Kemunculan Small.KL sudah terdeteksi sejak 18 Januari 2006. Small.KL dibuat dengan bahasa "Visual Basic" dan dikompresi menggunakan UPX dengan ukuran file sebesar 94 KB (jika belum diekstrak) atau 131 KB (setelah file diekstrak).
Jika menggunakan Winzip, file tersebut akan dapat dibuka secara otomatis, dan dijalankan oleh Winzip, jika dilakukan klik ganda. Jika lampiran tersebut dijalankan maka akan muncul satu file dengan ekstensi tertentu, misalnya .SCR atau .PIF dengan icon WINZIP. File ini akan mempunyai kurang lebih 38 spasi sebelum ekstensi.
"Untuk mengelabui korban, dengan cerdik Small.KL akan menyembunyikan ekstensi dengan melakukan perubahan pada registry editor" kata Alfons Tanujaya, spesialis antivirus dari Vaksincom, Senin (30/1/2006). "Sehingga user tidak dapat membedakan bahwa sebenarnya file tersebut adalah virus, dan bukan file yang dikompresi dengan WinZIP" imbuhnya.
Melumpuhkan
Small.KL dikategorikan sebagai virus berisiko tinggi. Karena selain mampu menyebar cepat, virus ini juga sanggup melumpuhkan, mulai dari software antivirus, sampai perangkat keras.
Agar dapat menjalankan misinya,Small.KL akan menghapus beberapa string value pada registy. Hal ini dimaksudkan agar file antivirus tersebut tidak dijalankan.
Small.KL juga akan mencoba menghapus file dengan ekstensi ..EXE dan .DLL pada program antivirus. Hal ini dimaksudkan agar antivirus tersebut tidak dapat berfungsi dengan baik.
Tidak hanya itu saja, Small.KL juga akan mencoba untuk mematikan/terminate suatu program yang mempunyai string: FIX, KASPERSKY, MCAFEE, NORTON, REMOVAL, SCAN, SYMANTEC, TREND MICRO, VIRUS.
Small.KL akan mencoba melumpuhkan keyboard dan mouse, sehingga kedua perangkat tersebut tidak dapat digunakan. Selain itu jika Anda mencoba membuat e-mail baru (New Message), Small.KL akan langsung menutup lembar pesan/e-mail terbebut, sehingga Anda akan kesulitan untuk mengirimkan e-mail. Untuk program Outlooks Express, programnya sendiri masih dapat digunakan alias tidak dimatikan.
Membasmi Small.KL
Vaksincom menjelaskan cara membersihkan W32/Small.KI yaitu sebagai berikut:
1.Disconnect komputer dari jaringan (sebaiknya lakukan pembesrihan memalui mode "safe mode").
2.Jika menggunakan windows ME/XP, matikan (system restore) selama proses pembersihan.
3.Matikan proses dari virus tersebut. Anda dapat menggunakan Task Manager, matikan 2 proses dari virus tersebut yaitu: update.exe dan winzip.exe.
4.Hapus regsitry key yang diubah oleh virus.
a. ScanRegistry = "scanregw.exe /scan" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
b. Ubah string ShowSuperHidden dengan value 1 HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Explorer\Advanced
c. Ubah string WebView dengan value 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Explorer\Advanced
d. Ubah string FullPatch dengan value 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Cabinet State
e. Ubah string UNCAsIntranet dengan value 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap
5.Hapus File yang dibuat oleh virus.
* WINZIP_TMP.exe
* C:\
* Rundll16.exe [hidden file] dan WINZIP_TMP.exe
* C:\Windows
* scanregw.exe [hidden file], update.exe [hidden file], winzip.exe [hidden file] dan sample.Zip
* C:\Windows\System32
* Temp.htt [hidden file] dan WinZip_Tmp.exe [hidden file]
* C:\Document and settings
* C:\Documents and Settings\Administrator\
* C:\Documents and Settings\Administrator\Start Menu
* C:\Documents and Settings\Administrator\Start Menu\Programs\,
* C:\Documents and Settings\Administrator\Start Menu\Programs\Startup
* C:\Documents and Settings\All Users\Start Menu
* C:\Documents and Settings\All Users\Start Menu\Programs
* C:\Documents and Settings\All Users\Start Menu\Programs\Startup
6.Hapus juga file yang dibuat pada setiap folder yang di-share dengan ciri-ciri:
* Icon disamarkan [icon Winzip]
* Ukuran file 94 KB
* Ekstensi EXE
* Type file "Application"
7.Untuk pembersihan lebih optimal gunakan antivirus dengan up-date terbaru.
8.Sangat disarankan untuk menginstall "antivirus for mail server" (jika Anda mempunyai mail server) atau meng-install antivirus yang mempunyai kemampuan untuk scanning e-mail, sebelum e-mail tersebut dikirim atau diterima. Dan jangan sembarangan dalam membuka lampiran yang dinyatakan berbahaya. (nks)(nks)
Thanks for reading & sharing Sidikalang Sidiangkat
0 Comments:
Post a Comment