Sudah berlangganan artikel blog ini via RSS Feed?

Apa itu W32/fawn.a

W32/Fawn.A lebih dikenal sebagai W32.ANF. Virus ini menggunakan Visual Basic "VB" dan dikompres dengan UPX sehingga berukuran 16 KB.

GEJALA

1. Menambahkan kata W32.ANF pada setiap file MS Word yang dibuka/dibuat. Ini menunjukkan file asli
telah disembunyikan dan digantikan file terinfeksi. Untungnya file asli disembunyikan di folder yang sama.
Setiap file yang terjangkit mempunyai icon MS Word dan selalu berukuran 16 KB. Jika file tersebut
dijalankan akan langsung aktif tanpa permisi. Berbeda dengan virus kangen yang menampilkan file terinfeksi
sebagai aplication, Fawn tetap menampilkannya sebagai MSWord dokumen. File Excel yang terinfeksi
berubah icon MSWord.

2. Selalu mengkopi dirinya ke folder C:\windows dengan nama SysTray.exe. Oleh karenanya Win 2000
tidak terinfeksi.

3. Mendisable registry editor,msconfig dan Task Manager dengan menambahkan dua string
DisableRegistryTools dan DisableTaskMgr pada registry key HKEY_CURRENT_USER\Software
\Microsoft\Windows\CurrentVersion\Policies\System sehingga ketika program registry diakses
menampilkan Registry Editing has been disabled by your administrator.

4. Membuat folder !Submit yang berisi systray.exe pada direktori C:\ yang berukuran 16kb.

5. Menambahkan 1 option pada msconfig pada menu [startup] pada Win9x/Me yaitu System Tray.

6. .Menambahkan string value System tray pada registry key
HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows\CurrentVersion\RunServices.

7. Menyembunyikan Folder Option Windows Explorer dengan menambahkan string value
“NoFolderOptions"=dword:00000001 pada HKEY_CURRENT_USER\Software\Microsoft\Windows
\CurrentVersion\Policies\Explorer. Virus ini selalu mengaktifkan Do not show hidden file and folders dan
Show hidden file and folders. Virus menguncinya dengan mengubah string value
HKEY_LOCAL_MACHINE\Microsoft\Widows\CurrentVersion\Explorer\Advanced\Folder\Hidden
\NOHIDDEN dan HKEY_LOCAL_MACHINE\Microsoft\Widows\CurrentVersion\Explorer\Advanced
\Folder\Hidden\SHOWALL.

8. Menyembunyikan menu [Control Panels], [Network connections] dan [Printers and Faxes] yang
terdapat pada [Start] >> [Settings] dengan menambahkan string "NoSetFolders"=dword:00000001
pada HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer.

JALAN KELUAR

Matikan proses file systray.exe. Windows XP/Server 2003 gunakan taskkil yaitu taskkill /f /im systray.exe . Versi windows lain dapat menggunakan killbox.

1. Hapus folder C:\!Submit.
2. Hapus semua registry key yang dibuat oleh virus. Bagi yang menggunakan windows 9x, Tulis script dibawah ini dengan menggunakan notepad untuk mengaktifkan kembali registry
editor :

REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableRegistryTools"=dword:00000000
kemudian simpan menjadi nama file
repair.reg dan jalankan file tersebut.

4. Tampilkan kembali menu [Folder Option] pada windows Explorer, menu [Control Panels] [Network
Connections] dan [Printer and Faxes], dengan menghapus registry key NoFolderOptions dan
NoSetFolders pada HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies
\Explorer.

Jika Anda menggunakan Windows XP/Server 2003, tulis script dii bawah ini,
kemudian simpan menjadi nama file FOLDER OPTION.reg, kemudian jalankan file
tersebut, setelah itu restart komputer.Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoSetFolders"=dword:00000000
"NoFolderOptions"=dword:00000000
Tulis
script di bawah ini (untuk 9X), kemudian simpan menjadi nama file FOLDER
OPTION.reg, kemudian jalankan file tersebut, setelah itu restart
komputer
REGEDIT4
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoSetFolders"=dword:00000000
"NoFolderOptions"=dword:00000000

5. Set kembali option [hidden files and folders] pada menu [View]
Dengan merubah registy key : HKEY_LOCAL_MACHINE\Microsoft\Widows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN
CheckedValue menjadi 2
DefaultValue menjadi 2

HKEY_LOCAL_MACHINE\Microsoft\Widows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWAL CheckedValue menjadi 1
DefaultValue menjadi 2

6. Hapus file pada direktori C:\Windows Systray.exe.

7. Hapus option pada msconfig pada menu [startup] System Tray.

8. Tampilkan kembali file MS. WORD yang telah disembunyikan dengan cara: a. Klik [Start] [Run]. b.
Ketik [cmd] untuk masuk ke command prompt. c. Pada layar command promprt, ketikan perintah “Attrib
–s –h c:\*.doc /s” (tanpa tanda kutip) . Jika drive anda lebh dari satu (contoh drive D:\ atau E:\ ), gunakan
perintah diatas untuk menampilkan file yang disembunyikan dengan mengganti lokasi drive, contoh “attrib
–s –h d:\*.doc /s”. Jika terdapat nama file yang sama tetapi dengan ext. yng berbeda (file tersebut ada
dalam satu folder) dengan salah satu file mempunyai ukuran 16 kb, sebaiknya hapus file tersebut secara
manual (ingat !!! jangan sampai Anda salah dalam menghapus file tersebut, hapus file yang mempunyai icon
MS. WORD dengan ext. EXE dan mempunyai ukuran 16 kb).

9. Tampilkan kembali file MS. EXCEL yang disembunyikan, caranya: a. Klik [Start] [Run]. b. Ketik [cmd]
untuk masuk ke command prompt. c. Pada layar command promprt, ketikan perintah “Attrib –s –h c:\*.xls
/s” (tanpa tanda kutip).

Terimakasih sudah mengunjungi blog ini... :D

Powered by  MyPagerank.Net

5 komentar:

jual bed cover murah mengatakan...

artikel yang bagus

bunga papan banjarnegara mengatakan...

Berbahaya juga virus ini. Terimakasih artikelnya

Anonim mengatakan...

thank you very much...

greenworld indonesia mengatakan...

artikel2nya sangat bermanfaat sekali....ane tunggu artikel lainnya gan....salam sukses

Jual Karpet Vinyl mengatakan...

Infonya sangat menguntungkan mas,,,terimaksih telah berbagi....

Vinyl Anti Bakteri
Vinyl Rumah Sakit
LG Medistep Allroad
Jual Step Nosing
Vinyl LG Bright
Vinyl Lantai Olahraga

Posting Komentar

 

My Friends Google

My Profile

cojogja Blog ini saya buat, untuk berbagi informasi kepada teman - teman, dan sebagai rangkuman untuk diri saya sendiri. ( Semoga gak bosen Dengan Blog Saya... :D )