Deadlock virus.....

[erle]

FYI,

Pesannya terdengar positif dengan kata-kata yang membangkitkan patriotisme. Tapi, jangan terbuai kata-kata manis tersebut yang dibawa sebuah virus komputer lokal baru yang bernama Deadlock. Simak pesan tersebut berikut ini.
Bebaskan Negeri kami Indonesia dari Terorisme, Anarkis, dan KKN (Kolusi, Korupsi & Nepotisme) pada Kubu Pemerintahan Republik Indonesia (Sipil, TNI & Polisi) serta Tangkap, Berantas dan Penjarakan ? Tanpa Kecuali. Bersihkan Negeri kami dari Portitusi, Perjudian dan Kejahatan Sosial. Merdekakan diri kami dari Kemiskinan, Kesengsaraan dan Ketidakadilan! Bersama Partai Demokrat ? SBY & BOEDIONO, Bersama Membangun Indonesia Adil, Makmur & SejahteraAtas Nama Bangsa IndonesiaPangeran DEADLOCKI?m Everyone, but NoOneI?m Everything, but NoThingI?m Everywhere, but NoWhere
Jika komputer anda tiba-tiba menampilkan sebuah gambar dengan menampilkan pesan tersebut (lihat gambar 1), Anda disarankan untuk segera ambil tindakan. Pasalnya komputer Anda sudah diserang virus yang aktif dan mematikan.
Virus tersebut akan menampilkan pesan tersebut dalam desktop yang telah diambil alih. Biasanya pesan ini hanya akan muncul pada waktu yang ditentukan. Seiring dengan munculnya pesan ini maka semua file yang ada di semua drive akan dihapus termasuk program dan file system Windows.

Jadi kalau anda melihat pesan ini pada komputer anda, kemungkinan sudah terlambat karena sebentar lagi data di komputer anda akan dihancurkan. Seperti peribahasa "air tenang menghanyutkan", rupanya di dalam bisunya virus ini menyimpan bom waktu di komputer korbannya yang akan diaktifkan sesuai dengan waktu yang telah ditentukan.
Puncaknya, pada tanggal 12 dan 13 nanti, Deadlock akan membuat komputer anda benar-benar deadlock alias dihancurkan semua datanya, baik data di seluruh harddisk, flashdisk, dan file-file Windows sehingga menampilkan pesan NTLDR is Missing.
Kenali cirinya
Virus ini sebenarnya masih masuk ke dalam keluarga Visual Basic yang di kompresi dengan menggunakan program Petite 2.x dengan ukuran sekitar 80 KB. Icon yang digunakan juga tidak disamarkan tetap menggunakan icon aplikasi dan kemunginan berasal dari salah satu kota di Kalimantan (Samarinda).
Jika virus ini aktif di komputer ia akan membuat beberapa file yang aka dijalankan pada saat komputer di nyalakan.
- C:\Windows\system32\apache.exe
- C:\Windows\system32\mysql.exe

Pemilihan nama apache dan mysql kemungkinan bertujuan menyamarkan dirinya sebagai program populer Apache dan Mysql. Agar file tersebut dapat aktif secara otomatis pada saat komputer dinyalakan, ia akan membuat beberapa string pada registry berikut:
-HKEY_LOCAL_MACHINE\SOFTWARE\Mi crosoft\Windows\CurrentVersion \Run
-mysql = C:\Windows\system32\mysql.exe
-HKEY_CURRENT_USER\SOFTWARE\Mic rosoft\Windows\CurrentVersion\ Run
-apache = C:\Windows\system32\apache.exe

Virus ini cukup cerdik dalam mengelabui user, user tidak akan curiga jika sebenarnya komputer tersebut telah terinfeksi karena tidak ada tanda-tanda yang biasa dilakukan oleh virus lokal lainnya seperti disable Task Manager / MSConfig / Regedit atau Folder Options, selain itu file yang dibuat juga tidak mencurigakan karena seolah-olah merupakan program Apache dan MySql. User baru sadar bahwa komputer telah terinfeksi virus pada saat telah terlambat dimana muncul pesan dari pembuat virus yang kemudian diikuti dengan munculnya pesan error Windows file Protection yang menandakan ada suatu program yang berusaha untuk menghapus file system windows.

Virus ini akan aktif secara otomatis setiap kali user mengakses suatu drive/flash disk dengan memanfaatkan autorun Windows dengan membuat 3 buah file yakni.
-[Desktop.ini] yang berisi script untuk menjalankan file [folder.htt]
-[Folder.htt], berisi script untuk menjalankan file utama yakni [flashguard.exe]
-[Flashguard.exe] merupakan file induk yang akan di jalankan

Flash Disk merupakan salah satu media yang paling banyak digunakan oleh user. Hal inilah yang akan dimanfaatkan oleh sebagian bahkan boleh dibilang semua virus untuk menyebarkan dirinya, hal ini juga akan dilakukan oleh virus Deadlock dengan cara membuat beberapa file berikut.
-Desktop.ini
-Folder.htt
-Flashguard.exe

Bom Waktu
Virus Deadlock laksana bom waktu yang akan menghancurkan komputer target pada waktu yang telah ditentukan, virus ini akan menjalankan aksinya setiap tanggal 12 - 13 sekitar jam 08.00 - 09.00 setiap bulan dengan cara MENGHAPUS SEMUA FILE/DATA TERMASUK FILE SYSTEM WINDOWS yang ada di semua drive termasuk di media Flash Disk dengan menggunakan perintah cmd.exe /c del /f /s /q /a dan cmd.exe /c rd /s /q, sehingga jika komputer tersebut di restart maka akan muncul pesan error.
Jadi, cara terbaik untuk mengantisipasinya jangan lupa melakukan back up data. Untuk mencegah terinfeksi virus ini, Anda disarankan menggunakan program antivirus yang dapat mendeteksi virus ini dengan baik.
Menurut pengetesan Lab Vaksincom, saat ini virus yang terdeteksi oleh Norman sebagai Deadlock belum terdeteksi oleh mayoritas antivirus yang ada di Indonesia, baik antivirus lokal maupun antivirus mancanegara. Norman Endpoint Protection mendeteksi virus Deadlock sebagai Tibs.DKKR.

Jika anda menginginkan data anda yang menjadi korban Deadlock ini kembali, jangan sekali-kali menginstal ulang OS anda ke harddisk yang mengandung data Anda yang hilang tersebut. Lakukan proses recovery data penting dengan menggunakan aplikasi data recovery dan metode yang benar.. salam

[RB66]

Nice info bro

[erle]

Quote:

Originally Posted by RB66

Nice info bro

mudah"an komp situ ga kena virus, kalo kena tuh virus data" buat palud bisa ilang deh......

[hikari]

thank's infonya pak

[erle]

Quote:

Originally Posted by hikari

thank's infonya pak

ati" pak sama virus ini, ntar hasil jepretan 5D bisa ilang semua tuh yg bagus".......

[erle]

Ini saya kasih cara penaganannya,



6 LANGKAH BERSIHKAN VIRUS DEADLOCK SECARA MANUAL
1. Disable [System Restore] selama proses pembersihan. Masuk menu Start>>Control Panel>>System>>System Restore>>Pilih turn off
2. Matikan proses virus yang aktif di memori, gunakan tools pengganti Task Manager seperti Process Explorer kemudian matikan proses yang mempunyai nama mysql.exe dan apache.exe

Silahkan download tools tersebut di url berikut:
http://technet.microsoft.com/en-us/s.../bb896653.aspx
3. Agar virus ini tidak dapat aktif kembali sebaiknya blok file tersebut agar tidak dapat di eksekusi dengan mendaftarkan pada Software Restriction Policies. Fitur ini hanya ada pada komputer dengan sistem operasi Windows XP Professional/Windows Server 2003/Windows Vista dan Windows Server 2008, dengan cara:
- Klik menu [Start]
- Klik menu [Run]
- Pada kotak dialog RUN, ketik perintah SECPOL.MSC kemudian klik tombol [OK]
- Setelah muncul layar Local Security Settings, klik kanan pada menu Software Restriction Policies lalu klik Create New Policies
- Pada menu Software Restriction Policies, klik Additional Rules
- Klik kanan pada Additional Rules, kemudian pilih New Hash Rule..., kemudian akan muncul layar New Hash Rule
- Pada kolom File hash klik tombol Browse kemudian arahkan ke direktori [C:\Windows\system32\apache.exe]
- Kemudian klik tombol [Open]
- Pada kolom Security level pilih [Disallowed]
- Pada kolom description boleh di isi atau dikosongkan saja
- Klik tombol [Apply]
- Klik tombol [Ok]

Catatan:
Jika komputer Anda tidak terinstall Windows XP Professional/2003 Server/Vista/2008 lewati langkah ini.

4. Hapus string registry yang sudah diubah oleh virus. Untuk mempercepat proses perbaikan salin script di bawah ini pada program notepad kemudian simpan dengan nama repair.inf kemudian jalankan file tersebut dengan cara
- Klik kanan file repair.inf
- Klik [Install]

[Version]
Signature="$Chicago$"
Provider=Vaksincom

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell \open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell \open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell \open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell \open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell \open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell \open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\S afeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\S afeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Contr ol\SafeBoot, AlternateShell,0, "cmd.exe"
HKCU, Software\Microsoft\Windows\Cur rentVersion\Policies\Explorer, NoDriveTypeAutoRun,0x000000ff, 255
HKLM, SOFTWARE\Microsoft\Windows\Cur rentVersion\policies\Explorer, NoDriveTypeAutoRun,0x000000ff, 255


[del]
HKCU, Software\Microsoft\Windows\Cur rentVersion\Run, apache
HKLM, Software\Microsoft\Windows\Cur rentVersion\Run, mysql

5. Hapus file induk virus yang ada di direktori
- C:\Windows\system32\apache.exe
- C:\Windows\system32\mysql.exe

6. Untuk pembersihan optimal dan mencegah infeksi ulang, install dan scan dengan menggunakan antivirus yang up-to-date.

Anda juga dapat menggunakan Norman Malware Cleaner, silahkan download tools tersebut di alamat berikut http://www.norman.com/support/support_tools/58732/en-us

Catatan:
Jika komputer yang terinfeksi Deadlock ini tidak dapat melakukan booting Windows dengan muncul pesan error NTLDR Is Missing sebaiknya lakukan install ulang, sedangkan untuk data yang telah dihapus silahkan Anda recovery dengan menggunakan software recovery seperti GetData Back/Easy Recovery/Recovery my Files, tetapi hal ini tidak akan menjamin semua data akan dapat diselamatkan.

[dhlee]

nice info.. but nowdays i'm creating livelock virus on internet. all the files you saved before will be changed into porn images (american celebrities) inside your HD . no joke, just look at simply gals and beautiful gals... they're got virus from me. adios.

[arofanatics]

kayak judul pilem