16 January 2009

JoniEzz.exe

Baru kali ini ketemu kasus virus seperti ini.

spesifikasi:
Laptop dengan WindowsXP SP2, antivirus kaspersky yg sudah expire.

gejala:
Windows loading desktop sangat lambat. Hanya layar biru muda sebagai background. Mulanya saya pikir sudah hang, tapi kemudian taskbar muncul walaupun tanpa jam dan tombol start. Kemudian saya matikan karena malas tunggu terlalu lama.

pemeriksaan:
Load ke safe mode. Login dengan account Administrator (bukan account user) dan ternyata berhasil.
Saya membuka hidden file dan hidden system file. Folder Option dan task manager tidak terkunci. Di C: terlihat beberapa file virus:
JoniEzz.exe
Autorun.inf
kedua file ini juga langsung menginfeksi flash disk yang saya colok.

Selanjutnya jalankan combofix. Tetapi ternyata gagal.
Saya memeriksa proses yang lagi berjalan dengan CurrProses.
di situ ada file-file yang berjalan dengan nama samaran:
smss.exe
smss.exe
smss.exe
smss.exe
dari lima proses smss.exe yang berjalan, ada 4 yang bentuk iconnya menggunakan icon Microsoft Word. Bahkan "product name" masih menggunakan nama "project1"
ini nama default jika seorang programmer membuat proyek dengan menggunakan Visual Basic atau software lainnya.

Setelah proses-proses aneh dimatikan, combofix dijalankan lagi dan kali ini berhasil. berikut sebagian dari lognya:

==================================================
Other Deletions

C:\Autorun.inf
c:\avg update 051108\_desktop.ini
C:\JoniEzz.exe
c:\windows\autorun.inf
c:\windows\system32\AutoRun.inf
c:\windows\system32\CommandPrompt.Sysm
c:\windows\system32\Desktop.sysm
c:\windows\system32\LoLOxz
c:\windows\system32\LoLOxz\msvbvm60.dll
c:\windows\system32\LoLOxz\smss.exe
c:\windows\system32\maxtrox.txt
c:\windows\system32\msmsgs.exe
c:\windows\system32\Windows 3D.scr
D:\Autorun.inf
D:\JoniEzz.exe
d:\recycler\_desktop.ini
E:\Autorun.inf
E:\JoniEzz.exe
e:\recycler\_desktop.ini
==================================================

Pembersihan sudah selesai. Komputer di-restart dan masuk ke mode normal. Sayangnya, gejala di atas tetap terjadi. Tidak ada perubahan sedikit pun. Desktop loading terlalu lama.

Komputer di-restart dan kembali masuk ke safe mode. Saya kembali menggunakan account Administrator. Kemudian saya membuat account baru dengan nama "WinXP".

Komputer di-restart dan login menggunakan account yg baru saja saya buat, account "WinXP" dan akhirnya desktop berhasil di-load tanpa masalah.

Account user yang pertama saya hapus (dan save file-filenya) kemudian pindahkan ke account yang baru.

Sekali lagi saya jalankan combofix dengan account baru ini dalam mode normal. berikut lognya:
==================================================
Other Deletions

c:\windows\system32\CommandPrompt.Sysm
c:\windows\system32\Desktop.sysm
c:\windows\system32\maxtrox.txt
c:\windows\system32\Windows 3D.scr
==================================================

tak disangka masih ada file yang terlewatkan. Dan akhirnya saya baru ingat kalau antivirusnya sudah expire. Kaspersky saya uninstall lalu ganti dengan AVG 8.0 update-an kemarin. Komputer di-scan dan ketemu banyak sekali file bervirus di dalamnya:
virus identified worm/generic.GKV
trojan horse dropper.Delf.AXK
Trojan horse downloader.generic8.FJX

sebagian virus menyamar dalam bentuk file Microsoft Word.

Virus selesai di-scan, komputer di-restart, tak ada masalah lagi.
Kasus selesai.
Posted by at

No comments:

Post a Comment

Subscribe to: Post Comments (Atom)