____________________ ___ ___ ________ \_ _____/\_ ___ \ / | \\_____ \ | __)_ / \ \// ~ \/ | \ | \\ \___\ Y / | \ /_______ / \______ /\___|_ /\_______ / \/ \/ \/ \/ .OR.ID ECHO-ZINE RELEASE 07 Author: Author : Newbe@st | newbeast@telkom.net Online @ www.echo.or.id :: http://ezine.echo.or.id MENGHENTIKAN INFEKSIH SUSULAN VIRUS MY HEART 2 ? Seiring tahun 2004 inih parah virus maker tambah jagoh ajah. Seorang teman mengirimkan sebuah virus yang sukses menginfeksih kompinyah. Setelah sayah cobah scan, tak satupun AntiVirus update terkinih (3 Juni 2004) dapat menghapus virus tersebut (dicobah padah McAfee, Norton, Panda, Norman, AVG). Virus inih jugah sudah penulis submit ke lab symantec dan mcafee dan sampai saat inih belum adah respon mengenaih virus tersebut. Sesuai dengan judulnyah karenah belom adah yang ngeklaim namah virus inih, so penulis menyebutnyah "My Heart 2". Alasannyah : 1. Masih ingat virus My Heart ato Pesin? duah minggu laluh udah mengakhiri aksinyah dengan menghapus folder windows padah kompie yang terinfeksih. Kebetulan ato nggak.. yang jelas virus My Heart 2 inih muncul setelah ending darih virus My Heart. 2. Cirih virus hampir samah dengan My Heart, menginfeksih folder system, mapped drive dan disket, jugah mampuh menyebar padah jaringan. 3. Sepertih My Heart, virus inih bisah menduplikasih dengan namah yang berbedah sepertih : fbi wanted, adult on night, hacker tutorial1, blah..blah..blah... banyak lagih namah yang ngegemesin buat dibukah, tapih yang buat sayah tambah yakin.. virus inih jugah membuat duplikasih dengan namah My Heart. Sekelumit Info Tentang My Heart 2 My Heart 2 dibuat hanyah untuk menginfeksih kompie yang berjalan dengan system operasih M$ Window$, jadih yang punyah OS sepertih *nix gak perlu panik heheheh.. belajar darih My Heart, virus satuh inih bisah membuat duplikasih dengan ukuran yang berbedah dan udah pakeh source anti deletion (mungkin inih yang buat pusing produsen antivirus) ukuran tergolong gedhe bisah 234kb, 260kb dst. Dan uniknyah virus inih menggunakan icon acak, bisah pakeh icon bmp, jpg, gif, doc, xls, mdb, wav, mp3, zip, dll. Yang bikin merinding nih.. virus tersebut bisah mengirimkan infoh yang dicurih darih kompie yang terinfeksi pada sang virus master? (sepertih hacking tool ajah) gak ituh ajah sepertinyah virus inih jugah berfungsih sebagai pintuh belakang... backdoor?. Ihhhh syereeem deh. Pendeteksian Sederhanah… cukup Ctrl+Alt+Del pada windows 98 ato dilanjutkan dengan processes pada windows 2000 atau XP untuk melihat aplikasih apah ajah yang lagih aktif. Kalu salah satuh adah yang berbunyih nclienti386.exe makah kompie tersebut positif terinfeksih My Heart 2. Menghentikan Penginfeksian Berlanjut Padah intinyah kitah harus menghapus file virus, diantaranyah (dalam format 8.3): ACCOUN~1.EXE ACDWAL~1.EXE ADULTO~1.EXE ADVENT~1.EXE AVRILL~1.EXE BACKUP~1.EXE BANKDA~1.EXE BIBLIO.EXE BLACKB~1.EXE BLUELA~1.EXE BLUEPO~1.EXE BRITNE~1.EXE CALLC.EXE CHKDKS.EXE COFFEE~1.EXE COMAND.EXE DATAOW~1.EXE DBASTO~1.EXE DESTIN~1.EXE DISCOPER.EXE DON'TO~1.EXE DRWATS~1.EXE EMINEM~1.EXE EXE~1 EXPLODER.EXE FBIWAN~1.EXE FEATHE~1.EXE FIREHO~1.EXE GONEFI~1.EXE GREENS~1.EXE HACKER~1.EXE HACKER~2.EXE HLOOKUP.EXE JAVA-B~1.EXE JAVA-T~1.EXE KRNL38~1 LASTAR~1.EXE LIMPBI~1.EXE LIMPBI~2.EXE LIMPBI~3.EXE MOBSYNCS.EXE MSSIEXEC.EXE MYHEAR~1.EXE NCLIEN~1.EXE NETVIEWS.EXE NIRVAN~1.EXE NITEVI~1.EXE NORTHW~1.EXE NOTAPAD.EXE NTSRVO~1.VXD OHYEKI~1.EXE OPENOF~1.EXE PLAYAN~1.EXE PORNAR~1.EXE PORNBA~1.EXE PRAIRI~1.EXE PWDUMPS.EXE REGEDITS.EXE RHODOD~1.EXE RIVERS~1.EXE RUNONCES.EXE SALLAR~1.EXE SANTAF~1.EXE SEPULT~1.EXE SETUPI~1.EXE SEXPEN~1.EXE SEXYHO~1.EXE SOAPBU~1.EXE SQLREP~1.EXE ST5UNSTS.EXE TELLNET.EXE TONKHA~1.EXE TRYTHI~1.EXE VAGINA~1.EXE VLOOKUP.EXE WHATUP~1.EXE WHOIST~1.EXE WINGWORD.EXE WINNTS.EXE ZAPOTECS.EXE terutamah yang otomatis tereksekusih padah saat startup windows yaituh : drwatsoon.exe ;234 kb ==> drwats~1.exe mobsyncs.exe ;234 kb ==> mobsyncs.exe NClienti386.exe ; 57 kb ==> nclien~1.exe krnl386Mem ; 234 kb ==> krnl38~1 ntsrvosi386.vxd ; 234 kb ==> ntsrvo~1.vxd .exe ; n/d ==> exe~1 dan file-file inih biasanyah adah padah folder default : \windows\system\ atau \windows\system32\ \winnt\system\ atau \winnt\system32\ dan padah folder Start Up padah Start Menu : \WINDOWS\Start Menu\Programs\Start Up\ ==> \windows\startm~1\programs\startup\ \Documents and Settings\*User\Start Menu\Programs\Startup\ ===== ===> \docume~1\*user\startm~1\programs\startup Masih banyak lagih folder yang diinfeksih sepertih desktop, startmenu, programs, dan masing-masing drive, tetapih yang terutamah adalah yang dijelaskan sebelumnyah, untuk file yang lain udah bisah andah hapus menggunakan windows. Perlu diketahui bahwa *User diatas adalah perumpamaan sajah, rubah sesuai dengan kompie andah masing-masing. Adah baiknyah kalu andah membuat program batch yang akan menghapus semuah file yang adah padah daftar file virus diatas dengan sekali enter, kalu gak bisah buat japrih sayah ajah. Menormalkan System Setelah virus yang autorun di hapus makah padah saat restart windows makah akan muncul message box bahwah file inih en file ituh gak diketemukan (file virusnyah). Padah windows 98 ketikan win.ini padah run kemudian hapus line yang memuat katah 'mobsyncs.exe'Padah windows nt/2000/xp cobah find registry yang mengandung katah mobsyncs.exe, drwatsoon.exe dan NClienti386.exe trus dihapus ajah. Misalnyah padah Windows 2000 : [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] "Sync Server"="C:\\WINNT\\System32\\drwatsoon.exe /n logon" "Srv RPCmod"="C:\\WINNT\\System32\\NClienti386.exe" [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] "load"="C:\\WINNT\\System32\\mobsyncs.exe" [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell"="explorer.exe drwatsoon.exe" Restart windows andah, dan jangan mudah tergodah dengan judul yang emang menggodah hueheheheh... dasar virus maker adaaaa ajah… hehehehh… but… it really a great job. Kritik, saran dan pertanyaan silahkan email langsung ke sayah, yang mauh kirim contoh virus baik yang udah lumrah ato gak lumrah jugah boleh. Sayah tidak janjih untuk memberikan respon yang segerah tetapih sayah sangat menghargaih segalah bentuk masukan. Newbe@st | Greetz to echo.or.id - Newbie Hackers | Jasakom | OpeNuxIndo - Newbie Linux | SevenC