Warnet KITA
Would you like to react to this message? Create an account in a few clicks or log in to continue.
Warnet KITA

Forum Diskusi Buat KITA-KITA
 
IndeksIndeks  GalleryGallery  Latest imagesLatest images  PencarianPencarian  PendaftaranPendaftaran  LoginLogin  
Navigation
 Portal
 Indeks
 Anggota
 Profil
 FAQ
 Pencarian
Latest topics
» Free SEO Tools
virus rieysha Icon_minitimeMon Feb 13, 2012 2:36 am by dsimie

» Pensiun Hari Paling Menyedihkan Bagi Maldini
virus rieysha Icon_minitimeFri Apr 03, 2009 8:48 pm by silitonga

» Adriano Menggantung Nasibnya di Inter
virus rieysha Icon_minitimeFri Apr 03, 2009 8:47 pm by silitonga

» Chivu Mungkin Kembali ke Roma
virus rieysha Icon_minitimeFri Apr 03, 2009 8:46 pm by silitonga

» Adriano Kembali Terlambat Pulang
virus rieysha Icon_minitimeFri Apr 03, 2009 8:46 pm by silitonga

» Kunjungan MU ke INDONESIA dalam rangkaian Tour The Asia
virus rieysha Icon_minitimeFri Apr 03, 2009 8:43 pm by silitonga

» Resep Kue - Roti Hamburger
virus rieysha Icon_minitimeFri Apr 03, 2009 8:40 pm by silitonga

» Es Krim - Es Krim Kelapa Muda
virus rieysha Icon_minitimeFri Apr 03, 2009 8:39 pm by silitonga

» shabu_shabu
virus rieysha Icon_minitimeFri Apr 03, 2009 8:38 pm by silitonga

April 2024
MonTueWedThuFriSatSun
1234567
891011121314
15161718192021
22232425262728
2930     
CalendarCalendar
Pencarian
 
 

Display results as :
 
Rechercher Advanced Search

Warnet KITA :: Hobby :: Computer :: Computer :: Guide & Tutorial
 

 virus rieysha

Go down 
PengirimMessage
frank_sperrow

frank_sperrow


Male Jumlah posting : 31
Registration date : 31.08.08

virus rieysha Empty
PostSubyek: virus rieysha   virus rieysha Icon_minitimeTue Sep 16, 2008 2:11 pm
W32/Autorun.FCN 9 September 2008



Sayang Kapan Kamu Kembali Ke Indonesia?

Apa Kamu Kembali Dengan Hatimu Yang Dulu?

Tak Kau Lihat Aku Disini Rapuh?

Hanya Berharap Kamu Dapat Mengerti Aku



Harap hati-hati jika menemukan file dengan icon TXT (text document) yang mempunyai ukuran 443 KB dengan ekstensi EXE (Application) dalam komputer maupun Flash Disk sebaiknya jangan dibuka jika tidak ingin komputer anda di acak-acak oleh rieysa.

Dilihat dari script yang ada dalam tubuh virus serta pesan yang ditampilkan, kemungkinan virus ini berasal dari kota Gudeg (Jogjakarta). Virus ini sudah tidak lagi menggunakan program bahasa Visual Basic tetapi sudah dibuat dengan menggunakan program bahasa Borland Delphi 6.0. Oleh karena itu dalam salah satu misinya adalah berupaya melumpuhkan semua program yang dibuat dengan program bahasa Visual Basic 6.0.



Ciri-ciri komputer terinfeksi Autorun.FCN (rieysha)

Ciri umum yang dapat dikenali dari virus ini adalah akan munculnya pesan dari sang pembuat virus setiap kali komputer dinyalakan atau pada saat user membuka file yang mempunyai ekstensi .TXT, .BAT, .DOC atau .INI.
Selain itu pada jendela System Properties, virus ini akan merubah RegisterOwner menjadi rieysa dan RegisterOrganization menjadi anak Jogja
Ciri lain yang akan didapat dari virus ini adalah, virus ini akan merubah halaman utama (start page IE) pada saat menjalankan aplikasi internet explorer menjadi alamat http://anharku.freevar.com, situs ini merupakan situs sang VM yang salah satu isinya adalah kumpulan virus-virus yang berhasil dibuat oleh sang VM

Runtime Virus

Pada saat pertama kali file virus ini dijalankan, ia akan menampilkan beberapa pesan dari sang VM yang ditunjukan kepada kekasihnya,

Jika pesan tersebut ditutup maka ia akan menutup semua program aplikasi yang sedang dibuka dan menutup desktop Windows dengan wallpaper yang telah dipersiapkan oleh virus yang teridiri dari beberapa warna secara terus menerus. Pada walpaper tersebut terdapat satu opsi yang jika di centang maka akan mucul pesan 2 pesan yakni “rieysa anak jogja” dan salam buat hacker and virus maker” secara terus menerus selama opsi tersebut di pilih.
File induk

Setelah file tersebut dijalankan ia akan membuat 2 buah file di folder dimana file virus tersebut dijalankan pertama kali yakni :

rieysha_anak_jogja.txt = 1,356 KB

File ini adalah file msvbvm60.dll asli Windows, sedangkan untuk mengelabui user ia akan copy file C:\Windows\system32\msvbvm50.dll menjadi C:\Windows\System32\msvbvm60.dll

rieyshaSakitHati.txt = 131

Untuk mempertahankan dirinya, ia akan membuat beberapa file induk yang ditepatkan di lokasi yang berbeda-beda seperti:

C:\Program Files

RunDll.exe

KenanganJogja.exe

C\WINDOWS\rieysha.exe

C:\Jadwal_Manggung.exe

C:\PesanBuatKekasih.bat

C:\rieysha.exe

C:\Windows

bacaan_anak_tk.txt (file asli = notepad.exe)

bacaanHot.txt (file asli = notepad.exe)

pesan.txt

ReadMe.txt (file asli = cmd.exe)

rieysha.exe

C:\Windows\system32

Rahasiaku_Pacarku.exe

DaftarHacker_Blacklist.exe

Cerita_Panas_Mendebarkan.exe

Pesanku.doc

SuratCinta.exe

Autorun.inf

RieyshaAnakJogja.exe

Sampah.txt

notepad.exe

C\WINDOWS\system32\Restore\pesan1.txt

C\WINDOWS\system

psene_seng_gawe.rtf

rieysha.exe

Jogja_virus_maker.exe

D\DiaryRieysha.exe

D:\Puisi.txt

E\CatatanTugas.exe

H:\CeritaDewasa.exe

G:\CatatanML.exe

K\CeritaML.exe

Virus ini juga akan membuat string pada registry berikut agar salah satu file induk tersebut dapat dijalankan secara otomatis setiap kali komputer dinyalakan:



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run

RunDll=C:\Program Files\RunDll.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices

Windll=C:\Program Files\Internet Explorer\Iexplore.exe

Untuk mempertahankan dirinya ia akan mencoba untuk blok beberapa fungsi windows seperti :

Task Manager

Regedit

Run

Find

Shutdown

Folder Option

Menyembunyikan drive master (c:\)

Untuk blok fungsi Windows di atas ia akan membuat string pada registry berikut:



HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

Explorer = NoCLose

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer

- NoCLose = 1

- NoDrives = 4

- NoDriveTypeAutoRun = 0

- NoFind = 1

- NoFolderOptions = 1

- NoRun = 1

- NoViewOnDrive = 4



HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

- DisableCMD =1

- DisableRegistryTools =1

- DisableTaskMgr = 1



Virus ini juga akan mencoba untuk merubah beberapa nama file windows seperti C:\Windows\cmd.exe menjadi “ReadMe.txt“ dan C:\Windows\notepad.exe menjadi ”bacaan_anak_tk.txt” atau “bacaanHot.txt”



Untuk menunjukan eksistensinya ia akan merubah nama pemilik Windows, penunjuk jam serta merubah halaman utama internet explorer dengan merubah string pada registry berikut:



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

- RegisteredOrganization = anak jogja gitu

- RegisteredOwner = rieysha (lihat gambar 2 di atas)



HKEY_CURRENT_USER\Control Panel\International

- s1159 = rieysha

- s2359 = rieysha (lihat gambar 6)



HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

- Start Page=anharku.freevar.com




Manipulasi file notepad.exe untuk mempertahankan diri

Agar virus ini susah dibasmi, ia akan menghapus file “c:\windows\system32\notepad.exe”. Agar user tidak curiga dan file yang dibuka dengan program “notepad” tetap dapat dijalankan maka ia akan membuat file duplikat dengan nama yang sama. Jika user menjalankan file dengan ekstensi .bat, .ini, .doc atau .txt serta mengedit file dengan program notepad seperti .cmd, .regi, .vbe, .wsf, .zaf maka secara otomatis akan menjalankan file notepad.exe yang sebenarnya adalah virus serta memunculkan pesan dari sang pembuat virus.



Merubah icon dan type file menjadi txtfile

Virus ini juga akan merubah icon file dengan ekstensi .bat, .ini, .doc, .txt (txtfile) dan .dll dengan icon "TXT (text document)”, serta mempunyai type file sebagai “Text Document” jika file tersebut dibuka maka akan muncul pesan dari si pembuat virus. Untuk melakukan hal tersebut ia akan merubah string pada registry berikut:



HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.sys

- [default] = txtfile



HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.doc

[default] = txtfile

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.bat

- [Default] = txtfile



HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.ini

- [default] = txtfile



HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.dll

[Default] = txtfile

Jika lokasi key txtfile ini ditelusuri akan terlihat jelas bahwa file tersebut akan mempunyai icon text Document [] dan secara default file tersebut akan dibuka dengan menggunakan program “notepad”,

Sedangkan file notepad.exe tersebut sebenarnya adalah file induk virus, dari sini sudah dapat dipastikan bahwa setiap kali user membuka file yang mempunyai ekstensi di atas maka secara tidak langsung akan mengaktifkan virus tersebut.
Autorun.FCN juga berusaha untuk merubah type file dari aplication menjadi Text Document, dengan tujuan untuk menyamarkan dirinya agar mudah untuk mengelabui user karena icon yang akan digunakan adalah icon TXT, tetapi hal ini tidak berhasil karena terdapat kesalahan pada saat merubah string default icon file aplikasi.



HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile

- Default = Text Document



Setiap kali komputer dinyalakan, Autorun.FCN juga akan menampilkan pesan berikut, jika pesan tersebut di tutup maka semua program aplikasi akan di matikan poleh virus serta menutup Wallpaper windows dengan wallpaper dirinya dengan warnan berbeda secara terus menerus. Pada wallpaper tersebut terdapat satu opsi yang jika di centang maka akan memunculkan pesan lain dari sang pembuat virus. (lihat gambar 1 dan 5 di atas)


Blok program VB 6.0

Autorun.FCN akan mencoba untuk blok semua program yang dibuat dengan menggunakan program Visual Basic 6.0. termasuk virus yang dibuat dengan bahasa VB 6.0. Untuk melakukan hal tersebut ia merubah file C:\Windows\system32\msvbvm60.dll menjadi rieysha_anak_jogja.txt (biasanya file ini akan di simpan di direktori di mana file virus pertama kali dijalankan atau di drive C:\) dan untuk mengelabui user ia akan copy file C:\Windows\system32\msvbvm50.dll menjadi C:\Windows\system32\msvbvm60.dll, sehingga user tidak menyadari bahwa file msvbvm60.dll sudah dimanipulasi oleh virus.

Jika user membuka file yang dibuat dengan Visual Basic 6.0 maka akan mucul pesan error

Media penyebaran

Untuk menyebarkan dirinya, Autorun.FCN akan membuat file dengan nama CatatanML.exe pada Flash Disk.



Cara membasmi Autorun.FCN

Untuk membersihkannya, simak langkah-langkah berikut ini:

1. Matikan System Restore selama proses pembersihan.

2. Matikan proses virus yang sedang aktif dimemori. Untuk mematikan proses ini anda dapat menggunakan tools pengganti task manager seperti "Curr Process", kemudian matikan proses yang mempunyai icon "txt".

3. Perbaiki registry Windows dengan membuat script berikut pada program notepad, kemudian simpan dengan nama repair.inif. Jalankan file tersebut dengan cara: klik kanan repair.inf, lalu klik Install.

Sebaiknya buat file repair.inf di komputer lain yang tidak terinfeksi virus agar virus tidak kembali aktif atau pada program wordpad.


[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOrganization,0, "Organization"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOwner ,0, "Owner"
HKCU, Control Panel\International, s1159,0, "AM"
HKCU, Control Panel\International, s2359,0, "PM"
HKCU, Software\Microsoft\Internet Explorer\Main, Start Page,0, "about:blank"
HKLM, SOFTWARE\Classes\.sys,,,"sysfile"
HKLM, SOFTWARE\Classes\.doc,,,"word.document.8"
HKLM, SOFTWARE\Classes\.bat,,,"batfile"
HKLM, SOFTWARE\Classes\.ini,,,"inifile"
HKLM, SOFTWARE\Classes\.dll,,,"dllfile"
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\explorer, NoDriveTypeAutoRun,0x00010001,255

[del]

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\run, RunDll
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices, Windll
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies, NoClose
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\explorer, NoClose
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\explorer, NoDrives
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\explorer, NoFind
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\explorer, NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\explorer, NoRun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\explorer, NoViewOnDrive
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableCMD
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHiden
HKCU, SOFTWARE\Classes\exefile, Default

Catatan:

Pada saat menyimpan file repair.inf pada program wordpad, pada kolom "save as type" pilih "Text Document".

4. Hapus file virus dengan terlebih dahulu menampilkan file yang tersebunyi agar proses pencarian file lebih optimal. Jika folder option atau drive master (c:\) belum tampil, logoff komputer terlebih dahulu.

C:\Program Files

RunDll.exe
KenanganJogja.exe
C\WINDOWS\rieysha.exe
C:\Jadwal_Manggung.exe
C:\PesanBuatKekasih.bat
C:\rieysha.exe
C:\Windows

pesan.txt
rieysha.exe
C:\Windows\system32

Rahasiaku_Pacarku.exe
DaftarHacker_Blacklist.exe
Cerita_Panas_Mendebarkan.exe
Pesanku.doc
SuratCinta.exe
Autorun.inf
RieyshaAnakJogja.exe
Sampah.txt
notepad.exe
C\WINDOWS\system32\Restore\pesan1.txt
C\WINDOWS\system

psene_seng_gawe.rtf
rieysha.exe
Jogja_virus_maker.exe
D\DiaryRieysha.exe
D:\Puisi.txt
E\CatatanTugas.exe
H:\CeritaDewasa.exe
G:\CatatanML.exe
K\CeritaML.exe

5. Cari file rieysha_anak_jogja.txt, kemudian rename menjadi MSVBVM60.DLL, setelah itu copy file tersebut ke direktori "C:\Windows\system32".

6. Ubah nama file "C:\Windows\bacaan_anak_tk.txt" atau "C:\Windows\ bacaanHot.txt" (pilih salah satu) menjadi C:\Windows\notepad.exe. Kemudian ubah juga nama file "C:\Windows\ReadMe.txt" menjadi "C:\Windows\cmd.exe"
Kembali Ke Atas Go down
 
virus rieysha
Kembali Ke Atas 
Halaman 1 dari 1
 Similar topics
-
» cara buat VIRUS pake N O T E P A D I
» Cara Simple Buat Virus... (kalo ga salah sih....)
» CARA NGEHACURIN KOMPUTER DENGAN VIRUS NOTEPAD

Permissions in this forum:Anda tidak dapat menjawab topik
Warnet KITA :: Hobby :: Computer :: Computer :: Guide & Tutorial-
Navigasi: