Untuk menyebarkan dirinya virus Facebook akan mengirimkan email ke semua alamat email yang telah diperolehnya dengan melampirkan sebuah attachment dalam bentuk ZIP. Bagi Anda yang mempunyai account Facebook harap berhati-hati jika menerima email yang seolah-olah berasal dari Admin Facebook karena kemungkinan email itu berisi virus.
Email yang akan dikirimkan akan mempunyai ciri-ciri sebagai berikut:
From : The Facebook Team"
Subject : Facebook Password Reset Confirmation.
Attachment : Facebook_Password_xxx.zip (Facebook_Password_xxx.exe)
Message :
Hey [nama penerima email],
Because of the measures taken to provide safety to our clients, your password has been changed.
You can find your new password in attached document.
Thanks,
The Facebook Team
Catatan: xxx adalah karakter acak
Jika kita telurusi dengan menggunakan bantuan sebuah tools monitoring jaringan seperti etherial atau wireshark maka dapat dilihat dengan jelas bahwa komputer yang telah terinfeksi virus berusaha untuk mengirimkan email ke sejumlah alamat yang telah ditemukan dengan menyertakan sebuah file attachment yang berisi virus.
Selain mengirimkan email yang seolah-olah datang dari Admin Facebook, ia juga akan menjadikan komputer yang terinfeksi sebagai server spam dengan mengirimkan email ke sejumlah alamat email yang didapat.
Mengundang Antispyware palsu “Security Tools”
Aksi lain yang akan dilakukan oleh virus Facebook adalah akan mendownload dan menginstal sebuah program antispyware palsu dengan nama “Security Tools”. Antispyware palsu ini akan memberikan informasi palsu dengan menampilkan sederetan nama virus/trojan yang berhasil di deteksi, informasi palsu ini biasanya akan ditampilkan secara terus-menerus pada waktu yang telah ditentukan.
Jika user mencoba untuk melakukan aksi pembersihan dengan menggunakan software palsu tersebut maka ia akan menampilkan layar agar user melakukan pembelian software tersebut, jika muncul hal ini sebaiknya Anda abaikan saja karena anda tidak akan mendapatkan software antispyware tersebut.
Antispyware ini akan secara membuat beberapa file berikut agar dirinya tetap aktif:
C:\Documents and Settings\All Users\Application Data\47543326
C:\Documents and Settings\Elvina\Desktop\security tools.lnk
C:\Windows\temp\_ex-08.exe
C:\Documents and Settings\Elvina\Start Menu\Programs\security tools.lnk
Sebagai pendukung agar dirinya tetap aktif, ia akan membuat beberapa string pada registry berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
47543326= C:\DOCUME~1\ALLUSE~1\APPLIC~1\47543326\47543326.exe
PromoReg = C:\WINDOWS\Temp\_ex-08.exe
HKEY_LOCAL_MACHINE\SOFTWARE\47543326
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network
UID = %user%_00127065
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
Rlist
Aksi yang dilakukan oleh antispyware “Security Tools”
Menampilkan pesan notifikasi bahwa komputer telah terinfeksi virus/spyware
Menampilkan konfirmasi update database Antispyware Security Tools
Restart komputer pada waktu yang teah ditetukan dengan menampilkan layar “Blue Sreen” seolah-olah terjadi error pada system/hardware komputer yang telah terinfeksi.
Mengganti walpaper/desktop Windows
Cara-cara membersihkan Virus Facebook alias W32/Obfuscated.D2!genr dan Antispyware Security Tools –antispyware palsu– yang menemaninya dalam artikel Vaksincom berikut ini:
1.Disable system restore selama proses pembersihan
2.Disconect komputer dari jaringan/internethttp://www.blogger.com/img/blank.gif
3.Sebaiknya lakukan pembersihan pada mode “safe mode”http://www.blogger.com/img/blank.gif
4.Install software “unlocker” (download di FileHippo)
5.Matikan proses virus yang aktif dimemory, gunakan tools “Security Task Manager”, silahkan download tools tersebut di Neuber.com
Mematikan proses virus dengan “security task manager”
6.Fix registry, untuk mempercepat proses perbaikan registry silahkan salin script dibawah ini pada program notepad kemudian simpan dengan nama [repair.inf]. Jalankan file tersebut dengan cara:
a.Klik kanan [repair.inf]
b.Klik [install]
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKCU, Software\Microsoft\Internet Explorer\Main, tart Page,0, "about:blank"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,userinit,0, "userinit.exe"
[del]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,reader_s
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,47543326
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,PromoReg
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,reader_s
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,EnableProfileQuota
HKLM, SOFTWARE\AGProtect
HKLM, SOFTWARE\47543326
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network, UID
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion, Rlist
HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}
HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{8FFA689D-2C2B-2B2E-D865-74C04CA4EF06}
7. Hapus file yang dibuat oleh virus dengan terlebih dahulu menampilkan file yang tersebunyi. Kemudian hapus file berikut::
C:\Documents and Settings\All Users\Application Data\47543326
C:\Documents and Settings\Elvina\Start Menu\Programs\Security Tools.lnk
C:\Documents and Settings\Elvina\Desktop\ Security Tools.lnk
C:\Documents and Settings\Elvina\Application Data\ wiaservg.log
C:\Documents and Settings\Elvina\Local Settings\Temp\*.tmp
C:\WINDOWS\Temp\ wpv311256600826.exe
C:\WINDOWS\Temp\ wpv411256806849.exe
C:\Documents and Settings\%user%\reader_s.exe
C:\Documents and Settings\%user%\Start Menu\Programs\Startup\isqsys32.exe
C:\WINDOWS\system32\reader_s.exe
C:\Windows\system32\wbem\proquota.exe
C:\windows\system32\sdra64.exe
C:\Windows\system32\lowsec
local.ds
user.ds
user.ds.lll
Catatan:
Untuk menghapus folder [C:\Windows\system32\lowsec] dan [C:\windows\system32\sdra64.exe], gunakan tools “unlocker” untuk memisahkan proses tersebut dengan proses system windows (explorer.exe dan svchost.exe), karena kedua file tersebut akan menginjeksi file [explorer.exe dan svchost.exe] caranyhttp://www.blogger.com/img/blank.gifa:
http://www.blogger.com/img/blank.gif
Klik kanan pada file [C:\windows\system32\sdra64.exe] atau folder [C:\Windows\system32\lowsec]
Kemudian klik menu “unlocker”
Pada layar unlocker, pilih opsi [hapus]
Kemudian klik tombol [OK]
Jika muncul pesan error, di abaikan saja (klik ok)
8.Hapus file temporary dan temporary interet file, gunakan tools ATF-Cleaner.
9.Untuk pembersihan optimal dan mencegah infeksi ulang, scan dengan antivirus yang up-to-date. Anda juga dapat membersihkan dengan menggunakan tools Norman Malware Cleaner atau Malwarebytes Anti Malware.
No comments:
Post a Comment