Resiko Tinggi !! Yahoo Messenger bertingkah aneh ??

Lagi-lagi serangan virus mancanegara yang cukup menggemparkan para pengguna internet Indonesia. Virus ini mampu membuat komputer atau server anda megap-megap kehabisan nafas seperti ikan mas koki cari makanan karena ia akan berusaha dengan intens mendownload file dari situs web tertentu (kebanyakan di Cina) untuk mengupdate dirinya dan "hebatnya" virus ini juga aktif memanfaatkan YM (Yahoo Messenger). Jadi ibarat kata Bang Napi, jika YM anda tahu-tahu bertingkah aneh dalam beberapa hari ini .... Waspadalah..... Waspadalah.

Untuk memastikan W32/Agent.FUVR aktif di komputer anda (Windows XP), silahkan periksa C:\Windows\AppPatch dan cari file-file dengan nama :

*
AcXtrnel.dll
File ini merupakan file palsu yang mirip dengan file dll OS Microsoft Windows "AcXtrnal.dll"
*
AcSpecf.dll

File ini juga merupakan file palsu yang mirip dengan file dll OS Microsoft Windows "AcSpecfc.dll"

*
AcPlugin.dll

File ini adalah benar file dll Microsoft Windows (Microsoft Plus), TETAPI file ini seharusnya ada di C:\Program Files\Microsoft Plus dan bukan di c:\Windows\AppPatch. Microsoft Plus adalah add on untuk Windows XP yang saat ini sudah tidak dilanjutkan produksinya.

*
Jview.dll

Jview sebenarnya adalah file Java, tetapi virus ini dengan cerdik melakukan delay / menunda aktivasi Jview yang asli (jika ada) dengan mengubah setting registry sehingga yang dijalankan adalah Jview yang bervirus.

Hati-hati jika Anda menjumpai sejumlah file dengan nama Microsoft.vbs, Microsoft.bat atau Microsoft.pif pada local disk (C:\). Jika kita buka file Microsoft.bat maka akan terlihat jelas bahwa file ini akan menjalankan file dengan nama Microsoft.pif begitupun dengan file Microsoft.vbs. File Microsoft.pif ini sendiri di kompres dengan menggunakn UPX

Jika file di atas dijalankan, Microsoft.bat / Microsoft.vbs maka akan langsung mengaktifkan file Microsoft.pif yang tersembunyi / hidden. Dan file microsoft.pif ini kemudian akan langsung dihapus. Tetapi sebagai gantinya, akan ada segambreng (banyak sekali) file library (dll) yang aktif di memori, file ini juga akan di aktifkan setiap kali user mengakses Internet Explorer.

Drop File

Begitu virus ini aktif ia akan membuat beberapa file induk yakni :

*

C:\Windows\AppPatch\Jview.dll
*

C:\Windows\AppPatch\AcXtrnel.dll
*

C:\Windows\AppPatch\AcPlugin.dll
*

C:\Windows\appPatch\ AcSpecf.dll

Virus ini juga akan melakukan blocking pada beberapa aplikasi sekaligus mendaftarkan dirinya supaya dijalankan oleh Windows dengan membuat beberapa string pada registry editor berikut:

*

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
o

"JavaView"= {DA191DE0-AA86-D04E-4B87-2A3D4928BE99} - C:\WINDOWS\AppPatch\Jview.dll [ ]
o

ThunderAdvise"= {97421D0D-E07F-40DF-8F07-99597B9585AD} - C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll [2008-06-10 17:58 45056]
*

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
o

AppInit_DLLs=ukrth.dll, hjmh.dll, gyjert.dll, tjdegtr.dll, fyhje.dll, hgnmjsdg.dll, jkhjsd.dll, hjtdrh.dll, hyjmt.dll, fydgky.dll, ytjkyer.dll, dgrgfs.dll, gfcfg.dll, frntrn.dll, qrhhb.dll, drghszd.dll, fngn.dll, gnfctt.dll, xgnfn.dll, xfgnhcgfm.dll, serger.dll, bnxnb.dll, fxgnfx.dll, jzijj.dll, xfgnfx.dll, serghjm.dll, thsddh.dll, xbcvxb.dll, zfdzb.dll, xdndn.dll, xdfntt.dll, hgfhk.dll, dnteh.dll, xfng.dll, njritc.dll, chmfcmh.dll, jwlah.dll, gmnait.dll, hfjg.dll, thurh.dll, mgmgmm.dll, oqrthc.dll, dhugtj.dll, jyjlt.dll, ijatnaw.dll, sehhter.dll, fhjfg.dll, zdbdb.dll, ydgn.dll, dbfb.dll, fjnbv.dll, uyjtd.dll, setrhes.dll, cdxbfxdb.dll, xfgnxfn.dll, gjkhj.dll, xdhdg.dll, rhs.dll, mrjhtjd.dll, zdbfbd.dll, fjyjy.dll, fxnfnh.dll, bjrvm.dll, ektvm.dll, rdthr.dll, yjrfe.dll, dscef.dll, crugd.dll, lariytrz.dll, hjaiq.dll, kduy.dll, hkfgh.dll, awef.dll, dfhsh.dll, ethsh.dll, stehs.dll, sthth.dll, wfhyt.dll, rgghjj.dll, ghjkdr.dll, hfther.dll, nhmxcjkl.dll

Mengupdate dirinya

Virus ini akan membuat koneksi internet atau jaringan menjadi lambat karena setelah ia aktif, ia akan selalu mencoba untuk melakukan koneksi internet dan mencoba untuk mendownload file gambar dengan format GIF dan file EXE kesejumlah situs yang telah ditentukan seperti :

*

http://root.51113.com/root.gif
*

http://hk.www404.cn:53/ads.js
*

http://err.www404.cn:443/014.html

Menurut pengamatan Vaksincom, situs yang mengandung file virus ini sangat banyak dan bervariasi dan rata-rata merupakan domain yang berasal dari Cina sehingga disinyalir kuat virus ini berasal dari Cina. Karena kemampuannya mendownload file update, maka secara teknis virus ini memiliki kemampuan mengupdate dirinya seperti antivirus sehingga termasuk dalam virus dengan resiko tinggi. Walaupun varian awal sudah terdeteksi sejak akhir 2007, tetpai varian yang ditemukan ini terlihat berbeda dengan varian awal dan terbukti berhasil mengecoh banyak program antivirus yang seblumnya berhasil mendeteksinya.

File gif dan exe tersebut akan disimpan di direktori berikut :
C:\Documents and Settings\%user%\Local Settings\Temporary Internet Files\Content.IE5\xxx (xxx ini menunjukan karakter acak)
C:\Documents and Settings\%user%\Local Settings\Temp

File gambar tersebut di deteksi oleh Norman Virus Control sebagai Trojan:W32/Suspicious_U.gen

Selain itu virus ini juga akan mendownload beberapa file EXE/DLL/Sys yang akan di simpan di direktori C:\Windows\system32, file ini DLL inilah yang nantinya akan di aktifkan setiap kali user browse internet .
bcsxachu.sys
sfsxachu.exe
zywmgime.dll
erjxakin.sys
stjxakin.exe
snfybbyt.sys
tjfyabyt.exe
apsgejba.dll
kdaic.exe
xsdjbbmp.sys
zsdjabmp.exe
lpmxajkl.exe
rnmxajkl.sys
aoqnabib.sys
dfqnabib.exe
swsxachu.dll
rijxbkin.dll
ypdjgbmp.dll
nhmxcjkl.dll

Aktif bersama Yahoo Messenger
Virus ini juga akan aktif bersamaan dengan Yahoo Messenger dan pada beberapa kasus menimbulkan error pada Script file
Bagaimana cara mengatasinya?

*

Sebaiknya putuskan hubungan jaringan / internet komputer yang akan dibersihkan.
*

Lakukan pembersihan pada mode "safe mode".
*

Patch OS anda dengan patch terakhir.
*

Download tools Combofix di alamat berikut kemudian jalankan

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

*

Hapus file temporary dan temporary internet file, untuk mempercepat proses penghapusan silahkan download tools berikut

http://majorgeeks.com/ATF_Cleaner_d4949.html

*

Hapus registry yang sudah dibuat oleh virus. Untuk mempercepat proses penghapusan silahkan salin script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf, jalankan file tersebut dengan cara:
o

Klik kanan repair.inf
o

Klik Install

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs,0, ""

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

[del]

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad, ThunderAdvise

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad, JavaView

Pesen dari Vaksin.com
Untuk pembersihan optimal dan mencegah infeksi ulang gunakan antivirus yang dapat mendeteksi dan membasmi virus ini dengan baik.
_________________

"Ada Forum baru lhoohh... FORUM PERJODOHAN ORANG JAWA...!!! yang blum daftar buruan daftar... cepetan keburu abis stock Manungsa'nya ...."

File Repair uda ta masukin d sini
_________________

"Ada Forum baru lhoohh... FORUM PERJODOHAN ORANG JAWA...!!! yang blum daftar buruan daftar... cepetan keburu abis stock Manungsa'nya ...."

Sip ndung......mantep..pantesan kompku njuk melu2 watukk....tak keki bodrexin jelas g gelem to....
Malah tak ombe dewe jee ngakakk

Sesuk maneh ki...nek upload data ki ojo ning ziddu...abot ndung koneksine...

kang nak neng Ziddu.comkan aku entuk duit kang... nak arep gabung langsung kilk kuwi yo...
ajib

Iki lho nak pengen...
http://www.ziddu.com/register.php?referralid=(ykWIMm~[K
_________________

"Ada Forum baru lhoohh... FORUM PERJODOHAN ORANG JAWA...!!! yang blum daftar buruan daftar... cepetan keburu abis stock Manungsa'nya ...."

Gede ora duwite kuwi.....nek gede gelem aku jeeee...hehehehhehe

yo sak madyo... cilik diem agh

_________________

"Ada Forum baru lhoohh... FORUM PERJODOHAN ORANG JAWA...!!! yang blum daftar buruan daftar... cepetan keburu abis stock Manungsa'nya ...."

oohhhh...yo wis nek ngono....

tengkyu broo buat inponya.......... ikut nyedot pak dhe.......maju terus..... ajib

Waduh melu Junk aku....
Kartu kridit orasah d isi, langung d cancel, otomatis wis acount wis d gawe
_________________

"Ada Forum baru lhoohh... FORUM PERJODOHAN ORANG JAWA...!!! yang blum daftar buruan daftar... cepetan keburu abis stock Manungsa'nya ...."

Langsung via Bank d indonesia sudah bisa semua ( saya pernah coba BCA )
bisa terkirim satu minggu..... ajib

_________________

"Ada Forum baru lhoohh... FORUM PERJODOHAN ORANG JAWA...!!! yang blum daftar buruan daftar... cepetan keburu abis stock Manungsa'nya ...."

ad
wae...
apik ding...
upgrade wae yahoo mess-ne...