Kemunculan Small.KL sudah terdeteksi sejak 18 Januari 2006. Small.KL dibuat dengan bahasa "Visual Basic" dan dikompresi menggunakan UPX dengan ukuran file sebesar 94 KB (jika belum diekstrak) atau 131 KB (setelah file diekstrak).
Jika menggunakan Winzip, file tersebut akan dapat dibuka secara otomatis, dan dijalankan oleh Winzip, jika dilakukan klik ganda. Jika lampiran tersebut dijalankan maka akan muncul satu file dengan ekstensi tertentu, misalnya .SCR atau .PIF dengan icon WINZIP. File ini akan mempunyai kurang lebih 38 spasi sebelum ekstensi.
"Untuk mengelabui korban, dengan cerdik Small.KL akan menyembunyikan ekstensi dengan melakukan perubahan pada registry editor" kata Alfons Tanujaya, spesialis antivirus dari Vaksincom, Senin (30/1/2006). "Sehingga user tidak dapat membedakan bahwa sebenarnya file tersebut adalah virus, dan bukan file yang dikompresi dengan WinZIP" imbuhnya.
Melumpuhkan
Small.KL dikategorikan sebagai virus berisiko tinggi. Karena selain mampu menyebar cepat, virus ini juga sanggup melumpuhkan, mulai dari software antivirus, sampai perangkat keras.
Agar dapat menjalankan misinya,Small.KL akan menghapus beberapa string value pada registy. Hal ini dimaksudkan agar file antivirus tersebut tidak dijalankan.
Small.KL juga akan mencoba menghapus file dengan ekstensi ..EXE dan .DLL pada program antivirus. Hal ini dimaksudkan agar antivirus tersebut tidak dapat berfungsi dengan baik.
Tidak hanya itu saja, Small.KL juga akan mencoba untuk mematikan/terminate suatu program yang mempunyai string: FIX, KASPERSKY, MCAFEE, NORTON, REMOVAL, SCAN, SYMANTEC, TREND MICRO, VIRUS.
Small.KL akan mencoba melumpuhkan keyboard dan mouse, sehingga kedua perangkat tersebut tidak dapat digunakan. Selain itu jika Anda mencoba membuat e-mail baru (New Message), Small.KL akan langsung menutup lembar pesan/e-mail terbebut, sehingga Anda akan kesulitan untuk mengirimkan e-mail. Untuk program Outlooks Express, programnya sendiri masih dapat digunakan alias tidak dimatikan.
Membasmi Small.KL
Vaksincom menjelaskan cara membersihkan W32/Small.KI yaitu sebagai berikut:
1.Disconnect komputer dari jaringan (sebaiknya lakukan pembesrihan memalui mode "safe mode").
2.Jika menggunakan windows ME/XP, matikan (system restore) selama proses pembersihan.
3.Matikan proses dari virus tersebut. Anda dapat menggunakan Task Manager, matikan 2 proses dari virus tersebut yaitu: update.exe dan winzip.exe.
4.Hapus regsitry key yang diubah oleh virus.
a. ScanRegistry = "scanregw.exe /scan" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
b. Ubah string ShowSuperHidden dengan value 1 HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Explorer\Advanced
c. Ubah string WebView dengan value 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Explorer\Advanced
d. Ubah string FullPatch dengan value 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Cabinet State
e. Ubah string UNCAsIntranet dengan value 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap
5.Hapus File yang dibuat oleh virus.
* WINZIP_TMP.exe
* C:\
* Rundll16.exe [hidden file] dan WINZIP_TMP.exe
* C:\Windows
* scanregw.exe [hidden file], update.exe [hidden file], winzip.exe [hidden file] dan sample.Zip
* C:\Windows\System32
* Temp.htt [hidden file] dan WinZip_Tmp.exe [hidden file]
* C:\Document and settings
* C:\Documents and Settings\Administrator\
* C:\Documents and Settings\Administrator\Start Menu
* C:\Documents and Settings\Administrator\Start Menu\Programs\,
* C:\Documents and Settings\Administrator\Start Menu\Programs\Startup
* C:\Documents and Settings\All Users\Start Menu
* C:\Documents and Settings\All Users\Start Menu\Programs
* C:\Documents and Settings\All Users\Start Menu\Programs\Startup
6.Hapus juga file yang dibuat pada setiap folder yang di-share dengan ciri-ciri:
* Icon disamarkan [icon Winzip]
* Ukuran file 94 KB
* Ekstensi EXE
* Type file "Application"
7.Untuk pembersihan lebih optimal gunakan antivirus dengan up-date terbaru.
8.Sangat disarankan untuk menginstall "antivirus for mail server" (jika Anda mempunyai mail server) atau meng-install antivirus yang mempunyai kemampuan untuk scanning e-mail, sebelum e-mail tersebut dikirim atau diterima. Dan jangan sembarangan dalam membuka lampiran yang dinyatakan berbahaya. (nks)(nks) Marhaban Ya Ramadhan June 28, 2011 New Google SEO Bandung, Indonesia
Jika menggunakan Winzip, file tersebut akan dapat dibuka secara otomatis, dan dijalankan oleh Winzip, jika dilakukan klik ganda. Jika lampiran tersebut dijalankan maka akan muncul satu file dengan ekstensi tertentu, misalnya .SCR atau .PIF dengan icon WINZIP. File ini akan mempunyai kurang lebih 38 spasi sebelum ekstensi.
"Untuk mengelabui korban, dengan cerdik Small.KL akan menyembunyikan ekstensi dengan melakukan perubahan pada registry editor" kata Alfons Tanujaya, spesialis antivirus dari Vaksincom, Senin (30/1/2006). "Sehingga user tidak dapat membedakan bahwa sebenarnya file tersebut adalah virus, dan bukan file yang dikompresi dengan WinZIP" imbuhnya.
Melumpuhkan
Small.KL dikategorikan sebagai virus berisiko tinggi. Karena selain mampu menyebar cepat, virus ini juga sanggup melumpuhkan, mulai dari software antivirus, sampai perangkat keras.
Agar dapat menjalankan misinya,Small.KL akan menghapus beberapa string value pada registy. Hal ini dimaksudkan agar file antivirus tersebut tidak dijalankan.
Small.KL juga akan mencoba menghapus file dengan ekstensi ..EXE dan .DLL pada program antivirus. Hal ini dimaksudkan agar antivirus tersebut tidak dapat berfungsi dengan baik.
Tidak hanya itu saja, Small.KL juga akan mencoba untuk mematikan/terminate suatu program yang mempunyai string: FIX, KASPERSKY, MCAFEE, NORTON, REMOVAL, SCAN, SYMANTEC, TREND MICRO, VIRUS.
Small.KL akan mencoba melumpuhkan keyboard dan mouse, sehingga kedua perangkat tersebut tidak dapat digunakan. Selain itu jika Anda mencoba membuat e-mail baru (New Message), Small.KL akan langsung menutup lembar pesan/e-mail terbebut, sehingga Anda akan kesulitan untuk mengirimkan e-mail. Untuk program Outlooks Express, programnya sendiri masih dapat digunakan alias tidak dimatikan.
Membasmi Small.KL
Vaksincom menjelaskan cara membersihkan W32/Small.KI yaitu sebagai berikut:
1.Disconnect komputer dari jaringan (sebaiknya lakukan pembesrihan memalui mode "safe mode").
2.Jika menggunakan windows ME/XP, matikan (system restore) selama proses pembersihan.
3.Matikan proses dari virus tersebut. Anda dapat menggunakan Task Manager, matikan 2 proses dari virus tersebut yaitu: update.exe dan winzip.exe.
4.Hapus regsitry key yang diubah oleh virus.
a. ScanRegistry = "scanregw.exe /scan" HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
b. Ubah string ShowSuperHidden dengan value 1 HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Explorer\Advanced
c. Ubah string WebView dengan value 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Explorer\Advanced
d. Ubah string FullPatch dengan value 1
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Cabinet State
e. Ubah string UNCAsIntranet dengan value 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap
5.Hapus File yang dibuat oleh virus.
* WINZIP_TMP.exe
* C:\
* Rundll16.exe [hidden file] dan WINZIP_TMP.exe
* C:\Windows
* scanregw.exe [hidden file], update.exe [hidden file], winzip.exe [hidden file] dan sample.Zip
* C:\Windows\System32
* Temp.htt [hidden file] dan WinZip_Tmp.exe [hidden file]
* C:\Document and settings
* C:\Documents and Settings\Administrator\
* C:\Documents and Settings\Administrator\Start Menu
* C:\Documents and Settings\Administrator\Start Menu\Programs\,
* C:\Documents and Settings\Administrator\Start Menu\Programs\Startup
* C:\Documents and Settings\All Users\Start Menu
* C:\Documents and Settings\All Users\Start Menu\Programs
* C:\Documents and Settings\All Users\Start Menu\Programs\Startup
6.Hapus juga file yang dibuat pada setiap folder yang di-share dengan ciri-ciri:
* Icon disamarkan [icon Winzip]
* Ukuran file 94 KB
* Ekstensi EXE
* Type file "Application"
7.Untuk pembersihan lebih optimal gunakan antivirus dengan up-date terbaru.
8.Sangat disarankan untuk menginstall "antivirus for mail server" (jika Anda mempunyai mail server) atau meng-install antivirus yang mempunyai kemampuan untuk scanning e-mail, sebelum e-mail tersebut dikirim atau diterima. Dan jangan sembarangan dalam membuka lampiran yang dinyatakan berbahaya. (nks)(nks) Marhaban Ya Ramadhan June 28, 2011 New Google SEO Bandung, Indonesia
Cara mengatasi Hijacker / Spyware :
1. Matikan elemen pengendali ActiveX dan JavaScript.
Klik menu Tools pada internet klik option | security, lalu klik custom level. selanjutnya matikan (disabled) semua option dalam cabang ActiveX-Control dan plug-ins.
2. System-check pertama dengan Ad-Aware SE
Gunakan freeware Ad-Aware SE untuk pemeriksaan system tahap pertama. Masuk ke kolom scan. Disana pilih intelligent System scan, lalu klik next untuk memulai pencarian Trojan. Selanjutnya klik next untuk masuk ke search status. Di sini tersedia informasi rinci tentang file apa saja yg ditemukan pada hard disk anda. Buka tab critical Objects, tandai semua dengan mengklik kanan kolom dan memilih Select All.
3. Untuk memastikan semu virus terdeteksi anda disarankan juga untuk menggunakan antivirus Giant Antispyware. Karena tidak semua varian Trojan dapat dikenali oleh sebuah program anti spyware. Marhaban Ya Ramadhan June 28, 2011 New Google SEO Bandung, Indonesia
1. Matikan elemen pengendali ActiveX dan JavaScript.
Klik menu Tools pada internet klik option | security, lalu klik custom level. selanjutnya matikan (disabled) semua option dalam cabang ActiveX-Control dan plug-ins.
2. System-check pertama dengan Ad-Aware SE
Gunakan freeware Ad-Aware SE untuk pemeriksaan system tahap pertama. Masuk ke kolom scan. Disana pilih intelligent System scan, lalu klik next untuk memulai pencarian Trojan. Selanjutnya klik next untuk masuk ke search status. Di sini tersedia informasi rinci tentang file apa saja yg ditemukan pada hard disk anda. Buka tab critical Objects, tandai semua dengan mengklik kanan kolom dan memilih Select All.
3. Untuk memastikan semu virus terdeteksi anda disarankan juga untuk menggunakan antivirus Giant Antispyware. Karena tidak semua varian Trojan dapat dikenali oleh sebuah program anti spyware. Marhaban Ya Ramadhan June 28, 2011 New Google SEO Bandung, Indonesia
Tips Untuk Anda Atasi Virus
Terinfeksi Brontok
Beberapa program anti-virus diantaranya sudah bisa mengatasi worm ini. Tapi … entahlah, dari pengalaman saya pribadi, beberapa kali coba install Norton AntiVirus 2005, selalu gagal. Yah, mungkin karena CD yang dipakainya bajakan . Jadi, akhirnya saya pribadi lebih suka menghapus BRONTOK dengan cara manual.
Ada beberapa indikasi sederhana komputer terinfeksi BRONTOK.
1. Pilihan Tools - Folder Option pada Windows Explorer tidak muncul.
2. Muncul file executable yang icon dan namanya sama persis dengan icon dan nama folder.
3. REGEDIT.EXE tidak bisa dijalankan.
4. Restart Windows pada saat membuka Control Panel
BRONTOK diaktifkan melalui registri windows yang akan dijalankan saat start-up windows. Letaknya di:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Bron-Spizaetus
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Tok-Cirrhatus
Untuk menghentikan BRONTOK, kita hanya perlu menghapus value registry tersebut. Tapi, masalahnya, untuk REGEDIT-nya itu sendiri sebelumnya sudah di blok oleh BRONTOK lewat registry di:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegedit.
Juga ada file Empty.pid yang biasanya terletak diroot direktory (umumnya di C:\) Untuk yang ini, penghapusan bisa langsung dilakukan via Windows Explorer.
Selain dari itu, BRONTOK juga diaktifkan lewat Scheduled Tasks (di Control Panel). Tapi, untuk menghapus ini pun, tidak bisa langsung, masalahnya, pada saat kita membuka Control Panel, BRONTOK akan langsung melakukan restart windows. Jadi, penghapusan Scheduled Tasks harus dilakukan di Windows Safe Mode.
Jadi, cobalah cari program lain selain REGEDIT yang bisa digunakan untuk edit registry. Saya pribadi lebih suka menggunakan program HiJack.
Apapun program edit registry yang Anda pakai, gunakan pada windows safe mode. Sesudah ketiga registry tersebut dihapus, restart, kembali ke WINDOWS. Sampai tahap ini, BRONTOK sudah tidak lagi berjalan pada sistem Anda. Tapi, meskipun demikian, BRONTOK meninggalkan file-file tipuan yang banyak pada sistem. Untuk ini, hapus file dilakukan secara manual. Tapi untuk mempermudah, gunakan fasilitas Search pada Windows. Cari file (Search for: *.exe) dengan ukuran kurang dari 41KB (Size: At most 41 KB). Pada daftar, akan cukup banyak file executable (*.exe) yang ditemukan. Cari saja executable yang iconnya sama dengan icon folder. Untuk lebih mempermudah lagi, urutkan hasil pencarian berdasarkan ukurannya. Nah … dapet deh.
Jadi, secara garis besar, prosesnya adalah sebagai berikut:
1. Siapkan program editor registry
2. Restart komputer, masuk SAFE MODE.
3. Hapus item BRONTOK di registry
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Bron-Spizaetus
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Tok-Cirrhatus
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegedit.
4. Hapus Empty.pif (biasanya di C:\)
5. Hapus item BRONTOK di Task Scheduler
6. Restart komputer, masuk Windows normal.
7. Hapus file-file tipuan yang masih tersisa.
Cara ini tentunya bukan cara yang praktis, tapi … yah setidaknya bisa keliatan sedikit lebih keren , bisa hapus BRONTOK secara manual. Lagi pula secara umum, dari beberapa kasus worm yang saya temui, proses hapus worm dari sistem windows kurang lebih sama. Jadi, kalau Anda bisa terbiasa dengan cara ini, kalau suatu saat Anda menemui worm lain, Anda bisa coba untuk menghapusnya secara manual, tidak perlu repot-repot cari update anti virus baru.
Saya sendiri menulis post ini berdasarkan kejadian tadi siang, kasus BRONTOK ke-3 yang ditemui. Saya cuma mengingat-ngingat, jadi kalau ada yang kurang atau ternyata apa yang saya tulis ini kurang lengkap, mohon feedback nya deh!
Marhaban Ya Ramadhan
June 28, 2011
New Google SEO
Bandung, IndonesiaTerinfeksi Brontok
Beberapa program anti-virus diantaranya sudah bisa mengatasi worm ini. Tapi … entahlah, dari pengalaman saya pribadi, beberapa kali coba install Norton AntiVirus 2005, selalu gagal. Yah, mungkin karena CD yang dipakainya bajakan . Jadi, akhirnya saya pribadi lebih suka menghapus BRONTOK dengan cara manual.
Ada beberapa indikasi sederhana komputer terinfeksi BRONTOK.
1. Pilihan Tools - Folder Option pada Windows Explorer tidak muncul.
2. Muncul file executable yang icon dan namanya sama persis dengan icon dan nama folder.
3. REGEDIT.EXE tidak bisa dijalankan.
4. Restart Windows pada saat membuka Control Panel
BRONTOK diaktifkan melalui registri windows yang akan dijalankan saat start-up windows. Letaknya di:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Bron-Spizaetus
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Tok-Cirrhatus
Untuk menghentikan BRONTOK, kita hanya perlu menghapus value registry tersebut. Tapi, masalahnya, untuk REGEDIT-nya itu sendiri sebelumnya sudah di blok oleh BRONTOK lewat registry di:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegedit.
Juga ada file Empty.pid yang biasanya terletak diroot direktory (umumnya di C:\) Untuk yang ini, penghapusan bisa langsung dilakukan via Windows Explorer.
Selain dari itu, BRONTOK juga diaktifkan lewat Scheduled Tasks (di Control Panel). Tapi, untuk menghapus ini pun, tidak bisa langsung, masalahnya, pada saat kita membuka Control Panel, BRONTOK akan langsung melakukan restart windows. Jadi, penghapusan Scheduled Tasks harus dilakukan di Windows Safe Mode.
Jadi, cobalah cari program lain selain REGEDIT yang bisa digunakan untuk edit registry. Saya pribadi lebih suka menggunakan program HiJack.
Apapun program edit registry yang Anda pakai, gunakan pada windows safe mode. Sesudah ketiga registry tersebut dihapus, restart, kembali ke WINDOWS. Sampai tahap ini, BRONTOK sudah tidak lagi berjalan pada sistem Anda. Tapi, meskipun demikian, BRONTOK meninggalkan file-file tipuan yang banyak pada sistem. Untuk ini, hapus file dilakukan secara manual. Tapi untuk mempermudah, gunakan fasilitas Search pada Windows. Cari file (Search for: *.exe) dengan ukuran kurang dari 41KB (Size: At most 41 KB). Pada daftar, akan cukup banyak file executable (*.exe) yang ditemukan. Cari saja executable yang iconnya sama dengan icon folder. Untuk lebih mempermudah lagi, urutkan hasil pencarian berdasarkan ukurannya. Nah … dapet deh.
Jadi, secara garis besar, prosesnya adalah sebagai berikut:
1. Siapkan program editor registry
2. Restart komputer, masuk SAFE MODE.
3. Hapus item BRONTOK di registry
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Bron-Spizaetus
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Tok-Cirrhatus
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegedit.
4. Hapus Empty.pif (biasanya di C:\)
5. Hapus item BRONTOK di Task Scheduler
6. Restart komputer, masuk Windows normal.
7. Hapus file-file tipuan yang masih tersisa.
Cara ini tentunya bukan cara yang praktis, tapi … yah setidaknya bisa keliatan sedikit lebih keren , bisa hapus BRONTOK secara manual. Lagi pula secara umum, dari beberapa kasus worm yang saya temui, proses hapus worm dari sistem windows kurang lebih sama. Jadi, kalau Anda bisa terbiasa dengan cara ini, kalau suatu saat Anda menemui worm lain, Anda bisa coba untuk menghapusnya secara manual, tidak perlu repot-repot cari update anti virus baru.
Saya sendiri menulis post ini berdasarkan kejadian tadi siang, kasus BRONTOK ke-3 yang ditemui. Saya cuma mengingat-ngingat, jadi kalau ada yang kurang atau ternyata apa yang saya tulis ini kurang lengkap, mohon feedback nya deh!
