-------------------
Oke, mari kita mulai… pertama-tama saya akan memberika sekilas info/gambaran tentang Fast Firus Enggine V1.0 (kita singkat saja menjadi FFE biar gampang.. hehew…). FFE adalah sebuah software virus generator yang dibuat oleh Mas Fajar Anggiawan. Software ini dibuat menggunakan bahasa Visual Basic. Gunanya software ini adalah untuk membuat virus baru tanpa harus menulisakan koding yang sangat banyak dan rumit. Tinggal masukan nama author, nama virus, dan pesan yang diinginkan lalu klik generate maka dengan cepat akan terciptalah sebuah virus baru. Virus yang tercipta oleh FFE mempunyai ukuran 55 kb. Virus yang tercipta tergolong tidak terlalu berbahaya karena virus
tersebut tidak menghapus data para korbannya.
Berikut saya berikan cara pemakaian software FFE ini.
1. Jalankan software FFE tersebut
2. Lalu muncul form awal berupa splash screen
3. Lalu klik form tersebut, kemudian form utama akan terbuka.
4. Isi nama author, nama virus, dan pesan lalu klik generate maka sebuah virus barupun akan tercipta dengan mudahnya
gambar form awal FFE
gambar form utama
gambar virus baru yang tercipta menggunakan FFE
Virus tersebut apabila dieksekusi maka akan menyebabkan komputer terasa lebih lambat, karena resource komputer kita dipakai oleh virus tersebut. Cirri-ciri virus terbut adalah
- Mempunyai ukuran 55 kb
- Tidak bisa membuka Task Manaer
- Tidak bisa membuka CMD
- Tidak bisa membuka RegEdit
- Tidak bisa membuka MsConfig
- Find hilang
Kemudian bagaimana cara memberangusnya…???… oke sabar bentar dulu saya nyalain rokok dulu yah biar ga’ ngantuk… Jam segene dah sepet neh mata… hehehew… Okeh, kita lanjutin…. Biar temen-temn pada ga’ ngantuk juga siapin deh perlengkapannya..
- Kopi
- Rokok
- Cemilan
- Semangat 45 yang terus berkobar didada
- Sedikit pengetahuan tentang System operasi
- Software ProcLister buatan mas Ahlul
- TuneUp Utilities 2006
Baik kita mulai prosesi pemberangusan. Pertama-tama kita harus mematika proses virus terlebih dahulu dengan menggunakan software ProcLister.
gambar proses virus yang tertangkap oleh ProcLister
Pilih proses virus yang akan dimatika, klik kanan, lalu pilih kill selected. Sebenarnya di program ini ada pilihan kill & delete selected tapi ga’ tau kenapa di kompie saya klo saya pilih kill&delete selected maka program tersebut akan error. Jadi sebaik nya kita kill selected saja. Setelah kita berhasil membunuh semua proses virus yang berjalan, langkah selanjutnya adalah menghapus file-file virus tersebut. Tapi sebelum menghapus kita buka folder option dan pada tab view, aktifkan option button show hidden file and folder dan nonaktifkan checkbox hide extensions for known file types serta hide protected operating System file (recommended).
Kenapa kita harus mmbuka folder option terlebih dahulu? Karena virus tersebut telah memberika atribut super hidden pada folder Windows. Lalu hapus semua file yang dibut oleh virus. File tersebut antara lain :
Windows.exe, dan baca euy.txt pada drive c:\.
lsass.exe, smss.exe, svchost.exe, winlogon.exe, csrss.exe pada folder c:\Windows\System
Win32.exe, cokil.exe, ActiveX.exe, .exe pada folder c:\Windows.
_default.pif serta copy.pif pada folder c:\Windows\System32
Ingat, file cokil.exe tiap komputer berbeda-beda, tergantung nama virus yang kita buat dengan FFE tadi.
Lalu setelah berhasil menghapus semua file yang diciptakan oleh virus tersebut, maka langkah selanjutnya adalah menetralisir registry yang udah terkontaminasi oleh virus tersebut. Untuk menetralisirnkannya kita butuh program TuneUp Utilities. Lho knapa ga’ lewat RegEdit aja khan proses virusnya dah mati..??.. ya betul proses virus sudah mati, tapi ingat, virus itu telah berhasil meracuni registry, jadi apabila kita coba buka registry dengan cara mengetikan run tetap tidak bisa karena virus tersebut telah menciptakan key debugger pada
HKLM\software\microsoft\WindowsNT\currentversion\image file execution options\taskmanager.exe
HKLM\software\microsoft\WindowsNT\currentversion\image file execution options\RegEdit.exe
HKLM\software\microsoft\WindowsNT\currentversion\image file execution options\CMD.exe
HKLM\software\microsoft\WindowsNT\currentversion\image file execution options\MsConfig.exe
Yang berguna untuk mengaktifkan file Win32.exe pada folder c:\Windows apabila kita menjalankan RegEdit, CMD, MsConfig dan task manager. Win32.exe itu sendiri adalah file ciptaan virus tersebut. Jadi apabila kita menjalankan RegEdit, CMD, MsConfig dan task manager maka secara tidak langsung kita akan mengeksekusi file virus itu. Loohh….. bukannya file Win32.exe yang terletak pada c:\Windows sudah kita hapus? Iya anda benar, filenya sudah kita hapus tapi registrynya kan belum kita netralisir. Jadi apabila kita coba jalankan RegEdit, CMD, MsConfig atau task manager maka tetap tidak akan terbuka, dan Windows akan mengeluarkan peringatan seperti gambar dibawah ini
gambar perigantan Windows
Okeh… mari kita lanjutkan… Untuk menetralisir kan registry buka TuneUp Registry Editor. Lalu hapus key-key yang diciptakan oleh virus. Key-key tersebut antara lain :
Debugger pada
· HKLM\software\microsoft\WindowsNT\currentversion\image file execution options\taskmanager.exe
· HKLM\software\microsoft\WindowsNT\currentversion\image file execution options\RegEdit.exe
· HKLM\software\microsoft\WindowsNT\currentversion\image file execution options\CMD.exe
· HKLM\software\microsoft\WindowsNT\currentversion\image file execution options\MsConfig.exe
Yadoy present dan Present pada
· HKCU\software\microsoft\Windows\currentversion\run
Key yadoy present berbeda-beda pada tiap komputer tergantung nama author yang kita masukan pada FFE.
Sama seperti file cokil.exe bedanya cokil.exe nama virus yang kita masukan pada FFE sedangkan yadoy present adalah nama author yang kita masukan dalam hal ini nama author yang saya masukan adalah yadoy
c:\Windows.exe, c:\Windows\.exe, c:\Windows\ActiveX.exe, c:\Windows\cokil.exe pada
· HKU\s-1-5-21-746137067-507921405-725345543-1003\software\microsoft\Windows\Shellnoraom\muichache
Edit nilai dari Userinit yang terletak pada
· HKLM\software\microsoft\WindowsNT\currentversion\winlogon
Yang semula berisi c:\Windows\System32\userinit.exe, c:\Windows\System32\copy.pif menjadi c:\Windows\System32\userinit.exe seperti pada gambar dibawah ini
gambar pengeditan key userinit dengan TuneUp Registry Editor
Default, dan yadoy666 pada
· HKLM\software\microsoft\Windows\currentversion\run
Load pada
· HKCU\software\microsoft\Windowsnt\currentversion\Windows
NoFind pada
· HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Exploler
· HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Exploler
Setelah selesai, lalu restart lah komputer anda. Kemudian coba buka RegEdit, CMD, MsConfig, TaskManger.. sudah bisa kan…. Hehew… sekarang komputer anda telah bebas dari pengaruh buruk virus terebut…. Hew…. ^_^ Buat temen-temen yang belum mempunyai program-program yang saya sebutkan diatas dan ingin memilikinya dapat menghubungi saya melalui e-mail ke karaduk2@yahoo.com ato fir-man2@plasa.com.. hehew… sekarang saatnya tidur neh.. dah jam 4 man… gile.. besok kuliah lagi… woiiii fren gwe tidur dulu yah….
*PENTING*
Penulis tidak bertanggung jawab atas kerugian yang disebabkan oleh artikel ini
Source: http://oktavianus.wordpress.com
No comments:
Post a Comment