'Rieysha: Sayang Kapan Kamu Balik Ke Indonesia?'
Pesan rieysha (atas), situs sang VM (bawah)
Jakarta - "Sayang Kapan Kamu Balik Ke Indonesia? Apa Kamu Kembali Dengan Hatimu Yang Dulu?" Demikian bunyi pesan yang disampaikan rieysha.
Jika di komputer Anda muncul pesan seperti itu, kemungkinan komputer Anda terinfeksi virus rieysha. Pesan ini akan muncul setiap kali komputer dinyalakan atau pada saat user membuka file yang berekstensi .TXT, .BAT, .DOC atau .INI.
Virus yang terdeteksi sebagai W32/Autorun.FCN ini merupakan virus lokal yang diduga berasal dari Yogyakarta. Rieysha dibuat dengan bahasa pemrograman Borland Delphi 6.0 dan menggunakan icon TXT (text document).
Salah satu ulah rieysha adalah mengacak-acak System Properties. Ia akan mengubah Register Owner menjadi rieysha dan Register Organization menjadi anak Jogja gitu.
Aksi lainnya, ia akan mengubah halaman utama (start page) browser Internet Explorer (IE) menjadi halaman bernuansa hitam bertuliskan "virusmaker", dengan alamat http://anharku.freevar.com. Ini adalah situs sang VM (virus maker), yang salah satu isinya adalah kumpulan virus-virus yang berhasil dibuat oleh sang VM.
Dari keterangan tertulis Vaksin.com yang dikutip detikINET, Rabu (10/9/2008), pada saat pertama kali file virus ini dijalankan, ia akan menampilkan beberapa pesan dari sang VM.
Jika pesan tersebut ditutup maka ia akan menutup semua program aplikasi yang sedang dibuka dan menutup desktop Windows dengan wallpaper yang telah dipersiapkan oleh virus yang terdiri dari beberapa warna secara terus menerus.
Pada walpaper tersebut terdapat satu opsi yang jika di centang maka akan mucul pesan 2 pesan yakni "rieysha anak jogja" dan "salam buat hacker and virus maker" secara terus menerus selama opsi tersebut di pilih.
Agar sulit dibasmi, rieysha akan menghapus file "c:\windows\system32\notepad.exe". Guna mengelabui user dan agar file yang dibuka dengan program "notepad" tetap dapat dijalankan, virus ini akan membuat file duplikat dengan nama yang sama.
Ia juga akan mengubah icon file berekstensi .bat, .ini, .doc, .txt (txtfile) dan .dll dengan icon "TXT (text document)". Virus ini juga memblok semua program yang dibuat dengan program Visual Basic 6.0.
Rieysha menyebar melalui media Flash Disk, yakni dengan membuat file dengan nama CatatanML.exe pada Flash Disk.
Virus rieysha adalah virus lokal yang diduga berasal dari Yogyakarta. Terdeteksi sebagai W32/Autorun.FCN, virus ini dibuat dengan bahasa pemrograman Borland Delphi 6.0 dan menggunakan icon TXT (text document).Pesan rieysha (atas), situs sang VM (bawah)
Jika di komputer Anda muncul pesan seperti itu, kemungkinan komputer Anda terinfeksi virus rieysha. Pesan ini akan muncul setiap kali komputer dinyalakan atau pada saat user membuka file yang berekstensi .TXT, .BAT, .DOC atau .INI.
Virus yang terdeteksi sebagai W32/Autorun.FCN ini merupakan virus lokal yang diduga berasal dari Yogyakarta. Rieysha dibuat dengan bahasa pemrograman Borland Delphi 6.0 dan menggunakan icon TXT (text document).
Salah satu ulah rieysha adalah mengacak-acak System Properties. Ia akan mengubah Register Owner menjadi rieysha dan Register Organization menjadi anak Jogja gitu.
Aksi lainnya, ia akan mengubah halaman utama (start page) browser Internet Explorer (IE) menjadi halaman bernuansa hitam bertuliskan "virusmaker", dengan alamat http://anharku.freevar.com. Ini adalah situs sang VM (virus maker), yang salah satu isinya adalah kumpulan virus-virus yang berhasil dibuat oleh sang VM.
Dari keterangan tertulis Vaksin.com yang dikutip detikINET, Rabu (10/9/2008), pada saat pertama kali file virus ini dijalankan, ia akan menampilkan beberapa pesan dari sang VM.
Jika pesan tersebut ditutup maka ia akan menutup semua program aplikasi yang sedang dibuka dan menutup desktop Windows dengan wallpaper yang telah dipersiapkan oleh virus yang terdiri dari beberapa warna secara terus menerus.
Pada walpaper tersebut terdapat satu opsi yang jika di centang maka akan mucul pesan 2 pesan yakni "rieysha anak jogja" dan "salam buat hacker and virus maker" secara terus menerus selama opsi tersebut di pilih.
Agar sulit dibasmi, rieysha akan menghapus file "c:\windows\system32\notepad.exe". Guna mengelabui user dan agar file yang dibuka dengan program "notepad" tetap dapat dijalankan, virus ini akan membuat file duplikat dengan nama yang sama.
Ia juga akan mengubah icon file berekstensi .bat, .ini, .doc, .txt (txtfile) dan .dll dengan icon "TXT (text document)". Virus ini juga memblok semua program yang dibuat dengan program Visual Basic 6.0.
Rieysha menyebar melalui media Flash Disk, yakni dengan membuat file dengan nama CatatanML.exe pada Flash Disk.
Rieysha akan memunculkan pesan setiap kali komputer dinyalakan atau pada saat user membuka file berekstensi .TXT, .BAT, .DOC atau .INI, yang salah satu isi pesannya: "Sayang Kapan Kamu Balik Ke Indonesia? Apa Kamu Kembali Dengan Hatimu Yang Dulu?"
Untuk membersihkannya, simak langkah-langkah berikut ini:
1. Matikan System Restore selama proses pembersihan.
2. Matikan proses virus yang sedang aktif dimemori. Untuk mematikan proses ini anda dapat menggunakan tools pengganti task manager seperti "Curr Process", kemudian matikan proses yang mempunyai icon "txt".
3. Perbaiki registry Windows dengan membuat script berikut pada program notepad, kemudian simpan dengan nama repair.inif. Jalankan file tersebut dengan cara: klik kanan repair.inf, lalu klik Install.
Sebaiknya buat file repair.inf di komputer lain yang tidak terinfeksi virus agar virus tidak kembali aktif atau pada program wordpad.
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOrganization,0, "Organization"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOwner ,0, "Owner"
HKCU, Control Panel\International, s1159,0, "AM"
HKCU, Control Panel\International, s2359,0, "PM"
HKCU, Software\Microsoft\Internet Explorer\Main, Start Page,0, "about:blank"
HKLM, SOFTWARE\Classes\.sys,,,"sysfile"
HKLM, SOFTWARE\Classes\.doc,,,"word.document.8"
HKLM, SOFTWARE\Classes\.bat,,,"batfile"
HKLM, SOFTWARE\Classes\.ini,,,"inifile"
HKLM, SOFTWARE\Classes\.dll,,,"dllfile"
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\explorer, NoDriveTypeAutoRun,0x00010001,255
[del]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\run, RunDll
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices, Windll
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies, NoClose
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\explorer, NoClose
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\explorer, NoDrives
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\explorer, NoFind
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\explorer, NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\explorer, NoRun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\explorer, NoViewOnDrive
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableCMD
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHiden
HKCU, SOFTWARE\Classes\exefile, Default
Catatan:
Pada saat menyimpan file repair.inf pada program wordpad, pada kolom "save as type" pilih "Text Document".
4. Hapus file virus dengan terlebih dahulu menampilkan file yang tersebunyi agar proses pencarian file lebih optimal. Jika folder option atau drive master (c:\) belum tampil, logoff komputer terlebih dahulu.
C:\Program Files
- RunDll.exe
- KenanganJogja.exe
C:\Jadwal_Manggung.exe
C:\PesanBuatKekasih.bat
C:\rieysha.exe
C:\Windows
- pesan.txt
- rieysha.exe
- Rahasiaku_Pacarku.exe
- DaftarHacker_Blacklist.exe
- Cerita_Panas_Mendebarkan.exe
- Pesanku.doc
- SuratCinta.exe
- Autorun.inf
- RieyshaAnakJogja.exe
- Sampah.txt
- notepad.exe
C\WINDOWS\system
- psene_seng_gawe.rtf
- rieysha.exe
- Jogja_virus_maker.exe
D:\Puisi.txt
E\CatatanTugas.exe
H:\CeritaDewasa.exe
G:\CatatanML.exe
K\CeritaML.exe
5. Cari file rieysha_anak_jogja.txt, kemudian rename menjadi MSVBVM60.DLL, setelah itu copy file tersebut ke direktori "C:\Windows\system32".
6. Ubah nama file "C:\Windows\bacaan_anak_tk.txt" atau "C:\Windows\ bacaanHot.txt" (pilih salah satu) menjadi C:\Windows\notepad.exe. Kemudian ubah juga nama file "C:\Windows\ReadMe.txt" menjadi "C:\Windows\cmd.exe"
7. Untuk pembersihan optimal, gunakan antivirus yang sudah mampu mendeteksi dan membasmi virus ini dengan baik.
0 Comment:
Post a Comment