W32/Obfuscated.D2!gen – Virus Facebook
Apa yang ada dalam pikiran pembuat virus ketika bermain facebook? 💡 betul.. 100 untuk anda. Dari kreativitas tersebut kini sudah hadir Virus Facebook yang dikenal dengan nama Bredolab atau oleh antivirus Norman terdeteksi sebagai W32/Obfuscated.D2!gen.
Berhati hatilah jika anda menerima sebuah email yang seolah-olah dari Admin Facebook berisi attachment mengandung virus kemudian meminta untuk mereset password Facebook anda. Setelah anda terinfeksi, sang virus kemudian mendownload antivirus palsu yang menyamarkan sebagai antispyware dengan nama “Security Tools”. Anda kemudian ditawakan untuk membeli antispyware palsu tersebut. File antyspyware “security tools” mempunyai ukuran sekitar 1.103 MB dengan type file sebagai application.
Attachmen dalam email yang anda terima berisi 2 buah file virus bericon MsExcel (30 Kb) atau file zip (24Kb), yang akan aktif ketika komputer dinyalakan. Ketika komputer telah terhubung dengan jaringan internet virus ini kemudian mendownload trojan/ spyware lain yang akan dijalankan secara otomatis.
Cara membersihkan :
1. Disable system restore
2. Disconect komputer dari jaringan internet
3. Lakukan pembersihan pada mode “safe mode”
4. Install software “unlocker”
5. Matikan proses virus yang aktif dimemory, dengan “Security Task Manager”
mematikan proses virus dari memory dengan Security Task Manager
Kemudian perbaiki registry dengan script dari vaksin.com :
[Version]
Signature=”$Chicago$”
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”””%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKCU, Software\Microsoft\Internet Explorer\Main, tart Page,0, “about:blank”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,userinit,0, “userinit.exe”
[del]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,reader_s
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,47543326
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,PromoReg
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,reader_s
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,EnableProfileQuota
HKLM, SOFTWARE\AGProtect
HKLM, SOFTWARE\47543326
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network, UID
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion, Rlist
HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}
HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{8FFA689D-2C2B-2B2E-D865-74C04CA4EF06}
====================================
[copy – paste pada Notepad kemudian safeAs dengan nama repair.inf – Klik kanan repair.inf pilih install ]
Hapus file yang dibuat virus di :
- C:\Documents and Settings\All Users\Application Data\47543326
- C:\Documents and Settings\Elvina\Start Menu\Programs\Security Tools.lnk
- C:\Documents and Settings\Elvina\Desktop\ Security Tools.lnk
- C:\Documents and Settings\Elvina\Application Data\ wiaservg.log§ C:\Documents and Settings\Elvina\Local Settings\Temp\*.tmp
- C:\WINDOWS\Temp\ wpv311256600826.exe
- C:\WINDOWS\Temp\ wpv411256806849.exe
- C:\Documents and Settings\%user%\reader_s.exe
- C:\Documents and Settings\%user%\Start Menu\Programs\Startup\isqsys32.exe
- C:\WINDOWS\system32\reader_s.exe
- C:\Windows\system32\wbem\proquota.exe
- C:\windows\system32\sdra64.exe
- C:\Windows\system32\lowsec
o local.ds
o user.ds
o user.ds.lll
Untuk menghapus folder [C:\Windows\system32\lowsec] dan [C:\windows\system32\sdra64.exe], gunakan tools “unlocker” untuk memisahkan proses tersebut dengan proses system windows (explorer.exe dan svchost.exe), karena kedua file tersebut akan menginjeksi file [explorer.exe dan svchost.exe] caranya:
Klik kanan pada file [C:\windows\system32\sdra64.exe] atau folder [C:\Windows\system32\lowsec]
Kemudian klik menu “unlocker”
Pada layar unlocker, pilih opsi [hapus]
Kemudian klik tombol [OK]
Jika muncul pesan error, di abaikan saja (klik ok)
Hapus file temporary dan temporary interet file, gunakan tools ATF-Cleaner
Bersihkan secara optimal dengan tools Norman Malware Cleaner atau dengan versi terbaru. Bisa juga dengan Malwarebytes Anti Malware .
Review ini saya sampaikan sekedar mengingatkan anda untuk berhati hati ketika bermain facebook, sebab dari cara penyebaran virus Bredolab ini, varian lain untuk virus facebook terbarunya pasti akan lebih hebat lagi 
Cukup, terimakasih sudah membaca …
Salam
o Wp%xxx%.exe (xxx ini berbeda-beda, contohnya wpv271256600826.exe)
o _ex-08.exe
* C:\Documents and Settings\Elvina\Local Settings\Temp\*.tmp
* C:\Documents and Settings\All Users\Application Data\47543326\ 47543326.exe
Zank is Me.. 
Komentar baru