Trojan: Autorun.QBP
“Folder Cinta” penebar Virus
Ciri ciri file virus
Ciri ciri dari file virus Autorun.QBP, diantaranya :
• Menggunakan icon “Folder Cinta”
• Memiliki ukuran 793 kb
• Type file “Application”
• Ber-extension exe
Gejala / efek virus
Jika anda terinfeksi oleh virus Autorun.QBP, maka akan menimbulkan gejala/efek sebagai berikut,
• Disetiap file sharing akan muncul file virus dengan nama “[namaacak].exe” dan file system yang kosong dengan nama “khq”. File khq ini juga akan berada pada setiap root drive.
• File virus aktif di memori komputer dengan nama “csrcs.exe” pada proses dengan username lokal. Anda dapat melihat dengan menggunakan task manager pada tab processes.
• Tidak dapat menampilkan file yang sudah di hidden. (walaupun “folder options” sudah di rubah ber-kali kali, akan kembali hidden)
Registri Windows
Walau tidak banyak aksi yang dilakukan, Autorun.QBP juga membuat perubahan pada registry
Media penyebaran
Virus Autorun.QBP, dapat menyebar dengan cepat melalui jaringan serta USB Flash/removable drive.
Pada USB Flash/removable drive, ia akan membuat 2 file dengan attribute RHSA (Read, Hidden, System, Archive), yaitu :
• Autorun.inf,
• [namaacak.exe], file virus yang berukuran 793 kb
Pada jaringan, ia akan membuat 2 file (pada root folder lokal yg di sharing, serta masuk pada folder/drive dalam jaringan yang full-sharing), yaitu :
• khq, file kosong yang yang merupakan jejak persinggahan virus Autorun.QBP
• [namaacak.exe], file virus yang berukuran 793 kb
Cara pembersihan secara manual:
1. Disconnect/putuskan hubungan komputer yang akan dibersihkan dari jaringan.
2. Disable/matikan “System Restore” selama proses pembersihan virus.
3. Gunakan “Task Manager” untuk mematikan proses virus yang aktif. (kemungkinan besar dengan nama “csrsc.exe”).
Untuk membuka task manager, dapat dilakukan dengan menekan secara bersama Ctr+Alt+Del, atau dengan klik kanan pada taskbar windows. Selanjutnya matikan proses virus dengan klik [End Process] pada proses csrsc.exe.
4. Hapus file utama dari virus Autorun.QBP, yang terdapat pada C:\WINDOWS\system32, dengan nama csrsc.exe yang berukuran 793 kb dan Autorun.inf yang berukuran 1 kb.
Gunakan search/find, untuk mencari file virus duplikat yang lain, terutama pada media sharing atau USB Flash/removable drive, file virus berukuran 793 kb, berextension exe & ber type application serta file khq di seluruh drive. Jangan lupa untuk menampilkan attribute “Show hidden file…” dan menghilangkan attribute “Hide protected operating…” pada Folder Options.
5. Hapus string registry yang sudah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.
[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, SOFTWARE\Classes\batfile\shell\open\command,,, “”"%1″” %*”
HKLM, SOFTWARE\ Classes \comfile\shell\open\command,,, “”"%1″” %*”
HKLM, SOFTWARE\ Classes \exefile\shell\open\command,,, “”"%1″” %*”
HKLM, SOFTWARE\ Classes \scrfile\shell\open\command,,, “”"%1″” %*”
HKLM, SOFTWARE\ Classes \piffile\shell\open\command,,, “”"%1″” %*”
HKLM, SOFTWARE\ Classes \regfile\shell\open\command,,, “regedit.exe “%1″
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell, 0, Explorer.exe
[del]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
Gunakan notepad, kemudian simpan dengan nama “repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).
Jalankan repair.inf dengan klik kanan, kemudian pilih [install].
6. Untuk pembersihan secara optimal terhadap virus Autorun.QBP, gunakan Norman Malware Cleaner yang dapat mendeteksi dan membasmi virus ini dengan baik. Jika anda ingin terproteksi dari virus ini dan virus mancanegara lainnya, gunakan antivirus Norman Security Suite (Single User) atau Norman Endpoint Protection (Corporate User) yang dapat mencegah komputer anda terinfeksi virus mancanegara dan virus lokal dengan baik dan khusus pelanggan korporat akan mendapatkan di support ONSITE Gratis oleh Vaksinis (teknisi PT. Vaksincom).
Anda dapat mendownload Norman Malware Cleaner pada link berikut :
http://normanasa.vo.llnwd.net/o29/public/Norman_Malware_Cleaner.exe
“Folder Cinta” penebar Virus
Ciri ciri file virus
Ciri ciri dari file virus Autorun.QBP, diantaranya :
• Menggunakan icon “Folder Cinta”
• Memiliki ukuran 793 kb
• Type file “Application”
• Ber-extension exe
Gejala / efek virus
Jika anda terinfeksi oleh virus Autorun.QBP, maka akan menimbulkan gejala/efek sebagai berikut,
• Disetiap file sharing akan muncul file virus dengan nama “[namaacak].exe” dan file system yang kosong dengan nama “khq”. File khq ini juga akan berada pada setiap root drive.
• File virus aktif di memori komputer dengan nama “csrcs.exe” pada proses dengan username lokal. Anda dapat melihat dengan menggunakan task manager pada tab processes.
• Tidak dapat menampilkan file yang sudah di hidden. (walaupun “folder options” sudah di rubah ber-kali kali, akan kembali hidden)
Registri Windows
Walau tidak banyak aksi yang dilakukan, Autorun.QBP juga membuat perubahan pada registry
Media penyebaran
Virus Autorun.QBP, dapat menyebar dengan cepat melalui jaringan serta USB Flash/removable drive.
Pada USB Flash/removable drive, ia akan membuat 2 file dengan attribute RHSA (Read, Hidden, System, Archive), yaitu :
• Autorun.inf,
• [namaacak.exe], file virus yang berukuran 793 kb
Pada jaringan, ia akan membuat 2 file (pada root folder lokal yg di sharing, serta masuk pada folder/drive dalam jaringan yang full-sharing), yaitu :
• khq, file kosong yang yang merupakan jejak persinggahan virus Autorun.QBP
• [namaacak.exe], file virus yang berukuran 793 kb
Cara pembersihan secara manual:
1. Disconnect/putuskan hubungan komputer yang akan dibersihkan dari jaringan.
2. Disable/matikan “System Restore” selama proses pembersihan virus.
3. Gunakan “Task Manager” untuk mematikan proses virus yang aktif. (kemungkinan besar dengan nama “csrsc.exe”).
Untuk membuka task manager, dapat dilakukan dengan menekan secara bersama Ctr+Alt+Del, atau dengan klik kanan pada taskbar windows. Selanjutnya matikan proses virus dengan klik [End Process] pada proses csrsc.exe.
4. Hapus file utama dari virus Autorun.QBP, yang terdapat pada C:\WINDOWS\system32, dengan nama csrsc.exe yang berukuran 793 kb dan Autorun.inf yang berukuran 1 kb.
Gunakan search/find, untuk mencari file virus duplikat yang lain, terutama pada media sharing atau USB Flash/removable drive, file virus berukuran 793 kb, berextension exe & ber type application serta file khq di seluruh drive. Jangan lupa untuk menampilkan attribute “Show hidden file…” dan menghilangkan attribute “Hide protected operating…” pada Folder Options.
5. Hapus string registry yang sudah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.
[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, SOFTWARE\Classes\batfile\shell\open\command,,, “”"%1″” %*”
HKLM, SOFTWARE\ Classes \comfile\shell\open\command,,, “”"%1″” %*”
HKLM, SOFTWARE\ Classes \exefile\shell\open\command,,, “”"%1″” %*”
HKLM, SOFTWARE\ Classes \scrfile\shell\open\command,,, “”"%1″” %*”
HKLM, SOFTWARE\ Classes \piffile\shell\open\command,,, “”"%1″” %*”
HKLM, SOFTWARE\ Classes \regfile\shell\open\command,,, “regedit.exe “%1″
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell, 0, Explorer.exe
[del]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
Gunakan notepad, kemudian simpan dengan nama “repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).
Jalankan repair.inf dengan klik kanan, kemudian pilih [install].
6. Untuk pembersihan secara optimal terhadap virus Autorun.QBP, gunakan Norman Malware Cleaner yang dapat mendeteksi dan membasmi virus ini dengan baik. Jika anda ingin terproteksi dari virus ini dan virus mancanegara lainnya, gunakan antivirus Norman Security Suite (Single User) atau Norman Endpoint Protection (Corporate User) yang dapat mencegah komputer anda terinfeksi virus mancanegara dan virus lokal dengan baik dan khusus pelanggan korporat akan mendapatkan di support ONSITE Gratis oleh Vaksinis (teknisi PT. Vaksincom).
Anda dapat mendownload Norman Malware Cleaner pada link berikut :
http://normanasa.vo.llnwd.net/o29/public/Norman_Malware_Cleaner.exe
0 comments:
Post a Comment