Minggu, 20 Juni 2010

Menghapus Virus Foto Bugil & Pesan Rahasia


Apakah tiba-tiba kerja komputer Anda terasa berat dan banyak sekali ditemukan shortcut? Yach, berarti Anda terkena worm Yuyun. Namun jangan khawatir, kami bantu mengatasinya.

Pernahkan anda menemukan komputer Anda tiba-tiba berat dan banyak sekali ditemukan
sampah berupa shortcut dengan nama-nama seperti Folder foto bugil, folder pesan rahasia, Microsoft.lnk, SuratQ.lnk, New Harry Potter, dan .lnk lainnya? Apabila jawabannya ya, berarti komputer Anda telah terinfeksi worm VBS/Yuyun.A atau juga dikenal sebagai worm shortcut.

Worm yang menamakan diri VBS/Yuyun.A ini merupakan salah satu malware yang sedang aktif menjalar dan telah tersebar luas di Indonesia. VBS/Yuyun.A akan menginfeksi komputer dengan cara menggandakan dirinya di setiap drive, media terpasang, dan di setiap direktori bagi pakai (shared directory). Worm ini juga akan membuat hardisk pengguna komputer dipenuhi dengan shortcut dan pesan-pesan payload di setiap drive dan subdirektorinya.

Teknik infeksi yang digunakan cukup unik dan tidak seperti worm-worm VBS lokal lain
pada umumnya. VBS/Yuyun.A secara cerdik menyamarkan file VBS dengan nama menyerupai
file thumbnail image cache-nya Windows 'Thumb.db' sehingga tidak tampak mencurigakan. Namun adanya penyamaran ini bukan berarti tanpa akibat, karena nama ini menyebabkan file VBS tersebut tidak dapat dieksekusi secara langsung sehingga akan menyulitkan proses infeksi dan penyebarannya.

Lalu bagaimana sebutan bagi pembuat virus/worm-tersebut mengatasi hal ini?
Dengan cerdiknya vxer membuat pemicu berupa shortcut yang akan mengeksekusi
setiap baris kode worm di dalam 'Thumb.db'. Shortcut tersebut akan memanggil applikasi wscript.exe yang merupakan aplikasi untuk menjalankan file/program VBS dengan cara memparse atau mengintepretasi baris per baris perintah-perintah VBS. Apabila kita amati arah tujuan shortcut tersebut, kita akan mengetahui trik jahat dibalik nama manis Yuyun!. Contoh arah tujuan shortcut yang saya ambil dari salah satu sampel VBS/Yuyun.A adalah:

C:-WINDOWS-system32-wscript.exe //e:VBScript thumb.db "Microsoft"

Untuk mempersulit analisa, worm ini menyembunyikan kode jahat aslinya dengan cara
enkripsi. Algoritma enkripsi yang digunakan adalah home made bit XOR cipher.
Karena worm ini dibuat menggunakan VBS, maka kita bisa dengan mudah melihat
kode sumbernya dengan menggunakan program editor seperti notepad.

Kita bisa lihat decryptor dari enkripsinya pada baris 36-39:

For v=1 To Len(isiQ)

t=Asc(Mid(isiQ,v,1))

hsl=hsl+Chr(t Xor 7)

Next

Contoh data dalam keadaan terenkripsi:

:::::::::::::::::::::::::::::::::::::::::::::::::::::::

'J~'ifjb'='^r~ri'Qbu'6)7

'N'mrts'pfiif'tbb'bqbu~'`nuk'khhlt'indb+'ebssbu+'lnict'btwbdnfkk~'f'jhtkbj'`nuk

'e~='Fihi~jhrtb'ni'Mfsnj+'Ihqbjebu'577?

'Pobi'N'ahric'ihsoni`'ebfrs~'bktb)))'fic'sobi'N'puhsb'sont'tdunws'ahu'fkk

:::::::::::::::::::::::::::::::::::::::::::::::::::::::

Dan setelah didekripsi menjadi:

'=======================================================

' My name : Yuyun Ver 1.0

' I just wanna see every girl looks nice, better, kinds especially a moslem girl

' by: Anonymouse in Jatim, November 2008

' When I found nothing beauty else... and then I wrote this script for all

'=======================================================

Worm ini akan membuat payload dengan cara menampilkan pesan menggunakan notepad
berisi puisi di setiap tanggal 1 selain bulan Maret. Ketika sampai ke tanggal tersebut, VBS/Yuyun.A akan membuat file-file sampah secara masal di setiap drive dan subdirektori berisi pesan-pesan puisi dengan nama 'Baca AQ.rtf' dan 'My name is yuyun.rtf' dan folder kosong seperti foto bugil & pesan rahasia.

Langkah ini juga akan memicu shortcut di setiap drive dengan nama-nama berikut:
"New Harry Potter and...", "Foto bugil", "Pesan Rahasia","New Folder", "SuratQ",
"Rahasia", "Game", "Zvnita","Download", "DataQ","DataQ"

Lalu bagaimana solusinya? Gampang saja. Gunakan AVI (AntiVirus InfoKomputer)
untuk membersihkan worm ini langsung aja ke TKP www.infokomputer.com kemudian klik menu anti virus nah setelah itu klik lagi menu download AVI terus pilih yang new version kemudian sedoooooooooottt sampe puasssssss.....

yang ini tanpa antivirus klik disini

Related Post



11 komentar:

  1. yagh----yagh--yagh---- gw coba nih antivirusnya...

    BalasHapus
  2. saya sudah coba AVI tp virus foto bugil dan shortcut kok ttp aja ga bs hilang ya gan...mungkin ada yang kurang mhn pencerahannya...thks

    BalasHapus
  3. sama boss, dah tek coba pake AVI ngga mempan....

    BalasHapus
  4. admin:gini ndan!! sebenernya antivirus ini berfungsi kalo si induk yg nangkring di drive C itu minggat...ya carane otomatis di instal ulang dulu windowsnya nah after that baru di install antivirus ini...dijamin kabur semua..!!

    BalasHapus
  5. klo gitu sama aja reboot lg -_-a

    BalasHapus
  6. dah ku cari ke www.infokomputer.com koq yang keluar malah iklan

    BalasHapus
  7. jarene gabungkan AVI + AVIRA scan baeng2.... http://siwan.web.id

    BalasHapus
  8. klo menurut gwe gan..klo dah terkena virus shortcut jalan terbaik kompi di instal ulang..
    klo hardisk ada partisi setelah windows jadi kita cepat lakukan searching file *.lnk di drive d: e: f: ato flash disk,(options:hiden folder dll di conteng semua)kemudian di delet. /delet jg klo da file yg aneh2..jgn coba di klik sekalipun. setelah program di instal semua kita deepreez deh.. aman. ( sambil nunggu ada antivirus yg Jozzz )

    BalasHapus
  9. wah PC xpku juga kena dan menjalar kemana-mana nih yga namanya virus:foto bugil..pesan rahasia yg kerjanya menggandakan folder..dan aku scan pake avg,avast,smadav 2010..kok masih aja nongol...shoutchutnya...gimana cara atasi gn selain di reinstall....please tolong orang awan ni...tanks bro..wassalam wr

    BalasHapus
  10. udah di coba makasih infonya tapi anti virus nya kurang memuaskan. coba download smandav lebih maknyos gan

    BalasHapus
  11. lebih cepat menghilangkan virus shortcut itu di lembiru gan (lempar beli yang baru) asli dijamin langsung ilang sama cpu.nya hihihi :D

    BalasHapus