In a few words

Posts tagged “facebook

W32/Obfuscated.D2!gen – Virus Facebook

virus facebookApa yang ada dalam pikiran pembuat virus ketika bermain facebook?  💡 betul.. 100 untuk anda. Dari kreativitas tersebut kini sudah hadir Virus Facebook yang dikenal dengan nama Bredolab atau oleh antivirus Norman terdeteksi sebagai W32/Obfuscated.D2!gen.

Berhati hatilah jika anda menerima sebuah email yang seolah-olah dari Admin Facebook berisi attachment mengandung  virus kemudian meminta untuk mereset password Facebook anda. Setelah anda terinfeksi, sang virus kemudian mendownload antivirus palsu yang menyamarkan sebagai antispyware dengan nama “Security Tools”. Anda kemudian ditawakan untuk membeli antispyware palsu tersebut. File antyspyware “security tools” mempunyai ukuran sekitar 1.103 MB dengan type file sebagai application.

Attachmen dalam email yang anda terima berisi 2 buah file virus bericon MsExcel (30 Kb) atau file zip (24Kb), yang akan aktif ketika komputer dinyalakan.  Ketika komputer telah terhubung  dengan jaringan internet  virus ini kemudian mendownload trojan/ spyware lain yang akan dijalankan secara otomatis.

Cara membersihkan :

1. Disable system restore
2. Disconect komputer dari jaringan internet
3. Lakukan pembersihan pada mode “safe mode”
4. Install software “unlocker
5. Matikan proses virus yang aktif dimemory, dengan “Security Task Manager

matikan proses

mematikan proses virus dari memory dengan Security Task Manager

Kemudian perbaiki registry dengan script dari vaksin.com :

[Version]
Signature=”$Chicago$”
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”””%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKCU, Software\Microsoft\Internet Explorer\Main, tart Page,0, “about:blank”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,userinit,0, “userinit.exe”
[del]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,reader_s
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,47543326
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,PromoReg
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,reader_s
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,EnableProfileQuota
HKLM, SOFTWARE\AGProtect
HKLM, SOFTWARE\47543326
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network, UID
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion, Rlist
HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}
HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{8FFA689D-2C2B-2B2E-D865-74C04CA4EF06}

====================================

[copy – paste pada Notepad kemudian safeAs dengan nama repair.inf – Klik kanan repair.inf pilih install ]

Hapus file yang dibuat virus di :

  • C:\Documents and Settings\All Users\Application Data\47543326
  • C:\Documents and Settings\Elvina\Start Menu\Programs\Security Tools.lnk
  • C:\Documents and Settings\Elvina\Desktop\ Security Tools.lnk
  • C:\Documents and Settings\Elvina\Application Data\ wiaservg.log§ C:\Documents and Settings\Elvina\Local Settings\Temp\*.tmp
  • C:\WINDOWS\Temp\ wpv311256600826.exe
  • C:\WINDOWS\Temp\ wpv411256806849.exe
  • C:\Documents and Settings\%user%\reader_s.exe
  • C:\Documents and Settings\%user%\Start Menu\Programs\Startup\isqsys32.exe
  • C:\WINDOWS\system32\reader_s.exe
  • C:\Windows\system32\wbem\proquota.exe
  • C:\windows\system32\sdra64.exe
  • C:\Windows\system32\lowsec

o local.ds
o user.ds
o user.ds.lll

Untuk menghapus folder [C:\Windows\system32\lowsec] dan [C:\windows\system32\sdra64.exe], gunakan tools “unlocker” untuk memisahkan proses tersebut dengan proses system windows (explorer.exe dan svchost.exe), karena kedua file tersebut akan menginjeksi file [explorer.exe dan svchost.exe] caranya:

Klik kanan pada file [C:\windows\system32\sdra64.exe] atau folder [C:\Windows\system32\lowsec]
Kemudian klik menu “unlocker”
Pada layar unlocker, pilih opsi [hapus]
Kemudian klik tombol [OK]
Jika muncul pesan error, di abaikan saja (klik ok)

Hapus file temporary dan temporary interet file, gunakan tools ATF-Cleaner

Bersihkan secara optimal dengan tools Norman Malware Cleaner atau dengan versi terbaru.  Bisa juga dengan Malwarebytes Anti Malware .

Review ini saya sampaikan sekedar mengingatkan anda untuk berhati hati ketika bermain facebook, sebab dari cara penyebaran virus Bredolab ini, varian lain untuk virus facebook terbarunya pasti akan lebih hebat lagi :mrgreen:

Cukup, terimakasih sudah membaca …

Salam

signature Transblog

* C:\Windows\temp
o Wp%xxx%.exe (xxx ini berbeda-beda, contohnya wpv271256600826.exe)
o _ex-08.exe
* C:\Documents and Settings\Elvina\Local Settings\Temp\*.tmp
* C:\Documents and Settings\All Users\Application Data\47543326\ 47543326.exe
Iklan

Memblok facebook dengan hosts ??..

blokAnda pernah merasa terganggu oleh facebook, friendster, youtube, atau situs apa saja karena teman kerja selalu memakai komputer anda untuk online sehingga pekerjaan anda harus tertunda?? hehe… blok saja situsnya dari komputer anda !! hal ini bisa anda lakukan dengan mengutak utik file hosts. Dengan begitu hanya anda yang bisa mengakses situs tersebut… tertarik?

Sebaiknya pahami dulu pengertian tentang hosts file tersebut sebelum ide iseng anda dijalankan..

Hosts adalah file komputer yang digunakan oleh sistem operasi untuk memetakan nama host ke alamat IP yang gunanya untuk  menemukan node pada sebuah jaringan komputer. Komputer Anda menggunakan file hosts untuk membantu mempercepat resolusi nama domain di Internet untuk menyelesaikan alamat IP  sebuah website, kemudian memeriksa file hosts untuk melihat apakah sudah ada entri di sana. Jika ada, tidak perlu pergi ke server DNS dan menyelesaikan alamat.     Astaga… ribet sekali bahasa saya ya?…   hehehe   abaikan saja,  sebab  topik  yang kita bahas disini adalah cara memblok sebuah situs agar tidak bisa diakses dari komputer anda.

Secara teori, perubahan file hosts bertujuan membantu mempercepat browsing web, tetapi Anda juga dapat memanipulasi file hosts untuk memblokir situs dengan menunjuk nama domain ke alamat IP yang berbeda,  seperti  127.0.0.1  yang merupakan alamat IP mesin lokal Anda.

Heh?..langsung caranya aja?… waduh tidak sabaran sekali..

ok, this is how to :

1. Buka C:\Windows\Sytem32\Drivers\Etc\hosts dan buka / klik kanan -> openwith, pilih   notepad

2. Maka akan tampil pada notepad anda seperti ini:

==================================================
# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a ‘#’ symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost

==================================================

3. lalu tambahkan situs-situs yang anda ingin blokir,  ketik pada bagian paling dibawah tulisan 127.0.0.1 lokalhost, (yang berwarna hijau) disini saya akan memblokir beberapa situs seperti facebook, youtube dan friendster : (cara penulisan: 127.0.0.1 (tekan tab) facebook.com, sehingga pada notepad akan tertulis seperti ini :

==================================================
# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a ‘#’ symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host

127.0.0.1 localhost
127.0.0.1 facebook.com
127.0.0.1 http://www.facebook.com
127.0.0.1 youtube.com
127.0.0.1 http://www.youtube.com
127.0.0.1 friendster.com

127.0.0.1 http://www.friendster.com
==================================================

4. lalu klik file -> safe atau tekan saja Ctrl + S. kalau sudah tutup notepad anda, dan coba browsing ke situs http://www.facebook.com/

… sampai disini anda sudah berhasil menjalankan ide iseng anda ?  😈

Bila anda ingin mengakses situs yang telah anda blok tadi, buka host file dan hapus alamat situs yang anda blok dan jangan lupa untuk safe sebelum anda menutup notepad.

Lokasi host file pada OS :

Operating System Version Lokasi
Windows 95, 98, Me %WinDir%\
Windows NT, 2000, XP, 2003, Vista, 7 %SystemRoot%\system32\drivers\etc\ by default.
Macintosh 9 and earlier System Folder: Preferences or System folder
Mac OS X, iPhoneOS /private/etc/hosts
Linux, BSD, etc /etc/hosts[3]
Novell NetWare SYS:etc\hosts
OS/2 & eComStation "bootdrive":\mptn\etc\
Symbian Symbian OS 6.1-9.0 C:\system\data\hosts
Symbian Symbian OS 9.1+ C:\private\10000882\hosts (AllFiles capable only)

Mengapa IP nya harus 127.0.0.1 ?
karena ini adalah IP adress dari localhost,  cantumkan saja IP dari localhost ini sehingga alamat situs langsung di redirect ke IP yang sudah kita tentukan sendiri, yang artinya koneksi ke situs dimaksud akan gagal.

Sekarang tujuan utama penulisan topik ini :
Tujuan penulisan adalah untuk mengenalkan kita tentang pentingnya file host tersebut untuk tujuan yang baik, mengapa?.. karena dengan pemahaman diatas anda dapat memblokir berbagai situs misalnya situs porno ( berani? 😛 ), atau situs yang mengandung malware karena seperti kita ketahui bagaimana kemampuan spyware yang menempel pada PC Anda saat menjelajah situs web atau download file. Tehnik pengubahan file hosts ini juga dimanfaatkan oleh spyware dengan tujuan mendownload update virus dan memanggil varian worm lain ke komputer anda.

Sebagai contoh, misalnya situs “www.porno.com” adalah situs malware yang dikenal dan memiliki alamat ip 68.23.5.x. maka kita bisa merubah file host dengan menuliskan bahwa 127.0.0.1 adalah alamat IP “www.porno.com”. Jadi, ketika anda mengetik nama situs “www.porno.com” ke browser web anda, tak ada yang terjadi karena browser Anda menganggap alamat IP untuk “www.porno.com” adalah PC Anda.

Ada beberapa cara mengubah file hosts tersebut dengan menggunakan program seperti Spybot Search and Destroy, yang memiliki fitur Imunisasi yang memodifikasi file host anda. Atau Anda dapat melakukannya secara manual dengan mendapatkan host file dari situs yang sering memperbaruinya. Salah satu situs adalah  SomeoneWhoCares.org.

…. Rasanya sudah cukup ya?.. anda pasti sudah dapat dengan mudah melakukan pengaturan pada file hosts anda dan yang terpenting anda sudah dapat memahami mengapa topik ini ditulis..

Begitu saja …  maafkan ke-sok tahuan saya dan satu hal lagi, penulisan topik ini tidak bermaksud mendiskreditkan situs tertentu, semata-mata  hanya ingin berbagi, terimakasih sudah mencoba mengerti..
Salam ….

signature Transblog