Basmi Virus reva.vbs Tanpa Anti Virus

By : Meiprieva

Hari minggu ini tanggal 24 Agustus 2008 diketahui ada dua virus yang menyelinap ke komputer penulis dengan santai tanpa diketahui oleh Kepala Keamanan AVG Free 8. Kalau bukan karena kakak dari penulis mengalami kesulitan dalam menyimpan file kerjaannya ke dalam flashdisk yang tidak semestinya (Fle > Save As > Excel 97-2003 Workbook > ke Directory Flashdisk > Reportnya adalah Directory Wasn’t Created) mungkin dua penyusup tadi masih bersemanyam entah sampai kapan.

Berangkat dari hal tersebut hal pertama yang penulis lakukan adalah memberi instruksi kepada Kepala Keamanan AVG Free 8 untuk memeriksa flashdisk yang mungkin disusupi oleh virus benar saja dari hasil pemeriksaan tersebut adalah galuh.vbs dapat di amankan dari tempat persembunyiannya, setelah itu penulis mencoba melakukan hal yang sama untuk menyimpan file ke directory flashdisk tetapi error reportnya masih sama yaitu Directory wasn’t created segeralah penulis memeriksa secara manual directory tujuan ternyata disana ada reva.vbs, antorun.inf, shaheedan.jpg, ketiga penyusup tersebut mempunyai ciri-ciri yang sama mulai dari Date Created, Date Modified sampai jam dia melakukan penyusupan yang sama, yang lolos dari SIDAK Kepala Keamanan.

Langkah berikutnya yang penulis lakukan adalah membuka file autorun.inf menggunakan notepad ternyata isi nya sbb :

[autorun]

shellexecute=wscript.exe reva.vbs

hmmmm ternyata reva.vbs memanfaatkan wscript.exe yang notabene adalah file asli dari windows untuk melakukan penyusupan segera penulis menekan CTRL + ALT + DEL untuk membuka Task Manager ternyata fungsi windows yang satu ini tidak di disable oleh reva cs dan mematikan proses dari wscript.exe seperti gambar di samping. Klik kanan pada proses  “wscript.exe > End Process Tree” hal ini penulis lakukan untuk dapat men-delete reva cs secara manual, apabila langkah ini tidak di lakukan ada 2 kemungkinan yang akan timbul pertama reva cs tidak dapat di delele karena process nya sedang aktif atau masih running kedua adalah reva cs bisa di delete tetapi tidak lama kemudian akan nongol kembali seperti sedia kala.

Langkah berikutnya adalah mencari tahu tempat persembunyian reva cs memanfaatkan fasilitas windows yakni “search”, kali ini penulis memasukan beberapa kunci dari pencarian contohnya pada “Field – All or part of the file name” penulis isi dengan “*.*” tanpa kutip maksud hati supaya reva cs dapat ditemukan secara berurut tidak satu demi satu, pada options “When was it modified > Specify dates > Created date > dan memasukan tanggal yang sesuai dengan reva cs punya. Pada Option “More advanced Options” penulis memberi ceklist pada semua pilihan options.

Tanpa pikir panjang lagi penulis langsung segera menekan tombol “search”  sambil menerka-nerka dan garuk-garuk kepala serta gelisah tiada tara (hehehehehehehehe) sampai akhirnya membakar sebatang roko sambil mondar-mandir gak karuan hal ini penulis lakukan untuk me-refresh otak  (sebenernya perlu gak sih ini ditulis hehehehehehehe) menanti hasil pencarian yang di lakukan anjing pelacak windows.

Ternyata dari hasil pencarian tersebut reva cs ada pada drive seperti:

C:\autorun.inf

C:\reva.vbs

C:\shaheedan.jpg,

D:\autorun.inf

D:\reva.vbs

D:\shaheedan.jpg,

C:\WINDOWS\System32\reva.vbs

Tentu saja drive tambahan apabila flashdisk masih terdapat di komputer penulis.

Tanpa ragu lagi penulis menekan tombol delete untuk memindahkan mereka ke tempat semestinya hahahahahaha yaitu tong sampah.

Selanjutnya penulis coba mengecek regedit dan “search” dengan menggunakan kata kunci “reva.vbs” hasilnya adalah:

Pada Key :

  1. HKEY_CURRENT_USER\Sofware\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\ {3153dceb-5e9e-11dd-97a7-806d6172696f}\Shell\AutoRun\Command\default
  2. HKEY_CURRENT_USER\Sofware\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\ {3153dcec-5e9e-11dd-97a7-806d6172696f}\Shell\AutoRun\Command\default
  3. HKEY_CURRENT_USER\Sofware\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\ {5868a7ce-6c19-11dd-b238-001b24ee1b64}\Shell\AutoRun\Command\default
  4. HKEY_CURRENT_USER\Sofware\Microsoft\WindowsNT\CurrentVersion\Windows\load

String-nya berisi :

  1. C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe reva.vbs
  2. C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe reva.vbs
  3. C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe reva.vbs
  4. C:\WINDOWS\system32\reva.vbs

Penulis edit menjadi :

  1. C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,
  2. C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,
  3. C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,
  4. Menjadi Kosong / penulis kosongkan

Setelah tahap pengecekan regedit selesai penulis mencoba me-restart komputer untuk memastikan reva cs benar sudah hilang. Dengan demikian penulis mengambil kesimpulan bahwa reva cs sudah di pindahkan ke tempat mereka seharusnya berada bukan tinggal nyaman di system.

Kesimpulannya adalah reva cs bukanlah salah satu penyusup kejam yang banyak me-disable fungsi-fungsi dari windows sebagai bentuk pertahanan supaya tidak mudah di ketahui, menghapus file-file penting di komputer kita dan tidak mudah untuk dihilangkan tetapi cukup mengganggu pekerjaan kakak dari penulis hehehehe.

Sekian dulu posting kali ini bagi teman-teman yang sudah membaca diharapkan koreksinya jika ada kesalahan dan kekurangan dalam tulisan kali ini. Terima kasih!

Advertisements

13 Responses so far »

  1. 1

    firmansyah said,

    test dulu ya……

    thank’s for the advice

  2. 3

    kramero said,

    informatif…
    terimakasih atas tips nya…
    berhasil euy…

  3. 4

    andi said,

    gmn cr ngebuang virus shaheedan.jpg………..bikin lelet euyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyy\

  4. 5

    Resiest said,

    Thanks ,

    Saya coba dulu, saya sdh cukup pusing dengan kelakuan reva.vbs
    hahahahaha

  5. 6

    facescan said,

    thx a lot ,…it’s working euy..:)

  6. 7

    asuna17 said,

    Anda bisa lebih mempromosikan dan mempopulerkan artikel Anda di http://www.infoGue.com agar bermanfaat bagi pembaca di seluruh Indonesia. Coba juga layanan baru http://www.infogue.com/info/cinema/ untuk review info dan trailer film yang akan ditonton di bioskop. Salam Blogger!
    http://security-hacking.infogue.com/basmi_virus_reva_vbs_tanpa_anti_virus

  7. 8

    yang said,

    hahaha.. thx bgt infonya.. bgtu baca lgs gw dipraktekin.. mudah2an ilang.. hahaha

  8. 9

    yang said,

    hahaha.. sukses besarrrr.. makasih bgt buat yg ngepost..

  9. 10

    KungPao said,

    aku mau tanya dunk…
    aku kan juga kena tu virus
    cmn aku dah pake anti virus dan itu virus dah kedelete semua.
    alhasil komputer bersih dari virus itu.
    tapi masalah muncul lage. ternyata waktu double klik drive D dan G ternyata tidak ke buka malahan keluar warning Windows scripts Host X can no find script file “D:\reva.vbs” begitu juga drive G. jd kira” apa yg mesti saya lakukan biar saya dpt membuka drive D dan G saya dengan double klik dari my computer???

    PS : mohon bantuan nya

    Thx before…

  10. 11

    meiprieva said,

    @KungPao

    maaf sebelumnya saya baru bisa jawab pertanyaan kamu sebenernya sudah di jawab di blog kita yang baru silahkan km kunjungi link di bawah ini…..makasih sebelumnya dah mampir ke blog kita

    http://meiprieva.co.cc/?p=10

  11. 12

    staniwan said,

    Makasih. Lumayan de nambah2 ilmu .rese jg ni virus ..

    Hehe.. MAkasi Ilmunya

  12. 13

    Gyl said,

    Oalah… gampang to ternyata. Mantep dech..


Comment RSS · TrackBack URI

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: