Virus Nadia Saphira alias W32/VBTroj.AOQB

29Mei09

Nadia Saphira Analis antivirus dari Vaksincom, Alfons Tanujaya, menyebutkan adanya penyebaran virus yang dijulukinya ‘Nadia Saphira’. Ya, nama bintang film cantik itu dicatut oleh pembuat virus yang konon berasal dari Indonesia. Menurut Alfons, dari Vaksincom, Selasa (26/5/2009), virus yang menyebar lewat USB Flash Drive itu membawa-bawa nama Nadia Saphira dalam infeksinya –salah satu file yang akan dibuat virus itu adalah ‘NadiaSaphira.ini’.

‘Nadia Saphira’ alias ‘W32/VBTroj.AOQB’ ini merupakan keturunan langsung dari virus bulu bebek. Virus bulu bebek merupakan virus lokal yang juga sempat beredar di Indonesia. Kode penyusun kedua virus itu, ujar Alfons, menunjukkan indikasi sang pembuat virus memang berasal dari Indonesia. Bahkan, ia menyebut secara khusus wilayah Sulawesi Tenggara sebagai asal-usul sang pembuat virus.

Alfons mengatakan tingkat sebaran ‘Nadia Saphira’ cukup tinggi pada Mei 2009. Bahkan ia mengklaim baru sedikit antivirus yang mampu mendeteksi ‘Nadia’ dalam komputer korbannya, di antaranya Alfons menyebut antivirus lokal Smadav.

Beberapa dampak infeksi ‘Nadia Saphira’ dalam komputer korbannya adalah tidak berfungsinya CD ROM, berubahnya informasi tipe file .exe menjadi ‘File Folder’, tersembunyinya folder-folder tertentu, hingga terblokirnya beberapa fungsi Windows tertentu.

Vaksincom, perusahaan lokal penyedia solusi antivirus yang berpusat di Jakarta menyediakan tips membersihkan virus tersebut. Berikut 7 langkah membersihkan virus Nadia Saphira:

1. Sebaiknya putuskan komputer yang akan dibersihkan dari jaringan internet maupun LAN.

2. Matikan "System Restore" selama proses pembersihan virus (untuk Windows XP/Vista) dengan memilih turn off pada Start>>Control Panel>>System Restore.

3. Matikan proses virus yang aktif di memory. Gunakan tools pengganti task manager, seperti CProcess atau Process Manager. Dengan tools ini, lakukan kill process, pada beberapa file virus yang aktif yaitu:

– C:-Documents and Settings-All User-Start Menu-Programs-Startup-lan.exe
– C:-WINDOWS-system32-misconfig.exe
– C:-WINDOWS-taskmgr.exe

4. Hapus string registry yang telah dibuat oleh virus. Untuk lebih mudahnya gunakan script registri di bawah ini. Buka notepad dan salin teks di bawah ini:

[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKCR, batfile-shell-open-command,,,"""%1"" %*"
HKCR, comfile-shell-open-command,,,"""%1"" %*"
HKCR, exefile-shell-open-command,,,"""%1"" %*"
HKCR, piffile-shell-open-command,,,"""%1"" %*"
HKCR, lnkfile-shell-open-command,,,"""%1"" %*"
HKCR, scrfile-shell-open-command,,,"""%1"" %*"
HKCU, Software-Microsoft-Windows-CurrentVersion-Explorer-Advanced,
HKLM, SOFTWARE-Classes-exefile-DefaultIcon,,,""%1""
HKLM, SOFTWARE-Classes-exefile,,,"Application"
HKLM, SOFTWARE-Classes-exefile,infotip,0, "prop:FileDescription;Company;FileVersion;Create;Size"
HKLM, SOFTWARE-Classes-exefile,TileInfo,0, "prop:FileDescription;Company;FileVersion"
HKCU, Software-Microsoft-Command Processor, AutoRun,0,
HKLM, SOFTWARE-Microsoft-Command Processor, AutoRun,0,
HKLM,SOFTWARE-Microsoft-Windows-CurrentVersion-Explorer-Advanced-Folder-Hidden-SHOWALL, CheckedValue, 0x00010001,1
HKLM,SOFTWARE-Microsoft-Windows-CurrentVersion-Explorer-Advanced-Folder-Hidden-SHOWALL, DefaultValue, 0x00010001,2

[del]
HKCU, Software-Microsoft-Windows-CurrentVersion-Policies-System, DisableRegistryTools
HKCU, Software-Microsoft-Windows-CurrentVersion-Policies-Explorer, NoFolderOptions
HKCU, Software-Microsoft-Windows-CurrentVersion-Policies-Explorer, nofind
HKLM, SOFTWARE-Microsoft-Windows-CurrentVersion-Policies-Explorer, nofind
HKLM, SOFTWARE-Microsoft-Windows NT-CurrentVersion-Image File Execution Options-msiexec.exe
HKLM, SOFTWARE-Microsoft-Windows NT-CurrentVersion-Image File Execution Options-sessmgr.exe
HKLM, SOFTWARE-Microsoft-Windows NT-CurrentVersion-Image File Execution Options-SPYXX.exe

Simpan dengan nama “repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan). Jalankan repair.inf dengan klik kanan, kemudian pilih install. Sebaiknya membuat file repair.inf di komputer yang clean, agar virus tidak aktif kembali.

5. Hapus file virus yang mempunyai ciri-ciri sebagai berikut Icon application/folder, Extension .exe, Ukuran 69 kb & 17 kb. Agar mudah mencarinya, sebaiknya tampilkan file yang tersembunyi dalam proses pencarian file virus. Ada baiknya juga gunakan "Search Windows" dengan filter file *.exe & *.ini yang mempunyai ukuran 69 KB & 17 KB. Hapus file virus yang biasanya mempunyai date modified yang sama.

6. Tampilkan kembali folder yang disembunyikan pada drive atau flashdisk gunakan perintah "ATTRIB" pada command prompt. Klik “Start” » “Run” » "CMD", kemudian tekan tombol "Enter". Pindahkan posisi kursor ke drive Flash Disk. Misal USB Flash disk berada di drive e, maka untuk berpindah ke drive Flash disk ketik “e:” (tanpa tanda petik). Kemudian ketik perintah ATTRIB –s –h –r /s /d kemudian tekan tombol enter.

7. Untuk pembersihan yang optimal dan mencegah infeksi ulang,  gunakan antivirus yang paling baru dan yang mampu mengenali virus ini dengan baik.

Disadur dan disesuaikan dari detikcom – Selasa, 26 Mei 2009 & Kompas – Rabu, 27 Mei 2009.



No Responses Yet to “Virus Nadia Saphira alias W32/VBTroj.AOQB”

  1. Tinggalkan sebuah Komentar

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s


%d blogger menyukai ini: