Yahoo Messenger bertingkah aneh ?? Check this out

Belakangan ini komputer anda jika sedang YM ria mampilkan pesan Error seperti gamabar di bawah ini :












Ouups Salah Gambar,,, :P. Maksudnya seperti ini :














Bisa jadi anda terinfeksi W32/Agent.FUVR. Virus Import Dari Cina ini meampu membuat komputer yang terhubung ke Internet atau LAN menjadi Lemot atau koneksinya lambat, dikarenakan virus tsb mendownload file dari situs web tertentu (kebanyakan di Cina) untuk mengupdate dirinya dan “hebatnya” virus ini juga aktif memanfaatkan YM (Yahoo Messenger) untk menyebarkan diri.

Untuk memastikan W32/Agent.FUVR aktif di komputer anda (Windows XP), silahkan periksa C:\Windows\AppPatch dan cari file-file dengan nama :

  • AcXtrnel.dll

File ini merupakan file palsu yang mirip dengan file dll OS Microsoft Windows “AcXtrnal.dll”

  • AcSpecf.dll

File ini juga merupakan file palsu yang mirip dengan file dll OS Microsoft Windows “AcSpecfc.dll”

  • AcPlugin.dll

File ini adalah benar file dll Microsoft Windows (Microsoft Plus), TETAPI file ini seharusnya ada di C:\Program Files\Microsoft Plus dan bukan di c:\Windows\AppPatch. Microsoft Plus adalah add on untuk Windows XP yang saat ini sudah tidak dilanjutkan produksinya.

  • Jview.dll

Jview sebenarnya adalah file Java, tetapi virus ini dengan cerdik melakukan delay / menunda aktivasi Jview yang asli (jika ada) dengan mengubah setting registry sehingga yang dijalankan adalah Jview yang bervirus.


Hati2 Rekan2 bila menjumpai sejumlah file yg brnama :
Microsoft.vbs, Microsoft.bat atau Microsoft.pif pada local disk (C:\).
Jika kita buka file Microsoft.bat maka akan terlihat jelas bahwa file ini akan menjalankan file dengan nama Microsoft.pif begitupun dengan file Microsoft.vbs. File Microsoft.pif ini sendiri di kompres dengan menggunakn UPX


Begitu Virus ini di jalankan maka ia aktif membuat beberapa file induk seperti

  • C:\Windows\AppPatch\Jview.dll

  • C:\Windows\AppPatch\AcXtrnel.dll

  • C:\Windows\AppPatch\AcPlugin.dll

  • C:\Windows\appPatch\ AcSpecf.dll


Virus ini juga akan melakukan blocking pada beberapa aplikasi sekaligus mendaftarkan dirinya supaya dijalankan oleh Windows dengan membuat beberapa string pada registry editor berikut:

  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

    • "JavaView"= {DA191DE0-AA86-D04E-4B87-2A3D4928BE99} - C:\WINDOWS\AppPatch\Jview.dll [ ]

    • ThunderAdvise"= {97421D0D-E07F-40DF-8F07-99597B9585AD} - C:\WINDOWS\Downloaded Program Files\ThunderAdvise.dll [2008-06-10 17:58 45056]

  • [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

    • AppInit_DLLs=ukrth.dll, hjmh.dll, gyjert.dll, tjdegtr.dll, fyhje.dll, hgnmjsdg.dll, jkhjsd.dll, hjtdrh.dll, hyjmt.dll, fydgky.dll, ytjkyer.dll, dgrgfs.dll, gfcfg.dll, frntrn.dll, qrhhb.dll, drghszd.dll, fngn.dll, gnfctt.dll, xgnfn.dll, xfgnhcgfm.dll, serger.dll, bnxnb.dll, fxgnfx.dll, jzijj.dll, xfgnfx.dll, serghjm.dll, thsddh.dll, xbcvxb.dll, zfdzb.dll, xdndn.dll, xdfntt.dll, hgfhk.dll, dnteh.dll, xfng.dll, njritc.dll, chmfcmh.dll, jwlah.dll, gmnait.dll, hfjg.dll, thurh.dll, mgmgmm.dll, oqrthc.dll, dhugtj.dll, jyjlt.dll, ijatnaw.dll, sehhter.dll, fhjfg.dll, zdbdb.dll, ydgn.dll, dbfb.dll, fjnbv.dll, uyjtd.dll, setrhes.dll, cdxbfxdb.dll, xfgnxfn.dll, gjkhj.dll, xdhdg.dll, rhs.dll, mrjhtjd.dll, zdbfbd.dll, fjyjy.dll, fxnfnh.dll, bjrvm.dll, ektvm.dll, rdthr.dll, yjrfe.dll, dscef.dll, crugd.dll, lariytrz.dll, hjaiq.dll, kduy.dll, hkfgh.dll, awef.dll, dfhsh.dll, ethsh.dll, stehs.dll, sthth.dll, wfhyt.dll, rgghjj.dll, ghjkdr.dll, hfther.dll, nhmxcjkl.dll

Yg membuat saya kgum hehehe,, Virus ini meng-Update Dirinya sendiri seperti layaknya Anti Virus (tentunya yg tersambung k internet. Jadi yg gk konek anda AMAN).
Yg membuat koneksi lamban ya ini...
jadi ia melakukan koneksi ke :
  • http://root.51113.com/root.gif

  • http://hk.www404.cn:53/ads.js

  • http://err.www404.cn:443/014.html

Yg secara terus menerus.

Menurut Vaksin.com, situs yang mengandung file virus ini sangat banyak dan bervariasi dan rata-rata merupakan domain yang berasal dari Cina sehingga disinyalir kuat virus ini berasal dari Cina. Karena kemampuannya mendownload file update, maka secara teknis virus ini memiliki kemampuan mengupdate dirinya seperti antivirus sehingga termasuk dalam virus dengan resiko tinggi. Walaupun varian awal sudah terdeteksi sejak akhir 2007, tetpai varian yang ditemukan ini terlihat berbeda dengan varian awal dan terbukti berhasil mengecoh banyak program antivirus yang seblumnya berhasil mendeteksinya.File gif dan exe tersebut akan disimpan di direktori berikut
  • C:\Documents and Settings\%user%\Local Settings\Temporary Internet Files\Content.IE5\xxx (xxx ini menunjukan karakter acak)

  • C:\Documents and Settings\%user%\Local Settings\Temp



File gambar tersebut di deteksi oleh Norman Virus Control sebagai Trojan:W32/Suspicious_U.gen


Selain itu virus ini juga akan mendownload beberapa file EXE/DLL/Sys yang akan di simpan di direktori C:\Windows\system32, file ini DLL inilah yang nantinya akan di aktifkan setiap kali user browse internet (lihat gambar 7).

  • bcsxachu.sys

  • sfsxachu.exe

  • zywmgime.dll

  • erjxakin.sys

  • stjxakin.exe

  • snfybbyt.sys

  • tjfyabyt.exe

  • apsgejba.dll

  • kdaic.exe

  • xsdjbbmp.sys

  • zsdjabmp.exe

  • lpmxajkl.exe

  • rnmxajkl.sys

  • aoqnabib.sys

  • dfqnabib.exe

  • swsxachu.dll

  • rijxbkin.dll

  • ypdjgbmp.dll

  • nhmxcjkl.dll


Cara Mengatasinya adalah :
  • Sebaiknya putuskan hubungan jaringan / internet komputer yang akan dibersihkan.

  • Lakukan pembersihan pada mode “safe mode”.

  • Patch OS anda dengan patch terakhir.

  • Download tools Combofix di alamat berikut kemudian jalankan

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

  • Hapus file temporary dan temporary internet file, untuk mempercepat proses penghapusan silahkan download tools berikut

http://majorgeeks.com/ATF_Cleaner_d4949.html

  • Hapus registry yang sudah dibuat oleh virus. Untuk mempercepat proses penghapusan silahkan salin script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf, jalankan file tersebut dengan cara:

    • Klik kanan repair.inf

    • Klik Install

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs,0, ""

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

[del]

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad, ThunderAdvise

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad, JavaView


Source : Vaksin.com dengan pengubahan seadanya


Share this

Hanya seorang bloger biasa yang mencoba untuk berbagi kepada kalian.

2 Responses to " Yahoo Messenger bertingkah aneh ?? Check this out "

  1. Wah gue ga pake YM bro. Chating seperlunya aja pake Google Talk

    BalasHapus

- Komentar harus sesuai topik, tidak menyimpang !
- Komentar bersifat promosi, langsung Saya hapus !