Jumat, Agustus 01, 2008

Antivirus XP 2008, Spyware?

Banyak cara untuk mempromosikan sesuatu, hal ini semakin mudah dengan adanya internet maka ruang dan waktu serta jarak bukanlah suatu penghalang. Salah satu cara yang dilakukan adalah dengan memasang iklan di internet, tetapi cara ini rupanya belum cukup jitu karena tidak semua user akan mengunjungi web tersebut, bahkan menghindari iklan internet. Lalu bagaimana caranya?


Lihatlah apa yang dilakukan oleh perusahaan yang “mengklaim” menjual program dengan nama Antivirus XP 2008.

Hal ini juga dilakukan oleh salah satu perusahaan yang membuat program antivirus dan antispyware dengan nama Antivirus XP 2008.

Sebagai informasi Antivirus XP 2008 adalah salah software security yang “jahat” dan berpura-pura sebagai antispyware yang mengklaim dirinya sebagai Anti-Malware, Anti-Virus, Anti-Trojan, Anti-Backdoor, Anti-Worm and Anti-PornoDial.

Setelah virus tersebut aktif ia akan membuat beberapa file yang akan di jalankan setiap kali komputer di nyalakan diantaranya :

* C:\Windows\services.exe
* C:\WINDOWS\system32\lphc7nvj0e52e.exe.
* C:\WINDOWS\system32\phc7nvj0e52e.bmp
* C:\WINDOWS\system32\blphc7nvj0e52e.scr
* C:\Windows\system32\pphc7nvj0e52e.exe
* C:\Documents and Settings\Elvina\Local Settings\Temp\.ttxx.tmp

Dimana xx=acak

Seperti yang sudah dijelaskan di atas dimana pada saat komputer terinfeksi virus, secara otomastis akan menginstalkan sebuah program antispyware dengan nama Antivirus XP 2008, dimana software ini sebenarnya merupakan sebuah program spyware yang menyamar sebagai antipsyware (maling teriak maling), dia akan membasmi spyware yang lain dan memastikan hanya dirinya saja yang aktif di komputer korban.

Program ini akan terinstall di direktori C:\Program Files\rhc3nvj0e52e

Agar dirinya dapat aktif secara otomatis setiap kali pc dihidupkan, ia akan membuat beberapa string pada registry berikut:

* HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
o lphc7nvj0e52e = C:\WINDOWS\system32\lphc7nvj0e52e.exe
o services = C:\WINDOWS\services.exe
o SMrhc3nvj0e52e = C:\Program Files\rhc3nvj0e52e\rhc3nvj0e52e.exe

Ubah Screan Saver Windows dan Desktop Windows

Anjelina juga akan merubah screensaver Windows untuk menjalankan file yang berada di direktori C:\WINDOWS\system32\blphc7nvj0e52e.scr.

Selain merubah screensaver Windows, Anjelina juga akan merubah desktop windows dengan menjalankan file C:\WINDOWS\system32\phc7nvj0e52e.bmp yang berisi peringatan.

Untuk merubah desktop windows tersebut, ia akan membuat string pada registry berikut :

HKEY_USERS\S-1-5-21-1757981266-1202660629-839522115-1003\Control Panel\Desktop

* SCRNSAVE.EXE = C:\WINDOWS\system32\blphc7nvj0e52e.scr
* ConvertedWallpaper = C:\WINDOWS\system32\phc7nvj0e52e.bmp
* OriginalWallpaper = C:\WINDOWS\system32\phc7nvj0e52e.bmp
* Wallpaper = C:\WINDOWS\system32\phc7nvj0e52e.bmp

HKEY_CURRENT_USER\Control Panel\Desktop

* ConvertedWallpaper = C:\WINDOWS\system32\phc7nvj0e52e.bmp
* OriginalWallpaper = C:\WINDOWS\system32\phc7nvj0e52e.bmp
* SCRNSAVE.EXE = C:\WINDOWS\system32\blphc7nvj0e52e.scr
* Wallpaper = C:\WINDOWS\system32\phc7nvj0e52e.bmp

Agar user sulit untuk merubah screen saver dan desktop Windows tersebut, ia akan menghilangkan tabulasi “Desktop” dan “Screen saver” pada menu “Display Properties (klik kanan desktop | klik properties) dengan membuat string pada registry.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

* NoDispBackgroundPage
* NoDispScrSavPage

Menyebar melalui SPAM

Untuk menyebarkan dirinya ia akan memanfaatkan email dengan mengirimkan email yang seolah-olah dikirim oleh MSN (Microsoft).

Jika text “Free Video Nude Anjelina Jolie” tersebut di klik maka secara otomatis akan membuka browser dan menggunakan fitur “Drive by Download” akan mendownload sebuah file dengan nama video-nude-anjelia.avi.exe dengan ukuran yang berbeda-beda (108 KB / 146 KB / 173 KB).

Cara membersihkan Agent.GPKB

* Putuskan komputer yang akan dibersihkan dari jaringan/internet
* Matikan proses virus yang aktif di memori. Untuk mematikan proses ini gunakan tools pengganti Task Manager seperti Currprocess, kemudian matikan proses yang mempunyai lokasi berikut :
o C:\WINDOWS\system32\lphc7nvj0e52e.exe
o C:\WINDOWS\services.exe
o C:\Program Files\rhc3nvj0e52e\rhc3nvj0e52e.exe
o C:\WINDOWS\system32\blphc7nvj0e52e.scr
o C:\Windows\system32\pphc7nvj0e52e.exe
o C:\Program Files\rhc3nvj0e52e\rhc3nvj0e52e.exe

* Hapus registry yang dibuat oleh virus. Silahkan salin script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf, jalankan file tersebut dengan cara :
o Klik kanan repair.inf
o Klik Install

[Version]

Signature=”$Chicago$”
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKCU, Control Panel\Desktop, ConvertedWallpaper,0, “”
HKCU, Control Panel\Desktop, OriginalWallpaper,0, “”
HKCU, Control Panel\Desktop, SCRNSAVE.EXEr,0, “”
HKCU, Control Panel\Desktop, Wallpaper,0, “”

[del]

HKLM, Software\Microsoft\Windows\CurrentVersion\Run, lphc7nvj0e52e
HKLM, Software\Microsoft\Windows\CurrentVersion\Run, services
HKLM, Software\Microsoft\Windows\CurrentVersion\Run, SMrhc3nvj0e52e
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, NoDispBackgroundPage
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, NoDispScrSavPage

* Hapus File virus berikut:
o C:\WINDOWS\system32\blphc7nvj0e52e.scr
o C:\WINDOWS\system32\phc7nvj0e52e.bmp
o C:\Windows\services.exe
o C:\WINDOWS\system32\lphc7nvj0e52e.exe.
o C:\Windows\system32\pphc7nvj0e52e.exe

* Hapus file temporary Windows.
* Uninstall/remove program Antivirus XP 2008.
o Pastikan proses antivirus xp 2008 telah di matikan, gunakan tools currprocess kemudian matikan file yang mempunyai nama rhc3nvj0e52e.exe

o Hapus folder yang dibuat virus berikut:
+ C:\Program Files\rhc3nvj0e52e\rhc3nvj0e52e.exe
+ C:\Documents and Settings\Elvina\Application Data\rhc3nvj0e52e
+ C:\Documents and Settings\All Users\Start Menu\Programs\Antivirus XP 2008
+ C:\Documents and Settings\Elvina\Application Data\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk
+ C:\Documents and Settings\All Users\Start Menu\Programs\Antivirus XP 2008.lnk
+ C:\Documents and Settings\All Users\Desktop\Antivirus XP 2008.lnk
o Hapus registry yang dibuat oleh virus
+ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall
# rhc3nvj0e52e
+ HKEY_LOCAL_MACHINE\SOFTWARE
# rhc3nvj0e52e
+ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier
+ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
# rhc3nvj0e52e
+ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent
# Post Platform

* Untuk pembersihan optimal dan mencegah infeksi ulang, lindungi komputer anda dengan antivirus yang sudah dapat mengenali dan membasmi virus ini dengan baik. Sedangkan untuk memperbaiki registri yang diubah oleh spyware tersebut dapat menggunakan Fix-registri-antivirus-xp-2008 di Download Area.

Sumber: Vaksincom

Tidak ada komentar: