telah muncul lagi satu virus di muka bumi ini. Namanya virus Hokage. (mungkin pembuat virus ini suka dengan film naruto) virus ini rupanya sengaja merubah icon Flash Disk menjadi icon Winamp yang merupakan salah satu musik player yang banyak digunakan. virus ini diduga berasal dari sampit. sebenarnya Virus ini tergolong mudah untuk dibasmi.
Gambar 1, VBWorm.gen16 merubah icon Flash Disk menjadi icon Winamp
Gambar 2. Salah satu file induk VBWorm.gen16
Setelah virus ini berhasil menginfeksi komputer, ia akan membuat beberapa file yang akan dijalankan pertama kali setiap komputer dinyalakan. File ini akan di sembunyikan sehingga tidak mudah untuk di hapus, berikut beberapa file induk yang akan dibuat oleh VBWorm.gen16:
- C:\Documents and settings\%user%\My DOcuments\KakashiHatake
- HOKAGE4.EXE
- HokageFile.exe
- KakashiHatake.exe
- Obito.exe
- Rin.exe
- Membuat file “Hokagefile.exe” di setiap folder/subfolder yang di akses.
Sebagai penunjang agar file tersebut dapat di jalankan, ia akan membuat beberapa string pada registri berikut:
- HKLM\Software\Microsoft\Windows\CurrentVersion\run
- Hokage4 = C:\Documents and settings\%user%\MY Documents\KakashiHatake\Hokage4.exe
- HKLM\Software\Microsoft\Windows\CurrentVersion\run
- Kakashi Hatake = C:\Documents and settings\%user%\MY Documents\KakashiHatake\KakashiHatake.exe
- HKLM\Software\Microsoft\Windows\CurrentVersion\run
- Obito Uchiha = C:\DOcuments and settings\%user%\My Documents\KakashiHatake\Obito.exe
- HKLM\Software\Microsoft\Windows\CurrentVersion\run
- Rin = C”\Documents and settings\%user%\My Documents\KakashiHatake\Rin.exe
Untuk varian awalnya tidak banyak fungsi Windows yang diblok, tetapi ia akan tetap bermain-main dengan Folder Options yakni dengan tidak mengijinkan user untuk menampilkan file yang tersembunyi. Untuk melakukan hal tersebut ia akan membuat string pada registri berikut : (lihat gambar 5)
- HKCU\Software\Microsoft\WIndows\CurrenVersion\Explorer\Advanced
HIdden = 2
- HKCU\Software\Microsoft\WIndows\CurrenVersion\Explorer\Advanced
HideFileExt = 1
- HKCU\Software\Microsoft\WIndows\CurrenVersion\Explorer\Advanced
ShowSuperHidden = 0
- HKCU\Software\Microsoft\WIndows\CurrenVersion\Explorer\Advanced
superhidden = 1
Gambar 3, VBworm.Gen16 tidak mengijinkan user untuk menampilkan file yang tersebunyi
Berikut cara membasmi virus Sampit yang juga dikenal dengan VBWorm.Gen16, dari keterangan resmi Vaksincom, Kamis (10/4/2008):
1. Matikan “System Restore” selama proses pembersihan (jika menggunakan Windows XP)
2. Matikan proses virus dengan menggunakan currprocess / process explorer.
caranya: pilih file semua file yang mempuyai icon winamp (Rin.exe, Obito.exe, KakashiHatake.exe dan Hokage4.exe klik kanan dan pilih kill selected processess).
Gambar 4, Mematikan proses virus VBWorm.gen16
3. Hapus registri yang dibuat oleh VBWorm.gen16. dengan menggunakan repair.inf
(bagi yang tidak punya repair.inf bisa salin script dibawah ke dalam notepad dan simpan dengan nama repair.inf)
———————–scirpt repair.inf————————————————
[Version]
Signature=”$Chicago$”
Provider=Vaksincom Naruto
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”””%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NOFind
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NORun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Hokage 4
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Kakashi Hatake
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Obito Uchiha
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Rin
————————akhir script————————————————
4. Cari dan hapus file yang sudah dibuat oleh virus. Untuk mempercepat proses pencarian penghapusan, gunakan fitur “Search Windows”. Sebelum melakukan pencarian dan penghapusan file virus, tampilkan terlebih dahulu file yang tersembunyi agar pencarian lebih maksimal. Untuk menampilkan file yang tersembunyi lakukan langkah berkut:
- Buka Windows Explorer
- Klik menu “Tools”, kemudian klik “Folder Options”
- Pada layar “Folder Options”, klik tabulasi “View”
- Pada folder “Hidden files and folders”, hilangkan tanda centang pada opsi “Hide extensions for known file types” dan “Hide protected operating system files (recomended)”
- Klik tombol “Ok”
Gambar 5. Menampilkan file / folder yang disembunyikan
Untuk mencari dan menghapus file virus, lakukan langkah berikut:
- Klik “Start” menu
- Klik “Search”, kemudian klik “For Files or Folders”
- Setelah muncul layar “Search Result”, klik menu “All files and folders”
- Kemudian pada kolom “All or part of the file name” isi dengan ekstensi *.EXE
- Pada kolom “Look in”, pastikan sudah menuju ke lokasi Drive yang akan diperiksa termasuk ke lokasi Flash Disk.
- Klik menu “What size is it”, kemudian pilih opsi “Specify size (in KB)
Pilih “at most”
Isi dengan ukuran “″
5. Hapus file induk dan file duplikat yang dibuat oleh VBTroj.GYH atau dengan ciri-ciri:
Menggunakan icon JPEG Image (JPG)
Type File Application
Ukuran file 301 Kb atau 96Kb (tergantung varian)
gunakan fasilitas fungsi search untuk mempercepat pencarian. Caranya:
Klik Start menu
Klik Search
Klik all files and folders
Pada kolom All or part of the file name ketik *.EXE
Pada kolom Look in, pilih My Computer
Klik “What Size is it?”
- Pilih opsi “Specify size (in KB)
- pilih At Most
- Isi 42
lalu klik search
- Klik menu “More Advanced option”, kemudian pilih opsi
Searh system folders
Search hidden files and folders
Search subfolders
- Kemudian klik tombol “Search” untuk memulai proses pencarian
- Hapus file virus disemua drive termasuk flash disk yang mempunyai ciri-ciri: icon winamp, ukuran 42 KB, type file “Application”, ekstensi .EXE
5. Hapus juga file desktop.ini, folder.htt, Autorun.inf dan anbu.txt di flash disk.
6. Untuk pembersihan maksimal dan mencegah infeksi ulang, scan dengan anti virus yang up-to-date dan sudah dapat mengenali virus ini dengan baik.
7. Untuk mencegah agar virus tidak otomatis aktif pada saat akses ke suatu drive sebaiknya Anda matikan fungsi autoplay.
8. Untuk antisipasi agar virus ini tidak kembali menginfeksi komputer anda selain dengan menginstall antivirus yang up-to-date, juga dapat membuat script sederhana untuk mematikan proses virus ini jika berusaha aktif di memori caranya, salin script dibawah ini pada program notepad kemudian simpan dengan nama RemoveHokage.reg. Kemudian jalankan file tersebut (klik 2x), klik “Yes” jika terdapat konfirmasi untuk menambahkan registri tersebut.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HOKAGE4.exe]
“Debugger”=”cmd.exe /c del”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HokageFile.exe]
“Debugger”=”cmd.exe /c del”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KakashiHatake.exe]
“Debugger”=”cmd.exe /c del”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rin.exe]
“Debugger”=”cmd.exe /c del”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Obito.exe]
“Debugger”=”cmd.exe /c del”
