Pagi ini sudah tidak seperti biasanya...
Matahari yang bisanya menyapa lembutpun kini dihadang debu-debu iblis
Suara kicauan burung juga kini tergantikan dengan suara bom...
Suasana riang berubah jadi tegang tak karuan

Yang biasanya anak-anak pergi bersekolah membawa buku dan pensil
kini mereka harus menggenggam senjata..
Yang biasanya wanita-wanita pergi ke pasar kini mereka harus selalu siap dengan senjata

Tak puaskah kau ZIONIS ISRAEL...!!!
Tak puaskah kau menganiaya !!!
Mana rasa kemanusiaanmu!!!

Dasar BIADAB !!!
Semoga ALLAH Mengutukmu dunia akhirat...!!!
Semoga ALLAH Menghukummu !!

Siapakah yang ga geram mendengar kata VIRUS, ga hanya menyerang makhluk hidup tapi komputer kita juga sering di infeksi oleh virus yang amat sangat mengganggu dan merugikan kita.

Perkembangan virus lokal yang mulai melemah memang dirasakan mulai dari beberapa periode yang lalu. Pada Top-10 kali ini beberapa virus periode lalu masih bertengger di urutan 10 besar. Namun, ada juga varian-varian baru yang berhasil menaikan peringkat virusnya untuk menjadi urutan atas ataupun agar tetap mendominasi, contohnya seperti varian virus Rieysha, Microso, dan Kalong. Dan, ada juga beberapa virus baru yang berhasil masuk seperti Bungas.vbs dan Plolonk. Berikut daftar selengkapnya:

1. Rieysha varian
Satu lagi varian dari virus Rieysha, dikenal sebagai Rieysha-Prisa. Dibuat masih menggunakan Visual Basic, dan memiliki ukuran tubuh sebesar 34.304 bytes dalam kondisi di-pack menggunakan UPX. Icon virus ini menyerupai icon default sebuah file gambar pada Windows XP, seperti contohnya .JPG. Maka dari itu, ia akan membuat banyak sekali file duplikat untuk menipu user, hingga akan mengakibatkan free space harddisk Anda berkurang. Dengan tidak tersedianya free space yang cukup di harddisk, dapat mengakibatkan Windows tidak dapat running. User juga dapat mengetahui dengan cepat apakah komputernya terinfeksi oleh virus ini apa tidak dengan melihat status jam di pojok kanan bawah, karena biasanya virus ini akan menggantikan tulisan AM/PM menjadi rieysha.

2. Windx-Maxtrox
Virus yang dibuat dengan Visual Basic ini memiliki ukuran tubuh asli sekitar 77Kb, tanpa di-pack. Virus yang diduga kuat berasal dari daerah Sulawesi Utara ini memiliki kemampuan infeksi file executable. Tepatnya, ia akan menginfeksi program yang ada di direktori Program Files. Teknik infeksi yang cukup cerdik ia terapkan untuk menghindari pendeteksian engine heuristic dari antivirus. Ciri khas yang dapat dikenali pada komputer terinfeksi adalah berubahnya gambar wallpaper dari desktop menjadi gambar animasi, Maxtrox.

3. Bungas.vbs
Virus lokal jenis VBScript ini memiliki ukuran tubuh sebesar 7222 bytes. Ia hadir dalam kondisi beberapa string terenkripsi, tentunya untuk menyulitkan pendeteksian dan proses analisa. Menariknya, rutin decryptornya tidak diperlihatkan begitu saja pada source nya, tapi sedikit ia sembunyikan. Virus ini menyebar melalui flash disk, tentunya juga memanfaatkan autorun dari flashdisk. File autorun.inf ia rancang sedemikian rupa, jadi saat user mengakses drive flash disk atau melihat properties dari drive flash disk, virus ini akan aktif.

4. Buxto varian
Virus ini dibuat menggunakan Visual basic. Pada salah satu variannya, seperti contohnya Buxto.C, ia memiliki ukuran tubuh sebesar 266.240 bytes, tanpa di-pack. Icon virus ini menyerupai icon aplikasi browser Mozilla Firefox. Virus ini dikenal dapat membuat autorun di setiap drive yang ia temui untuk dapat menyebar. Dan satu hal, pesan yang disampaikan oleh virus ini cukup nyeleneh, seperti layaknya sebuah pesan iklan.

5. HelloBaby
Saat menyebar, ia akan membuat file Desktop.ini dan autorun.inf dengan attribut hidden dan system. File tersebut akan disebarnya ke setiap drive yang ia temukan pada komputer terinfeksi. Ia juga akan berusaha untuk menyebarkan dirinya pada jaringan setempat dengan sebelumnya telah mematikan fasilitas firewall milik Windows. Pada komputer terinfeksi, akan terdapat beberapa file induk virus. Diantaranya, pada direktori System32, akan ada file dengan nama wmiprvse.exe dan mgrShell.exe, lalu file inti ini akan men-drop file lainnya dari dalam tubuhnya pada direktori Temp dengan nama ctfmon.exe dan pada direktori Windows dengan nama svchost.exe. Dan untuk mempercepat aksi penyebarannya, virus ini pun men-set registry NoDriveTypeAutoRun agar mendukung autorun pada floppy disk.

6. Virgear
Ia hadir dengan icon yang mirip dengan file multimedia milik WinAmp. Varian B memiliki ukuran file 49.152 bytes, tanpa di-pack. Sementara itu, varian C yang kami temukan, memiliki ukuran file sebesar 19.968 bytes, dan di-pack menggunakan UPX. Seperti yang lalu, ia akan menggantikan seluruh file multimedia yang ia temukan seperti MP3, 3GP, AVI, WMV, ASF, MPG, MPEG, MP4, pada komputer korban dengan dirinya sendiri, dengan menggunakan nama yang hampir sama, hanya ditambahkan extension .EXE di akhirnya. Virus ini juga akan mengubah setingan di registry untuk mendukung kelangsungan hidupnya, seperti menyembunyikan Folder Options, mem-blok Regedit, System Restore, dan lainnya. Diketahui, Virgear juga mencoba untuk mem-blok antivirus dan virus lain. Untuk itu, rename (ubah nama) dari PCMAV-CLN.exe sebelum Anda menggunakannya, misalkan menjadi 123456.exe. Dan, pada komputer terinfeksi, ia akan menampilkan kalimat “++++ Makanya jangan handak buka BF ja, neh rasain oleh2 dari amang hacker ++++” pada caption Internet Explorer.

7. Plolonk
Virus produksi lokal yang satu ini dibuat menggunakan Visual Basic, dengan ukuran sebesar 67.072 byte dengan kondisi di-packscramble. Di registry, ia menciptakan item run baru di HKLM, dengan nama service yang menunjuk pada salah satu file induknya yang ada di direktori Windows dengan nama dllhost.exe. Selain itu, pada direktori tersebut dapat ditemukan pula sebuah file gambar yang akan dijadikan wallpaper olehnya dengan nama Pl0Lonx.jpg. Jadi pada komputer terinfeksi, wallpaper desktop dari komputer tersebut akan ia ubah menjadi gambar bertemakan “Linux SuSE”. Selain itu, untuk dapat aktif otomatis, ia juga menempatkan dirinya pada folder StartUp dengan nama Empty.pif. yang kemungkinan besar menggunakan UPX yang di-

8. Autorunme
Virus yang bukan produksi programer lokal ini memiliki ukuran sebesar 26.835 bytes, dan diperkirakan di-pack menggunakan PECompact. Ia tidak memiliki icon, hanya menggunakan icon standar applications dari Windows. Saat menginfeksi, ia mencoba untuk menanamkan file induknya pada direktori C:\Windows\System dengan nama msvc32s.exe dan dengan attribut hidden dan system, serta membuat autorun baru di registry dengan nama “Windows msvc Control Centers”. Virus yang dapat menyebar melalui media penyimpan data seperti flash disk ini juga dapat menyebar melalui aplikasi Instant Messaging. Pada flash disk, ia akan membuat folder tiruan Recycle Bin yang berisi file dengan nama autorunme.exe, lalu mengarahkan autorun.inf untuk menjalankan file virus tersebut. Jadi, saat user mencolokan flash disk tersebut lalu mengakses drive yang dimaksud, virus tersebut akan aktif.

9. Microso varian
Virus ini hadir dengan 3 buah file, yakni MicroSoft.pif, MicroSoft.bat, dan MicroSoft.vbs. Ketiga file tersebut saling terkait. Namun, ada satu file yang merupakan induk dari ketiganya, yakni MicroSoft.pif. Pada salah satu variannya, ia memiliki ukuran file sebesar 18.432 bytes. Virus luar ini saat beraksi akan mengeluarkan beberapa file .DLL dari dalam tubuhnya yakni Jview.dll dan AcXtrnel.dll yang akan mencoba aktif dengan menginjeksikan pada explorer.exe atau dijalankan melalui Rundll32.exe.

10.Kalong.vbs varian
Virus jenis VBScript ini telah lumayan lama malang melintang. Variannya sudah mencapai Kalong.vbs.G. Perubahan yang dilakukan tiap varian tidak terlalu signifikan. Contohnya Kalong.vbs.E. Virus yang memiliki ukuran tubuh sebesar 5.908 bytes ini, dalam aksinya akan membuat file autorun.inf di setiap root drive yang ia temukan, tentunya untuk mempermudahnya dalam melakukan penyebaran. Selain file itu, Anda juga akan menemukan file dengan nama k4l0n62.sys.vbs, tentunya dengan attribut hidden. Pada komputer terinfeksi, ia pun akan menampakan kehadirannya pada caption Internet Explorer, dengan mengubahnya menjadi kata-kata cacian berbau pornografi.

CREDIT

[0] Freecorner.web.id

Para pengguna komputer Indonesia, khususnya yang memiliki banyak file MS Office, harap berhati-hati karena saat ini sedang menyebar virus lokal dengan target file MS Office dengan cara mengganti icon file dan type file. Virus ini cukup merepotkan (setidaknya menyebabkan jantung anda dag dig dug) tetapi kabar baiknya pembuat virus ini tidak sejahat KEspo sehingga tidak menginjeksi atau menghancurkan file MS Office komputer korbannya.

Virus ini dibuat dengan menggunakan Visual Basic, dengan ukuran sekitar 31 KB. Untuk mengelabui user ia akan menggunakan icon “Windows Media Player Classic” dengan type file sebagai “Application”. (lihat gambar 1)

Gambar 1, File induk K0pL4xZ

Dengan update terbaru Norman Security Suite mendeteksi sebagai VBWorm.QTT

Gambar 2, Norman mendeteksi K0pL4xZ sebagai W32/VBWorm.QTT

Ciri-ciri Koplaxz

1. Merubah icon Windows dari icon “folder” menjadi icon “Control Panel “ serta merubah isi dari folder Windows tersebut menjadi isi yang ada pada menu “Control Panel”, perhatikan gambar 3 di bawah ini:

Gambar 3, K0pL4xZ merubah icon dan isi folder Windows

2. Merubah Type File serta icon shortcut aplikasi MS.Office (lihat gambar 4 dan 5)

Shortcut asli	Shortcut sesudah di ubah	Icon
Text Document	Catatan_KopLaxZ
Microsoft Excel WorkSheet	KopLaXz@KudoShop
Microsoft PowerPoint Presentation	KopLaXz@KudoShop
Microsoft Access Application	KopLaXz@KudoShop
Microsoft Word Document	Application

Gambar 4, Icon file yang diubah oleh K0pL4xZ

Gambar 5, Nama dan Icon Shortcut yang sudah diubah oleh K0pL4xZ

3. Merubah nama pemilik komputer menjadi KUDO_SHOP (lihat gambar 6)

Gambar 6, Nama registred to Windows dirubah menjadi KUDO_SHOP

4. Merubah “start page” dan “search page” Internet Explorer (lihat gambar 7)

Gambar 7, Halaman IE yang diubah oleh Koplaxz

5. Menampilkan pesan berikut saat menjalankan fungsi Windows

1. Search file/folder, akan menampilkan pesan HayOooO,,, mau Nyari Apaan Luuwh???Nyari WesWeWhH lah ??? Gak Boleh tau DOSA (lihat gambar 8)

Gambar 8, Pesan yang ditampilkan Koplaxz saat pengguna komputer menjalankan search.

2. Uncheck opsi Hide file extentions for known file types akan menampilkan pesan AduH,,,Lo jangan sok Tau dwEEh,,Luwh_Tuwh SombOng bGtz DasAr KopLaXz kurang KerJaan!!!! (lihat gambar 9)

Gambar 9, Pesan yang muncul saat uncheck opsi Hide File Extentions for known File Types dari Folder Options.

3. Uncheck opsi Hide protected operating system file (recommended) akan menampilkan pesan Hayooooo,,,Mo Ngapain Sih Loo ??? Ga Sopan Tau ,,Dasar KOPLAXZ !!!!biLangiN KeManAjer KUDO nIh Luwh_Tuwh SombOng bGtz PeCat Aja Si_JonGoz!!!! (lihat gambar 10)

Gambar 10, Pesan yang ditampilkan saat uncheck opsi “Hide protected operating system file (recommended) dari Folder Options.

File induk Koplaxz

Pada saat file tersebut dijalankan ia akan membuat banyak file yang salah satunya akan dijalankan pada saat komputer di aktifkan, berikut beberapa file induk yang akan dibuat oleh Koplaxz:

• C:\Documents and Settings\%user%\Start Menu\Programs\Startup

  • Winhelp.exe

• C:\Documents and Settings\%user%\Start Menu\Programs

  • Hellloo_Gheea.exe

• C:\Documents and Settings\%user%\My Documents

  • Jangan_Dihapus_Apalagi_Dibuka.exe

• C:\Documents and Settings\%user%\Start Menu

  • Koplaxz Kudo Shop.exe

• C:\Documents and Settings\%user%\Start Menu\Programs

  • Hellloo_Gheea..exe

• C:\Windows

  • TourWindowsXP.exe

  • svchost.exe

  • Kudo.com

  • command32.pif

  • KopLaXz@KudoShop.exe

• C:\F4HM1_KudO_M4n4j3r.exe

• C:\G0d3G.exe

• C:\Ghe@_i_miss_u.3gp.exe (All Drive)

• C:\K0pL4xZ.exe

• c:\K 0 P L 4 X Z.exe

• C:\KopLaXz@KudoShoP.exe (All Drive)

• C:\R0n13G4N_G3Ndut_S3xY.exe

• C:\R3eve5.exe

• C:\K0pL4xZ@KudoShop (All Drive)

  • folder.htt

  • msvbvm60.dll

  • K0pL4xZ.exe

• C:\K0pl4xZ@KudoShop\K0pL4xZ.exe

• C:\[spasi] WINDOWS\System_FriendZ_KopLaXz32

  • F4HM1_KudO_M4n4j3r.exe

  • G0d3G.exe

  • K 0 P L 4 X Z.exe

  • R0n13G4N_G3Ndut_S3xY

  • R3eve5.exe

• C:\ [spasi] Windows\Zx4Lp0K.html

• c:\WIndows\system32\smkn2majalengka.scr

• C:\Windows\system32\PCMAV.exe

• C:\Windows\system32\Asholest.exe

• C:\Documents and Settings\%user%\SendTo\KoPLaXzKudo(e-mail).exe

• C:\Autorun.inf (semua Drive)

• C:\Desktop.ini (semua Drive)

• C:\A Letter 4 Ghe@.txt (semua Drive)

• C:\K0pL4xZ@kUdO_5h0P.txt

• C:\Documents and Settings\All Users\Desktop\A Letter 4 Ghe@.inf

• C:\WIndows\desktop.ini (file untuk merubah icon windows menjadi icon control panel)

Autostart Registry

Untuk memastikan agar dirinya dapat aktif secara otomatis setiap kali komputer dinyalakan ia akan membuat string pada registrt berikut:

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

  • System = C:\WINDOWS\System32\PCMAV.exe

Disable Fungsi Windows

Seperti yang banyak dilakukan oleh virus lokal lainnya, K0pL4xZ juga akan mencoba untuk melakukan blok fungsi windows seperti Regedit/msconfig/task manager/system restore atau Folder Option serta tools security sebagai bentuk pertahanan dirinya. Untuk blok fungsi Windows tersebut ia akan membuat string pada registry berikut:

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

  • NoFolderOptions = 1

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

  • DisableCMD

  • DisableRegistryTools

  • DisableTaskMgr

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

  • HIdden = 1

  • HideFileExt = 1

  • SuperHidden = 0

  • ShowSuperHidden = 1

• HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System

  • DisableCMD = 2

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System

  • DisableRegistryTools

  • DisableTaskMgr

• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore

  • DisableConfig

  • DisableSR

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop

  • NoDeletingComponents = 1

  • NoEditingComponents = 1

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt

  • UncheckedValue = 1

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden

  • UncheckedValue = 0

K0pL4xZ juga akan mencoba untuk merubah pesan jika user mencoba untuk menjalankan fungsi Search Windows atau uncheck opsi “Hide file extentions for known file types” dan “Hide protected operating system file (recommended)”, lihat gambar 8, 9 dan 10 di atas.

Untuk melakukan hal tersebut ia akan merubah string pada registry berikut:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt

  • UncheckedValue = 1

  • WarningIfNotDefault = AduH,,,Lo jangan sok Tau dwEEh,,Luwh_Tuwh SombOng bGtz DasAr KopLaXz kurang KerJaan!!!!

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden

  • UncheckedValue = 0

  • WarningIfNotDefault = Hayooooo,,,Mo Ngapain Sih Loo ??? Ga Sopan Tau ,,Dasar KOPLAXZ !!!!biLangiN KeManAjer KUDO nIh Luwh_Tuwh SombOng bGtz PeCat Aja Si_JonGoz!!!!

Menguasai Internet Explorer

Untuk menunjukan eksitensinya VBorm.QTT juga akan merubah judul Internet Explorer menjadi “KOPLAXZ_KUDO_SHOP_LUUPH_CLASS_MILD” serta merubah halaman utama setiap kali user membuka program “Internet Explorer” dengan menampilkan pesan dari sang pembuat virus serta merubah “Search Page” dengan terlebih dahulu merubah string pada registry berikut : (lihat gambar 7 di atas)

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

- Window Title = KOPLAXZ_KUDO_SHOP_LUUPH_CLASS_MILD

- Start Page = C:\ WINDOWS\Zx4Lp0K.htm

- Search Page = http://profiles.friendster.com/kopl4xzcyb3ruch1h4

Menguasai komputer korban

Selain merubah judul “Internet Explorer” K0pL4xZ juga akan merubah nama pemilik Windows menjadi KUDO_SHOP. Untuk melakukan hal tersebut ia membuat string pada registry berikut : (lihat gmbar 6)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

- RegisteredOrganization = 4r1_KopLaxZ

- RegisteredOwner = KUDO_SHOP

Pesan dari K0pL4xZ

Ibarat kata pepatah (orang IT) “Cinta di tolak, Virus bertindak”, kelihatannya pembuat virus ini sedang patah hati dan berumur pendek (karena suka merokok), karena tak ketinggalan K0pL4xZ juga akan meninggalkan pesan untuk sang kekasih. Pesan ini akan di simpan dalam sebah file yang di dibuat di Root Drive (c:\ atau D:\) serta di “Flash Disk” dengan nama file “A Letter 4 Ghe@.txt” , “K0pL4xZ@kUdO_5h0P.txt” , “C:\[spasi] Windows\Zx4Lp0K.html” (lihat gambar 11, 12 dan 13)

Gambar 11, Pesan patah hati A letter 4 Ghe@ yang di sampaikan K0pL4xZ

Gambar 12, Pesan dari file K0pL4xZ@kUd0_5h0P.txt

Gambar 13, Apakah pembuat virus ini juga jualan rokok ?

Merubah icon dan type file MS.Office

K0pL4xZ akan membuat file Office seperti MS. Word/Ms.Excel/MS. Power Point/Ms.Access/txt file serta EXE File manjadi kacau dengan merubah icon serta type file walaupun sebenarnya file tersebut masih bisa di buka. (lihat gambar 4 dan 5 di atas)

Untuk melakukan hal tersebut, K0pL4xZ akan merubah beberapa string pada registry berikut:

• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\txtfile

  • FriendlyTypeName = Catatan_KopLaxZ

• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Word.Document.8

  • [default] = Application

• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Word.Document.8\DefaultIcon

  • [default] = C:\WINDOWS\system32\cmd.exe

• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PowerPoint.Show.8

  • default = KopLaXz@KudoShop

• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PowerPoint.Show.8\DefaultIcon

  • default = C:\WINDOWS\NOTEPAD.exe

• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Excel.Sheet.8

  • Default = KopLaXz@KudoShop

• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Excel.Sheet.8\DefaultIcon

  • Default = C:\WINDOWS\regedit.exe

• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Access.Application.11

  • Default = KopLaXz@KudoShop

• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Access.Application.11\DefaultIcon

  • C:\WINDOWS\KopLaXz@KudoShoP.exe

• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile

  • FriendlyTypeName = 3GP File

Tak Cuma itu saja, K0pL4xZ juga akan merubah icon serta isi folder “Windows” manjadi icon “Control Panel” seperti terlihat pada gambar 14 dibawah ini:

Gambar 14, Icon dan isi folder Windows yang sudah oleh K0pL4xZ

Untuk merubah icon dan isi dari folder “Windows” tersebut, K0pL4xZ akan menanamkan file dengan nama “Desktop.ini” di direktori “C:\Windows”

Sebagai langkah terakhir ia akan menyembunyikan isi semua file yang ada di drive selain drive master (contoh Drive D:\), lihat gambar 15

Gambar 15, K0pL4xZ menyembunyikan file di drive selain drive master

Media Penyebaran (Flash Disk) dan memiliki copy backup MSVBVM60.dll

Untuk mempermudah penyebarannya ia akan menggunakan media “Flash Disk” dengan memanfaatkan fitur autorun Windows dengan cara membuat file autorun.inf, Desktop.ini dan Folder.htt sehingga virus ini akan langsung aktif ketika Flash Disk dihubungkan ke komputer atau saat user akses ke Flash Disk.

Jika diperhatikan lebih detail file [autorun.inf] akan menjalankan file KopLaXz@KudoShoP.exe. Sedangkan file [Desktop.ini] akan menjalankan file [Folder.htt] yang ada di direktori [%FlashDisk%:\>K0pL4xZ@KudoShop]. Folder.htt ini akan menjalankan file [%FlashDisk%:\> K0pL4xZ@KudoShop\K0pL4xZ.exe], agar file ini dapat dijalankan tanpa ketergantungan dengan file “msvbvm60.dll” yang ada di direktori [C:\Windows\system32] K0pL4xZ akan copy file msvbvm60.dll ke direktori [%FlashDisk%:\>K0pL4xZ@KudoShop] (lihat gambar 16, 17 dan 18 dibawah ini).

Selain itu K0pL4xZ juga akan membuat file [Ghe@_i_miss_u.3gp.exe] dan meninggalkan sebuah pesan yang dituangkan dalam sebuah file dengan nama [A Letter 4 Ghe@.txt]. (lihat gambar 11 di atas)

Gambar 16, Script Autorun.inf

Gambar 17, Script Desktop.ini

Gambar 18, Script Folder.htt

Catatan:

%FlashDisk% adalah lokasi Flash Disk, contohnya drive [F:\]

Cara membasmi K0pL4xZ

1. Putuskan komputer yang akan dibersihkan dari jaringan (LAN)

2. Matikan "System Restore" selama proses pembersihan.

3. Matikan proses virus yang aktif di memory. Gunakan tools KillVB untuk mematikan proses di memory.

Silahkan downlod tools tersebut di alamat berikut: (lihat gambar 18)

http://www.compactbyte.com/brontok/killvb.zip

Gambar 18, Mematikan proses virus menggunakan KillVB

4. Fix registry yang sudah di ubah oleh virus. Untuk mempercepat proses perbaikan registry salin script dibawah ini pada program “notepad” kemudian simpan dengan nama "Repair.inf". Jalankan file tersebut dengan cara:

- Klik kanan repair.inf

- Klik Install

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SOFTWARE\Classes\exefile,,,application

HKCU, Software\Microsoft\Internet Explorer\Main, start page,0, "about:blank"

HKCU, Software\Microsoft\Internet Explorer\Main, Search Page,0, "about:blank"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0x00010001,0

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOrganization,0, "Organization"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOwner,0, "Owner"

HKLM, SOFTWARE\Classes\txtfile, FriendlyTypeName,0, "@C:\Windows\system32\notepad.exe,-469"

HKLM, SOFTWARE\Classes\Word.Document.8,,,"Microsoft Word Document"

HKLM, SOFTWARE\Classes\Word.Document.8\DefaultIcon,,,"C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\wordicon.exe,1"

HKLM, SOFTWARE\Classes\PowerPoint.Show.8,,, "Microsoft PowerPoint Presentation"

HKLM, SOFTWARE\Classes\PowerPoint.Show.8\DefaultIcon,,,"C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\pptico.exe,1"

HKLM, SOFTWARE\Classes\Excel.Sheet.8,,,"Microsoft Excel Worksheet"

HKLM, SOFTWARE\Classes\Excel.Sheet.8\DefaultIcon,,,"C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\xlicons.exe,1"

HKLM, SOFTWARE\Classes\Access.Application.11,,,"Microsoft Office Access Application"

HKLM, SOFTWARE\Classes\Access.Application.11\DefaultIcon,,,"C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\accicons.exe,1"

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, Hidden, 0x00010001,1

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt, 0x00010001,0

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden, 0x00010001,1

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden,WarningIfNotDefault,0,"@shell32.dll,-28964"

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DIsablecmd

HKCU, Software\Microsoft\Internet Explorer\Main, Window Title

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,NoFolderOptions

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System,DisableRegistryTools

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System,DisableTaskMgr

HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, System

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop

HKCU, Software\Microsoft\Windows NT\CurrentVersion\Winlogon, shell

HKCU, Software\Policies\Microsoft\Windows\System, DisableCMD

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, WarningIfNotDefault

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Run, cintaku

HKLM, SOFTWARE\Classes\exefile, FriendlyTypeName

5. Hapus file “C:\Windows\desktop.ini” (file yang berfungsi untuk merubah icon Windows menjadi icon Control Panel). Gunakan dos prompt untuk menghapus file tersebut.

6. Cari dan hapus file induk virus di Hard Disk dan Flash Disk dengan terlebih dahulu menampilkan file yang tersembunyi. Untuk mempcepan pencarian gunakan fungsi “Search Windows”.

Kemudian hapus file induk virus yang mempunyai ciri-ciri:

• Icon "Windows Media Player" clasic / 3GP Video Format

• Ukuran 31 KB

• Ekstensi EXE, PIF, COM dan SCR

• Type file "Application"

Hapus juga file berikut

• C:\Autorun.inf (setiap root drive: c:\ atau D:\)

• C:\Desktop.ini (setiap root drive: c:\ atau D:\)

• c:\A Letter 4 Ghe@.txt (setiap root drive: c:\ atau D:\)

• C:\K0pL4xZ@kUdO_5h0P.txt (setiap root drive: c:\ atau D:\)

• C:\K0pL4xZ@KudoShop (disetiap root drive dan Flash Disk)

• C:\Documents and Settings\All Users\Desktop\A Letter 4 Ghe@.inf

• C:\[spasi] WINDOWS

• C:\[spasi] WIndows\Zx4Lp0K.html

7. Untuk pembersihan optimal dan mencegah infeksi ulang, scan dengan menggunakan Antivirus yang up-to-date seperti Norman Security Suite.

   Jika anda ingin mencoba Norman Security Suite, silahkan download di url

   http://www.norman.com/Download/Trial_versions/

CREDIT
[0] Vaksin.com

Gejala komputer anda terinfeksi virus Varian Brontok atau Pendekar Blank :

Windows ter’close
Komputer tiba-tiba restart
Keluar pesan berupa file text(notepad) atau html(iexplorer)

File yang di create virus pendekar blank :

AUT0EXEC.BAT (harusnya autoexec), di c:\
M5VBVM60.EXE (harusnya msvbvm) di c:\windows\system32
Regedit32.com (harusnya regedit32.exe), di c:\windows\system32
Shell32.com. (harusnya ini memang gak ada) di c:\windows\system32
dllchache.exe (harusnya gak ada) di c:\windows\system32

Selain menutup windows-windows yang sedang kita pakai, menyembunyikan folder, virus pendekar blank juga mengirim pesan di

file

c:\(Read Me)Pendekar Blank.txt

Salam Kenal Buat User yang sedang Aktif di Komputer ini
Saya adalah Pendekar Blank 1, Program yang dibuat oleh seseorang yang ingin
memberantas kejahatan di muka bumi ini dan saya dikirim ke sini untuk:

1. Mencoba memberantas virus-virus lokal yang sudah menyebar di Indonesia
2. Mencoba mengamankan komputer ini dari infeksi virus lokal, dan
3. Mencoba menghalangi anda untuk berbuat sesuatu yang tidak perlu dilakukan di komputer ini

Itulah 3 Misi saya setelah dikirim ke komputer ini

Mohon maaf apabila nantinya terdapat kesalahan-kesalahan selama melakukan 3 misi diatas
Mudah-mudahan anda adalah orang baik yang mempergunakan komputer pada jalan yang benar

Untuk menampilkan folder yang disembunyikan ketik di command prompt:

Misal di drive E :

attrib -R -H -S E:\*.* /S /D

(-) melepas atribut
(+) terapkan atribut

R : read only
H : hidden
S : file sistem
/S /D : folder dan seluruh sub folder

Untuk mengalahkan pendekar blank kita gunakan antivirus lokal seperti PCMAV (dari Majalah PC) atau ansav (http://www.ansav.com ), keduanya cukup ampuh untuk membasmi virus-virus lokal terbaru.

CREDIT
[0] purwakarta.org

1. Richard Stallman

Handle: tidak ada (tidak ada yang harus disembunyikan)

Salah seorang Old School Hacker, bekerja pada lab Artificial
Intelligence MIT. Merasa terganggu oleh software komersial dan dan
hak cipta pribadi. Akhirnya mendirikan GNU (baca: guhNew) yang
merupakan singkatan dari GNU NOT UNIX.

Menggunakan komputer pertama sekali pada tahun 1969 di IBM New York
Scintific Center saat berumur 16 tahun.

2. Dennis Ritchie dan Ken Thomson

Handle: dmr dan ken

Dennis Ritchie adalah seorang penulis bahasa C, bersama Ken Thomson
menulis sistem operasi UNIX yang elegan.

3. John Draper

Handle: Captain Crunch

Penemu nada tunggal 2600 Herz menggunakan peluit plastik yang
merupakan hadiah dari kotak sereal. Merupakan pelopor penggunaan
nada 2600 Hz dan dikenal sebagai Phone Phreaker (Phreaker, baca:
frieker)

Nada 2600 Hz digunakan sebagai alat untuk melakukan pemanggilan
telepon gratis. Pada pengembangannya, nada 2600 Hz tidak lagi
dibuat dengan peluit plastik, melainkan menggunakan alat yang
disebut Blue Box.

4. Mark Abene

Handle: Phiber Optik

Sebagai salah seorang Master of Deception phiber optik
menginspirasikan ribuan remaja untuk mempelajari sistem internal
telepon negara. Phiber optik juga dinobatkan sebagai salah
seorang dari 100 orang jenius oleh New York Magazine.

Menggunakan komputer Apple , Timex Sinclair dan Commodore 64.
Komputer pertamanya adalah Radio Shack TRS-80 (trash-80).

5. Robert Morris

Handle: rtm

Seorang anak dari ilmuwan National Computer Security Center -
merupakan bagian dari National Security Agencies (NSA) -. Pertama
sekali menulis Internet Worm yang begitu momental pada tahun 1988.
Meng-infeksi ribuan komputer yang terhubung dalam jaringan.

6. Kevin Mitnick

Handle: Condor

Kevin adalah hacker pertama yang wajahnya terpampang dalam
poster FBI Most Wanted.

Kevin juga seorang \'Master of Deception\' dan telah menulis buku
yang berjudul \'The Art of Deception\'. Buku ini menjelaskan berbagai
teknik social engineering untuk mendapatkan akses ke dalam sistem.

7. Kevin Poulsen

Handle: Dark Dante

Melakukan penipuan digital terhadap stasiun radio KIIS-FM,
memastikan bahwa ia adalah penelpon ke 102 dan memenangkan porsche
944 S2.

8. Johan Helsingius

Handle: julf

Mengoperasikan anonymous remailer paling populer didunia.

9. Vladimir Levin

Handle: tidak diketahui

Lulusan St. Petersburg Tekhnologichesky University. Menipu komputer
CitiBank dan meraup keuntungan 10 juta dollar. Ditangkap Interpol
di Heathrow Airport pada tahun 1995

10. Steve Wozniak

Handle: ?

Membangun komputer Apple dan menggunakan blue box untuk
kepentingan sendiri.

11. Tsutomu Shimomura

Handle: ?

Berhasil menangkap jejak Kevin Mitnick.

12. Linus Torvalds

Handle: ?

Seorang hacker sejati, mengembangkan sistem operasi Linux yang
merupakan gabungan dari LINUS MINIX. Sistem operasi Linux telah
menjadi sistem operasi \'standar\' hacker. Bersama Richard Stallman
dengan GNU-nya membangun Linux versi awal dan berkolaborasi dengan
programmer, developper dan hacker seluruh dunia untuk
mengembangkan kernel Linux.

13. Eric Steven Raymond

Bapak hacker. Seorang hacktivist dan pelopor opensource movement.
Menulis banyak panduan hacking, salah satunya adalah: \'How To
Become A Hacker' dan The new hacker's Dictionary. Begitu
fenomenal dan dikenal oleh seluruh masyarakat hacking dunia.

Menurut Eric, "dunia mempunyai banyak persoalan menarik dan
menanti untuk dipecahkan."

14. Ian Murphy

Handle: Captain Zap

Ian Muphy bersama 3 orang rekannya, melakukan hacking ke dalam
komputer AT&T dan menggubah seting jam internal-nya. Hal ini
mengakibatkan masyarakat pengguna telfon mendapatkan diskon
tengah malam pada saat sore hari, dan yang telah menunggu hingga
tengah malam harus membayar dengan tagihan yang tinggi.