CARA MEMBASMI VIRUS Rascal.
Aksi Worm Rascal ini sering menyamar dengan nama
“Miyabi-New Episode(NO SENSOR)” dan “JapanPorn”
yang iconnya menyerupai WMP dan menggunakan format DAT file
yang seolah-olah ukuran filenya sebesar 11,289 KB untuk
mengelabui User agar menjalankan file ini dan secara tidak
langsung akan menjalankan malware atau virus ini,sebenarnya
Malware ini dibuat dengan Pemrograman Visual Basic 6.0 dan
di pack dengan ukuran 68.6 KB bukan 11,289 KB.
CIRI-CIRI worm Rascal
1. Rascal membuat pesan yang terdapat di folder
C:\Documments and Settings\[nama user]\My Document\JapanPorn.DAT.
Sebenarnya file tersebut adalah file teks yang di dalamnya terdapat pesan
2. Membackup aplikasi system Windows seperti msconfig.exe, regedit.exe, cmd.exe, Command.com, dxdiag.exe, sysedit.exe, taskmgr.exe ke folder “C:\pUkcaB_LACSAR\” yang kemudian di ubah ekstensinya menjadi “.RASCAL”. contohnya, cmd.RASCAL, Command.RASCAL, dxdiag.RASCAL, msconfig.RASCAL, regedit.RASCAL, sysedit.RASCAL, taskmgr.RASCAL.
3. Membuat beberapa file di flash disk dengan nama seperti , Ayam-kampus.exe, Miyabi-New Episode(NO SENSOR).exe, Miyabi-New Episode(NO SENSOR).DAT, dan Autorun.inf
4. Mengcopy beberapa file yang nantinya akan dijadikan host untuk di aktifkan setelah proses startup
C:\Miyabi-New Episode(NO SENSOR).EXE
C:\Miyabi-New Episode(NO SENSOR).DAT
C:\WINDOWS\msvbvm60.EXE
C:\WINDOWS\system32\rascal32.EXE
C:\Documents and Settings\[nama user]\Templates\userinit.EXE
C:\Documents and Settings\[nama user]\My Document\JapanPorn.EXE
C:\Documents and Settings\[nama user]\My Document\Miyabi-New Episode(NO SENSOR).EXE
5. Menambahkan Oeminfo agar bisa merubah isi Properties My Computer.
C:\WINDOWS\system32\oeminfo.ini
C:\WINDOWS\system32\oeminfo.bmp
6. Melakukan overwrite pada file msconfig.exe, regedit.exe, cmd.exe, Command.com, dxdiag.exe, sysedit.exe dan taskmgr.exe yang kemudian dirubah menjadi aplikasi Notepad.exe.
7. Mendisable fungsi windows seperti, Registry Editor, Disable Show Hidden File and Show Extension, Task Manager.
8. Membuat startup pada registry.
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Systemshell = explorer.exe C:\WINDOWS\system32\rascal32.exe
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SystemSystem = C:\WINDOWS\msvbvm60.exe
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\SystemUserinit = userinit.exe,C:\Documents and Settings\Administrator\Templates\userinit.exe,
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Windows = C:\WINDOWS\msvbvm60.exe /register
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load = C:\WINDOWS\system32\rascal32.exe
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\NET-SERVICES = C:\WINDOWS\system32\rascal32.exe /register
9. Menampilkan pesan jika user menekan Enter pada keyboard dan menampilkan juga pesan Windows File Protection Change agar user menjalankan Proses instalasi windows
10. Secara otomatis menutup semua proses yang sedang berjalan dan memiliki nama Caption seperti di bawah ini.
1)registry
2)tuneup
3)anti
4)avg
5)ansav
6)advanced
7)virus
8)killer
9)processes
10)process
11)utility
12)tool
13)hacker
14)cracker
15)scanner
16)vir
17)hijack
18)hex
19)editor
20)snif
21)run
22)free
23)japan
24)porn
25)adult
26)sex
27)hot
28)gadis
29)bugil
30)asia
31)kamasutra
32)blue
33)samples
34)mahasiswa
35)mahasiswi
36)lokal
37)local
38)siswi
39)siswa
40)telanjang
41)smu
42)sma
11. Ada beberapa key di regstry yang tidak berjalan dengan benar seperti:
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer
NoClose
NoLogOff
NoFind
NoControlPanel
NoViewContextMenu
NoFolderOptions
HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Winlogon
SFCScan
Untuk membasmi Virus Rascal bisa menggunakan dengan PCMAV 4.5 Update Build2
No comments:
Post a Comment
Mau komentar? silahkan,kalau ada link yang error mohon di informasikan
Di larang komentar spam.Maaf! Komentar bernada spam akan saya hapus.Disallow spam in the comments!!!!!!!!!!!