welcome

Sabtu, 13 November 2010

Membersihkan Virus Tmphider atau Stuxnet

File-file penularan pada USB Drive/flashdisk : Copy of Shortcut to.Ink Copy of Copy of Shortcut to.lnk Copy of Copy of Copy of Shortcut to.lnk Copy of Copy of Copy of Copy of Shortcut to.lnk ~WTR4132.tmp ~WTR4141.tmp
Penyebaran virus Stuxnet berasal dari USB Drive/Flashdisk yang terdapat beberapa file berextensi *.lnk yang menuju ke file dll yang bernama ~WTR4141.tmp yang digunakan untuk berkembang, sedangkan untuk meloading filenya digunakanlah ~WTR4132.tmp, . Setelah file di execute maka menghasilkan beberapa file yakni: mrxcls.sys dan mrxnet.sys dan menginjeksi lsass.exe, svchost.exe dan services.exe pada systemt.
Virus Stuxnet tidak akan terlihat pada USB Drive/Flashdisk sobat karena virus Stuxnet menggunakan komponen rootkit, sehingga dapat berjalan sebagai administrator/user. Dan virus Stuxnet juga mengeksploitasi celah keamanan baru ditemukan dan belum diperbaiki dan cara kerjanya sama seperti Windows Explorer menangani file-file .lnk.
Registry yang terinfeksi : HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxCls HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxCls\Enum HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxNet HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxNet\Enum

Hasil Execution :
%System%\drivers\mrxcls.sys
%System%\drivers\mrxnet.sys

Untuk menghapus virus Stuxnet cukup dengan menghapus hasil excute, menghapus registry dan hapus file yang penularan. Segera restart komputer sobat.
Ihsana IT Solusion telah membuat tool-nya, Silahkan di download StuxNet-Killer


Berikut ini penggunaan tool tersebut:

Copy tool ini ke harddisk sobat (jangan letakan pada USB Drive).
Klik kanan StuxNet Killer dan pilih Run as administrator dan Klik Tombol Yes.
Kemudian klik tombol Delete Excution.
Klik Tombol Protect Excutation
Kemudian restart komputer sobat.
Setelah komputer hidup, klik tombol FixUSB Drive.
Jangan buka Windows Explorer sebelum mengklik tombol FixUSB Drive.

Tidak ada komentar:

Posting Komentar