Redlof adalah virus yang dibuat dengan VBS (Visual Basic Script) yang cukup merepotkan karena agak bandel dan sulit dibasmi. Redlof sebenarnya sudah muncul cukup lama (bulan Mei 2002), tetapi karena banyaknya permintaan untuk mengatasi Redlof khususnya para pengguna internet di Indonesia, maka dalam artikel ini kami informasikan juga langkah-langkah untuk membasmi Redlof.
Redlof yang dikenal juga dengan nama VBS/Redlof-A menginfeksi HTM, HTML, ASP, PHP, JSP, HTT dan VBS dengan memasukkan VBScript yang mengandung kode virus yang terenkripsi ke dalamnya. Redlof memanfaatkan celah keamanan Microsoft VM ActiveX yang memungkinkan virus ini secara otomatis dijalankan "hanya" dengan membuka halaman HTML yang terinfeksi.
Secara cerdik, Redlof menyembunyikan dirinya dengan menginfeksi folder.htt yang mempunyai attribut hidden (tersembunyi). Redlof juga menyebarkan dirinya melalui email dengan menginfeksi blank.htm, dengan mengubah banyak registri pada windows seperti:
HKCU\Identities\\Software\MicrosoftOutlook Express\\Mail\Compose Use Stationery
HKCU\Identities\\Software\MicrosoftOutlook Express\\Mail\Stationery Name
HKCU\Identities\\Software\MicrosoftOutlook Express\\Mail\Wide Stationery Name
HKCU\Software\Microsoft\Windows Messaging Subsystem\ProfilesMicrosoft Outlook Internet Settings0a0d020000000000c000000000000046\001e0360
HKCU\Software\Microsoft\Windows NT\CurrentVersionWindows Messaging Subsystem\ProfilesMicrosoft Outlook Internet Settings0a0d020000000000c000000000000046\001e0360
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\dllfile
Cara Membasmi Redlof
PENTING: Sebelum mencoba membasmi virus, anda HARUS memback up date penting anda di komputer yang ingin dibersihkan virusnya. Vaksincom tidak bertanggung jawab atas segala kehilangan/kerugian yang timbul.
Tutup celah keamanan dari software anda dengan mendownload update VM ActiveX component vulnerability di www.microsoft.com/technet/security/bulletin/MS00-075.asp.
Hapus semua Temporary Internet Files dari Internet Explorer [Tools] [Internet Options] dan pastikan sudah bersih dengan mengosongkan Recycle Bin. Disarankan hapus juga semua file dari Temporary/Temp guna mempercepat proses scanning harddrive oleh antivirus pada langkah berikut.
Scan komputer anda menggunakan antivirus dengan update terbaru, kami menggunakan Norman Virus Control. PENTING: Jika anda menggunakan Windows ME/XP, sebelumnya jangan lupa nonaktifkan Sistem Restore.
Balikkan semua perubahan registri yang dilakukan oleh virus.
Karena anda harus mengubah settingan registri, untuk menjaga kemungkinan yang tidak diinginkan, kami sarankan back up dulu registri anda dan simpan di di tempat yang aman.
Klik [Start] [Run], ketik [Regedit] [enter], anda akan berhadapan dengan Registry Editor. Untuk back up registri, klik [File] [Export] dan pilih [All] pada range.
Kemudian cari registri di:
HKEY_CURRENT_USER:
HKCU\Identities\Software\Microsoft\Outlook Express\Mail\Compose Use Stationery
HKCU\Identities\\Software\Microsoft\Outlook Express\Mail\Stationery Name
HKCU\Identities\\Software\Microsoft\Outlook Express\Mail\Wide Stationery Name
dan HAPUS.
Cari area registri dengan nama HKEY_USERS\"kode nomor"\ dan hapus (delete) :
HKU\"kode nomor"\Software\Microsoft\Windows Messaging SubsystemProfiles\Microsoft Outlook Internet Settings0a0d020000000000c000000000000046\001e0360
HKU\"kode nomor"\Software\Microsoft\Windows NT\CurrentVersionWindows Messaging Subsystem\ProfilesMicrosoft Outlook Internet Settings0a0d020000000000c000000000000046\001e0360
HKU\"kode nomor"\Software\Microsoft\Office\10.0\CommonMailSettings\NewStationery
HKU\"kode nomor"\Software\Microsoft\Windows\CurrentVersion\Run\.dll
HKU\"kode nomor"\Software\Microsoft\Windows\CurrentVersion\Run\dllfile
Temukan juga registri di HKEY_LOCAL_MACHINE :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Kernel32
dan hapus jika anda temukan.
Simpan Registry Editor dan restart komputer anda.
Hapus file HTT dan Kjwall.gif.
Cari di direktori c:\windows\web file dengan nama *.htt dan Kjwal.gif, lalu hapus.
Megembalikan setting Outlook Express.
Jalankan Outlook Express, klik [Tools] [Options] klik tabulasi [Compose], pada bagian Stationary, non aktifkan pilihan Mail dengan menghilangkan tanda centang atau pilih stationary yang anda gunakan jika ada.