W32.Jadi.A

Standar

Virus ini tidak repot-repot mengeksploitasi celah keamanan GDI JPEG Vulnerability tetapi mampu memanfaatkan file JPG untuk menyebarkan dirinya. Kemampuannya:

1. Manipulasi Registry
2. Sembunyikan file JPG

pengguna Windows XP SP2 tetap akan berhasil di infeksi oleh virus ini karena bukan celah keamanan yang dieksploitasi, melainkan user interface (tatap muka) Windows Explorer yang di rubah agar menampilkan file .exe mirip sekali dengan file .jpg. File Induk C:\Windows\act.exe . Jadi file JPG akan disembunyikan dan diduplikasikan menjadi appliaction.

3.Disable menu Windows
Jadi.A akan mencoba untuk menyembuyikan beberapa menu Windows, seperti
Menu Run ,Mmnu Find,menu Control Panel

Cara membersihkan Virus W32/Jadi.A

1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan.
2.Matikan System Restore (Windows ME dan XP).
3.Jalankan komputer dalam Safe Mode.
4.Hapus proses dari virus W32/Jadi.A, untuk mematikan proses ini Anda dapat menggunakan tools pengganti Task manager seperti [ProcceXP] dapat di download di alamat http://www.sysinternals.com :
Kemudian matikan proses yang mempunyai icon JPG:
Hapus string registry yang dibuat oleh virus, untuk lebih cepatnya tulis script dibawah ini pada program notepad, kemudian simpan menjadi nama file repair.inf, setelah itu jalankan file tersebut dengan cara:

Klik kanan repair.inf

Klik [install]

Berikut script yang anda copy:

[Version]

Signature=”$Chicago$”

Provider=Vaksincom

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\comfile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\exefile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\piffile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”

HKLM, Software\CLASSES\scrfile\shell\open\command,,,”””%1″” %*”

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoControlPanel

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFind

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRun

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoSetFolders

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\WinOldApp

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,dlhost

HKLM, SOFTWARE\Classes\exefile,NeverShowExt

Hapus file induk yang dibuat oleh W32/Jadi.A, sebelum anda menghapus file ini sebaiknya anda tampilkan semua file yang disembunyikan terlebih dahulu

C:\Windows\act.exe

Hapus File Duplikat yang dibuat oleh virus W32/Jadi.A dengan ciri-ciri
Ukuran file 52 KB
Type file “application”
Icon JPG
Tampilkan kembali semua file JPG yang disembunyikan oleh virus W32Jadi.A dengan mengenbalikan setting attribut dari File JPG yang sudah di ubah oleh virus W32/Jadi.A dengan cara:
Klik [start]
Klik [run]
Ketik [cmd] kemudian klik [ok]
Pada dos prompt tulis perintah
Attrib –s –h c:\*.jpg /s, kemudian tekan enter
Jika drive anda lebih dari satu (contoh drive D:\ atau E:\ ), gunakan perintah diatas untuk menampilkan file yang disembunyikan dengan mengganti lokasi drive
Contoh: attrib –s –h d:\*.jpg /s

ENSES32 kemungkinan belum bisa mendeteksi virus ini, atau jg bisa terdeteksi sbg “Suspected Worm”, karena belum sempet nemuin sample virusnya,:D

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s