Wednesday, June 23, 2010

Yuyun - Serviks, Virus Lokal Yg Mengelabui Heuristic


Sudah beberapa hari ini IT kantor mengalami serbuan virus yg rajin membuat shortcut dan menduplikat scriptnya dg ekstension bermacam-macam meski nilai crc32nya tetap sama.

Melihat hal itu saya bisa saja membuat remover sekaligus merecover hasil modifikasi registry dalam 1 klik mouse.

But there are something left in my head. actualy this in not my truly job according my division, but my instinct appear when i see my partner in difficult to solve the problem.
Plus caused of hold company who could only just squeeze my skill without any responsibility, so I will give they a hook, not a fish.

Karena ini bukan polymorpic virus, sangat mudah menghapus dan memberantasnya dg tangan kosong tanpa harus membeli lisensi av mahal sekalipun. Yang penting telaten dan mampu memanfaatkan fitur yg ada di windows.

Yuyun diambil dari kutipan warning message "fady love yuyun" yg ditampilkan oleh virus, ini sesuai dg ungkapan bro Anvie tentaang 80% virus maker adalah seorang pujangga. Pesan itu muncul misalnya saat hendak memunculkan super hidden di folder option. Sedangkan Serviks adalah nama file utama yg bersemayam di folder system32, isinya sama saja dg dekstop.ini dan df5srvc.bfe. Banyaknya jenis ekstension berguna untuk virus mengelabui user, saat merasa yakin telah mengahapus file induk ternyata masih terdapat file induk cadangan yg jika triger link/autorun.inf/startup terjadi maka akan merestore kondisi ke posisi semula.

coba lakuin tips berikut untuk membasminya :

  • matikan proses wscript di process manager.
  • saya belum memastikan secara pasti apakah dependencies vbs ini mutlak terhadap file msvbvm60.dll. buat jaga2 di rename/move saja.
  • matikan startup script lewat msconfig/tools lain. cek disitu ada 2-3 value run yg menggunakan wscript.
  • untuk memastikan file terbaca, set attribut file di cmd dg perintah berikut :drive:\attrib *.* /s /d -s -h [enter]
  • pastikan tidak ada file dekstop.ini di folder startup start menu.
  • search dan delete file desktop.ini, df5srvc.bfe, serviks.sys(system32) dg ukuran 12kb. misalkan tidak yakin maka klik kanan dan open with notepad, misalkan ada kata2
'http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&ar=runonce&pver={SUB_PVER} &plcid={SUB_CLSID}
'Microsoft Windows Corporation
' ========================
'Microsoft Windows Serviks
'Hawabek sata irad acab gnolot
'Sataek hawab irad acab uti haletes

bisa dipastikan itu script virusnya. Karena tata penulisan seperti itu maka system heuristic yg membaca standar internal vbscript command tidak berlaku/match.

  • Mungkin proses pencarian bakal banyak yg muncul, kalo mau gampang pakai saja saja MaleoAV dg memasukkan kode crc32nya. dia tidak akan berubah dan harusnya bisa ketemu script serupa dg berbagai macam ekstension. kalo mau lebih cepat proses scanningnya, silahkan isi database hanya dg nillai crc32 dibawah.

Servickssys;13AADBBF
Autoruninf;7600A5D2
Autoruninf2;1D1B18FF
Dekstop.ini16;B01DFEBD
  • search dan delete file autorun.inf yg jika di open with notepad berisi pemanfaatan fitur wscript. pastikan folder option super hidden telah dihilangkan centangnya.
  • search dan delete file *.lnk dari script tersebut, kalo tidak yakin klik kanan shotcut pilih properties. misalkan kontentnya memanfaatkan fitur wscript untuk mengaktifkan desktop.ini silahkan dihapus.
Avast 5 yg saya gunakan terbutki mampu mendeteksi worms ini dan mendeletnya sampai habis. meski sebenarnya sangat mudah membersihkan worm ini dg manual, yg penting matikan proses dan hapus tuntas.

semoga berhasil

Got My Cursor @ 123Cursors.com