|
|
Virus Worm32 yang di beri nama oleh penciptanya sebagai "Virus Siti NurHaliza". Virus yang baru sahaja lahir dari negara jiran Indonesia ini telah " mencuri nama penyanyi kebanggan negara iaitu Siti Nurhaliza. Virus ini menggunakan nama W32/RUNITIS.A, dimana jika dibaca terbalik akan menjadi "SITINUR" yang telah dicipta oleh 'W4750N'.
Virus ini memiliki cara kerja sebagai berikut:- Virus ini datang dengan size 164kb, serta di zip dengan menggunakan Aspack. Virus ini menggunakan topeng untuk menutupi jadidirinya agar tidak dikenali dengan menggunakan topeng IE sehingga mampu mengubah registry key, mengubah system anda sehinga beberapa aplikasi tidak mampu berjalan sempurna. Antara yang terganggu virus ini adalah, NotePad.exe, Regedit.exe MSConfig dan Taks Manager. Jika menjalankan file yang dah dijangkiti virus ini, akan keluar satu pop-up window IE yang mengandungi lagu Siti Nurhaliza dengan tajuk " ejamkan Mata"
Tapi untuk mendengarkan lagu tersebut, Virus tersebut akan menjalankan file yang ada dalam directory C:\, dengan nama file "Sitinurhaliza.htm" yang mempunyai size 2kb. Cara virus ini bekerja dan menyebarkan dirinya adalah menggandakan dirinya bagaikan bakteria Amoeba. Virus ini menyalin dirinya dalam 2 file utama.
Siti_Nurhaliza.exe - 164kb.
Nurhaliza_Siti - 2kb
Komputer yang telah terjangkit Virus ini, jika membuka tetingkap window explorer seolah-solah telah terjadi aktiviti yang sangat sibuk (hang), padahal anda hanya membuka satu tentingkap sahaja. Lagi satu, Virus ini akan membuat butang Start menu tidak berfungsi sama sekali. Virus ini juga akan membuat file pada folder dan subfolder dengan nama, "Nurhaliza.Siti" dengan size 2kb, serta mempunyai icon kupu-kupu yang kelihatan cantik dan menarik yang boleh di ibaratkan sebagai Siti Nurhaliza itu sendiri. Tapi jangan bimbang, sebab tak ada penyakit yang tak ada ubatnya. Oleh itusaya kan tuliskan kat sini anti "Siti Nurhaliza" ini.
Jangan menjalankan Registry Editor, MSConfig atau Task Manager selama proses pembersihan kecuali file utama dah di buang terlebih dahulu. Lebih baik jika anda melakukan pembersihan dalam kedaan "Safe Mode" untuk menghindarkan perkara-perkara yang tidak dinginkan. Jika anda menggunakan Win Me atau Win XP, lebih baik matikan System Restore selama proses pembersihan. Matikan proses virus ini di memori dengan menggunakan tool alternatif sebagai pengganti Task Manager seperti ProCEXP. Matikan proses [virus] dan [systay]. Padamkan file-file yang telah dibuat leh virus ini dengan/telah memaparkan semua file yang telah disembunyikan.
Untuk mempercepat memadamkan file string yang telah dibuat oleh virus ini, tulis script dibawah ini dengan menggunakan NotePad. Kemudian simpan dengan nama Repair.inf, kemudian anda boleh menginstallnya.
[Version]
Signature=$Chicago$
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,, %1
%*
HKLM, Software\CLASSES\comfile\shell\open\command,,, %1
%*
HKLM, Software\CLASSES\exefile\shell\open\command,,, %1
%*
HKLM, Software\CLASSES\piffile\shell\open\command,,, %1
%*
HKLM, Software\CLASSES\regfile\shell\open\command,,, regedit.exe
%*
HKLM, Software\CLASSES\scrfile\shell\open\command,,, %1
%*
HKLM, Software\CLASSES\inifile\shell\open,,,
HKLM, Software\classes\inifile\shell\open\command,,,%SystemRoot%\Sy
stem32\NOTEPAD.EXE%1
HKLM, Software\Classes\regfile\shell\edit\command,,,%systemRoot%\Sy
stem32\NOTEPAD.EXE%1
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run,ctfmon.exe
HKCU, Software\Microsoft\Windows\CurrentVersion\RunOnce,
Ctfmon.exe
HKCU, Software\Microsoft\Windows\CurrentVersion\RunOnce,Services
HKCU, Software\Microsoft\Windows\CurrentVersion\RunOnce,Siti
HKCU,
Software\Microsoft\Windows\CurrentVersion\RunOnce,Virus
HKCU,
Software\Microsoft\Windows\CurrentVersion\RunOnce,Systray
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\RunService,
Ctfmon
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\RunService,
Services
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\RunService,Systray
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\RunService,Siti
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\RunService,virus
HKCU, Software\Micosoft\Internet Explorer\Main, Start Page ,0, HKLM, SOFTWARE\Classes\siti HKLM, SOFTWARE\Classes\sitiFile HKLM,
SOFTWARE\Classes\CLSID\{12345678-ABCD-ABCD-
ABCD-12345789CBA}
HKLM, SOFTWARE\Classes\Application\notepad.pif
HKLM, SOFTWARE\Classes\dizFile
HKLM, SOFTWARE\Classes\textFile
kalau script kat atas tu tak jadi jgn marah ye pembaca sekalian
p/s: hapuskan "SITI NURHALIZA" ini :pmuka: |
|
Post time 12-8-2006 08:20 PM
变色卡
Author
lol:lol
