Analisis Virus SmadAV 6.5 atau 7.3 alias W32.Zola.A
Semakin tinggi pohon sebuah pohon, semakin kencang pula angin yang menerpa.
Semakin tinggi popularitas Antivirus Smadav, semakin banyak pula cobaan yang akan dihadapi.
Dimulai dari Spamm/Junk para BOT ke For-Smad (Forum Smadav) hingga Social Engineering Antivirus SmadAV.
Saat tulisan ini dipublish, antivirus SmadAV sudah menginjak versi 4.64 atau Versi 2009 dengan revisi sebanyak 6.4 kali.
Otomatis semakin banyak orang yang ingin memutakhirkan Keamanan Komputer mereka dari serangan virus, dengan cara Googling. Tentu saja dengan Keyword SmadAV Rev. 7 atau SmadAV Rev. 6.5 (karena terakhir kali revisi 6.4).
Kenapa orang-orang lebih memilih search (googling) ketimbang mengunjungi Situs resmi dari SmadAV? (Dan sebagian besar orang yang melakukan googling memasukkan keyword Smadav 2009 Rev. 6.5 atau Smadav 2009 Rev.7)
Jawabannya sangat sederhana, yaitu karena Domain Name SmadAV menggunakan .net (DotNet) sedangkan sebagian orang pasti akan memilih Smadav.com tentu saja mereka tidak akan menemukan situs Smadav malahan menemukan Domain For Sale.
Karena repot karena tidak ketemu itulah orang-orang pasti akan mengambil jalan pintas memilih Googling, inilah yang menjadi teknik dasar SOCIAL ENGINEERING dari para VXer atau VMaker (Pembuat Virus).
Sekian pembahasan dari SOCIAL ENGINEERING Virus SMADAV, dan disini saya akan Menganalisa dari VIRUS SMADAV.
Setelah saya berjalan-jalan di forum Smadav, akhirnya saya berhasil mendapatkan virus tersebut. Memang dari namanya saya mendapat Smadav 7.3 dan Icon/Logonya pun persis dengan Logo Smadav yaitu Segitiga Hijau.
Saat saya download, sepintas tampilannya persis dengan Antivirus Smadav dari Sini jelas terlihat teknik yang digunakan oleh virus ini, sangat Klasik yaitu Social Engineering.
(dari sample virus yang tersedia di forum SmadAV tersebut, terdapat dua buah sample yaitu Smadav 6.5 dan Smadav 7.3 namun dari segala bentuk, ukuran, cheksum, semuanya mereka sebenarnya sama hanya merupakan renamer alias file duplikat/kopian/kembaran namun hanya nama saja yang dirubah dan saya memakai salah satu sample virus tersebut yang bernama Smadav 7.3)
ini adalah Virus SmadAV
ini adalah Virus SmadAV
dan inilah Antivirus Smadav yang Asli
Antivirus Smadav yang ASLI
saat kita Klik kanan di File Virus tersebut pun terlihat jelas bahwa ini adalah File Virus bernama w32.Zola.a
Klik untuk Memperbesar Gambar
dan ini adalah Analisa sederhana dari Virus ini.
==============================================================
File: Smadav 7.3.exe
Size: 688128 Bytes
MD5: 49CC0F7FF80E0225837C349490C3E7DA
Packer: File not found C:\iDEFENSE\SysAnalyzer\peid.exe
File Properties: CompanyName Smadav.net
FileDescription Anti Virus
FileVersion 1.00
InternalName Smadav 7.3
LegalCopyright
OriginalFilename Smadav 7.3.exe
ProductName w32.Zola.a
ProductVersion
==============================================================
Membuat Key di StartUp agar jalan saat Windows pertama kali di Nyalakan
HKCU\Software\Microsoft\Windows\CurrentVersion\Run WinDefault=C:\Windows\Winloader.exe
==============================================================
Saat dijalankan, akan mendrop file-file ini ke C:\ Windows dan C:\ lalu aktif Di memory :
c:\windows.exe
c:\windows\winloader.exe
c:\windows\issas.exe
c:\windows\smss.exe
c:\windows\services.exe
c:\windows\svchost.com
c:\windows\crss.exe
c:\windows\TaskManager2.1.exe
==============================================================
Membuat file-file di Removable Disk (UFD/FlashDisk) beserta autorunnya :
File Virus = Love Letter 4 Zhola.doc.exe
File Autorun :
Love Letter 4 Zhola.doc.exe
shellexecute=Love Letter 4 Zhola.doc.exe
Shell\Auto\Command=Love Letter 4 Zhola.doc.exe
==============================================================
Membuat file-file virus disetiap Drive beserta autorunnya :
\Love Letter 4 Zhola.exe
\autorun.inf
==============================================================
Mengcopy File Induk (c:\windows\winloader.exe) ke templates user, dan merenamenya menjadi winword.doc.exe dan winword2.doc.exe (duplikat 2 file) :
Copy(c:\windows\winloader.exe->C:\Documents and Settings\Default User\Templates\winword.doc.exe)
Copy(c:\windows\winloader.exe->C:\Documents and Settings\Default User\Templates\winword2.doc.exe)
==============================================================
Ngerubah settingan di Registry, tapi gak banyak yang diubah :
Software\Microsoft\Windows\CurrentVersion\Run" "NoFolderOptions"
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" "DisableRegistryTools"
Software\Microsoft\Windows\CurrentVersion\Policies\System" "DisableTaskMgr"
Software\Microsoft\Windows\CurrentVersion\Policies\System" "SuperHidden"
Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" "HideFileExt"
Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" "HideIcons"
Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" "NoRun"
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" "NoTrayItemsDisplay"
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" "DisableConfig"
SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore" "Reg.Delete_Key"
==============================================================
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Apabila anda terkena Virus ini, ikuti cara-cara di bawah ini untuk melakukan pembersihan :
1. Download Smadav yang baru hanya di http://www.smadav.net
2. Jalankan Smadav, lalu dibagian Auto-Checking pilih Full Scan lalu Scan>>
3. Lalu klik Fix All
4. Setelah itu restart komputer anda, lalu masuk Safe Mode (pencet F8 saat booting pertama).
5. Disable system restore, (Klik kanan di My Computer -> properties -> System Restore -> Turn Off) lalu putuskan komputer anda dari koneksi ke internet.
6. Lalu kembali ke tahap 2 dan 3
7. Kembalikan data anda dengan Recovery Tool yang baik, bisa anda temukan di Google dengan keyword Recovery Tool
8. Setelah itu pilih lah yang mana menurut anda baik, dan cocok. Bisa anda jadikan referensi, lalu digunakan.
regards,
galang_cha0s
.::|[g]|[a]|[l]|[a]|[n]|[g]|::.
Semakin tinggi popularitas Antivirus Smadav, semakin banyak pula cobaan yang akan dihadapi.
Dimulai dari Spamm/Junk para BOT ke For-Smad (Forum Smadav) hingga Social Engineering Antivirus SmadAV.
Saat tulisan ini dipublish, antivirus SmadAV sudah menginjak versi 4.64 atau Versi 2009 dengan revisi sebanyak 6.4 kali.
Otomatis semakin banyak orang yang ingin memutakhirkan Keamanan Komputer mereka dari serangan virus, dengan cara Googling. Tentu saja dengan Keyword SmadAV Rev. 7 atau SmadAV Rev. 6.5 (karena terakhir kali revisi 6.4).
Kenapa orang-orang lebih memilih search (googling) ketimbang mengunjungi Situs resmi dari SmadAV? (Dan sebagian besar orang yang melakukan googling memasukkan keyword Smadav 2009 Rev. 6.5 atau Smadav 2009 Rev.7)
Jawabannya sangat sederhana, yaitu karena Domain Name SmadAV menggunakan .net (DotNet) sedangkan sebagian orang pasti akan memilih Smadav.com tentu saja mereka tidak akan menemukan situs Smadav malahan menemukan Domain For Sale.
Karena repot karena tidak ketemu itulah orang-orang pasti akan mengambil jalan pintas memilih Googling, inilah yang menjadi teknik dasar SOCIAL ENGINEERING dari para VXer atau VMaker (Pembuat Virus).
Sekian pembahasan dari SOCIAL ENGINEERING Virus SMADAV, dan disini saya akan Menganalisa dari VIRUS SMADAV.
Setelah saya berjalan-jalan di forum Smadav, akhirnya saya berhasil mendapatkan virus tersebut. Memang dari namanya saya mendapat Smadav 7.3 dan Icon/Logonya pun persis dengan Logo Smadav yaitu Segitiga Hijau.
Saat saya download, sepintas tampilannya persis dengan Antivirus Smadav dari Sini jelas terlihat teknik yang digunakan oleh virus ini, sangat Klasik yaitu Social Engineering.
(dari sample virus yang tersedia di forum SmadAV tersebut, terdapat dua buah sample yaitu Smadav 6.5 dan Smadav 7.3 namun dari segala bentuk, ukuran, cheksum, semuanya mereka sebenarnya sama hanya merupakan renamer alias file duplikat/kopian/kembaran namun hanya nama saja yang dirubah dan saya memakai salah satu sample virus tersebut yang bernama Smadav 7.3)
ini adalah Virus SmadAV
ini adalah Virus SmadAV
dan inilah Antivirus Smadav yang Asli
Antivirus Smadav yang ASLI
saat kita Klik kanan di File Virus tersebut pun terlihat jelas bahwa ini adalah File Virus bernama w32.Zola.a
Klik untuk Memperbesar Gambar
dan ini adalah Analisa sederhana dari Virus ini.
==============================================================
File: Smadav 7.3.exe
Size: 688128 Bytes
MD5: 49CC0F7FF80E0225837C349490C3E7DA
Packer: File not found C:\iDEFENSE\SysAnalyzer\peid.exe
File Properties: CompanyName Smadav.net
FileDescription Anti Virus
FileVersion 1.00
InternalName Smadav 7.3
LegalCopyright
OriginalFilename Smadav 7.3.exe
ProductName w32.Zola.a
ProductVersion
==============================================================
Membuat Key di StartUp agar jalan saat Windows pertama kali di Nyalakan
HKCU\Software\Microsoft\Windows\CurrentVersion\Run WinDefault=C:\Windows\Winloader.exe
==============================================================
Saat dijalankan, akan mendrop file-file ini ke C:\ Windows dan C:\ lalu aktif Di memory :
c:\windows.exe
c:\windows\winloader.exe
c:\windows\issas.exe
c:\windows\smss.exe
c:\windows\services.exe
c:\windows\svchost.com
c:\windows\crss.exe
c:\windows\TaskManager2.1.exe
==============================================================
Membuat file-file di Removable Disk (UFD/FlashDisk) beserta autorunnya :
File Virus = Love Letter 4 Zhola.doc.exe
File Autorun :
Love Letter 4 Zhola.doc.exe
shellexecute=Love Letter 4 Zhola.doc.exe
Shell\Auto\Command=Love Letter 4 Zhola.doc.exe
==============================================================
Membuat file-file virus disetiap Drive beserta autorunnya :
\Love Letter 4 Zhola.exe
\autorun.inf
==============================================================
Mengcopy File Induk (c:\windows\winloader.exe) ke templates user, dan merenamenya menjadi winword.doc.exe dan winword2.doc.exe (duplikat 2 file) :
Copy(c:\windows\winloader.exe->C:\Documents and Settings\Default User\Templates\winword.doc.exe)
Copy(c:\windows\winloader.exe->C:\Documents and Settings\Default User\Templates\winword2.doc.exe)
==============================================================
Ngerubah settingan di Registry, tapi gak banyak yang diubah :
Software\Microsoft\Windows\CurrentVersion\Run" "NoFolderOptions"
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" "DisableRegistryTools"
Software\Microsoft\Windows\CurrentVersion\Policies\System" "DisableTaskMgr"
Software\Microsoft\Windows\CurrentVersion\Policies\System" "SuperHidden"
Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" "HideFileExt"
Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" "HideIcons"
Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced" "NoRun"
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" "NoTrayItemsDisplay"
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" "DisableConfig"
SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore" "Reg.Delete_Key"
==============================================================
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Apabila anda terkena Virus ini, ikuti cara-cara di bawah ini untuk melakukan pembersihan :
1. Download Smadav yang baru hanya di http://www.smadav.net
2. Jalankan Smadav, lalu dibagian Auto-Checking pilih Full Scan lalu Scan>>
3. Lalu klik Fix All
4. Setelah itu restart komputer anda, lalu masuk Safe Mode (pencet F8 saat booting pertama).
5. Disable system restore, (Klik kanan di My Computer -> properties -> System Restore -> Turn Off) lalu putuskan komputer anda dari koneksi ke internet.
6. Lalu kembali ke tahap 2 dan 3
7. Kembalikan data anda dengan Recovery Tool yang baik, bisa anda temukan di Google dengan keyword Recovery Tool
8. Setelah itu pilih lah yang mana menurut anda baik, dan cocok. Bisa anda jadikan referensi, lalu digunakan.
regards,
galang_cha0s
.::|[g]|[a]|[l]|[a]|[n]|[g]|::.
Komentar
Posting Komentar