Virus ini tidak repot-repot mengeksploitasi celah keamanan GDI JPEG Vulnerability tetapi mampu memanfaatkan file JPG untuk menyebarkan dirinya. Kemampuannya:
1. Manipulasi Registry
2. Sembunyikan file JPG
pengguna Windows XP SP2 tetap akan berhasil di infeksi oleh virus ini karena bukan celah keamanan yang dieksploitasi, melainkan user interface (tatap muka) Windows Explorer yang di rubah agar menampilkan file .exe mirip sekali dengan file .jpg. File Induk C:\Windows\act.exe . Jadi file JPG akan disembunyikan dan diduplikasikan menjadi appliaction.
3.Disable menu Windows
Jadi.A akan mencoba untuk menyembuyikan beberapa menu Windows, seperti
Menu Run ,Mmnu Find,menu Control Panel
Cara membersihkan Virus W32/Jadi.A
1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan.
2.Matikan System Restore (Windows ME dan XP).
3.Jalankan komputer dalam Safe Mode.
4.Hapus proses dari virus W32/Jadi.A, untuk mematikan proses ini Anda dapat menggunakan tools pengganti Task manager seperti [ProcceXP] dapat di download di alamat www.sysinternals.com :
Kemudian matikan proses yang mempunyai icon JPG:
Hapus string registry yang dibuat oleh virus, untuk lebih cepatnya tulis script dibawah ini pada program notepad, kemudian simpan menjadi nama file repair.inf, setelah itu jalankan file tersebut dengan cara:
Klik kanan repair.inf
Klik [install]
Berikut script yang anda copy:
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoControlPanel
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFind
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoRun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoSetFolders
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\WinOldApp
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,dlhost
HKLM, SOFTWARE\Classes\exefile,NeverShowExt
Hapus file induk yang dibuat oleh W32/Jadi.A, sebelum anda menghapus file ini sebaiknya anda tampilkan semua file yang disembunyikan terlebih dahulu
C:\Windows\act.exe
Hapus File Duplikat yang dibuat oleh virus W32/Jadi.A dengan ciri-ciri
Ukuran file 52 KB
Type file “application”
Icon JPG
Tampilkan kembali semua file JPG yang disembunyikan oleh virus W32Jadi.A dengan mengenbalikan setting attribut dari File JPG yang sudah di ubah oleh virus W32/Jadi.A dengan cara:
Klik [start]
Klik [run]
Ketik [cmd] kemudian klik [ok]
Pada dos prompt tulis perintah
Attrib –s –h c:\*.jpg /s, kemudian tekan enter
Jika drive anda lebih dari satu (contoh drive D:\ atau E:\ ), gunakan perintah diatas untuk menampilkan file yang disembunyikan dengan mengganti lokasi drive
Contoh: attrib –s –h d:\*.jpg /s
Klo cara2 diatas ga bisa juga, Install ulang OSnya lagi.
Subscribe to:
Post Comments (Atom)
No comments:
Post a Comment