Jumat, 17 September 2010

Membasmi Virus Redlof

Redlof adalah virus yang dibuat dengan VBS (Visual Basic Script) yang cukup merepotkan karena agak bandel dan sulit dibasmi. Redlof sebenarnya sudah muncul cukup lama (bulan Mei 2002), tetapi karena banyaknya permintaan untuk mengatasi Redlof khususnya para pengguna internet di Indonesia, maka dalam artikel ini kami informasikan juga langkah-langkah untuk membasmi Redlof.

Redlof yang dikenal juga dengan nama VBS/Redlof-A menginfeksi HTM, HTML, ASP, PHP, JSP, HTT dan VBS dengan memasukkan VBScript yang mengandung kode virus yang terenkripsi ke dalamnya. Redlof memanfaatkan celah keamanan Microsoft VM ActiveX yang memungkinkan virus ini secara otomatis dijalankan "hanya" dengan membuka halaman HTML yang terinfeksi.

Secara cerdik, Redlof menyembunyikan dirinya dengan menginfeksi folder.htt yang mempunyai attribut hidden (tersembunyi). Redlof juga menyebarkan dirinya melalui email dengan menginfeksi blank.htm, dengan mengubah banyak registri pada windows seperti:

HKCU\Identities\\Software\MicrosoftOutlook Express\\Mail\Compose Use Stationery

HKCU\Identities\\Software\MicrosoftOutlook Express\\Mail\Stationery Name

HKCU\Identities\\Software\MicrosoftOutlook Express\\Mail\Wide Stationery Name

HKCU\Software\Microsoft\Windows Messaging Subsystem\ProfilesMicrosoft Outlook Internet Settings0a0d020000000000c000000000000046\001e0360

HKCU\Software\Microsoft\Windows NT\CurrentVersionWindows Messaging Subsystem\ProfilesMicrosoft Outlook Internet Settings0a0d020000000000c000000000000046\001e0360

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\dllfile

Cara Membasmi Redlof
PENTING: Sebelum mencoba membasmi virus, anda HARUS memback up date penting anda di komputer yang ingin dibersihkan virusnya. Vaksincom tidak bertanggung jawab atas segala kehilangan/kerugian yang timbul.

Tutup celah keamanan dari software anda dengan mendownload update VM ActiveX component vulnerability di www.microsoft.com/technet/security/bulletin/MS00-075.asp.

Hapus semua Temporary Internet Files dari Internet Explorer [Tools] [Internet Options] dan pastikan sudah bersih dengan mengosongkan Recycle Bin. Disarankan hapus juga semua file dari Temporary/Temp guna mempercepat proses scanning harddrive oleh antivirus pada langkah berikut.

Scan komputer anda menggunakan antivirus dengan update terbaru, kami menggunakan Norman Virus Control. PENTING: Jika anda menggunakan Windows ME/XP, sebelumnya jangan lupa nonaktifkan Sistem Restore.

Balikkan semua perubahan registri yang dilakukan oleh virus.

Karena anda harus mengubah settingan registri, untuk menjaga kemungkinan yang tidak diinginkan, kami sarankan back up dulu registri anda dan simpan di di tempat yang aman.

Klik [Start] [Run], ketik [Regedit] [enter], anda akan berhadapan dengan Registry Editor. Untuk back up registri, klik [File] [Export] dan pilih [All] pada range.

Kemudian cari registri di:

HKEY_CURRENT_USER:

HKCU\Identities\Software\Microsoft\Outlook Express\Mail\Compose Use Stationery

HKCU\Identities\\Software\Microsoft\Outlook Express\Mail\Stationery Name

HKCU\Identities\\Software\Microsoft\Outlook Express\Mail\Wide Stationery Name

dan HAPUS.

Cari area registri dengan nama HKEY_USERS\"kode nomor"\ dan hapus (delete) :

HKU\"kode nomor"\Software\Microsoft\Windows Messaging SubsystemProfiles\Microsoft Outlook Internet Settings0a0d020000000000c000000000000046\001e0360

HKU\"kode nomor"\Software\Microsoft\Windows NT\CurrentVersionWindows Messaging Subsystem\ProfilesMicrosoft Outlook Internet Settings0a0d020000000000c000000000000046\001e0360

HKU\"kode nomor"\Software\Microsoft\Office\10.0\CommonMailSettings\NewStationery

HKU\"kode nomor"\Software\Microsoft\Windows\CurrentVersion\Run\.dll

HKU\"kode nomor"\Software\Microsoft\Windows\CurrentVersion\Run\dllfile

Temukan juga registri di HKEY_LOCAL_MACHINE :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Kernel32

dan hapus jika anda temukan.

Simpan Registry Editor dan restart komputer anda.

Hapus file HTT dan Kjwall.gif.
Cari di direktori c:\windows\web file dengan nama *.htt dan Kjwal.gif, lalu hapus.

Megembalikan setting Outlook Express.
Jalankan Outlook Express, klik [Tools] [Options] klik tabulasi [Compose], pada bagian Stationary, non aktifkan pilihan Mail dengan menghilangkan tanda centang atau pilih stationary yang anda gunakan jika ada.