k1ddr0ck
Di ujung tahun 2009, saya menemukan virus baru dimana antivirus AVG dan Avira belum bisa mendeteksi(sampai tulisan ini diterbitkan).
Kalau saya boleh menyebutnya worm/K1ddr0ck.
Ciri kusus virus ini:
1. Dibuat menggunakan program visual basic.
2. Mempunyai ukuran 224KB (mode windows).
3. Mempunyai (2 macam) tanggal dan jam yang sama
-saat virus pertama di eksekusi (ex: 12/22/2009, 12:43 PM), dan
-saat komputer aktif saat itu.
4. Jika kita propertis, virus mempunyai internal name: serviks, dan product name: F4ND1 3RD14N54 (mungkin sipembuat bernama Fandi ardiansa).
Saat virus di/tereksekusi:
1. Akan terjadi bunyi beep berulang-ulang(seperti tombol keyboard terjadi hubung pendek).
2. Akan membuat file: Autorun.inf, k1ddr0ck.exe, Node Blonde_XXx,3gp.exe dan folder movie yang berisi: folder.htt, Nude~Blonde_XXx,3gp.exe pada setiap drive (sebagian besar attribute hidden).
3. Mengkopikan dirinya dengan nama: winlogon.exe, services.exe, csrss.exe, lsass.exe, Iexplorer.exe, ssview.scr, shell.exe, serviks.vbs, dll.
pada %windir%, %windir%\system32\, %User Profiles%\Application data\, dll.
4. Akan membuat string pada HKLM/Software/Microsoft/Windows/CurrentVersion/Run dan HKCU/Software/Microsoft/Windows/CurrentVersion/Run
berupa k1ddr0ck, msmsgs, servise, Logon, Remote Control, System monitoring, dll, yang dialamatkan ke file virus.
5. Mematikan fungsi system dan registry pada HKLM/Software/Microsoft/Windows\CurrenVersion\Policies\Explorer, HKCU/Software/Microsoft/Windows\CurrenVersion\Policies\Explorer,
HKLM/Software/Microsoft/Windows\CurrenVersion\Policies\system, HKCU/Software/Microsoft/Windows\CurrenVersion\Policies\System,
dengan string NoDesktop, NoViewContextMenu, NoFolderOptions, DisableRegistryTools, DisableTaskMgr, dll.
6. menggati value "Application" dengan "k1ddr0ck" di HKCR\exefile pada string (default).
7. Menyembunyikan semua data di "My documents", mengganti nama data tersebut dengan ekstensi .ocx, dan yang tampil adalah file virus.
Cara pembasmian manual:
anda membutuhkan program bantu, sebagai contoh "process XP", dll.
1. Matikan proses virus dengan program bantu yang anda miliki(baca artikel cara mematikan proses virus).
2. Tampilkan file/folder yang tersembunyi (baca artikel cara menampilkan file/folder tersembunyi).
3. Masuklah keregistry, hapus seluruh string yang dibuat/diubah virus (saat virus di/tereksekusi).
4. Cari dan hapus semua file berukuran 224KB yang berekstensi *.exe dan *.scr diseluruh drive(perhatikan tanggal dan jam).
5. Hapus file autorun.inf dan folder movie pada setiap drive.
6. Cari dan hapus file serviks.vbs.
7. ganti nama seluruh file di mydocuments sesuai karakter inisial setelah underscore. (misal: _p untuk .pdf, _d untuk doc, _x untuk xls, dll).
selamat mencoba
