Username Password

Lost Password
Navigation
Home
Articles
Forum
Web Links
Photo Gallery
Videos
MP3 Album
Free eBook
Software
FAQ
Search
Contact Us
Last Seen Users
oopsick 4 days
exojetts 4 weeks
Administrator 4 weeks
huxni24 weeks
faisal_malms...28 weeks
rishel30 weeks
aankeen33 weeks
hot_vaka37 weeks
alpheen39 weeks
kambing hitam52 weeks
Users Online
Guests Online: 3

Members Online: 0

Total Members: 21,130
Newest Member: aguspc1
Popular Downloads
1000 Hacker Tutorial... 65535
Radmin 3.1 12481
SQL Injection Expose... 12193
Cara Mudah Membuat W... 11293
Free eBook Cara muda... 11127
1000 Photoshop Brushes 10688
Avenged Sevenfold-Ni... 10610
The Art of Manipulat... 10303
Ubuntu Is My Favouri... 9976
Blink 182-Neighborho... 9948
Sponsor
Hosted By Dracoola
Tracklink
Locations of visitors to this page
RSS - Feeds
RSS - News
RSS - Articles
RSS - Forum
RSS - Downloads
RSS - Photo Gallery
RSS - Weblinks
Virus YM dan Skype, Lady_Eats_Her_Shit di You Tube
Security

Ibarat Joeniar Arief yang mengatakan bahwa pengguna internet sangat “Rapuh” terhadap serangan virus. Maka kini pengguna Messenger khususnya Yahoo Messenger dan Skype yang mendapatkan giliran menghadapi kiriman virus yang memalsukan dirinya seakan-akan sebagai pesan otentik yang dikirimkan oleh kontak dalam YM / Skype anda. Tetapi jangan sekali-kali anda mengklik link yang diberikan, sekalipun dikirimkan oleh teman anda di YM / Skype yang terpercaya karena sebenarnya pesan tersebut bukan dikirimkan oleh teman anda, melainkan oleh Penghianat Cinta ....... alias virus yang berhasil menginfeksi komputer teman anda. (lihat gambar 1). Selain mampu menyebar melalui YM dan Skype, virus ini juga menyebar melalui Flash Disk menggunakan fasilitas Autorun dan memiliki kemampuan mengupdate dirinya.

Virus Lady_Eats_Her_Sh*t

Gambar 1, Pesan YM yang memalsukan video dari You Tube


Menurut pantauan terbaru Vaksincom tanggal 10 Februari 2009, link tersebut mulai di update oleh pembuat virus dan nama filenya diganti menjadi “Your_Dad_Has_Shit_Fetish_Too.PIF” (lihat gambar 2):

Virus Lady_Eats_Her_Sh*t

Gambar 2, Nama file yang di download diganti oleh virus.


Norman Security Suite mendeteksi virus ini dengan nama Worm:Coutsonif.A (lihat gambar 3)

Virus Lady_Eats_Her_Sh*t

Gambar 3, Norman Security Suite cegah download dan mendeteksi virus ini sebagai Worm:Coutsonif.A


Ada beberapa point yang menarik dari virus ini dan perlu diperhatikan sebagai berikut :

  1. YM dan Skype, pengirim pesan dengan link bervirus adalah kontak pada YM / Skype anda. Tentunya penerimanya tidak menduga temannya akan sengaja mencelakakan dirinya dengan mengiriminya virus. Tetapi karena virus ini yang mengirimkan dirinya ke semua kontak, hal ini juga dapat merusak nama baik korban virus ini.

  2. You tube, supaya penerima link percaya dan tidak waspada, maka link yang dikirimkan seolah-olah video You Tube yang sampai saat ini file video aman dari file eksekusi / virus. Dan resiko tertinggi hanyalah tidak mendapatkan video saja.

  3. Menggunakan pemalsuan link, dimana link yang tercantum pada pesan YM tidak sesuai dengan link yang dituju yang mengarahkan pada situs download gratis Rapidshare yang digunakan untuk menyimpan file virus.

  4. Menggunakan file sharing gratis Rapidshare untuk menyebarkan dirinya, hal ini sangat efektif dan efisien karena tidak membutuhkan usaha tinggi dan infrastruktur / bandwidth Rapidshare sangat baik untuk menyebarkan file virus.

  5. Menggunakan situs penyimpanan file gratis sehingga mudah diakses oleh calon korbannya dan mudah di update oleh pembuat virus, baik dari sisi biaya dan usaha. Sekaligus relatif aman bagi pembuat virus karena agak sulit baik secara waktu dan tenaga untuk mengetahui siapa yang bertanggungjawab atas file yang di upload, dibandingkan dengan melakukan hosting di website tertentu.

Belum tuntas kasus virus Conficker yang sampai saat ini masih menjadi “momok” bagi pengguna komputer terutama bagi mereka yang mempunyai koneksi internet / jaringan dimana dalam upaya menyebarannya akan memanfaatkan satu celah keamanan dari Widows yakni MS08-067 [http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx]. Untuk informasi lebih lanjut dan bantuan menghadapi Conficker silahkan hubungi Vaksincom atau klik url http://vaksin.com/2009/0109/conficker2/conficker2.htm


Pasti Anda sudah tidak asing dengan aplikasi chat seperti Skype / Yahoo Messager yang memungkinkan Anda untuk berkomunikasi dengan teman atau rekan kerja. Kemudahan yang di dapat dari aplikasi ini tidak luput dari incaran sang pembuat virus untuk menyebarkan virus dengan cara mengirimkan dirinya ke semua kontak yang ada dalam alamat aplikasi tersebut dengan menyertakan alamat link untuk mendownload sesuatu, hal ini juga pernah terjadi pada kasus virus Sohanad [http://vaksin.com/2008/0508/sohanad-vietnam/Sohanad-Dloader.html]


Jika anda menerima pesan yang di kirim melalui Ym atau SkyPe yang menyertakan link http://studyguide102.com/Organic/YouTube/ShitLady sebaiknya jangan Anda klik apalagi menjalankan file yang di download karena saat ini sedang menyebar satu virus yang akan memanfaatkan media chat, dan parahnya lagi virus ini selain memanfaatkan aplikasi chat seperti Yahoo Messager juga akan memanfaatkan aplikasi chat lainnya seperti ICQ maupun SkyPe. Untuk mengelabui user ia akan memalsukan alamat download file dengan menyertakan alamat Youtube. Jika klik alamat tersebut secara otomatis akan mendownlad satu file dengan nama Lady_Eats_Her_Shit-_www.youtube.com yang di upload di www.rapidshare.com, jadi sebenarnya anda tidak mendownload file tersebut dari YouTube melainkan dari alamat www.rapidshare.com. File ini mempunyai ukuran sebesar 130 KB yang dibuat dengan menggunakan Program Bahasa Visual C++ . (lihat gambar 4)


Virus Lady_Eats_Her_Sh*t


Jika file yang berhasil di download tersebut dijalankan, secara otomatis ia akan membuat nama file acak dengan ekstensi *.tmp dan *.exe yang akan di simpan di direktori [C:\Documents and Settings\%user%\Local Settings\Temp] dengan nama yang berbeda-beda, contohnya : A415.tmp atau 034.exe serta drop file dengan nama Lady_Eats_Her_Shit--www.youtube.com, kemudian virus ini akan mengeksekusi salah satu file .tmp dan .exe yang telah di drop tersebut. Pada saat file yang mempunyai ekstensi .tmp di jalankan maka ia akan mengkopi file tersebut menjadi nama file lain yakni vshost.exe yang mempunyai ukuran 122 KB, file ini akan di simpan di setiap root drive [c:\ atau d:\]


Selain membuat file di atas, ia juga akan membuat beberapa file lain diantaranya:

  • C:\autorun.inf [all drive]

  • C:\RECYCLER\S-1-5-21-9949614401-9544371273-983011715-7040\winservices.exe

  • C:\WINDOWS\system32\sysmgr.exe

  • C:\WINDOWS\TEMP\5755.tmp

  • c:\windows\system32\crypts.dll

  • c:\windows\system32\msvcrt2.dll

Modifikasi Registry

Agar ia dapat aktif secara otomatis pada saat komputer aktif ia akan membuat string pada registri berikut:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    • Microsoft(R) System Manager = C:\WINDOWS\system32\sysmgr.exe

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • Windows Service help = C:\RECYCLER\S-1-5-21-9949614401-9544371273-983011715-7040\winservices.exe

Virus ini juga akan memanfaatkan fitur autorun Windows dengan membuat file [autorun.inf] di setiap root drive dan di Flash Disk, pembuatan file ini di maksudkan agar ia dapat aktif secara otomatis setiap kali user mengakses drive / Flash Disk. File Autorun ini berisi script untuk menjalankan file [vshost.exe]. (lihat gambar 5)


Virus Lady_Eats_Her_Sh*t

Gambar 5, File autorun.inf memungkinkan virus aktif secara otomatis.


Virus ini juga akan membuat string dibawah ini yang mengakibatkan user hanya di perbolehkan membuka “maksimal” 11 layar aplikasi.

  • HKEY_CURRENT_USER\SessionInformation

    • ProgramCount = 11

Virus ini juga akan membatasi penggunaan port hanya sampai 8000 port dengan terlebiih dahulu membuat string pada registry berikut

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

    • MaxUserPort = 8000

Dan menghapus value yang ada di registry berikut:

  • HKEY_CURRENT_USER\AppEvents\Schemes\Apps\Explorer\BlockedPopup\.current

  • HKEY_CURRENT_USER\AppEvents\Schemes\Apps\Explorer\EmptyRecycleBin\.Current

  • HKEY_CURRENT_USER\AppEvents\Schemes\Apps\Explorer\Navigating\.Current

  • HKEY_CURRENT_USER\AppEvents\Schemes\Apps\Explorer\SecurityBand\.current

Otomatis Update

Virus ini akan mencoba melakukan koneksi ke sejumlah alamat yang telah ditentukan dengan tujuan untuk memperbaharui dirinya:


66 .90 .103 .169:99 / a .exe

66 .90 .103 .169:6666 / lsass .exe

66 .90 .103 .169:443 / crss .exe

TCP:72.249.94.146:7008 Port:27

TCP:127.0.0.1:1092 Port:30

TCP:66.90.103.169:99 Port:29

TCP:66.90.103.169:6666 Port:30

TCP:66.90.103.169:443 Port:30

Port 80 IP:83.133.127.5

Port 80 IP:68.180.151.74

Port 25 IP:127.0.0.1

Port 80 IP:65.55.21.250

TCP:83.133.127.5:443 Port:17

TCP:65.54.186.47:443 Port:17

Port 80 IP:87.248.208.54

TCP:89.149.254.14:443 Port:21

Port 80 IP:64.4.33.7

Port 80 IP:207.46.11.121

Port 80 IP:65.54.186.47

Port 80 IP:88.221.26.64

TCP:65.55.16.123:443 Port:28

TCP:92.122.112.124:443 Port:28

TCP:92.122.112.124:443 Port:28

TCP:88.221.165.186:443 Port:29

TCP:88.221.165.186:443 Port:29

TCP:83.133.127.5:443 Port:18

TCP:89.149.254.14:443 Port:22

TCP:65.55.16.123:443 Port:27

TCP:65.54.186.47:443 Port:27

TCP:92.122.112.124:443 Port:27

TCP:92.122.112.124:443 Port:28

TCP:88.221.165.186:443 Port:28

TCP:89.149.254.14:443 Port:21


Media Penyebaran

Untuk menyebarkan dirinya ia akan memanfaatkan beberapa media seperti Flash Disk dengan cara membuat file vshost.exe, agar file ini dapat aktif pada saat user mengakses Flash Disk ia akan menambahkan file autorun.inf , dimana file autorun.inf ini akan menjalankan file vshost.exe tersebut.


Selain menggunakan media Flash Disk, ia juga akan memanfaatkan media Chat seperti Yahoo Messager atau SkyPe dengan cara mengirimkan link virus ke semua kontak yang ada pada aplikasi Yahoo Messager atau SkyPe tersebut.


Pada komputer yang sudah terinfeksi virus ini, ia mengirimkan dirinya menggunakan fitur YM “Send Message to Group” dengan tujuan supaya semua kontak di YM menerima link yang berisi virus. (lihat gambar 6)


Virus Lady_Eats_Her_Sh*t

Gambar 6, Coutsonif menggunakan fasilitas YM “Send Message to Group” untuk menyebarkan dirinya ke semua kontak YM pada komputer yang terinfeksi.


Ciri-ciri pesan yang di kirim oleh Virus Coutsonif.A ke computer target (lihat gambar 1 di atas) :

Pada saat link tersebut di klik maka akan membuka layar Internet Explorer baru yang akan dialihkan ke alamat www.rapidshare.com kemudian akan mendownload sebuah file dengan nama Lady_Eats_Her_Shit--www.youtube.com.


Cara mengatasi Coutsonif.A

  1. Disable “System Restore” selama proses pembersihan.

  2. Disable autorun windows, agar virus tidak dapat aktif secara otomatis saat akses ke drive /flash disk.

    • Klik tombol “start”

    • Klik “run”

    • Ketik “GPEDIT.MSC”, tanpa tanda kutip. Kemudian akan muncul layar “Group Policy”

    • Pada menu “Computer Configuration dan User Configuration”, klik “Administrative templates”

    • Klik “System” (lihat gambar 7)

    Virus Lady_Eats_Her_Sh*t

Gambar 7, Cara disable autorun dari Group Policy

    • Klik kanan pada “Turn On Autoplay”, pilih “Properties”. Kemudian akan muncul layar “Tun on Autoplay propeties”

    • Pada tabulasi “Setting”, pilih “Enabled”

Virus Lady_Eats_Her_Sh*t

    • Pada kolom “Tun off Autoplay on” pilih “All drives”

    • Klik “Ok”

  1. Matikan proses virus, gunakan tools “security task manager” kemudian hapus file [sysmgr.exe, vshost.exe, winservices.exe, *.tmp]

Catatan:

*.tmp menunjukan file yang mempunyai ekstensi TMP [contoh: 5755.tmp]

    • Klik kanan pada file tersebut dan pilih “Remove”

    • Pilih opsi “Move File to Quarantine”

    • Klik “OK” (lihat gambar 9)

Virus Lady_Eats_Her_Sh*t

Gambar 9, Mengapus proses virus

  1. Repair registry yang sudah diubah oleh virus. Untuk mempercepat proses penghapusan silahkan salin script dibawah ini pada program notepad kemudian simppan dengan nama repair.inf. Jalankan file tersebut dengan cara:

    • Klik kanan repair.inf

    • Klik Instal

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee


[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del


[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKCU, SessionInformation, ProgramCount, 0x00010001,3

HKCU, AppEvents\Schemes\Apps\Explorer\BlockedPopup\.current,,,"C:\WINDOWS\media\Windows XP Pop-up Blocked.wav"

HKCU, AppEvents\Schemes\Apps\Explorer\EmptyRecycleBin\.Current,,,"C:\Windows\media\Windows XP Recycle.wav"

HKCU, AppEvents\Schemes\Apps\Explorer\Navigating\.Current,,,"C:\Windows\media\Windows XP Start.wav"

HKCU, AppEvents\Schemes\Apps\Explorer\SecurityBand\.current,,,"C:\WINDOWS\media\Windows XP Information Bar.wav"


[del]

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Microsoft(R) System Manager

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, bMaxUserPortWindows Service help

HKLM, SYSTEM\CurrentControlSet\Services\Tcpip\Parameters, MaxUserPort

  1. Hapus file virus berikut:

    • C:\vshost.exe [all drive]

    • C:\autorun.inf [all drive]

    • C:\RECYCLER\S-1-5-21-9949614401-9544371273-983011715-7040\winservices.exe

    • C:\Documents and Settings\%user%\Local Settings\Temp

          • A415.tmp [acak]

          • 034.exe [acak]

          • Lady_Eats_Her_Shit--www.youtube.com

    • C:\WINDOWS\system32\sysmgr.exe

    • C:\WINDOWS\TEMP\5755.tmp

    • C:\windows\system32\crypts.dll

    • C:\windows\system32\msvcrt2.dll

  1. Untuk pembersihan optimal dan mencegah infeksi ulang silahkan gunakan antivirus yang dapat mendeteksi dan membasmi virus ini. up-to-date. Anda juga dapat download tools Norman Malware Cleaner di : (lihat gambar 10)

http://download.norman.no/public/Norman_Malware_Cleaner.exe


Virus Lady_Eats_Her_Sh*t

Gambar 10, Gunakan Norman Malware Cleaner untuk membasmi Coutsonif.A


Sumber : www.vaksin.com

Comments
#1 | Dj4iL on 07 June 2011 07:29
bagus bgt artikelnya Yes_master
Post Comment
Please Login to Post a Comment.
Follow Us
Try Our Web Mobile
Becoming a Fan
Follow Us @xybrain
Our Web Mail
Paper
Latest Articles
Membuat/ Mengubah So...
Meningkatkan Volume ...
Memaksimalkan Fungsi...
Multiple Booting Win...
Instal Metasploit 3 ...
Shoutbox
You must login to post a message.

19/04/2024 00:31
salam bro faisal_malmsteen long time no online Smile

18/03/2024 09:45
Dulu kalo lagi bulan puasa paling enak maennya di xyb, salam u/ Eva dan member lain

31/12/2023 14:32
udah sepi :0

25/11/2023 01:01
udah 1 thn lebih nulis disini. para users pada sibuk semua

31/12/2022 00:53
udah pada jarang login ya ?

Copyright © 2007-2016