Wednesday, June 23, 2010

Yuyun - Serviks, Virus Lokal Yg Mengelabui Heuristic


Sudah beberapa hari ini IT kantor mengalami serbuan virus yg rajin membuat shortcut dan menduplikat scriptnya dg ekstension bermacam-macam meski nilai crc32nya tetap sama.

Melihat hal itu saya bisa saja membuat remover sekaligus merecover hasil modifikasi registry dalam 1 klik mouse.

But there are something left in my head. actualy this in not my truly job according my division, but my instinct appear when i see my partner in difficult to solve the problem.
Plus caused of hold company who could only just squeeze my skill without any responsibility, so I will give they a hook, not a fish.

Karena ini bukan polymorpic virus, sangat mudah menghapus dan memberantasnya dg tangan kosong tanpa harus membeli lisensi av mahal sekalipun. Yang penting telaten dan mampu memanfaatkan fitur yg ada di windows.

Yuyun diambil dari kutipan warning message "fady love yuyun" yg ditampilkan oleh virus, ini sesuai dg ungkapan bro Anvie tentaang 80% virus maker adalah seorang pujangga. Pesan itu muncul misalnya saat hendak memunculkan super hidden di folder option. Sedangkan Serviks adalah nama file utama yg bersemayam di folder system32, isinya sama saja dg dekstop.ini dan df5srvc.bfe. Banyaknya jenis ekstension berguna untuk virus mengelabui user, saat merasa yakin telah mengahapus file induk ternyata masih terdapat file induk cadangan yg jika triger link/autorun.inf/startup terjadi maka akan merestore kondisi ke posisi semula.

coba lakuin tips berikut untuk membasminya :

  • matikan proses wscript di process manager.
  • saya belum memastikan secara pasti apakah dependencies vbs ini mutlak terhadap file msvbvm60.dll. buat jaga2 di rename/move saja.
  • matikan startup script lewat msconfig/tools lain. cek disitu ada 2-3 value run yg menggunakan wscript.
  • untuk memastikan file terbaca, set attribut file di cmd dg perintah berikut :drive:\attrib *.* /s /d -s -h [enter]
  • pastikan tidak ada file dekstop.ini di folder startup start menu.
  • search dan delete file desktop.ini, df5srvc.bfe, serviks.sys(system32) dg ukuran 12kb. misalkan tidak yakin maka klik kanan dan open with notepad, misalkan ada kata2
'http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&ar=runonce&pver={SUB_PVER} &plcid={SUB_CLSID}
'Microsoft Windows Corporation
' ========================
'Microsoft Windows Serviks
'Hawabek sata irad acab gnolot
'Sataek hawab irad acab uti haletes

bisa dipastikan itu script virusnya. Karena tata penulisan seperti itu maka system heuristic yg membaca standar internal vbscript command tidak berlaku/match.

  • Mungkin proses pencarian bakal banyak yg muncul, kalo mau gampang pakai saja saja MaleoAV dg memasukkan kode crc32nya. dia tidak akan berubah dan harusnya bisa ketemu script serupa dg berbagai macam ekstension. kalo mau lebih cepat proses scanningnya, silahkan isi database hanya dg nillai crc32 dibawah.

Servickssys;13AADBBF
Autoruninf;7600A5D2
Autoruninf2;1D1B18FF
Dekstop.ini16;B01DFEBD
  • search dan delete file autorun.inf yg jika di open with notepad berisi pemanfaatan fitur wscript. pastikan folder option super hidden telah dihilangkan centangnya.
  • search dan delete file *.lnk dari script tersebut, kalo tidak yakin klik kanan shotcut pilih properties. misalkan kontentnya memanfaatkan fitur wscript untuk mengaktifkan desktop.ini silahkan dihapus.
Avast 5 yg saya gunakan terbutki mampu mendeteksi worms ini dan mendeletnya sampai habis. meski sebenarnya sangat mudah membersihkan worm ini dg manual, yg penting matikan proses dan hapus tuntas.

semoga berhasil

14 comments:

  1. Hi... Looking ways to market your blog? try this: http://bit.ly/instantvisitors

    ReplyDelete
  2. Gak ngerti nee... maklum masih awam...

    ReplyDelete
  3. di kompi gw Task Managernya di blok bro...

    ReplyDelete
  4. idem atas paank, gara2 laptop di pinjem ttnga eh baliknya di tambahin virus, jadi nyesel ;D

    ReplyDelete
  5. Registry udah kena tuh, pake smadav
    pilih deep scan. Ini cuma sementara, tetep harus delete file virus indukan

    ReplyDelete
  6. koreksi bos....!!!
    kayaknya bukan "desktop.ini", tapi "dekstop.ini".
    "facebook.com/edi.bob"

    ReplyDelete
  7. win 7 kena gak ya?

    ReplyDelete
  8. saya juga lagi ada masalah dengan neh virus dan berhasil membersihkannya tapi untuk serviks yg didesktop gak bisa ilang :(

    tuh bagaimana ya menghapusnya? :bingung

    ReplyDelete
  9. Serviks di desktop lewat regedit
    delete key
    HKEY_CLASSES_ROOT\CLSID\{11111111-2222-3333-4444-555555555555}

    sumber http://virusindonesia.com/forum/viewtopic.php?id=461 :D

    ReplyDelete
  10. salam untuk bang Maleo

    sebelumny mungkin ini akan sedikit menyinggung anda (tolong ma'lumi, saya masih amatir), hanya ingin meminta pengakuan langsung dari anda sendiri mengenai kekurangan anvie yang anda buat dan kembangkan hingga saat ini (selain jumlah signature DB, jangka waktu update DB, dan teknik "clean" file, serta teknik heuristic)

    lalu akankah anda memperbaiki kekurangan2 itu ke depannya (saya harap demikian, karena menurut pendapat pribadipun maleoav sudah pantas memasuki kancah arena "alternative av program")?

    jujur saya sangat tertarik dengan aplikari karya anak bangsa macam ini

    terakhir--yang jelas semoga sukses buat abang (beserta tim, jika ada) yang jelas selalu hindari kinerja yang setengah2 (di segala aspek hidup)

    catatan: anda bisa mengirim pesan balasan ke alamat email ini , mohon dibuat se. . ah tidak jadi, nanti malah bikin repot, yang penting dibuat padat berbobot saja. Ini pengakuan saya ^saya belum coba anvie-nya, baru baca saja explanationnya saja, hanya saya rasa kurang ENGNGEUHH gitu^, gak ada maksud buruk, cuma hobi kok (beginilah kalau dijuluki 'spectator')

    ditunggu email balasan dan posting t'barunya

    saya pamit..

    Sekian

    ReplyDelete
  11. ini alamatnya: arifin91_salji @yahoo.com

    ReplyDelete
  12. sudah di format ulang bro, dan install ulang windows XP nya, eh.. tetap muncul, itu di desktop, serviks... gimana dong??? baru innstal aja udah nongol tuh... help me...

    ReplyDelete
  13. What's up every one, here every one is sharing these familiarity, therefore it'ѕ gooԁ to read thіs wеblog, and Ι useԁ to paу а
    ѵiѕit this web sitе every day.
    My webpage : Bathing suit

    ReplyDelete

Komentar yuk....


Got My Cursor @ 123Cursors.com