Kalo saat Anda baca tulisan di atas, lalu Anda berfikir bahwa yang saya maksud adalah Hoax yang menyatakan jangan terima add dari xxx, xxx, xxx. Terus id xxx, xxx, xxx adalah virus. Sebarkan ke temen-temen anda. Maka Anda salah besar.

Yang saya maksud di sini adalah virus yang menyebar dengan cara penyebaran link melalui Yahoo Messenger, Virus ini tepatnya WORM IM-Worm.Win32.Sohanad.ar adalah sebuah worm yang menyebar dengan cara menginfeksi Yahoo Messenger Anda sehingga setiap pengguna YM tersebut berbicara dengan Anda, maka dia juga akan mengeluarkan salah satu kalimat di bawah ini:

E may, vao day coi co con nho nay ngon lam

Vao day nghe bai nay di ban

Biet tin gi chua, vao day coi di

Trang Web nay coi cung hay, vao coi thu di

Toi di lang thang lan trong bong toi buot gia, ve dau khi da mat em roi?
Ve dau khi bao nhieu mo mong gio da vo tan... Ve dau toi biet di ve dau?

Khoc cho nho thuong voi trong long, khoc cho noi sau nhe nhu khong.
Bao nhieu yeu thuong nhung ngay qua da tan theo khoi may bay that xa...

Tha nguoi dung noi se yeu minh toi mai thoi thi gio day toi se vui hon.
Gio nguoi lac
loi buoc chan ve noi xa xoi, cay dang chi rieng minh toi...

Loi em noi cho tinh chung ta, nhu doan cuoi trong cuon phim buon.
Nguoi da den nhu la
giac mo roi ra di cho anh bat ngo...

Tra lai em niem vui khi duoc gan ben em, tra lai em loi yeu thuong em dem,
tra lai
em niem tin thang nam qua ta dap xay. Gio day chi la nhung ky niem buon...

Selain kata-kata tersebut, di bagian paling bawah, dia juga akan mengirimkan link menuju ke halaman web lokasi Worm tersebut.

Selain penyebaran dengan cara di atas, Worm ini juga menyebar dengan cara mengkopi file exe dirinya ke semua drive yang ada di komputer (termasuk drive flash disk) dengan nama “New Folder.exe” dan lalu worm ini membuat file “autorun.inf” yang isinya adalah memanggil file exe worm tersebut. Sehingga, saat user membuka drive tersebut (biasanya flashdisk) dengan windows explorer, maka windows explorer akan membaca file autorun.inf dan kemudian akan melakukan perintah yang ada di autorun.inf, yaitu menjalankan worm sehingga worm ini juga banyak menyebar melalui flash disk, karena Anda tidak perlu membuka file exe tersebut untuk membuat worm ini aktif di komputer Anda, worm ini akan aktif saat Anda mengecek file Anda di flashdisk (drive rootnya, misal f:, akses sub folder tidak akan mengaktifkan autorun).

Lalu apa saja yang dilakukan WORM ini saat dia pertama kali terinstall di komputer Anda.

Pertama dia akan melakukan installasi, yaitu dengan membuat Copy dirinya di:

%WinDir%\SSVICHOSST.exe

%System%\SSVICHOSST.exe

Menulis di registry:

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

Shell=”Explorer.exe SSVICHOSST.exe”

[HKCU\Software\Microsoft\Windows\CurrentVersion\Run]

Yahoo Messengger=”%System%\SSVICHOSST.exe”

Hal di atas membuat Worm ini dijalankan setiap kali windows dinyalakan.

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NofolderOptions=1

[HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableTaskMgr=1
DisableRegistryTools=1

Lalu hal diatas memastikan anda tidak bisa mengotak-atik kembali registry-nya dengan cara mematikan regedit, folder option dan Task Manager.

[HKLM\SYSTEM\CurrentControlSet\Services\Schedule]
AtTaskMaxHours=0

Lalu hal diatas akan mematikan semua schedulu sistem Anda (termasuk scan antivirus).

Setelah Program terinstall, maka hal yang worm ini lakukan secara rutin adalah:

Mematikan proses di bawah game_y.exe dan proses-proses yang memiliki string:

• Bkav2006
• System Configuration
• Registry
• Windows Task
• [FireLion]
• cmd.exe

Lalu ia juga menghapus

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
BkavFw
IEProtection

Ia juga mendownload file-file di bawa ini:
%System%\setting.ini
%System%\setting.xls
%System%\setting.nql

Lalu bagaimana caranya mengatasi worm ini. Gw sendiri sebetulnya belum pernah kena worm ini, tapi beberapa temen gw pernah kena, dan setelah cek punya cek, ternyata gw ketemu solusinya di sini di http://www.totalmalwareinfo.com. Sekalian aja Gw bahas di sini solusinya.

• Buka Notepad, buat file yang isinya adalah sebagai berikut:

[Version]
Signature=”$Chicago$”
Provider=Symantec

[DefaultInstall]
AddReg=UnhookRegKey

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “”%1″”"
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools,0×00000020,0

• Save dengan nama apa saja dengan ekstension inf, contoh UnhookRegKey.inf atau download aja file na di sini
• Setelah itu, klik kanan file-nya, terus pilih install.
• Gunakan Task Manager untuk mematikan Proses Trojan.
• Hapus File Trojannya ( Nama file dan lokasi tergantung bagaimana dia terinstall di komputer Anda, find saja semua file yang ada di list di atas).
• Hapus di registry:

  [HKCU\Software\Microsoft\Windows\CurrentVersion\Run]
  Yahoo Messengger=”%System%\SSVICHOSST.exe”
  
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
  NofolderOptions=1
  
  [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System]
  DisableTaskMgr=1
  DisableRegistryTools=1

• Restore parameter di registry:

  [HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
  Shell=”Explorer.exe”
  
  [HKLM\SYSTEM\CurrentControlSet\Services\Schedule]
  AtTaskMaxHours=0

• Delete files:

  %WinDir%\SSVICHOSST.exe
  %System%\SSVICHOSST.exe
  %System%\setting.ini
  %System%\setting.xls
  %System%\setting.nql

• Delete files dengan Nama

  New Folder.exe
  аutorun.inf

Bingung, ada cara lebih gampang kok. Update aja antivirus Anda (Yang didetect AVG, Kapersky, Norton or Symantec, yang lainnya gw gak tau), tetapi tetap setelah habis scan, registry anda harus di restore, karena walaupun worm-nya dah ketangkap, registry-nya belum di balikin.

Ok gitu aja, mohon mangap (maaf) kalo ternyata gak jalan, karena gw sendiri memang belum pernah nyoba, hanya hasil dari browsing sana browsing sini.

Source:

• http://erlangga23.wordpress.com/2007/08/15/worm-w32imautn/
• http://www.totalmalwareinfo.com/en/index.php?title=IM-Worm.Win32.Sohanad.ar
• http://www.symantec.com/security_response/writeup.jsp?docid=2004-050614-0532-99

Hu hu hu

This entry was posted on Saturday, May 10th, 2008 at 6:10 pm and is filed under Hoax, Internet, tips & tricks. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.