ehh friend kemaren tu komputerku kena virus megahi...namanya virus gudeg. pancen wedus tenan kok wong jogja ki...bisanya cuman buat virus komputer.
anda siap-siap stress bila komputer/laptopmu kena ini virus karena belum ada satupun antivirus yang bisa nangkep ni virus. antivirus yang dah terinstall pun akan dikuncinya dan bakalan lu bisa buka.
gwe pernah pake antivirus norman updatean terbaru, n terdeteksi aja sebagai W32/gudeg. tu aja cuman ketangkep doang. file2 masih dikunci olehnya. untuk itu hati-hatilah friend...ni tak kasih info tentang virus gudeg tersebut. tulisan ini gwe dapat dari tetangga sebelah...ya itung2 nyebarin manfaat, ketimbang nyebarin virus.betulkan :
Virus ini merupakan hasil ciptaan Piet Hitam (virus lokal) asal kota Gudeg dengan nama W32/Gedug.A.
Salah satu ciri dari virus ini adalah semua file yang dikompresi menggunakan WINZIP/WinRAR akan disembunyikan dan akan muncul file duplikat sesuai dengan file yang disembunyikan tersebut dengan ukuran 35 KB. (lihat gambar 1)
Gambar 1, Contoh file virus W32/Gedug.A
Ciri lain dari virus ini adalah jika anda menjalankan program regedit/msconfig/taskmanager ataupun notepad maka akan muncul program permainan seperti Solitaire, Free Cell atau spider.exe dan dilihat dari script yang ada kemungkinan virus ini berasal dari kota Malioboro Flavour.....Yogyakarta.
Virus yang aktif pada mode Normal, Safe mode dan Safe Mode with Command Prompt ini sudah dapat dikenali oleh Norman dengan nama W32/Gedug.A. (lihat gambar 2)
Gambar 2, Norman Virus Control sudah mengenali virus W32/Gedug.A dengan baik
Seperti yang sudah dijelaskan sebelumnya virus W32/Gedug.A akan mempunyai ukuran 35 KB, untuk mengelabui user W32/Gedug.A akan menggunakan icon WINZIP/WINRAR dengan ekst. .EXE. Biasanya file induk virus W32/Gedug.A ini akan mempunyai 2 nama yakni Anggota_DPR_mesum.exe atau Lokal Punya Selera.exe.
Jika salah satu file tersebut dijalankan maka secara otomatis ia akan memunculkan 2 buah file lain di direktori yang sama dengan nama file berikut serta mempunyai ukuran 35 KB
*
[DATA]Anggota_DPR_mesum.exe
*
[DATA]Lokal Punya Selera.exe
Jika diperhatikan lebih teliti, pada direktori yang sama akan muncul 2 buah file lain dimana kedua file ini akan disembunyikan [hidden file] dengan nama file berikut dengan ukuran 35 KB
*
[DATA]Anggota_DPR_mesum.rar
*
[DATA]Lokal Punya Selera.rar
Jika salah satu file tersebut diatas dijalankan ([DATA]Anggota_DPR_mesum.exe, [DATA]Lokal Punya Selera.exe, [DATA]Anggota_DPR_mesum.rar atau [DATA]Lokal Punya Selera.rar) maka akan muncul pesan error, seperti terlihat pada gambar 3 dibawah ini:
Gambar 3
Untuk melihat secara lengkap file yang diciptakan oleh Gedug silahkan lihat gambar 4 dibawah ini
Gambar 4-File yang diciptakan virus setelah dijalankan oleh user
Setelah file tersebut dijalankan ia akan membuat beberapa file induk yang akan dijalankan pertama kali setiap kali komputer dinyalakan, seperti :
*
C:\Documents and Settings\LocalService
· WINRAR.exe
· msvbvm60.dll
*
C:\Program Files\WindowsUpdate
· WinUpdate.exe [zip file]
· pingstatus.dat
*
C:\Anggota_DPR_mesum.exe [disetiap drive]
*
C:\Anggota_DPR_mesum.rar [disetiap drive]
*
C:\[DATA]Anggota_DPR_mesum.exe [disetiap drive]
*
C:\[DATA]Lokal Punya Selera.exe [disetiap drive]
*
C:\[DATA]Anggota_DPR_mesum.rar [disetiap drive]
*
C:\[DATA]Lokal Punya Selera.rar [disetiap drive]
*
C:\Lokal Punya Selera.exe [ disetiap drive]
*
C:\Lokal Punya Selera.rar [ disetiap drive]
*
C:\Documents and Settings\LocalService\AcrobatInfo.exe
*
C:\Documents and Settings\%user%
· Anggota_DPR_mesum.exe
· Anggota_DPR_mesum.rar
· Lokal Punya Selera.exe
· Lokal Punya Selera.rar
Virus ini akan membuat string pada registry berikut dengan tujuan agar salah satu file induk ini dapat dijalankan secara otomatis setiap kali komputer dihidupkan :
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon
o userinit = C:\WINDOWS\system32\userinit.exe,C:\Documents and
Settings\LocalService\WinRAR.exe
Untuk mempertahankan dirinya W32/Gedug.A akan mencoba untuk blok beberapa fungsi windows, kali ini ia akan “menjiplak” cara yang dilakukan oleh virus Lightmoon dimana jika komputer anda terinfeksi virus Lightmoon maka setiap kali menjalankan program regedit/taksmanager atau msconfig maka yang muncul bukanlah program yang anda inginkan melainkan sebuah program “notepad” yang berisikan bahasa “ASCII”. Begitupun yang akan dilakukan oleh virus W32/Gedug.A tetapi bukan program notepad yang akan dimunculkan melainkan program permainan [game] seperti Solitaire, FreeCell atau Spider. Untuk melakukan hal tersebut ia akan membuat string pada registry berikut : (lihat gambar 5)
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
§ Taskmgr = [debugger=C:\WINDOWS\System32\freecell.exe]
§ Regedit = [debugger = C:\WINDOWS\System32\sol.exe]
§ Notepad = [debugger = C:\WINDOWS\System32\spider.exe]
Gambar 5, Game yang muncul ketika menjalankan program regedit/notepad
Begitupun jika anda menjalankan program CMD [command] maka secara tidak langsung akan mengaktifkan virus ini, dengan membuat string pada registry berikut:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
§ cmd = [debugger =C:\Documents and Settings\LocalService\AcrobatInfo.exe]
Selain blok fungsi Windows diatas, ia juga akan mencoba untuk blok beberapa fungsi windows lainnya seperti : (lihat gambar 6)
§ Disable klik kanan pada Task Bar
§ Disable Search
§ Disable “system restore”
§ Disable konfigure “Mouse”
§ Disable Add/remove Program
§ Disable configure “game controllers”
§ Disable configure “keyboard”
§ Disable Add/Remove User Account
§ Disable Add Hardware
§ Disable Configure “Display”
§ Disable Themes Tab sehingga tidak bisa mengganti tampilanDesktop/Wallpaper
§ Menyembunyikan tampilan Jam pada Task Bar
§ Disable Turn Off Windows
Gambar 6, Virus W32/Gedug.A akan disable Display Windows
Untuk melakukan hal tersebut, ia akan membuat beberapa string pada registry berikut:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
§ ClassicShell
§ DisallowRun
§ HideClock
§ HideClock
§ NoFind
§ NoInstrumentation
§ NoPrinters
§ NoSetTaskbar
§ NoSMHelp
§ NoStartMenuMorePrograms
§ NoThemesTab
§ NoTrayContextMenu
§ NoUserNameInStartMenu
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
§ NoDispAppearancePage
§ NoDispScrSavPage
§ NoDispSettingsPage
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
§ ClassicShell
§ NoClose
§ NoFind
§ NoPrinters
§ NoThemesTab
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
§ NoDispAppearancePage
§ NoDispScrSavPage
§ NoDispSettingsPage
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
§ DisableSR = 0
- HKEY_CURRENT_USER\Control Panel\don't load
§ appwiz.cpl = No
§ desk.cpl = No
§ hdwwiz.cpl = No
§ joy.cpl = No
§ main.cpl = No
§ ncpa.cpl = No
§ netcpl.cpl = No
§ nusrmgr.cpl = No
- HKEY_CURRENT_USER\Control Panel\Desktop
§ MenuShowDelay = 5000
- HKEY_CURRENT_USER\Control Panel\Mouse
§ DoubleClickSpeed = 150
Jika komputer anda sudah terinfeksi W32/Gedug.A anda akan kesulitan untuk menampilkan file-file yang telah disembunyikan sekalipun jika anda berusaha untuk memampilkan ekstensi file karena virus ini akan berusaha untuk mengunci kedua option pada “Folder Option” tersebut dengan merubah string pada registry berikut :
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
§ UncheckedValue = 1
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
§ CheckedValue = 1
§ DefaultValue = 1
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
§ UncheckedValue = 0
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
§ CheckedValue = 0
§ DefaultValue = 0
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
§ CheckedValue = 0
§ DefaultValue = 0
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN
§ CheckedValue = 0
§ DefaultValue = 0
Selain itu W32/Gedug.A juga akan menyembunyikan ekst. EXE, dengan membuat string pada registry berikut :
- HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile
§ NeverShowExt = 1
W32/Gedug.A juga akan blok beberapa software security seperti HijackThis, Killbox, Iknown Process atau proceexp serta akan mencoba blok program antivirus Norman dengan memunculkan pesan error (lihat gambar 7) jika program tersebut dijalankan, untuk melakukan hal tersebut ia akan membuat string pada registry berikut :
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
§ 1 = HijackThis.exe
§ 2 = KillBox.exe
§ 3 = Pocket KillBox.exe
§ 4 =ShowKillProcess.exe
§ 5 = CurrProcess.exe
§ 6 = IKnow Process.exe
§ 7 = Iknown.exe
§ 8 = iKnowPS.exe
§ 9 = Procexp.exe
§ 10 = bantu.exe
§ 11 = Zlh.exe
Gambar 7, Pesan error yang muncul jika menjalankan tools security yang diblok olah virus
Masih banyak lagi aksi yang dilakukan oleh vW32/Gedug.A seperti merubah format jam pada task bar dengan merubah format PM menjadi <[@_@]> dan AM menjadi <[~_~]> (lihat gambar 8) atau merubah nama pemilik komputer dengan merubah :
§ RegisteredOrganization = >> KOTA GUDEG <<
§ RegisteredOwner = >>> G04T 74V4 <<<
Untuk melakukan kedua hal tersebut W32/Gedug.A akan merubah string pada registry berikut:
- HKEY_CURRENT_USER\Control Panel\International
§ s1159 = <[@_@]>
§ s2359 = <[~_~]>
Gambar 8, Tampilan jam yang diubah oleh virus
Jangan harap anda dapat menemukan format jam yang ada di task bar karena W32/Gedug.A akan menyembunyikannya. (lihat gambar 9)
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
§ RegisteredOrganization = >> KOTA GUDEG <<
§ RegisteredOwner = >>> G04T 74V4 <<<
Gambar 9, Registered owner dan Organization yang diubah oleh virus
Jika anda membuka [Windows Explorer] jangan kaget jika tools bar yang ada akan berubah dengan tambahan gambar Drip, (lihat gambar 10) hal ini dilakukan oleh Gedug dengan membuat string pada registy berikut:
- HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar
§ BackBitmap = C:\Documents and Settings\All Users\Application Data\Microsoft\User Account Pictures\Default Pictures\drip.bmp
Gambar 10, Toolbar Windows yang diubah oleh virus
Untuk menyebarkan dirinya, ia masih menggunakan media Disket/Flash Disk dengan membuat file berikut, dimana file ini akan mempunyai ukuran 35 KB
§ Anggota_DPR_mesum.exe
§ Anggota_DPR_mesum.rar [hidden file]
§ Lokal Punya Selera.exe
§ Lokal Punya Selera.rar [hidden file]
Sebagai penutup, W32/Gedug.A akan menyembunyikan semua file yang dikompresi dengan menggunakan WINZIP/WINRAR dan untuk mengelabui user ia akan membuat file duplikat sesuai dengan nama file yang disembunyikan tersebut dengan ciri-ciri:
- Mengunakan icon WinRAR
- Ukuran 35 KB
- Ext. EXE
- Type File “Application” (lihat gambar 11)
Gambar 11, File duplikat yang dibuat oleh virus
Cara membersihkan Gedug :
1.
Putuskan hubungan komputer yang akan dibersihkan dari jaringan
2.
Matikan proses virus yang aktif dimemori. Untuk mematikan proses virus tersebut kami sarankan anda jangan menggunakan tools Pocket Killbox/Iknow Process/CurrProcess atau ProceesXP karena tools ini akan diblok oleh virus. Sebagai gantinya anda dapat mengunakan tools XrayPC [www.x-raypc.com], kemudian matikan file virus dengan nama WinRAR.exe yang berada di direktori C:\Documents and Settings\LocalService (lihat gambar 12)
Klik tombol ini untuk mamatikan proses virus yang aktif di memori
Gambar 12 Gunakan X-Ray PC untuk mematikan proses virus yang aktif di memori
3.
Hapus string registry yang sudah dibuat oleh virus dengan menyalin script dibawah ini pada program notepad dan simpan dengan nama repair.inf kemudian jalankan file tersebut dengan cara :
*
Klik kanan repair.inf
*
Klik Install
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN, CheckedValue,0x00010001,2
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN, DefaultValue,0x00010001,2
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, CheckedValue,0x00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, DefaultValue,0x00010001,2
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,CheckedValue,0x00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,DefaultValue,0x00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, CheckedValue,0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, DefaultValue,0x00010001,0
HKCU, Control Panel\International, s1159,0, "AM"
HKCU, Control Panel\International, s2359,0, "PM"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOrganization,0, "Your Organization"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOwner,0,"YourOwner"
HKCU, Control Panel\Desktop, MenuShowDelay,0, "400"
HKCU, Control Panel\Mouse, DoubleClickSpeed,0, "500"
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,NoDispAppearancePage
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,NoDispScrSavPage
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,NoDispSettingsPage
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,ClassicShell
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,DisallowRun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,HideClock
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,HideClock
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFind
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoClose
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoThemesTab
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoInstrumentation
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoPrinters
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoSetTaskbar
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoSMHelp
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoStartMenuMorePrograms
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoThemesTabNoThemesTab
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoTrayContextMenu
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoUserNameInStartMenu
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, ClassicShell
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoClose
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoFind
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoPrinters
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoThemesTab
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system,NoDispAppearancePage
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system,NoDispScrSavPage
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system,NoDispSettingsPage
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore,DisableSR
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
HKCU, Software\Microsoft\Internet Explorer\Toolbar, BackBitmap
HKLM, SOFTWARE\Classes\exefile, NeverShowExt
HKCU, Control Panel\don't load, appwiz.cpl
HKCU, Control Panel\don't load, desk.cpl
HKCU, Control Panel\don't load, hdwwiz.cpl
HKCU, Control Panel\don't load, joy.cpl
HKCU, Control Panel\don't load, main.cpl
HKCU, Control Panel\don't load, ncpa.cpl
HKCU, Control Panel\don't load, netcpl.cpl
HKCU, Control Panel\don't load, nusrmgr.cpl
4.
Hapus file induk yang dibuat oleh virus. Sebelum menghapus file induk dari virus tersebut pastikan anda sudah menampilkan semua file yang disembunyikan dengan memilih option “Show Hidden files and foldders” dan menghilangkan tanda check list pada option “Hide protected operating system files (recommended)” serta “hide extension for known file types” pada Folder Options [Lihat gambar 13 di bawah]
Gambar 13, Menampilkan file yang disembunyikan
Kemudian hapus file berikut:
*
C:\Documents and Settings\LocalService
· WINRAR.exe
· msvbvm60.dll
*
C:\Program Files\WindowsUpdate
· WinUpdate.exe [zip file]
· pingstatus.dat
*
C:\Anggota_DPR_mesum.exe [disetiap drive]
*
C:\Anggota_DPR_mesum.rar [disetiap drive]
*
C:\[DATA]Anggota_DPR_mesum.exe [disetiap drive]
*
C:\[DATA]Lokal Punya Selera.exe [disetiap drive]
*
C:\[DATA]Anggota_DPR_mesum.rar [disetiap drive]
*
C:\[DATA]Lokal Punya Selera.rar [disetiap drive]
*
C:\Lokal Punya Selera.exe [ disetiap drive]
*
C:\Lokal Punya Selera.rar [ disetiap drive]
*
C:\Documents and Settings\%user%
· Anggota_DPR_mesum.exe
· Anggota_DPR_mesum.rar
· Lokal Punya Selera.exe
· Lokal Punya Selera.rar
*
C:\Documents and Settings\LocalService
· AcrobatInfo.exe
5.
Hapus file duplikat yang dibuat oleh virus dengan ciri-ciri:
*
Mengunakan icon WinRAR
*
Ukuran 35 KB
*
Ext. EXE
*
Type File “Application”
6.
Tampilkan kembali file ZIP/RAR yang sudah diubah oleh virus dengan menulis perintah berikut pada DOS PROMPT
ATTRIB –s –h C:\*.ZIP /s
ATTRIB –s –h C:\*.RAR /s
Jika anda ingin menampilkan file ZIP/RAR di drive lain [contoh D:\] tulis perintah di atas dengan menganti lokasi drive yang akan diperiksa, contoh jika ingin memeriksa drive D:\
ATTRIB –s –h D:\*.ZIP /s
ATTRIB –s –h D:\*.RAR /s
7.
Untuk pembersihan optimal dan mencegah infeksi ulang, gunakan antivirus yang sudah dapat mengenali virus ini dengan baik.
8.
PT. Vaksincom memberikan removal W32/Gedug, silahkan download di http://www.vaksin.com/file/Ngenfix-Gedug061221.exe
AJ Tau
info@vaksin.com
Tags: baca yaa..
reply share
Blog Entry VIRUS W32/Gedug.A [Gudeg] Dec 22, '06 9:05 PM
for everyone
“Anggota DPR Mesum” yang suka main game
Apakah ada format multimedia file yang paling banyak dicari di Indonesia akhir- akhir ini ? MP3 ? .... MP4 ? ... MPEG-4 ?...... Jawaban anda kurang tepat. Yang benar adalah 3GP. 3GP merupakan standar format file multimedia (gambar dan suara) yang digunakan pada handphone 3G. Lebih tepatnya adalah 3GPP (3rd Generation Partnership Project) yang digunakan oleh provider 3G GSM. Sedangkan provider CDMA menggunakan format 3G2 (3GPP2) yang singkatannya sama saja 3rd Generation Partnership Project2.
Lalu apa hubungannya 3GP dengan virus ?
Rupanya selain memiliki hobi coding, rupanya banyak pembuat virus yang senang nonton infotainment. Terbukti dengan keluarnya virus baru dari kota Gudeg yang di identifikasi oleh Norman Virus Control sebagai W32/Gedug.A. Virus yang satu ini memanfaatkan kasus peredaran video syur anggota DPR dengan menggunakan nama file “Anggota_DPR_mesum.exe” dan “Lokal_Punya_Selera.exe”. Jadi, bagi anda yang belum pernah mendapatkan file tersebut dan “tiba-tiba” di UFD (USB Flash Disk) atau harddisk anda muncul file dengan nama menggiurkan tersebut, percayalah bahwa file tersebut tidak di kirimkan oleh Sinterklas kepada anda sebagai hadiah Natal (karena anda tidak nakal) melainkan merupakan hasil ciptaan Piet Hitam (virus lokal) asal kota Gudeg dengan nama W32/Gedug.A.
Salah satu ciri dari virus ini adalah semua file yang dikompresi menggunakan WINZIP/WinRAR akan disembunyikan dan akan muncul file duplikat sesuai dengan file yang disembunyikan tersebut dengan ukuran 35 KB. (lihat gambar 1)
Gambar 1, Contoh file virus W32/Gedug.A
Ciri lain dari virus ini adalah jika anda menjalankan program regedit/msconfig/taskmanager ataupun notepad maka akan muncul program permainan seperti Solitaire, Free Cell atau spider.exe dan dilihat dari script yang ada kemungkinan virus ini berasal dari kota Malioboro Flavour.....Yogyakarta.
Virus yang aktif pada mode Normal, Safe mode dan Safe Mode with Command Prompt ini sudah dapat dikenali oleh Norman dengan nama W32/Gedug.A. (lihat gambar 2)
Gambar 2, Norman Virus Control sudah mengenali virus W32/Gedug.A dengan baik
Seperti yang sudah dijelaskan sebelumnya virus W32/Gedug.A akan mempunyai ukuran 35 KB, untuk mengelabui user W32/Gedug.A akan menggunakan icon WINZIP/WINRAR dengan ekst. .EXE. Biasanya file induk virus W32/Gedug.A ini akan mempunyai 2 nama yakni Anggota_DPR_mesum.exe atau Lokal Punya Selera.exe.
Jika salah satu file tersebut dijalankan maka secara otomatis ia akan memunculkan 2 buah file lain di direktori yang sama dengan nama file berikut serta mempunyai ukuran 35 KB
*
[DATA]Anggota_DPR_mesum.exe
*
[DATA]Lokal Punya Selera.exe
Jika diperhatikan lebih teliti, pada direktori yang sama akan muncul 2 buah file lain dimana kedua file ini akan disembunyikan [hidden file] dengan nama file berikut dengan ukuran 35 KB
*
[DATA]Anggota_DPR_mesum.rar
*
[DATA]Lokal Punya Selera.rar
Jika salah satu file tersebut diatas dijalankan ([DATA]Anggota_DPR_mesum.exe, [DATA]Lokal Punya Selera.exe, [DATA]Anggota_DPR_mesum.rar atau [DATA]Lokal Punya Selera.rar) maka akan muncul pesan error, seperti terlihat pada gambar 3 dibawah ini:
Gambar 3
Untuk melihat secara lengkap file yang diciptakan oleh Gedug silahkan lihat gambar 4 dibawah ini
Gambar 4-File yang diciptakan virus setelah dijalankan oleh user
Setelah file tersebut dijalankan ia akan membuat beberapa file induk yang akan dijalankan pertama kali setiap kali komputer dinyalakan, seperti :
*
C:\Documents and Settings\LocalService
· WINRAR.exe
· msvbvm60.dll
*
C:\Program Files\WindowsUpdate
· WinUpdate.exe [zip file]
· pingstatus.dat
*
C:\Anggota_DPR_mesum.exe [disetiap drive]
*
C:\Anggota_DPR_mesum.rar [disetiap drive]
*
C:\[DATA]Anggota_DPR_mesum.exe [disetiap drive]
*
C:\[DATA]Lokal Punya Selera.exe [disetiap drive]
*
C:\[DATA]Anggota_DPR_mesum.rar [disetiap drive]
*
C:\[DATA]Lokal Punya Selera.rar [disetiap drive]
*
C:\Lokal Punya Selera.exe [ disetiap drive]
*
C:\Lokal Punya Selera.rar [ disetiap drive]
*
C:\Documents and Settings\LocalService\AcrobatInfo.exe
*
C:\Documents and Settings\%user%
· Anggota_DPR_mesum.exe
· Anggota_DPR_mesum.rar
· Lokal Punya Selera.exe
· Lokal Punya Selera.rar
Virus ini akan membuat string pada registry berikut dengan tujuan agar salah satu file induk ini dapat dijalankan secara otomatis setiap kali komputer dihidupkan :
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon
o userinit = C:\WINDOWS\system32\userinit.exe,C:\Documents and
Settings\LocalService\WinRAR.exe
Untuk mempertahankan dirinya W32/Gedug.A akan mencoba untuk blok beberapa fungsi windows, kali ini ia akan “menjiplak” cara yang dilakukan oleh virus Lightmoon dimana jika komputer anda terinfeksi virus Lightmoon maka setiap kali menjalankan program regedit/taksmanager atau msconfig maka yang muncul bukanlah program yang anda inginkan melainkan sebuah program “notepad” yang berisikan bahasa “ASCII”. Begitupun yang akan dilakukan oleh virus W32/Gedug.A tetapi bukan program notepad yang akan dimunculkan melainkan program permainan [game] seperti Solitaire, FreeCell atau Spider. Untuk melakukan hal tersebut ia akan membuat string pada registry berikut : (lihat gambar 5)
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
§ Taskmgr = [debugger=C:\WINDOWS\System32\freecell.exe]
§ Regedit = [debugger = C:\WINDOWS\System32\sol.exe]
§ Notepad = [debugger = C:\WINDOWS\System32\spider.exe]
Gambar 5, Game yang muncul ketika menjalankan program regedit/notepad
Begitupun jika anda menjalankan program CMD [command] maka secara tidak langsung akan mengaktifkan virus ini, dengan membuat string pada registry berikut:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
§ cmd = [debugger =C:\Documents and Settings\LocalService\AcrobatInfo.exe]
Selain blok fungsi Windows diatas, ia juga akan mencoba untuk blok beberapa fungsi windows lainnya seperti : (lihat gambar 6)
§ Disable klik kanan pada Task Bar
§ Disable Search
§ Disable “system restore”
§ Disable konfigure “Mouse”
§ Disable Add/remove Program
§ Disable configure “game controllers”
§ Disable configure “keyboard”
§ Disable Add/Remove User Account
§ Disable Add Hardware
§ Disable Configure “Display”
§ Disable Themes Tab sehingga tidak bisa mengganti tampilanDesktop/Wallpaper
§ Menyembunyikan tampilan Jam pada Task Bar
§ Disable Turn Off Windows
Gambar 6, Virus W32/Gedug.A akan disable Display Windows
Untuk melakukan hal tersebut, ia akan membuat beberapa string pada registry berikut:
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
§ ClassicShell
§ DisallowRun
§ HideClock
§ HideClock
§ NoFind
§ NoInstrumentation
§ NoPrinters
§ NoSetTaskbar
§ NoSMHelp
§ NoStartMenuMorePrograms
§ NoThemesTab
§ NoTrayContextMenu
§ NoUserNameInStartMenu
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
§ NoDispAppearancePage
§ NoDispScrSavPage
§ NoDispSettingsPage
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
§ ClassicShell
§ NoClose
§ NoFind
§ NoPrinters
§ NoThemesTab
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
§ NoDispAppearancePage
§ NoDispScrSavPage
§ NoDispSettingsPage
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
§ DisableSR = 0
- HKEY_CURRENT_USER\Control Panel\don't load
§ appwiz.cpl = No
§ desk.cpl = No
§ hdwwiz.cpl = No
§ joy.cpl = No
§ main.cpl = No
§ ncpa.cpl = No
§ netcpl.cpl = No
§ nusrmgr.cpl = No
- HKEY_CURRENT_USER\Control Panel\Desktop
§ MenuShowDelay = 5000
- HKEY_CURRENT_USER\Control Panel\Mouse
§ DoubleClickSpeed = 150
Jika komputer anda sudah terinfeksi W32/Gedug.A anda akan kesulitan untuk menampilkan file-file yang telah disembunyikan sekalipun jika anda berusaha untuk memampilkan ekstensi file karena virus ini akan berusaha untuk mengunci kedua option pada “Folder Option” tersebut dengan merubah string pada registry berikut :
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
§ UncheckedValue = 1
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
§ CheckedValue = 1
§ DefaultValue = 1
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
§ UncheckedValue = 0
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
§ CheckedValue = 0
§ DefaultValue = 0
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
§ CheckedValue = 0
§ DefaultValue = 0
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN
§ CheckedValue = 0
§ DefaultValue = 0
Selain itu W32/Gedug.A juga akan menyembunyikan ekst. EXE, dengan membuat string pada registry berikut :
- HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile
§ NeverShowExt = 1
W32/Gedug.A juga akan blok beberapa software security seperti HijackThis, Killbox, Iknown Process atau proceexp serta akan mencoba blok program antivirus Norman dengan memunculkan pesan error (lihat gambar 7) jika program tersebut dijalankan, untuk melakukan hal tersebut ia akan membuat string pada registry berikut :
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
§ 1 = HijackThis.exe
§ 2 = KillBox.exe
§ 3 = Pocket KillBox.exe
§ 4 =ShowKillProcess.exe
§ 5 = CurrProcess.exe
§ 6 = IKnow Process.exe
§ 7 = Iknown.exe
§ 8 = iKnowPS.exe
§ 9 = Procexp.exe
§ 10 = bantu.exe
§ 11 = Zlh.exe
Gambar 7, Pesan error yang muncul jika menjalankan tools security yang diblok olah virus
Masih banyak lagi aksi yang dilakukan oleh vW32/Gedug.A seperti merubah format jam pada task bar dengan merubah format PM menjadi <[@_@]> dan AM menjadi <[~_~]> (lihat gambar 8) atau merubah nama pemilik komputer dengan merubah :
§ RegisteredOrganization = >> KOTA GUDEG <<
§ RegisteredOwner = >>> G04T 74V4 <<<
Untuk melakukan kedua hal tersebut W32/Gedug.A akan merubah string pada registry berikut:
- HKEY_CURRENT_USER\Control Panel\International
§ s1159 = <[@_@]>
§ s2359 = <[~_~]>
Gambar 8, Tampilan jam yang diubah oleh virus
Jangan harap anda dapat menemukan format jam yang ada di task bar karena W32/Gedug.A akan menyembunyikannya. (lihat gambar 9)
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
§ RegisteredOrganization = >> KOTA GUDEG <<
§ RegisteredOwner = >>> G04T 74V4 <<<
Gambar 9, Registered owner dan Organization yang diubah oleh virus
Jika anda membuka [Windows Explorer] jangan kaget jika tools bar yang ada akan berubah dengan tambahan gambar Drip, (lihat gambar 10) hal ini dilakukan oleh Gedug dengan membuat string pada registy berikut:
- HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar
§ BackBitmap = C:\Documents and Settings\All Users\Application Data\Microsoft\User Account Pictures\Default Pictures\drip.bmp
Gambar 10, Toolbar Windows yang diubah oleh virus
Untuk menyebarkan dirinya, ia masih menggunakan media Disket/Flash Disk dengan membuat file berikut, dimana file ini akan mempunyai ukuran 35 KB
§ Anggota_DPR_mesum.exe
§ Anggota_DPR_mesum.rar [hidden file]
§ Lokal Punya Selera.exe
§ Lokal Punya Selera.rar [hidden file]
Sebagai penutup, W32/Gedug.A akan menyembunyikan semua file yang dikompresi dengan menggunakan WINZIP/WINRAR dan untuk mengelabui user ia akan membuat file duplikat sesuai dengan nama file yang disembunyikan tersebut dengan ciri-ciri:
- Mengunakan icon WinRAR
- Ukuran 35 KB
- Ext. EXE
- Type File “Application” (lihat gambar 11)
Gambar 11, File duplikat yang dibuat oleh virus
Cara membersihkan Gedug :
1.
Putuskan hubungan komputer yang akan dibersihkan dari jaringan
2.
Matikan proses virus yang aktif dimemori. Untuk mematikan proses virus tersebut kami sarankan anda jangan menggunakan tools Pocket Killbox/Iknow Process/CurrProcess atau ProceesXP karena tools ini akan diblok oleh virus. Sebagai gantinya anda dapat mengunakan tools XrayPC [www.x-raypc.com], kemudian matikan file virus dengan nama WinRAR.exe yang berada di direktori C:\Documents and Settings\LocalService (lihat gambar 12)
Klik tombol ini untuk mamatikan proses virus yang aktif di memori
Gambar 12 Gunakan X-Ray PC untuk mematikan proses virus yang aktif di memori
3.
Hapus string registry yang sudah dibuat oleh virus dengan menyalin script dibawah ini pada program notepad dan simpan dengan nama repair.inf kemudian jalankan file tersebut dengan cara :
*
Klik kanan repair.inf
*
Klik Install
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN, CheckedValue,0x00010001,2
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN, DefaultValue,0x00010001,2
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, CheckedValue,0x00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, DefaultValue,0x00010001,2
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,CheckedValue,0x00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,DefaultValue,0x00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, CheckedValue,0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, DefaultValue,0x00010001,0
HKCU, Control Panel\International, s1159,0, "AM"
HKCU, Control Panel\International, s2359,0, "PM"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOrganization,0, "Your Organization"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOwner,0,"YourOwner"
HKCU, Control Panel\Desktop, MenuShowDelay,0, "400"
HKCU, Control Panel\Mouse, DoubleClickSpeed,0, "500"
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,NoDispAppearancePage
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,NoDispScrSavPage
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,NoDispSettingsPage
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,ClassicShell
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,DisallowRun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,HideClock
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,HideClock
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFind
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoClose
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoThemesTab
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoInstrumentation
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoPrinters
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoSetTaskbar
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoSMHelp
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoStartMenuMorePrograms
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoThemesTabNoThemesTab
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoTrayContextMenu
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoUserNameInStartMenu
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, ClassicShell
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoClose
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoFind
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoPrinters
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoThemesTab
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system,NoDispAppearancePage
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system,NoDispScrSavPage
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system,NoDispSettingsPage
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore,DisableSR
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
HKCU, Software\Microsoft\Internet Explorer\Toolbar, BackBitmap
HKLM, SOFTWARE\Classes\exefile, NeverShowExt
HKCU, Control Panel\don't load, appwiz.cpl
HKCU, Control Panel\don't load, desk.cpl
HKCU, Control Panel\don't load, hdwwiz.cpl
HKCU, Control Panel\don't load, joy.cpl
HKCU, Control Panel\don't load, main.cpl
HKCU, Control Panel\don't load, ncpa.cpl
HKCU, Control Panel\don't load, netcpl.cpl
HKCU, Control Panel\don't load, nusrmgr.cpl
4.
Hapus file induk yang dibuat oleh virus. Sebelum menghapus file induk dari virus tersebut pastikan anda sudah menampilkan semua file yang disembunyikan dengan memilih option “Show Hidden files and foldders” dan menghilangkan tanda check list pada option “Hide protected operating system files (recommended)” serta “hide extension for known file types” pada Folder Options [Lihat gambar 13 di bawah]
Gambar 13, Menampilkan file yang disembunyikan
Kemudian hapus file berikut:
*
C:\Documents and Settings\LocalService
· WINRAR.exe
· msvbvm60.dll
*
C:\Program Files\WindowsUpdate
· WinUpdate.exe [zip file]
· pingstatus.dat
*
C:\Anggota_DPR_mesum.exe [disetiap drive]
*
C:\Anggota_DPR_mesum.rar [disetiap drive]
*
C:\[DATA]Anggota_DPR_mesum.exe [disetiap drive]
*
C:\[DATA]Lokal Punya Selera.exe [disetiap drive]
*
C:\[DATA]Anggota_DPR_mesum.rar [disetiap drive]
*
C:\[DATA]Lokal Punya Selera.rar [disetiap drive]
*
C:\Lokal Punya Selera.exe [ disetiap drive]
*
C:\Lokal Punya Selera.rar [ disetiap drive]
*
C:\Documents and Settings\%user%
· Anggota_DPR_mesum.exe
· Anggota_DPR_mesum.rar
· Lokal Punya Selera.exe
· Lokal Punya Selera.rar
*
C:\Documents and Settings\LocalService
· AcrobatInfo.exe
5.
Hapus file duplikat yang dibuat oleh virus dengan ciri-ciri:
*
Mengunakan icon WinRAR
*
Ukuran 35 KB
*
Ext. EXE
*
Type File “Application”
6.
Tampilkan kembali file ZIP/RAR yang sudah diubah oleh virus dengan menulis perintah berikut pada DOS PROMPT
ATTRIB –s –h C:\*.ZIP /s
ATTRIB –s –h C:\*.RAR /s
Jika anda ingin menampilkan file ZIP/RAR di drive lain [contoh D:\] tulis perintah di atas dengan menganti lokasi drive yang akan diperiksa, contoh jika ingin memeriksa drive D:\
ATTRIB –s –h D:\*.ZIP /s
ATTRIB –s –h D:\*.RAR /s
7.
Untuk pembersihan optimal dan mencegah infeksi ulang, gunakan antivirus yang sudah dapat mengenali virus ini dengan baik.
8.
PT. Vaksincom memberikan removal W32/Gedug, silahkan download di http://www.vaksin.com/file/Ngenfix-Gedug061221.exe
AJ Tau
