Ujian Online Berbasis Web

Ujian Online Web Base DCC Lampung Beta Version.

OpenSource Script

Visual Basic, Foxpro, Delphi, PHP, C++ , HTML, and many more.

Dasar-dasar Web Programing

Belajar dasar-dasar PHP,HTML,SQL hingga level menengah.

Tips and Trik

Dapatkan macam-macam tips and trik menarik disini.

Free Download Ebook

Ebook Motivasi, Pemprograman, Trik dan Trik, Internet Earning, SEO and Many More.

Tuesday, March 20, 2012

Basmi Virus Alice ( vbs )


Mungkin anda pernah mendapati dokumen world anda berubah menjadi .vbs, akhir-akhir ini virus varian Alice ini sudah menyebar sangat cepat.Saya sempat kesal saat laptop saya terinfeksi virus ini, file-file web yang berkektensi .hta , .html banyak yang terinjek oleh virus ini.
Kemudian beberapa sampel banyak di dapat di daerah Bekasi, bahkan ada juga user yang menceritakan aksi worm Alice di daerah saya (Lampung). Ya, bisa dikatakan bahwa Worm ini memang sedang menyebar.  Lebih jauh, worm ini juga memiliki kemampuan menginfeksi file HTML seperti Ramnit.

Tentang Malware
Teknik enkripsi Alice membuatnya menjadi sebuah malware yang sangat unik dibandingkan malware VBScript kebanyakan saat ini. Hal ini mengingatkan kita kepada Serviks.vbs yang sempat banyak menyebar tahun 2010 yang lalu. Kini hadir dengan pola baru yang lebih kuat dan tidak mudah membaca kode programnya, yang hampir seluruh tubuhnya berupa karakter acak.

Info File
Nama Worm: Alice
Asal: Jakarta (pertama kali dilaporkan)
Ukuran File: 7.63 KB (7,816 bytes)
Packer: ~
Pemrograman: Visual Basic Script (VBS)
Icon: VBS File
Tipe: Worm, Virus

Hasil Infeksi
Modifikasi Registry
Untuk mempertahankan dirinya, Alice memodifikasi beberapa key pada registry.
 
Delete Key dan Value
- HKCR\*\shellex\ContextMenuHandlers\Open With\
- HKCR\inffile\shell\Install\command\
- HKCR\inffile\shell\Install\
- HKCR\regfile\shell\open\command\
- HKCR\regfile\shell\open\
- HKCR\VBEFile\Shell\Open2\command\
- HKCR\VBEFile\Shell\Open2\
- HKCR\VBEFile\Shell\Edit\command\
- HKCR\VBEFile\Shell\Edit\
     
Add Key dan Value
- HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
- HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt
- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFileAssociate
- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind
- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions
- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun
- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools
- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
- HKCU\Software\Policies\Microsoft\Windows\System\DisableCMD,2,REG_DWORD
- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOwner,ALICE
- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOrganization
- HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableSR
- HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig
- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\wscript.exe //e:vbscript.encode C:\WINDOWS\system32\drivers\alice.sys

Injeksi file HTM/HTML
Pada bagian footer HTML akan ditambahkan source Alice, kemudian untuk memudahkan virus agar tidak menginfeksi file yang sama untuk kedua kalinya adalah dengan cara merubah semua nama file .htm/.html yang sudah di infeksi menjadi .hta (HTML Applications).

 Hidden file Docx, Doc, RTF
Setiap extension file dokumen yang sudah di tentukan seperti *.docx, *.doc, dan *.rtf akan di-hidden/disembunyikan kemudian digantikan dengan menggunakan file yang sebenarnya merupakan worm Alice.

Cara Pembasmian :
PCMAV Express for Alice dibuat untuk membersihkan worm Alice agar tidak semakin menyebar, menghentikan prosesnya di memory komputer yang terinfeksi, melakukan perbaikan pada file htm/html yang terinjeksi dan mengembalikan atribut dokumen .docx, .doc, .rtf yang di-hidden.
Aturan Penggunaan:
  1. Jalankan PCMAV for Alice.
  2. Pastikan user Anda memiliki hak setara Administrator.
  3. Nonaktifkan fungsi Autorun ini cara mematikan Autorun.
  4. Pasang flashdisk yang terinfeksi pada komputer agar ikut dibersihkan.
  5. Disarankan sebaiknya komputer Anda *tidak* terkoneksi ke jaringan atau Internet selama proses scan.
  6. Setelah selesai, sangat disarankan untuk melakukan restart dan scan ulang (jika perlu).
  7. Pastikan seluruh PC yang telah terhubung di dalam jaringan juga telah bebas S3xY, sebelum PC Anda kembali terkoneksi ke jaringan.
 

Disable Autoplay Autorun

Saat ini penyebaran virus,malware,spyware sangat meresahkan salah satu metode yang digunakan adalah salah satunya dengan memanfaatkan Autoplay. Secara otomatis pengaturan Autorun akan Enable. Bagaimana cara mematikan fungsi autorun ini.

1. Klik tombol start => Run
    Ketik gpedit.msc dan klik ok











2. Klik pada user configuration => Administrative Templates = > System
3. Double klik pada Turn Off Autoplay
















4. Klik option Enable
5. Pada Option Turn Off Autoplay on, Pilih All drivers.
6. Klik Apply selanjutnya Ok.