Virus w32.babon@m3nt0z pemakan file .exe

 Semakin…semakin aja virus virus bermunculan di cyber indonesia…walopun kecil2 tapi agak menjengkelkan jugak yah…kali ini buatan anak sampit, yaitu virus babon … kok babon???iya lah…namanya virus ya bebaslah…mau babon, babin, nyemot…. Yang penting bisa menghajar komputer …. Nah coba lihat ciri2 yang terkena virus ini …


Code name: w32.babon@m3nt0z
CRC32 : banyak sekali ... kayaknya emang udah berkembang ni virus
Ukuran : 91,4 kb atau 92 kb


Pertama kali ngeliat file bernama cewek_imoet pasti jantung anda berdegup kencang (DUG DUG DUG DUG)...emang bunyi bedug..!!!!! lalu anda mempunyai hasrat untuk membuka file tersebut.....huihihihihi!!!STOP STOP...(sambil mencegah pembaca untk mengklik 2 kali mouse-nya) …lihat dulu men… ekstensinya apa…kalau 3gp, avi atau jpg boleh lah dibukak…tapi kalo exe…ntar dulu…nah ini yang biasanya kurang diperhatikan oleh user – user…hati2 nama file boleh menarik tapi ekstensi file (nama belakang file seperti .com, .exe, .bat, .dll) bisa – bisa menjebak…jadi waspadalah – waspadalah!!!!, karena file cewek_imoet adalah file pemicu virus w32.babon@m3nt0z.

Ciri2 yang telah terkena virus ini:

1. Menu shutdown hilang
2. Registry di blok
3. Folder Options di windows explorer menghilang
4. msconfig diblok
5. File word berekstensi .doc yang asli disembunyikan dan dirubah menjadi file berekstensi .exe mempunyai icon folder berwarna kuning dan berukuran 91,4 kb
6. Seluruh file .exe disembunyikan atau bahkan dihapus dan diganti dengan file virus berekstensi .exe dan mempunyai icon berwarna kuning berukuran 91, 4 kb (ngeri’nyakkkkk!!!!!)
7. My computer menjadi Babon
8. Recycle Bin menjadi Babon suka kebersihan
9. Menu run, search, documents dan lain lain hilang
10. My Documents anda menjadi File_Rahasia THE HUNTER



FILE PEMICU VIRUS

- Cewek_Imoet.exe, mempunyai icon folder berwarna kuning yang ada di tiap drive C:, D:, E: dan lain – lain
- File_Rahasia THE HUNTER.exe , mempunyai icon folder berwarna kuning yang ada di tiap drive C:, D:, E: dan lain – lain
- File IExplorer.exe yang ada di C:\Windows\System32 dan disembunyikan dengan cara men-set attribut file menjadi hidden
- File shell.exe yang ada di C:\Windows\System32 dan disembunyikan dengan cara men-set attribut file menjadi hidden
- Babon.scr yang ada di C:\Windows\System32 dan disembunyikan dengan cara men-set attribut file menjadi hidden dan di tiap drive
- Csrss.exe yang ada di folder C:\Documents And Settings\User\Local Settings\Application Data\Windows
- smss.exe yang ada di folder C:\Documents And Settings\User\Local Settings\Application Data\Windows
- lsass.exe yang ada di folder C:\Documents And Settings\User\Local Settings\Application Data\Windows
- Empty.pif di direktori Documents and Settings\All User\Start Menu\Programs\Startup
- Winlogon.exe di direktori Application Data\Windows\


Virus juga membuat file yang sama dengan nama diatas, Cuma bedanya sebelum extensi file diberi spasi, misal nama file cewek_imoet.exe, virus juga akan membuat file cewek_imoet[spasi].exe jadi nama file aslinya cewek_imoet .exe, gunanya adalah untuk mengacaukan perintah penghapusan di DOS (Diskette Operating System), karena dengan adanya spasi tersebut, file dianggap sebuah parameter, bukan sebuah file.


FILE YANG DIINFEKSI

Virus mencari dan menginfeksi file dengan ekstensi seperti di bawah ini, untuk itu BACKUPLAH HARDISK ANDA:

MP3
MP4
MPG
MPEG
AVI
DAT
WMV
JPG
GIF
JPEG
PNG
ASX
DOC
XLS
WMA
MDB
Dan ekstensi EXE tentunya....


BLOCKING PROGRAM

Virus juga memblocking program yang mempunyai caption sbb:

"TASK"
"REG"
"ASM"
"DBG"
"W32"
"BUG"
"HEX"
"DETEC"
"PROC"
"WALK"
"FUC"
"SEX"
"REST"
"AVAS"
"OPTIONS"
"FORMAT"
"RebarWindow32"
"ComboBoxEx32"
"ComboBox"
"Edit"
"ANTI"
"VIRUS"


PESAN – PESAN YANG DIMUNCULKAN

- Pesan yang dimunculkan dapat dilihat di file wangsit.txt yang ada di tiap drive

Babon

Wahai kalian teman2 ku dimanapun berada.. hehehe
Lagi beapa nih wal? ngenet kah? chatting ? Kuliah yang bujur lah...
Jangan terlalu banyak bejalanan n menghabiskan waktu pakai hal2 yang kda penting
Beuh..pina musti nda ni lah. Hahaha..:)
Just wanna say : Hello Friend.. Moci-moci ^^
Sampit Community..
Peace Man..
By : Anak Sampit yang lagi menuntut ilmu di pulau seberang

Beh beh beh kadak ngarti ikam, ini banjarsari ato Banjarmasin gituh…hahahahahah!

- Pesan virus juga muncul pada saat windows pertama kali login

Welcome to Babon Computer
Please enjoy the babon entertaintment

MANIPULASI REGISTRI

W32.babon memanipulasi beberapa registry yang ada di windows, yaitu:

HKEY_LOCAL_MACHINE, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKEY_LOCAL_MACHINE, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKEY_LOCAL_MACHINE, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKEY_LOCAL_MACHINE, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKEY_LOCAL_MACHINE, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKEY_LOCAL_MACHINE, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKEY_LOCAL_MACHINE, SOFTWARE\Classes\exefile, Default,0, “application”

HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, type,0, “Checkbox”

HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, type,0, “Checkbox”

HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden, type,0, “group”

HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools

HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr

HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run,MsPatch

HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Mspatch

HKEY_LOCAL_MACHINE, SOFTWARE\Classes\exefile, NeverShowExt

HKEY_CURRENT_USER, Software\Policies\Microsoft\Windows\System, DisableCMD


Hati - hati virus ini juga melakukan manipulasi terhadap userinit.exe yang dilakukan oleh virus flu burung dengan jurus terkenalnya tendang login beibeh.

Manipulasi lainnya dilakukan di registry dengan alamat:

CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\ yang berguna untuk merubah Computer name menjadi Komputer babon Nih

CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\ yang berguna untuk merubah Recycle Bin menjadi Babon Suka Kebersihan

Virus ini juga menggunakan perintah dari modul shell32.dll yang berguna untuk menjalankan beberapa perintah di windows secara otomatis.


BACKUP VIRUS

Virusnya karena dibuat pakek vb jadi dia menggandakan file msvbvm60.dll ke drive yang ada di komputer di direktori c:\windows dan di c:\windows\system32

PENANGGULANGAN

Pemulihannya emang laen dari yang laen, untuk mematikan prosesnya aja syusyah banget... kita seperti berkejar – kejaran dengan mereka...hmm... mungkin tugas para virologers untuk membuat blocking proses untuk virus w32.babon ini...okay...tapi untuk menendang proses ini anda dapat mendonlot program virus acepmp, viremover yang ada di alamat ini:


Donlot acep.scr dan autorun.inf (acep.zip) untuk tendang process

1. Donlot file acep.scr dan autorun.inf di www.virologi.info


Donlot acep.scr dan autorun.inf (acep.zip) untuk tendang process


2. Kemudian copy file tersebut ke flashdisk anda, taruh di root direktori di flashdisk atau diluar direktorinya

3. Kemudian sambungkan flashdisk ke cpu anda

4. Jalankan file acep.scr, jalankan 2, 3 atau 4 kali untuk membunuh proses virus

5. Hapus file yang ada di daftar berikut:

- Cewek_Imoet.exe, mempunyai icon folder berwarna kuning yang ada di tiap drive C:, D:, E: dan lain – lain
- File_Rahasia THE HUNTER.exe , mempunyai icon folder berwarna kuning yang ada di tiap drive C:, D:, E: dan lain – lain
- File IExplorer.exe yang ada di C:\Windows\System32 dan disembunyikan dengan cara men-set attribut file menjadi hidden
- File shell.exe yang ada di C:\Windows\System32 dan disembunyikan dengan cara men-set attribut file menjadi hidden
- Babon.scr yang ada di C:\Windows\System32 dan disembunyikan dengan cara men-set attribut file menjadi hidden dan di tiap drive
- Csrss.exe yang ada di folder C:\Documents And Settings\User\Local Settings\Application Data\Windows
- smss.exe yang ada di folder C:\Documents And Settings\User\Local Settings\Application Data\Windows
- lsass.exe yang ada di folder C:\Documents And Settings\User\Local Settings\Application Data\Windows
- Empty.pif di direktori Documents and Settings\All User\Start Menu\Programs\Startup
- Winlogon.exe di direktori Application Data\Windows\

6. Hapus alamat registry ayng dimanipulas virus yang ada di:

HKEY_LOCAL_MACHINE, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKEY_LOCAL_MACHINE, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKEY_LOCAL_MACHINE, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKEY_LOCAL_MACHINE, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKEY_LOCAL_MACHINE, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKEY_LOCAL_MACHINE, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKEY_LOCAL_MACHINE, SOFTWARE\Classes\exefile, Default,0, “application”

HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, type,0, “Checkbox”

HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, type,0, “Checkbox”

HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden, type,0, “group”

HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools

HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr

HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run,MsPatch

HKEY_LOCAL_MACHINE, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Mspatch

HKEY_LOCAL_MACHINE, SOFTWARE\Classes\exefile, NeverShowExt

HKEY_CURRENT_USER, Software\Policies\Microsoft\Windows\System, DisableCMD


7. Cari file .exe dengan ukuran 91,4 kb dengan folder icon warna kuning, kemudian hapus

8. Scan hardisk anda dengan WAV 2005 update-an terbaru


Jika belum bisa jugak pakai cara pamungkas untuk membunuh virus:

1. Booting dengan cd win xp

2. Kemudian tekan ‘R’ untuk repair

3. Isi password administrator

4. Pilih drive dimana windows di install, yaitu dengan menekan tombol 1,2 atau 3

5. Ganti file msvbvm60.dll dan msvbvm50.dll dengan nama lain misalnya msvbvxxx.xxx atau nama lain, file tersebut terletak di:

C:\Windows
C:\windows\system32
Atau di root direktori di C:, D:, atau lainnya, maksud root direktori ya diluar direktori gitu...

6. Kemudian booting dan masuk ke windows

7. Otomatis file virus tidak berjalan karena virus harus mengakses file msvbvm60.dll terlabih dahulu sebelum menjalankan kode-kodenya

Sumber : Virologi.Info
Cophyright © Ilmu Pelajar_www.Ilmu-pelajar.co.cc™

Posted in: Trick n Tips,Virus