Hati-hati dengan cacing war.ia dari Sidempuan Virus Maker Community…Virus berupa worm ini mengganas dengan merusak semua file system atau file berextensi “.exe”, berikut ulasan singkatnya yang saya copy paste langsung dari sumbernya.. jika komputer Anda sudah terkena cacing D-War.ia, baca juga ulasan tentang Solusi Pembunuh D-War.iaSudahkah anda mengenal worm ini? Mungkin sebagain dari anda belum, karena worm ini tergolong baru (menurut saya). Worm ini didapat dari hasil rasa curiga terhadap member baru codenesia, yang mengupload artikel tentang program pembobol password deepfreeze. Dimana tampilan program tersebut sangat mirip dengan program pembobol password deepfreeze yang pernah disharing rekan saya di opensc, setelah saya download ternyata program pembobol deepfreeze dengan tampilan hampir sama tapi terkompilasi dengan ukuran berbeda. Dimana program pembobol deepfreeze serupa seharusnya berukuran 30an KB, sedangkan pada program pembobol deepfreeze editanya, berukuran hampir 98 KB. Tentunya dengan ukuran yang demikian, pasti ada sebuah resource sekitar 70an KB (tanpa compress) yang biasanya adalah worm.Setelah saya Uji.. wow, ternyata benar, sebuah worm cukup ganas menyerang computer saya. Worm ini dibuat dengan bahasa visual basic 6.0 oleh seorang yang mengaku berinisial ram83, dengan komunitas VM sidimpuan. Ketika worm mulai berjalan pada computer anda, ada beberapa perubahan antara lain, Jendela Registry tak bisa diakses, situs-situs tertentu di blokir, file exe yang ada di drive system dan media storage seperti FD di replace jadi dirinya.
File-File yang di Drop Oleh worm [asumsi winroot=C:Windows]
C:hantu.exe : 65 KB – iconya mirip wajah pembuatnya
C:WINDOWSsystem32pasid.ico : 766 bytes
C:WINDOWSsystem32pasids.ico : 766 bytes – gambarnya mirip wajah pembuatnya
C:WINDOWSsystem32rambe.dll : 10KB
C:WINDOWSsystem32Micros0ftmsvbvm60.dll
C:WINDOWSsystem323003smsvr.exe : 65 KB
C:WINDOWSsystem321986msvbvm60.dll
C:WINDOWSsystem323003msvbvm60.dll
C:WINDOWSsystem321986ctfm0n.exe : 65 KB
C:WINDOWSsystem32Micros0ftwinserv.exe : 65 KB
C:WINDOWSsystem32dog.bat
[Drive]:D-WAR.html : 437 bytes
C:Documents and SettingsAll UsersStart MenuProgramsStartupSidimpuan Worm Maker Community.exe : : 65 KB
Registry yang dbuat untuk StartUp
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
Windows server=C:WINDOWSsystem323003smsvr.exe
Windows file monitor=C:WINDOWSsystem321986ctfm0n.exe
Windows services controler=C:WINDOWSsystem32Micros0ftwinserv.exe
Windows server=C:WINDOWSsystem323003smsvr.exe
Windows file monitor=C:WINDOWSsystem321986ctfm0n.exe
Windows services controler=C:WINDOWSsystem32Micros0ftwinserv.exe
Web yang coba di Blok
www.symantec.com, symantec.com, securityresponse.symantec.com, sarc.com, www.sarc.com, www.sophos.com, sophos.com, www.mcafee.com, mcafee.com, liveupdate.symantecliveupdate.com, www.wormlist.com, wormlist.com, f-secure.com, www.f-secure.com, f-prot.com, www.f-prot.com, kaspersky.com, kaspersky-labs.com, www.avp.com, avp.com, www.kaspersky.com, www.networkassociates.com, networkassociates.com, www.ca.com, ca.com, mast.mcafee.com, my-etrust.com, www.my-etrust.com, download.mcafee.com, dispatch.mcafee.com, secure.nai.comnai.com,
www.nai.com, vil.nai.com,
Warning
Warning
Worm ini diciptakan mungkin untuk bertujuan merusak, agar ketika computer telah terinfeksi dirinya tidak ada Antivirus satu-pun yang dapat memulihkan kondisi seperti semula, ini terlihat dengan target file yang diincarnya, yaitu hampir seluruh file executable (program) direplace dengan dirinya yang bericon hamper mirip/sama dengan file executable (exe, scr) yang akan direplace. Teknik pertahan worm ini cukup bagus, karena satu diantara proses yang dibuat worm tidak mempan dengan security taskmanager (yang versi gratisan J). Worm ini cukup gile dan tak punya etika, karena sekali terserang worm ini dan anda melakukan restart atau membiarkan cukup lama, maka hamper seluruh file exe yang ada pada drive system dan FD akan di replace dengan dirinya.
Pencegahan
Saya sudah menambahkan ceksum worm ini kedalam DB KAV S.E, walaupun puluhan kalo worm ini bersalin icon, ternyata dengan ceksum M31 hasilnya tetap sama. JAdi untuk smentara dengan ceksum M31 cukup efektif mencegah datangnya worm ini via flashdisk. Walapun worm ini tidak membuat sebuah autorun, namun dengan teknik replace exe diperkirakan worm ini akan cepat menyebar lebih-lebih pembuatnya yang rajin dalam menyebarkan worm ini (sampai-sampai register dan login ke web ini) hanya untuk menipu pembaca.
Pembersihan
Sebenarnya saya belum menemukan cara efektif pembersihan worm ini, namun anda bias menggunakan PE bernama Bart PE atau Mini PE, yang dapat dibooting melalui USB(ukuranya 200MB-an) untuk mengahapus induk2 worm sebelum semua file exe direplace dan anda harus melakukan install ulang.
Pesan
Buat pembuat worm, silahkan anda menggunakan web lain dalam membantu penyebaran worm anda, karena di web ini keamanan member adalah prioritas kami. Sehingga kami tidak mau kecolongan web kami dijadikan sarana penyebaran worm (yang tak punya etika bermain).
Semoga Bermanfaat…;-)
Sebenarnya saya belum menemukan cara efektif pembersihan worm ini, namun anda bias menggunakan PE bernama Bart PE atau Mini PE, yang dapat dibooting melalui USB(ukuranya 200MB-an) untuk mengahapus induk2 worm sebelum semua file exe direplace dan anda harus melakukan install ulang.
Pesan
Buat pembuat worm, silahkan anda menggunakan web lain dalam membantu penyebaran worm anda, karena di web ini keamanan member adalah prioritas kami. Sehingga kami tidak mau kecolongan web kami dijadikan sarana penyebaran worm (yang tak punya etika bermain).
Semoga Bermanfaat…;-)
Playtech Casinos and Gambling Games - Jeopardy
ReplyDeleteslots and other games by Playtech 익산 출장안마 slots and other games by Playtech slot 구미 출장샵 machines and other 강릉 출장마사지 games by Playtech slot games 춘천 출장안마 by Playtech slot games by Playtech slot games by Playtech slot games by Playtech 경산 출장샵 slot games by Playtech