KASKUS

Tips Cara Menghilangkan virus JSE / Beautiful Girl

Beberapa hari yang lalu ane mau buka file dokumen namun ane baru sadar ekstensinya berubah dari *.docx menjadi file ber-ekstensi *.jse dengan ukuran file berkisar 9KB. Dan di setiap folder drive terdapat file shortcut namanya beautiful_girl_part1 sampai 5 Akhirnya ane cari tau gan itu virus apa dan bagaimana cara menghilangkannya?

A. About Virus

Nama : annie.ani

Ukuran : 9,201 bytes

Info : JavaScript Encoded File

B. Companion atau File yang dibuat

Serviks-JS dalam aksinya membuat file sebagai berikut:

1.) Autorun.inf

berada pada root drive dan C:\Documents and Settings\%username%\Local Settings\Application Data\Microsoft\CD Burning.

ketika drive dibuka, maka file autorun.inf akan menjalankan file annie.ani, berikut listing file autorun.inf tersebut.

[autorun]
shellexecute=wscript.exe //e:jscript.encode annie.ani /a
shell\open\command=wscript.exe //e:jscript.encode annie.ani /a
shell\explore\command=wscript.exe //e:jscript.encode annie.ani /a

2.) Beautiful_girl_part_1 s/d part_5

ketika user menjalankan file shortcut tersebut yang sepintas terlihat seperti file Video maka akan menjalankan file windows media player atau wmplayer dan annie.ani

C:\WINDOWS\system32\wscript.exe //e:jscript.encode annie.ani /q:5

3.) Annie.sys

berada pada direktori C:\WINDOWS\system32\drivers, file ini akan aktif ketika komputer di restart dengan membuat startup pada registry sebagai berikut :

HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Winlogon value=Userinit=C:\WINDOWS\system32\userinit.exe,wscript.exe //e:jscript.encode C:\WINDOWS\system32\drivers\annie.sys /e

4.) Annie.ani

berada pada root drive dan C:\Documents and Settings\%username%\Local Settings\Application Data\Microsoft\CD Burning. File annie.ani selain di aktifkan oleh file autorun.inf dan shortcut, juga aktif ketika user membuka drive dengan memanfaatkan registry.

C .Aksi

Serviks-JS menyembunyikan file dokumen dengan ekstensi *.doc , *.docx dan *.rtf. File tersebut digantikan dengan file host Serviks-JS dengan extensi *.jse dengan nama yang sama. Ketika file *.jse tersebut dijalankan, file dokumen akan terbuka seperti biasa sekaligus mengaktifkan virus.



Tidak hanya itu, Serviks-JS juga menginfeksi file ber-ekstensi *.htm dan *html

Pada header file *.htm dan *.html, terlihat string dari Serviks-JS sebagai berikut:



lalu menyisipkan kode Serviks-JS sebagai berikut:



Selain itu Serviks-JS melakukan perubahan pada Registry yang mengakibatkan Task Manager, Regedit, CMD , Menu Run ,Folder Options, System Restore terdisable, membuat file hidden tidak bisa terlihat, menyembunyikan ekstensi file, menghilangkan File Associate juga merubah value pada file ber-ekstensi *.reg yaitu (Default)=cmd.exe /c del /q /f “%1″, Serviks-JS juga membuat value pada Image File Execution Options bernama attrib.exe, autoruns.exe, procexp.exe, reg.exe, regalyzer.exe dan taskkil.exe dengan value Debugger=cmd.exe /c del /q /f

D. PCMAV Express for Serviks-JS

PCMAV Express for Serviks-JS ini mempunyai kemampuan memblok akses ke situs antivirus dengan memodifikasi file hosts. Metode infeksi masih sama yang mebedakan adalah pada file *.htm dan *.html terinfeksi, kode Virus dalam keadaan ter-encode.

E. Pembersihan

Untuk pembersihan tuntas gunakan PCMAV Express for Serviks-JS yang dapat didownload melalui link di bawah ini.
Link Download: http://www.sendspace.com/file/erg1j8

Spoiler for PenampakanPCMAV Express for Serviks-JS:


Semoga membantu agan apabila ada yang kena virus tersebut.

Kalo berguna boleh dong nya
Nais inpoh gan , o ya jangan lupa pasang antivirus terupdate ni kan virus yg tergolong bru , untung ane pake avast 4.8 updated
Quote:Original Posted By devidxcn
Nais inpoh gan , o ya jangan lupa pasang antivirus terupdate ni kan virus yg tergolong bru


sip gan sama2, nah iya jgn lupa juga pasang antivirus terupdate

balum pernah nemu tuh
Quote:Original Posted By SOFTOK
balum pernah nemu tuh


kemaren ane barusan kena gan, hati2 gan sama shortcut beautiful girl nya

sapa tau ada yang membutuhkan gan,.
wah untung ane kagak kena nih virus
Quote:Original Posted By faizalindrak
wah untung ane kagak kena nih virus


ya klo bisa jangan sampe kena virus gan
bahaya juga klo udah kena virus yg fatal
tks info nya gan sangat bermanfaat
Quote:Original Posted By lovesm
tks info nya gan sangat bermanfaat


iya gan sama2 semoga membantu apabila terkena virus


monggo gan sapa tau berguna
Nice share gan, mantap
info yg menarik...
Yang penting AV tetep diupdate, aktifkan firewall, non-aktifkan fitur autorun di flashdisk.
Quote:Original Posted By zynk
Nice share gan, mantap


Sip gan semoga membantu
Quote:Original Posted By iakaskus
info yg menarik...


makasih gan
Quote:Original Posted By Fekeng
Yang penting AV tetep diupdate, aktifkan firewall, non-aktifkan fitur autorun di flashdisk.


nah betul juga nih kata agan yg penting antivirrus harus terus update, semoga ga kena sama virus2 yg sangar
nais tipsnya gan
Quote:Original Posted By ch0pp3r
nais tipsnya gan



sip gan
Quote:Original Posted By novanky


kemaren ane barusan kena gan, hati2 gan sama shortcut beautiful girl nya


okedeh tenang aja
go go
×