Satu lagi virus Indonesia yang baru aja muncul nih… MorphostLab menamainya Camfrog.Worm karena filename-nya demikian. Yang menjadi hal yang aneh adalah apakah camfrog ini virus atau bukan…??!!
Dilihat dari icon, kelihatannya bukan virus. Iconnya mirip sekali seperti emoticon camfrog !
dampak dari virus ini bisa komputer hang...dan fatalnya mengakibatkan system error dan komputer tidak bisa di nyalakan lg
Sampai sejauh ini hanya ada beberapa antivirus yang bisa mendeteksi virus camfrog ini antara lain,
-Sophos. Sophos menyebutnya sebagai Mal/Silly-FDC.
-Kaspersky. Kebetulan virus ini bisa terdeteksi dengan metode heuristik cek packer oleh Kaspersky. Kaspersky menyebutnya “packed with: ASPack”
-Morphost. Virus ini baru bisa dideteksi setelah virus ini aku dapatkan.
-untuk antivirus lain aku belum tahu. Khususnya untuk antivirus Indonesia, aku belum coba.
Virus ini dibuat oleh anak bangsa sendiri (alias Indonesia). Tanpa kita sadari memang begitu banyak bakal-bakal anak-anak cerdas Indonesia di bidang IT. He he he he….
Virus ini menyebar dan membuat file:
c:\autorun.inf
c:\BOOTSECT.exe
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\HotKeyDrive.exe
C:\Program Files\WindowsUpdate.exe
C:\Windows\pchealth\helpctr\MSConfig.exe
C:\Windows\settings.exe
C:\Windows\System\imaps.exe
C:\Windows\System\lnkstfb.exe
C:\Windows\System\svchosts.exe
C:\Windows\System\users.exe
C:\Windows\System\winflags.scr
C:\Windows\System\216114.htm
Dan ini nama-nama process yang aktif di Morphost taskmanager yang kulihat.-users.exe
-imaps.exe
-settings.exe
-lnkstfb.exe
-svchosts.exe
Silakan matikan proses-proses virus camfrog diatas….
Dan ini adalah alamat-alamat registry yang dimainkan si Camfrog…[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\JSFile\Shell\Open\Command]
(Default) = “%System%\users.exe “%1″ %*”
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\JSFile\Shell\Open2\Command]
(Default) = “%System%\users.exe “%1″ %*”
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\Shell\Open\Command]
(Default) = “%System%\users.exe “%1″ %*”
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\Shell\Open2\Command]
(Default) = “%System%\winflags.scr “%1″ %*”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
HideFileExt = 0×00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
NoDispCPL = 0×00000001
DisableRegistryTools = 0×00000001
DisableTaskMgr = 0×00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
NoPropertiesMyComputer = 0×00000001
NoControlPanel = 0×00000001
NoFolderOptions = 0×00000001
NoRun = 0×00000001
NoFind = 0×00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
UserServicesProc = “%System%\users.exe”
StoreProc = “%Windir%\pchealth\helpctr\MSConfig.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe]
Debugger = “%System%\imaps.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe]
Debugger = “%ProgramFiles%\WindowsUpdate.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Taskmgr.exe]
Debugger = “%System%\svchosts.exe”
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoPropertiesMyComputer = 0×00000001
NoControlPanel = 0×00000001
NoFolderOptions = 0×00000001
NoRun = 0×00000001
NoFind = 0×00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
NoDispCPL = 0×00000001
DisableRegistryTools = 0×00000001
DisableTaskMgr = 0×00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
ScreenSav = “%Windir%\settings.exe”
[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]
DisableCMD = 0×00000002
Camfrog juga menghapus alamat-alamat registry berikut:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\JSFile\Shell\Open\Command]
(Default) = “%SystemRoot%\System32\WScript.exe “%1″ %*”
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\JSFile\Shell\Open2\Command]
(Default) = “%SystemRoot%\System32\CScript.exe “%1″ %*”
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\Shell\Open\Command]
(Default) = “%SystemRoot%\System32\WScript.exe “%1″ %*”
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\Shell\Open2\Command]
(Default) = “%SystemRoot%\System32\CScript.exe “%1″ %*”
Camfrog juga gak lupa untuk memodif alamat registry berikut:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command]
(Default) = “%System%\winflags.scr “%1″ %*”
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command]
(Default) = “%System%\users.exe “%1″ %*”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell = “Explorer.exe “%System%\users.exe”"
kemungkinan besar virus ini,bisa merusak pro code camfrog dan hilangnya id camfrog jadi pesan saya,hati2 dalam memilih situs/link emoticon camfrog yang bertebaran di website
0 komentar:
Speak up your mind
Tell us what you're thinking... !