus, bukan nama tokoh dalam sebuah cerita fiksi “Alice in The Wonderland”; judul yang saya berikan adalah plesetan dari judul cerita fiksi tersebut.
sumber : http://fide1ity.wordpress.com
0 comments:
Post a Comment