virus

AMBURADUL MENGHAPUS FILE VIDEO

Taukah anda??
Ada virus windows yang mirip dengan virus Autorun..
Virus ini dapat menghapus koleksi video anda. Ia juga melancarkan serangan ke beberapa situs. Bahaimana aksi selanjutnya?

VIRUS yanbg dibuat menggunakan Visual Basic ini, PC Media Antivirus sudah mengenali empat varian dari virus ini, yakni Amburadul A,B,C dan D, yang sebenarnya tidak terlalu banyak perbedaan. Ia memiliki ukuran file sekita 50 kb-an,dalam keadaan ter-compress menggunakan UPX yang discrambled. Beberapa antivirus lain mengenali virus ini sebagai virus Autorun. virus yang menggunakan lambang mirip icon default untuk file gambar (.jpg) ini masih menggunakan media penyimpanan data seperti flash disk untuk penyebarannya.

Nama File Induk
saat kali pertama aktif,ia akan membuat file indeuk pada X:\Windows\System32\~A~m~u~R~a~D~u~L \.Isinya beberapa file induk yang diberi nama mirip dengan nama-nama file system dari windows, seperti csrss.exe, lsass.exe, services.exe, smss.exe, winlogon.exe dan ~Paraysukti_VM_Community~ yang kesemuanay memiliki atribut hidden dan system. Dan ia juga menggunakan nama-nama menarik perhatian user saat membuat file tiruan seperti contohnya Friendster Community.exe, j3MbatalN K4HaYan.exe, MyImages.exe, PalMa,exe, dan beberapa nama yang berbau pornografi. saat file-file virus tersebut dijalankan, maka hanya muncul sebuah jendela preview yasng kosong tanpa gambar.

Virus Aktif
di memory akan terdapat proses virus dengan nama menyerupai process atau services di Windows,seperti csrss.exe, lass.exe,services.exe, smss.exe, winlogon.exe dan ~Paraysukti_VM_Community~ yang jika dilihat menggunakan program seperti Process Explorer akan terlihat perbedaannya karena virus ini menggunakan icon seperti file gambar. Ia juga melakukan serentetan perintah taskkill untuk menutup secara paksa beberapa process virus lain,antivirus,dan aplikasi lain seperti misalnya kspoold.exe, tati.exe, wscript.exe, winamp.exe dan firefox.exe

Autorun di Registrasi
Agar dapat running otomatis, ia akan mengubah nilai default dari HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, dengan penambahan item run baru dengan nama UpDaTer,WinDOwsUPdate,ViSualBaCis,BaRloNdDiLhep, dan RealTimeProtector yang diarahkan kepada setiap file induknya.

Restriksi Registry
Ia men-setting Folder Options untuk tidak menampilkan file dengan attribut hidden dan system, serta tidak menampilkan extention untuk file yang dikenali oleh Windows Opsi "Hide protected operating system files (Recommended)" pun hilang dari Folder Options. Selebihnya seperti System Restore, menu Find,Registry Editor dan Command Prompt juga ia blok. Ia juga memanipulasi Image File Execution Options untuk memblokir beberapa nama file seperti Setup.exe, Install.exe, procexp.exe, msconfig.exe, wscript.exe, dan nama file virus lain seperti kspoold.exe, HokageFile.exe dan KakashiHatake.exe.

Amburadul juga memanipulasi value HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableUA, dengan mengubah nilainya menjadi 0 yang mungkin maksudnya adalah untuk mematikan fasilitas security UAC (User Account Control)di Windows Vista. Dan ia juga merusak setingan registry untuk safe-mode agar user tidak bisa masuk ke modus safe-mode.

Menghapus Data
Virus ini akan mencari file dengan extension seperti .JPEG,.BMP,PNG,.GIF,.TIFF,.TIF, DAN .3GP, untuk disembunyikan dan digantikan degan nama file yang hampir sama. Dan mencari file dengan extention .AVI,.MP4,.WMV,.MPG,.MPEG,.VBS, dan .EML, yang tanpa ragu akan dihapus setiap ia menemukannya.

Di varian tertentu, setiap file yang disembunyikan atau di hilangkan, akan dicatat dan disimpannya pada sebuah file log bernama Amburadul_List.txt yang bisa ditemukan pada direktori X:\WINDOWS\Temp.

Aksi Virus
memang banyak hal yang dilakukan virus ini. Saat aktif, ia akan melancarkan beberapa perintah yang mengarah kepada DDoS attack (distributed denial-of-services attack). Perintah tersebut berupa ping dengan request packet yang besar yang dilancarkan kepada situs duniasex.com, data0.net, dan rasasayang.com.my. Selain itu ,virus ini diketahui juga dapat mengubah header executable dirinya. pada offset $4D, virus ini akan menuliskan jam saat itu.

Pesan Pembuat Virus
Pada komputer terinfeksi, virus ini akan menampilkan pesan pada caption Internet Explorer yang bertuliskan "++++ Hey, Hokage/babon (Anbu*Team*Sampit), Is this My places,Wanna start a War ++++".

PCMAV 1.3 dapat mendeteksi da membasmi Virus Amburadul secara tuntas dan akurat 100%. Untuk hasil maksimal, kami sarankan untuk terlebih dahulu mematikan fasilitas System Restore dari Windows. Dan dikarenakan virus ini dapat memblokir beberapa program dan antivirus termasuk PCMAV. Silakan rename terlebih dahulu file PCMAV, misalkan dari PCMAV-CLN.exe menjadi 12345.exe



sumber:(Arief Prabowo,PC Media)