Selasa, 23 Jun 2009

VIRUS NADIA SAPHIRA

Ciri-ciri dari file virus virus Nadia Saphira ini, diantaranya sebagai berikut :
1. Memiliki ukuran file sebesar 17 kb & 69 kb.
2. Mempunyai type file Application.
3. Berekstensi file exe & ini.
4. Memiliki icon folder.
5. Membuat salinan folder sesuai dengan nama folder yang ada dan menyembunyikan folder aslinya.
6. Menghilangkan pilihan “Folder Options”.
7. CD Rom tidak boleh digunakan
8. Command Prompt tidak boleh diakses.

Jika virus berhasil menginfeksi, maka ia akan membuat beberapa file virus diantaranya :
1. C:-autorun.inf (pada semua root drive)
2. C:-NadiaSaphira.ini (pada semua root drive)
3. C:-Documents and Settings-All User-Start Menu-Programs-Startup-lan.exe
4. C:-Documents and Settings-%User%-NadiaSaphira.ini
5. C:-WINDOWS-taskmgr.exe
6. C:-WINDOWS-system32-.exe
7. C:-WINDOWS-system32-allsys.exe
8. C:-WINDOWS-system32-misconfig.exe
9. C:-WINDOWS-system32-MS586.sys
10. C:-WINDOWS-system32-System
11. C:-WINDOWS-system32-wtoolsb.exe
12. C:-WINDOWS-system32-dllcache-.exe
13. C:-WINDOWS-system32- dllcache-System
14. Membuat duplikat file virus pada setiap folder yang ada pada removable drive/usb.

Hidden file

Sebagai pertahanan, virus akan mencuba melakukan usaha blok terhadap beberapa fungsi Windows. Beberapa fungsi Windows yang di blok diantaranya sebagai berikut :
1. Folder Options (dilakukan untuk mencegah akses terhadap file/folder yang disembunyikan)
2. Registry Editor (dilakukan untuk mencegah akses perbaikan registry)
3. Search/Find (dilakukan untuk mencegah dari pembersihan virus)
4. Command Prompt (dilakukan untuk mencegah dari proses kill virus)

Aktif di Start up

Untuk memastikan agar dapat aktif dengan baik pada saat komputer dijalankan, virus menyisipkan file virus pada startup windows sehingga akan aktif jika komputer dijalankan. Setelah aktif, virus memanggil kedua rakannya (virus pendukung) supaya susah dimatikan.

File virus yang aktif pada startup yaitu :
C:-Documents and Settings-All User-Start Menu-Programs-Startup-lan.exe
File ini yang kemudian memanggil kedua rakannya (virus pendukung) untuk memperkuat existensinya, yaitu :
1. C:-WINDOWS-system32-misconfig.exe
2. C:-WINDOWS-taskmgr.exe

Ubah Registry windows

Untuk dapat melakukan blok fungsi “Search” windows, virus akan membuat string registry sebagai berikut :

HKEY_CURRENT_USER-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer
nofind = 1
HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Windows-CurrentVersion-Policies- Explorer
nofind = 1

Untuk dapat melakukan blok fungsi “Folder Options” windows, virus akan membuat string registry sebagai berikut:

HKEY_CURRENT_USER-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer
NoFolderOptions = 1

Untuk dapat melakukan blok fungsi “Registry Editor” windows, virus akan membuat string registry sebagai berikut :

HKEY_CURRENT_USER-Software-Microsoft-Windows-CurrentVersion-Policies-System
DisableRegistryTools = 1

Untuk dapat melakukan blok fungsi “Command Prompt” windows, virus akan membuat string registry sebagai berikut :

HKEY_CURRENT_USER-Software-Microsoft-Command Processor
Autorun =
HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Command Processor
Autorun =

Walaupun Folder Options sudah di blok, tetapi virus mencegah untuk menampilkan file yang tersembunyi. Untuk itu, ia membuat string registry sebagai berikut :

HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Windows-CurrentVersion-Explorer-Advanced-Folder-Hidden-SHOWALL
CheckedValue = 0
DefaultValue = 0

Untuk dapat mengaburi user terhadap file virus dan mencuba mengubah type file exe, virus membuat string sebagai berikut :

HKEY_CLASSES_ROOT-exefile
(Default) = File Folder
Info Tip = File Folder
TileInfo = File Folder

Terakhir virus berusaha melakukan blok sanbungan file “Microsoft Visual Studio Spy Debugging Tools”, virus membuat string sebagai berikut :

HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Windows NT-CurrentVersion-Image File Execution Options-msiexec.exe
Debugger =
HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Windows NT-CurrentVersion-Image File Execution Options-sessmgr.exe
Debugger =
HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Windows NT-CurrentVersion-Image File Execution Options-SPYXX.exe
Debugger =

>>Nadia Saphira Bukan Virus>>>

Sumber: Sabahdaily