oleh : Viko
Akbar
I Love You Mindhack part 2
Apa hubungan Hello Kitty dengan mindhack ?
Kill 'em all
I love U Mindhack
Dimanakah kamu sekarang?
Tahukah kamu, aku mencarimu hampir disetiap waktuku?
Kamu boleh saja bersembunyi di antara berjuta tebaran bintang
Tapi, ketahuilah suatu saat aku pasti akan menemukanmu
Kamu boleh saja telah memenangkan permainan kecil dengan mereka
Beberapa dari mereka adalah teman2 ku
Beberapa dari mereka sekarang terpenjara
Tapi, kamu belum memenangkan apapun dari aku
Sampai kapan kau akan terus bersembunyi?
Ingat! Korban tak bersalah akan terus berjatuhan
Korban berikutnya adalah ektramedia.org mu yang tiada guna
Dan phreaker2 wannabe yang mengikuti gerak langkah kecilmu yang indah dan mematikan
Ketahuilah, apapun yang tidak bisa aku dapatkan
Pasti akan aku hancurkan
Bwahahahahahhahahahahhahahahahhahahah!!!!!!!!!!!!
Jarak kita hanya tinggal beberapa tombak
bwahahahahahahhahahahahahhahahhhh
Apa
hubungannya Hello Kitty dengan mindhack ? Mungkin anda menganggap hal
ini lelucon tidak lucu, apalagi kalau harddisk anda barusan terformat
oleh virus ini. Tetapi setelah membaca artikel ini anda akan percaya
bahwa Hello Kitty (dan bukan Snoopy) lebih memiliki hubungan dengan
pembuat virus mindhack. Setelah memakan korban pada akhir September 2012
dan menuai sumpah serapah dari ribuan korbannya di Indonesia, rupanya
pembuat virus mindhack tidak kapok, malahan mengeluarkan varian mindhack
yang baru lengkap dengan curhat patah hati dan icon Yellow Kitty dan
Red Bear.
Virus
yang disebarkan dengan cara memalsukan diri sebagai aplikasi Ultrasurf
**(aplikasi untuk menembus sensor internet) ini ternyata sangat marak
peminatnya dan bukannya Ultrasurf yang didapatkan oleh orang yang
menjalankan aplikasi ini tetapi seluruh harddisknya (kecuali C:\) di
"Surf" / "Rinso" alias di format oleh virus ini.
**Ultrasurf
adalah freeware sebagai "produk penghindar sensor internet" yang dibuat
oleh Ultrareach Internet Corporation. Software ini memungkinkan
penggunanya untuk melewati sensor dan firewall menggunakan proxy HTTP,
dan mempekerjakan protokol enkripsi untuk privasi. Software ini
dikembangkan oleh aktvis Cina sebagai sarana yang memungkinkan pengguna internet untuk memotong Great Firewall of China.
Virus
ini terdeteksi oleh Norman sebagai Hupigon.MBKG dan Hupigon.MBKH,
sedangkan G Data mendeteksi virus ini sebagai Trojan.Generic.7770658
(lihat gambar 1)
Virus
ini terdeteksi
oleh Norman
sebagai
Hupigon.MBKG
dan
Hupigon.MBKH,
sedangkan G
Data
mendeteksi
virus ini
sebagai
Trojan.Generic.7770658
(lihat gambar
1)
 | |
| Gambar 1, G Data mendeteksi Mindhack sebagai Trojan.Generic.7770658 |
Ciri-ciri
virus
“iloveyoumindhack”
Untuk memastikan bahwa komputer anda terinfeksi oleh virus mindhack, ada beberapa ciki khas sebagai berikut :
File yang berekstensi .exe tidak bisa digunakan dan type file akan berubah menjadi iloveumindhack (lihat gambar 2) dan hal ini mengakibatkan komputer korbannya tidak akan bisa menjalankan program apapun yang memiliki ekstensi exe. Hal ini memiliki tujuan utama mencegah korbannya menjalankan program antivirus atau tools removal antivirus untuk membasmi mindhack.
Untuk memastikan bahwa komputer anda terinfeksi oleh virus mindhack, ada beberapa ciki khas sebagai berikut :
File yang berekstensi .exe tidak bisa digunakan dan type file akan berubah menjadi iloveumindhack (lihat gambar 2) dan hal ini mengakibatkan komputer korbannya tidak akan bisa menjalankan program apapun yang memiliki ekstensi exe. Hal ini memiliki tujuan utama mencegah korbannya menjalankan program antivirus atau tools removal antivirus untuk membasmi mindhack.
Mengkopikan
/ menggantikan
file :
Virus
ini akan
memformat
semua partisi
hardisk D: s/d
Z: (kecuali
System drive
C) dengan
menggunakan
proses Quick
Format. Aksi
inilah yang
mendapatkan
sumpah serapah
dari korbannya
karena
kehilangan
data yang di
format.
Dibandingkan
dengan virus
lain yang
melakukan
injeksi dan
enkripsi file
data
korbannya,
aksi mindhack
ini relatif
mudah diatasi
dengan teknik
data recovery
yang simple.
Pada
prinsipnya,
aktivitas
format
(apalagi quick
format) tidak
memusnahkan
file dan
sebenarnya
file data anda
masih ada di
partisi /
harddisk anda.
Hal pertama
yang harus
anda lakukan
adalah
lepaskan
harddisk yang
menjadi korban
quickformat,
jadikan slave
dan lakukan
recovery dari
komputer /
harddisk lain
dan jangan
sekali-kali
menjalankan OS
atau dari
harddisk yang
ingin anda
recover,
apalagi
mengkopikan
file ke
harddisk
tersebut
karena akan
menimpa file
yang ingin
anda recover.
Jika anda
ragu,
sebaiknya
hubungi ahli
data recovery
untuk
melakukan hal
ini
 | ||||||||
| Gambar 2, Semua file type “.exe” akan berubah menjadi “.iloveyoumindhack” |
Mengkopikan
/ menggantikan
file
- D:\setup.exe
- D:\restore.exe
- D:\backup.exe
- D:\hddfix.exe
Mematikan
(taskkill)
proses file
- C:\Program Files\Internet Download Manager\IDMan.exe
- C:\Program Files\Mozilla Firefox\firefox.exe
- C:\windows\explorer.exe (lihat gambar 3)
 |
| Gambar 3, Proses “explorer.exe” dimatikan (taskkill) dan filenya digantikan dengan file virus dengan perintah “Xcopy” |
dan
menggantikan
dengan file
virus.
Membuat
sebuah folder
dan file dan
meletaknya di
C:\Documents
and Settings\Administrato\Local
Settings\Temp (lihat gambar 4)
 |
| Gambar 4, Folder yang dibuat oleh virus dengan icon yellow kitty, orange bear dan foto dengan nama file I |
Jika
anda termasuk
ke dalam
penggemar
“Hello Kitty”
ini dan
menjalankan
virus
mindhack,
kemungkinan
besar seluruh
harddisk anda
(kecuali C:\)
akan di
format.
Seperti yang
disarankan di
atas, untuk
mengembalikan
data dari
harddisk yang
telah di
“quick format”
oleh Mindhack
anda perlu
melakukan Data
Recovery. Jika
anda belum
berpengalaman,
Vaksincom
menyarankan
anda untuk
jangan
melakukan
sendiri dan
berkonsultasi
dengan ahli
data recovery.
Khususnya
jangan
sekali-kali
melakukan kopi
data atau
instalasi
ulang (apalagi
partisi ulang)
pada harddisk
yang ingin
anda recover.
Sedangkan
untuk sistem
yang telah
“dikerjai”
oleh mindhack,
berikut ini
langkah untuk mengembalikannya
(Windows XP) :
- Copi “explorer.exe” dari komputer lain dan rename menjadi “explorer.bat” dan jalankan. Cari file “explorer.exe” dari komputer lain yang tidak terinfeksi virus yang OSnya sama dengan OS komputer yang terinfeksi. File “explorer.exe” bisa ditemukan dari “C:\windows\explorer.exe”. Kopi file “explorer.exe” tersebut ke usb flash disk dan rename menjadi “exlorer.bat”. Colokkan USB Flash tersebut pada komputer yang terinfeksi dan jalankan “explorer.bat” untuk membuka Windows Explorer.
- Rename command prompt “cmd.exe” menjadi “cmd.bat”. Buka Drive C:\ WINDOWS\system32 → lalu pilih “cmd.exe” (tanpa tanda kutip) dan rename menjadi “cmd.bat” (tanpa tanda kutip). Jika ekstensi file tidak muncul, maka pada Menu Bar pilih [Tools] [Folder] [Option] buka tab [View] dan unchecklist pada pilihan “Hide extentions for known file types” (lihat gambar 5)
- Lalu klik ganda “cmd.bat” untuk membuka “Command Prompt” Pada Command Prompt, langsung saja ketik “Assoc .exe=exefile” (tanpa tanda kutip) lalu tekan Enter. (lihat gambar 6)
- Scan komputer dengan antivirus yang terupdate untuk mendeteksi dan membasmi virus ini seperti G Data Antivirus atau Norman Virus Control. Program antivirus yang dapat mendeteksi virus ini akan menghapus semua. file virus yang dapat ditemukan di : D:\setup.exe; D:\restore.exe; D:\backup.exe; D:\hddfix.exe; C:\Program Files\Internet Download Manager\IDMan.exe; C:\Program Files\Mozilla Firefox\firefox.exe; C:\Windows\explorer.exe
- Kopi file “explorer.exe” dari komputer dengan OS yang sama dengan komputer yang terinfeksi dan masukkan ke direktori “C:\Windows”
- Jika anda menggunakan Firefox dan Internet download manager, kami sarankan untuk melakukan instal ulang. Kalau ada backup file .exenya silahkan di kembalikan ke direktorinya.
Setelah
itu,
repair
registry dengan
cara buka
program notepad
lalu copy
skrip
berikut
Signature="$Chicago$"
Provider=Vaksincom Oyee 2012
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1
[del]
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKLM,
SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image
File Execution
Options\Msconfig.exe
HKLM,
SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image
File Execution
Options\regedit.exe
HKLM,
SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image
File Execution
Options\cmd.exe
HKLM,
SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image
File Execution
Options\taskmgr.exe
HKLM,
SOFTWARE\Policies\Microsoft\Windows
NT\SystemRestore
Paste
script
diatas pada
notepad, lalu
save dengan
nama file
“repair.inf”
(tanpa tanda
kutip).
Setelah
di-save dengan
nama file “repair.inf”,
klik kanan
lalu pilih [install]
|
| Gambar 5, Ubah “cmd.exe” menjadi “cmd.bat” |
 |
| Gambar 6, hasil proses Assoc .exe=exefile pada Command Prompt |
Sumber : Vaksin.com
Tidak ada komentar:
Posting Komentar