Virus " Presiden "

W32/IRCBot.AQF - Surat Buat Presiden yang menghilangkan data MS Word

Kalau anda menerima beberapa surat dan ada satu amplop bergambar Garuda Pancasila (17 bulu sayap, dan 8 jumlah bulu ekor, bulu leher 45, kakinya menggenggam pita Bhinneka Tunggal Ika) dan bertuliskan Presiden Republik Indonesia, mana yang lebih dulu anda buka ? Saya jamin anda akan deg-degan .... apalagi pada waktu penyusunan kabinet :P. Nah hal inilah yang mengilhami pembuat virus lokal mengeksploitasi "kelemahan" sebagian manusia atas 4-ta (harta, tahta, wanita, toyota .. (Lexus)) dan banyak rakyat kecil yang ingin berkomunikasi dengan Presidennya :). Celakanya, hal inilah yang menyebabkan penyebaran virus yang terdeteksi oleh Norman sebagai W32/IRCBot.AQF. Virus ini dikategorikan agak jahat karena menghapus file seperti W32/Kang.M.

Semakin hari penyebaran virus semakin banyak, agar mempermudah penyebaran dirinya metode yang digunakan semakin beragam serta dampak yang ditimbulkan semakin besar, jika sebelumnya virus hanya menuembunyikan data kini tidak hanya menyembunyikan data tetapi sampai menghapus data tersebut, anda tentu masih ingat dengan kasus kangen.M dimana virus ini akan menghancurkan semua data MS Word.
Kini kasus tersebut kembali terjadi dengan munculnya virus lain yang mencoba untuk menghapus data office, tetapi virus ini masih berbaik hati karena hanya akan mencoba untuk menghapus file MS Word yang ada di media UFD/Disket.

Untuk mempermudah penyebarannya IRCBot akan memanipulasi icon dari setiap file yang terinfeksi yakni menggunakan MS Word, untuk lebih meyakinkan IRCBot akan mempunyai nama “Surat_Buat_Presiden” dilihat dari nama filenya saja anda tentu ingin mengetahui apa sebenarnya isi dari file tersebut, jika anda penasaran silahkan klik file tersebut tetapi jangan kaget jika data yang ada di UFD/FDD akan hilang digantikan file duplikat yang sudah terinfeksi virus.

Jika anda klik tombol [OK] maka akan muncul program mw.word yang berisikan sebuah text yang ditulis untuk Presiden kita ;-), berikut isi dari file tersebut.

Borneo, awal 2006



Kepada Yth.:
Bapak Presiden.......
di-
TEMPAT


Dengan Hormat

Bapak Presiden.... Saya yakin anda tau bagaimana anda bisa naik menjadi Presiden. Disaat anda belum menjadi apa-apa, tiba-tiba anda menjadi seseorang yang sangat populer kenapa...??? karena Dunia Tehknologi Informasi berada dalam kekuasaan anda saat itu dimana anda menjadi pusat perhatian Dunia TI dan Dunia TI-lah yang membuat anda sangat populer..!!!

Melihat dari kondisi diatas, bisa secara kasar disimpulkan bahwa siapa yang menguasai dunia tekhnologi informasi, maka dia akan menguasai dunia. Tapi kenapa anda tidak juga sadar..??? Kenapa anda tidak membangun system Tehnologi Informasi yang handal di Negara Tercinta ini..??? kenapa kami ralyat anda, masih harus mengganjal perut setiap bulan hanya untuk mendapat informasi yang sangat luas diinternet....??? Kenapa Malaysia, India, Cina dan beberapa negara lain mampu menghadapi ganasnya neo inperialisme barat...??? karena mereka menguasai dunia TI..... Pernahkah bawahan anda melaporkan bagaimana guru2 di Malaysia banyak yang stress karena banyak para muridnya lebih pintar dari sang guru..???

Kenapa para murid lebih pintar..??? KARENA MEREKA MENDAPATKAN AKSES LEBIH MURAH DAN MUDAH KE DUNIA INTERNET sehingga mereka bisa mendapatkan informasi yang sangat luar biasa Apakah Bapak Presiden tidak pernah berpikir dalam 10 sampai 15 tahun yang akan datang kita akan mampu mengirim tenaga kerja prof berupa programer dan admin seperti India..?? Bukan mengirim pembantu RT..???

Bapak Presiden, mohon dengan sangat agar dapat diperhatikan masalah ini sisihkanlah anggaran negara kita untuk pembangunan TI yang handal, berilah anak-anak didik kita akses murah untuk menuju dunia internet... jadikanlah dalam waktu 10 tahun yang akan datang mereka jawara2 di dunia internasional...

SIAPA YANG MENGUASAI DUNIA TEKHNOLOGI INFORMASI, MAKA DIA AKAN MENGUASAI DUNIA..!! SIAPA YANG MENGUASAI DUNIA TEKHNOLOGI INFORMASI, MAKA DIA AKAN MENGUASAI DUNIA..!! SIAPA YANG MENGUASAI DUNIA TEKHNOLOGI INFORMASI, MAKA DIA AKAN MENGUASAI DUNIA..!!


Hormat Saya


Yang Tak Ingin Menjadi Budak Negara Lain

IRCBot.AQF akan membuat beberapa file induk yang akan dijalankan pertama kali setiap kali komputer dinyalakan seperti:
- C:\Surat_Buat_Presiden.exe
- C:\Surat_Buat_Presiden.zip
- C:\Windows\Surat.doc
- C:\Windows\Database.txt
- C:\Windows\Documents.exe
- C:\Windows\SVCH0ST.exe
- C:\Windows\SVCHOST.exe
- C:\Windows\Winl0g0n.exe

Catatan:
Jika komputer anda mempunyai lebih dari satu partisi Hard Disk [contoh: C:\ dan D:\], hapus juga file yang dengan nama Surat_Buat_Presiden.exe dan Surat_Buat_Presiden.zip

IRCBot juga akan membuat beberapa string pada registry sehingga dirinya akan aktif begitu komputer dinyalakan, seperti:
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
§ srservice

- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
§ srservice

o HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
§ AlternateShell = C:\WINDOWS\svchost.exe

o HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
§ AlternateShell = C:\WINDOWS\svchost.exe


Cara mengatasi W32/IRCbot.AQF

Putuskan hubungan komputer dengan ke jaringan.
Jika menggunakan Windows XP / ME, matikan [system restore]
Matikan proses virus yang sedang aktif di memori, untuk membersihkan proses virus yang sedang aktif anda dapat menggunakan tools pengganti “task manager”, tetapi ada satu hal yang perlu diperhatikan yakni jika anda mencoba untuk mematikan "salah satu" proses dari virus tersebut, maka ia akan melakukan restart komputer sehingga akan terjadi kegagalan pada waktu mematikan proses tersebut. Sehingga proses tersebut harus dimatikan "dua-duanya".
Ada satu trik yang dapat digunakan agar pada waktu anda mematikan proses dari virus tersebut komputer tidak melakukan restart yakni menggunakan program dengan nama "Security Task Manager" mematikan sekaligus 2 proses virus yang sedang aktif dimemori dengan nama :
o Microsoft Word Documents

Dengan tools Security Taks Manager proses virus IRCbot dapat dimatikan
Jangan sampai terjadi kesalahan pada saat mematikan file tersebut, cari file yang mempunyai ciri-ciri sbb:
- Icon MS Word
- Lokasi C:\windows

Adapun Security Task Manager dapat didownload di alamat http://www.neuber.com/taskmanager/
Setelah proses virus tersebut berhasil dimatikan, hapus file induk dari
Virus ini yang berada pada direktori dibawah ini, tetapi sebelumnya pastikan
anda sudah menampilkan (unhide) semua file yang disembuyikan

§ C:\Surat_Buat_Presiden.exe
§ C:\Surat_Buat_Presiden.zip
§ C:\Windows\Surat_Buat_Presiden.zip
§ C:\Windows\Surat.doc
§ Database.txt
§ Documents.exe
§ SVCH0ST.exe
§ SVCHOST.exe
§ Winl0g0n.exe

Catatan:
Jika komputer anda mempunyai lebih dari satu partisi Hard Disk [contoh: C:\ dan D:\], hapus juga file yang dengan nama Surat_Buat_Presiden.exe dan Surat_Buat_Presiden.zip
Hapus string yang dibuat oleh virus pada registry editor, yakni :
o HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
§ Hapus key [yang berbetuk folder] dengan nama srservice

o HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
§ Hapus key [yang berbetuk folder] dengan nama srservice

o HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
§ Ubah value yang ada pada string AlternateShell menjadi cmd.exe, contoh : AlternateShell = cmd.exe
o HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
§ Ubah value yang ada pada string AlternateShell menjadi cmd.exe, contoh : AlternateShell = cmd.exe

Untuk lebih cepat dalam penghapusan registry tersebut, copy script dibawah ini pada program notepad, kemudian simpan menjadi repair.inf dan jalankan file tersebut dengan cara:
§ Klik kanan repair.inf
§ Klik [install]

Berikut script yang dapat anda copy:

[Version]
Signature="$Chicago$"
Provider=Vaksincom

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

[del]
HKLM, SYSTEM\CurrentControlSet\Services\srservice
HKLM, SYSTEM\ControlSet001\Services\srservice
Matikan option “Microsoft Office” pada menu startup [msconfig


Hapus file duplikat yang dibuat oleh virus pada folder dan dubfolder dengan ciri-ciri:
o Menggunakan icon MS Word
o Ukuran file 32 KB
o Ext. EXE
o Type file “application”

Catatan: Biasanya virus ini hanya akan membuat file duplikat pada media UFD/FDD
Untuk pembersihan optimal dan mencegah infeksi ulang, silahkan gunakan antivirus yang sudah mengenali virus ini dengan baik

[ Post from http://Vaksin.com ]