Kamis, November 27, 2008

Jengkol Membahayakan Komputer!

Bahaya JeNGKol
Jengkol yang saya maksud disini bukan makanan melainkan sebuah virus. Namun virus in dapat masuk ke sebuah file yang didalamnya terdapat ekstensi VBS melalui icon extractor. Kemudian ciri-ciri komputer yang terinfeksi virus ini adalah munculnya file JPEG dengan ukuran 14 kb, munculnya file JeNGKol di setiap folder dan subfolder, komputer akan logoff jika menjalankan file berekstensi .INF dan terakhir komputer juga akan logoff jika user mengedit file VBS.
Target dari JeNGKol sendiri adalah menyembunyikan file berekstensi .DOC dan akan menduplikatkan file apa saja baik di folder maupun subfolder. Jika virus ini menginfeksi komp kita dan tidak ketahuan karena mungkin saja antivirus kita tidak update maka ia akan menambah beberapa file induk seperti berikut:

%Drive%:\>JeNGKol.vbs
%DRive%:\>Autorun.inf
%Allfolder%:\>JeNGKol.vbs
C:\Documents and Settings\%user%\Favorites\JeNGKol.vbs
C:\Documents and Settings\%user%\Favorites\JeNGKol.lnk
C:\Windows\JeNGKol.vbs
Catatan:
%Drive% ini menunjukan Drive Hardisk (c:\ atau d:\)
%Allfolder% ini menunjukan folder/subfolder
%user% ini menunjukan user account yang sedang menggunakan komputer

Kemudian virus tersebut dapat aktif secara otomatis karena akan membuat string pada registry berikut:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\run
JeNGKol = C:\Documents and Settings\%user%\Favorites\JeNGKol.lnk
Untuk mempertahankan diri agar terus merusak komp, maka JeNGKol akan memblok beberapa fungsi windows seperti Run, Folder Options, Regedit, Search dan Task Manager. Untuk blok fungsi windows tersebut JeNGKol akan membuat string pada registry berikut:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer
- NoFileAssociate
- NOFInd
- NOFolderOptions
- NoRun
- NoDrives

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableCMD
- DisableRegedit
- RunLogonScriptSync

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer - NoDriveAutoRun = 03FFFFFF (hex)
- NoDrives

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
- DisableTaskMgr
- DisableRegedit
- RunLogonScriptSync
- EnableLUA

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\WinOldApp - Disabled

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
- attrib.exe --> debugger = notepad.exe
- cmd.exe --> debugger = notepad.exe
- Install.exe --> debugger = notepad.exe
- msconfig.exe --> debugger = notepad.exe
- regedit.exe --> debugger = notepad.exe
- regedit32.exe --> debugger = notepad.exe
- setup.exe --> debugger = notepad.exe
- taskMgr.exe --> debugger = notepad.exe.
Windows File Protection

JeNGKol juga akan selalu memunculkan pesan Windows File Protection pada saat kita startup seolah-olah ada file Windows yang dihapus atau terjadi kerusakan pada Windows sehingga user mengira komp mengalami kerusakan dengan Os-nya.

Tidak ada komentar:

Bookmark