Senin, 22 Oktober 2012

I Love You Mindhack part 2

 oleh : Viko Akbar
I Love You Mindhack part 2
Apa hubungan Hello Kitty dengan mindhack ?

Kill 'em all
I love U Mindhack
Dimanakah kamu sekarang?
Tahukah kamu, aku mencarimu hampir disetiap waktuku?
Kamu boleh saja bersembunyi di antara berjuta tebaran bintang
Tapi, ketahuilah suatu saat aku pasti akan menemukanmu
Kamu boleh saja telah memenangkan permainan kecil dengan mereka
Beberapa dari mereka adalah teman2 ku
Beberapa dari mereka sekarang terpenjara
Tapi, kamu belum memenangkan apapun dari aku
Sampai kapan kau akan terus bersembunyi?
Ingat! Korban tak bersalah akan terus berjatuhan
Korban berikutnya adalah ektramedia.org mu yang tiada guna
Dan phreaker2 wannabe yang mengikuti gerak langkah kecilmu yang indah dan mematikan
Ketahuilah, apapun yang tidak bisa aku dapatkan
Pasti akan aku hancurkan
Bwahahahahahhahahahahhahahahahhahahah!!!!!!!!!!!!
Jarak kita hanya tinggal beberapa tombak
bwahahahahahahhahahahahahhahahhhh

Apa hubungannya Hello Kitty dengan mindhack ? Mungkin anda menganggap hal ini lelucon tidak lucu, apalagi kalau harddisk anda barusan terformat oleh virus ini. Tetapi setelah membaca artikel ini anda akan percaya bahwa Hello Kitty (dan bukan Snoopy) lebih memiliki hubungan dengan pembuat virus mindhack. Setelah memakan korban pada akhir September 2012 dan menuai sumpah serapah dari ribuan korbannya di Indonesia, rupanya pembuat virus mindhack tidak kapok, malahan mengeluarkan varian mindhack yang baru lengkap dengan curhat patah hati dan icon Yellow Kitty dan Red Bear.

Virus yang disebarkan dengan cara memalsukan diri sebagai aplikasi Ultrasurf **(aplikasi untuk menembus sensor internet) ini ternyata sangat marak peminatnya dan bukannya Ultrasurf yang didapatkan oleh orang yang menjalankan aplikasi ini tetapi seluruh harddisknya (kecuali C:\) di "Surf" / "Rinso" alias di format oleh virus ini.

**Ultrasurf adalah freeware sebagai "produk penghindar sensor internet" yang dibuat oleh Ultrareach Internet Corporation. Software ini memungkinkan penggunanya untuk melewati sensor dan firewall menggunakan proxy HTTP, dan mempekerjakan protokol enkripsi untuk privasi. Software ini dikembangkan oleh aktvis Cina sebagai sarana yang memungkinkan pengguna internet untuk memotong Great Firewall of China.
Virus ini terdeteksi oleh Norman sebagai Hupigon.MBKG dan Hupigon.MBKH, sedangkan G Data mendeteksi virus ini sebagai Trojan.Generic.7770658 (lihat gambar 1)

Virus ini terdeteksi oleh Norman sebagai Hupigon.MBKG dan Hupigon.MBKH, sedangkan G Data mendeteksi virus ini sebagai Trojan.Generic.7770658 (lihat gambar 1)

Gambar 1, G Data mendeteksi Mindhack sebagai Trojan.Generic.7770658
Ciri-ciri virus “iloveyoumindhack” 
Untuk memastikan bahwa komputer anda terinfeksi oleh virus mindhack, ada beberapa ciki khas sebagai berikut :
File yang berekstensi .exe tidak bisa digunakan dan type file akan berubah menjadi iloveumindhack (lihat gambar 2) dan hal ini mengakibatkan komputer korbannya tidak akan bisa menjalankan program apapun yang memiliki ekstensi exe. Hal ini memiliki tujuan utama mencegah korbannya menjalankan program antivirus atau tools removal antivirus untuk membasmi mindhack.

Mengkopikan / menggantikan file :
Gambar 2, Semua file type “.exe” akan berubah menjadi “.iloveyoumindhack”







V
irus ini akan memformat semua partisi hardisk D: s/d Z: (kecuali System drive C) dengan menggunakan proses Quick Format. Aksi inilah yang mendapatkan sumpah serapah dari korbannya karena kehilangan data yang di format. Dibandingkan dengan virus lain yang melakukan injeksi dan enkripsi file data korbannya, aksi mindhack ini relatif mudah diatasi dengan teknik data recovery yang simple. Pada prinsipnya, aktivitas format (apalagi quick format) tidak memusnahkan file dan sebenarnya file data anda masih ada di partisi / harddisk anda. Hal pertama yang harus anda lakukan adalah lepaskan harddisk yang menjadi korban quickformat, jadikan slave dan lakukan recovery dari komputer / harddisk lain dan jangan sekali-kali menjalankan OS atau dari harddisk yang ingin anda recover, apalagi mengkopikan file ke harddisk tersebut karena akan menimpa file yang ingin anda recover. Jika anda ragu, sebaiknya hubungi ahli data recovery untuk melakukan hal ini
Mengkopikan / menggantikan file  
  •  D:\setup.exe 
  •  D:\restore.exe 
  •  D:\backup.exe 
  •  D:\hddfix.exe 
Dengan file virus. 
Mematikan (taskkill) proses file 
  • C:\Program Files\Internet Download Manager\IDMan.exe 
  • C:\Program Files\Mozilla Firefox\firefox.exe
  • C:\windows\explorer.exe (lihat gambar 3)
    Gambar 3, Proses “explorer.exe” dimatikan (taskkill) dan filenya digantikan dengan file virus dengan perintah “Xcopy”
dan menggantikan dengan file virus. 
Membuat sebuah folder dan file dan meletaknya di C:\Documents and Settings\Administrato\Local Settings\Temp (lihat gambar 4)
Gambar 4, Folder yang dibuat oleh virus dengan icon yellow kitty, orange bear dan foto dengan nama file I
Bagaimana mengatasi Mindhack 
Jika anda termasuk ke dalam penggemar “Hello Kitty” ini dan menjalankan virus mindhack, kemungkinan besar seluruh harddisk anda (kecuali C:\) akan di format. Seperti yang disarankan di atas, untuk mengembalikan data dari harddisk yang telah di “quick format” oleh Mindhack anda perlu melakukan Data Recovery. Jika anda belum berpengalaman, Vaksincom menyarankan anda untuk jangan melakukan sendiri dan berkonsultasi dengan ahli data recovery. Khususnya jangan sekali-kali melakukan kopi data atau instalasi ulang (apalagi partisi ulang) pada harddisk yang ingin anda recover.
Sedangkan untuk sistem yang telah “dikerjai” oleh mindhack, berikut ini langkah untuk mengembalikannya (Windows XP) : 
  1. Copi “explorer.exe” dari komputer lain dan rename menjadi “explorer.bat” dan jalankan. Cari file “explorer.exe” dari komputer lain yang tidak terinfeksi virus yang OSnya sama dengan OS komputer yang terinfeksi. File “explorer.exe” bisa ditemukan dari “C:\windows\explorer.exe”. Kopi file “explorer.exe” tersebut ke usb flash disk dan rename menjadi “exlorer.bat”. Colokkan USB Flash tersebut pada komputer yang terinfeksi dan jalankan “explorer.bat” untuk membuka Windows Explorer.
  2. Rename command prompt “cmd.exe” menjadi “cmd.bat”. Buka Drive C:\ WINDOWS\system32 → lalu pilih “cmd.exe” (tanpa tanda kutip) dan rename menjadi “cmd.bat” (tanpa tanda kutip). Jika ekstensi file tidak muncul, maka pada Menu Bar pilih [Tools] [Folder] [Option] buka tab [View] dan unchecklist pada pilihan “Hide extentions for known file types” (lihat gambar 5)
  3. Lalu klik ganda cmd.bat” untuk membuka “Command Prompt”  Pada Command Prompt, langsung saja ketik “Assoc .exe=exefile” (tanpa tanda kutip) lalu tekan Enter. (lihat gambar 6) 
  4.  Scan komputer dengan antivirus yang terupdate untuk mendeteksi dan membasmi virus ini seperti G Data Antivirus atau Norman Virus Control. Program antivirus yang dapat mendeteksi virus ini akan menghapus semua. file virus yang dapat ditemukan di : D:\setup.exe; D:\restore.exe; D:\backup.exe; D:\hddfix.exe; C:\Program Files\Internet Download Manager\IDMan.exe; C:\Program Files\Mozilla Firefox\firefox.exe; C:\Windows\explorer.exe 
  5. Kopi file “explorer.exe” dari komputer dengan OS yang sama dengan komputer yang terinfeksi dan masukkan ke direktori “C:\Windows” 
  6. Jika anda menggunakan Firefox dan Internet download manager, kami sarankan untuk melakukan instal ulang. Kalau ada backup file .exenya silahkan di kembalikan ke direktorinya.
Setelah itu, repair registry dengan cara buka program notepad lalu copy skrip berikut 

[Version]

Signature="$Chicago$" 

Provider=Vaksincom Oyee 2012 

[DefaultInstall] 


AddReg=UnhookRegKey
 

DelReg=del 


[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe" 
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1 

[del]


HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Msconfig.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
Paste script diatas pada notepad, lalu save dengan nama file “repair.inf” (tanpa tanda kutip). Setelah di-save dengan nama file repair.inf, klik kanan lalu pilih [install]  

Gambar 5, Ubah “cmd.exe” menjadi “cmd.bat”
Gambar 6, hasil proses Assoc .exe=exefile pada Command Prompt
 
 Sumber : Vaksin.com





Tidak ada komentar:

Posting Komentar