Si “W32/Sality.AE” Suka Menggauli File exe/com/scr

/ March 4, 2009 / 15 Comments / Komunitas Windows

Neg melihat bos dikantor -> yg sok ber IT’ria, keselnya dengan suasana hati yg tak kunjung sembuh, mengingat rasa kangen yang tak terobati, hanya bisa di sembuhin dengan suntikan biologis (kikikiki…) , argh…..hh…. suasana ini ternyata tak kalah sama dengan kompi kantor yang terinveksi si “V” hebat  membuat “fille exe/com/scr” ke block. Selidik punya selidik akhirnya ketahuan nama si “V” yaitu : “W32/Sality.AE”.

si ‘Conficker’ yang membuat panik dapat dikatakan sebagai worm nomor satu di Indonesia, lain dengan predikat virus yang paling merepotkan dan paling banyak ditemui Vaksincom di Indonesia pantas di sandang oleh Sality. Virus yang disinyalir berasal dari Taiwan / Cina ini menempati ranking pertama dalam infeksi virus.


Sangat-sangat menyebalkan :

  1. FIle yang terinveksi ga bisa digunakan alias rusak ( setelah kita scan dengan anti-V ). Remove jug akdanga tidak bisa, Sehingga perlu kerja ekxtra, kita mensti instal lagi kalau mau digunakan atau di remove.
  2. Ukuran file yang sudah terinfeksi W32/Sality.AE   bertambah besar beberapa KB dan file yang sudah terinfeksi W32/Sality.AE akan tetapi  masih dapat di jalankan seperti biasa.
  3. si “V” ini mem-blok program antivirus atau removal tools saat diRundan juga mem-blok task manager atau “registry editor” Windows. Proses penyebarannya memanfaatkan “File Sharing” dan “Default Share”, si “V” memanfaatkan media Flash Disk dengan cara membuat file acak yang mempunyai ekstensi exe/com/scr/pif dan jjuga menambahkan file autorun.inf yang memungkinkan virus dapat aktif secara otomatis setiap kali user mengakses Flash Disk.
  4. Situs Web yang Di block :

  • Cureit

  • Drweb

  • Onlinescan

  • Spywareinfo

  • Ewido

  • Virusscan

  • Windowsecurity

  • Spywareguide

  • Bitdefender

  • Panda software

  • Agnmitum

  • Virustotal

  • Sophos

  • Trend Micro

  • Etrust.com

  • Symantec

  • McAfee

  • F-Secure

  • Eset.com

  • Kaspersky

Untuk mem-blok task manager atau Registry tools, W32/Sality.AE membuat string pada registry berikut:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system

  • DisableRegistryTools

  • DisableTaskMgr

File yang terinfeksi W32/Sality.AE, ia akan mendekrip dirinya dan mencoba untuk kopi beberapa file *.dll (acak) file DLL lalu akan menginjeksi file lain yang aktif di memori serta file lain yang terdapat di komputer dan jaringan (file sharing) serta menginfeksi file *.exe yang terdapat dalam list registry , sehingga memungkinkan virus dapat aktif secara otomatis setiap kali komputer dinyalakan. ( wuahhheemm…….)

  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache

Beberapa contoh file *.dll yang akan di drop oleh W32/Sality.AE.

  • C:\Windows\system32\syslib32.dll

  • C:\Windows\system32\oledsp32.dll

Selain membuat file DLL, si SEXY eh si “Sality”  membuat file *.sys [acak] di direktori “C:\Windows\system32\drivers” [contoh: kmionn.sys]

  • C:\Windows\system32\olemdb32.dll

  • C:\Windows\system32\wcimgr32.dll

  • C:\Windows\system32\wmimgr32.dll

W32/Sality.AE  merubah regisrty berikut:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Setting\”GlobalUserOffline” = “0”

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\”EnableLUA” = “0”

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xxx [xxx adalah acak, contoh : abp470n5]

  • HKEY_CURRENT_USER\Software\[USER NAME]914

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMI_MFC_TPSHOKER_80

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPFILTERDRIV

W32/Sality.AE  merubah string registry Windows Firewall : W32/Sality.AE menambahkan value dari 0 menjadi 1:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center

  • AntiVirusDisableNotify

  • AntiVirusOverride

  • FirewallDisableNotify

  • FirewallOverride

  • UacDisableNotify

  • UpdatesDisableNotify

Juga membuat key “SVC” serta string berikut dengan value 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc

  • AntiVirusDisableNotify

  • AntiVirusOverride

  • FirewallDisableNotify

  • FirewallOverride

  • UacDisableNotify

  • UpdatesDisableNotify

Blok akses “safe mode” untuk bertahan hidup

W32/Sality.AE j blok akses ke mode “safe mode” sehingga user tidak dapat booting pada mode “safe mode” dengan menghapus key yang berada di lokasi di bawah ini :

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

Ngeri banged Dech kalo kena si sexy eh sality ..kekekke (maklum piktor, secara “lama ga daped”). Tapi dengan canggihnya pak google.com sebagai penyalur informasi, akhirnya di dapat cara untuk mengatasi  Si “W32/Sality.AE”  yang suka menggauli File exe/com/scr.

  1. Pastikan ga terhubung LAN dan Internet.

  2. Matikan System Restore pada waktu pembersihan ( dagh tau kan ..caranya?)

  3. Matikan Autorun dan Default Share. Silahkan download file berikut kemudian jalankan dengan cara:

    • Klik kanan repair.inf

    • Klik install

    • download file :  Download

  4. Matikan program aplikasi yang aktif di memori.

  5. Scan dengan removal tools dengan terlebih dahulu merubah ekstensi dari removal tools tersebut dengan ekstensi lain [contoh: CMD] agar tidak di infeksi oleh W32/Sality.AE. Misal nama file “Norman_Malware_Cleaner.exe” di rename menjadi “Norman_Malware_Cleaner.cmd” supaya tidak di infeksi Sality. ( Download ), Agar Booting ke save mode silahkan donload ( Download ) dan klik kanan + instal.

  6. Restart dan TInggal memulihkan sisa puing-file.

Untuk cara seperti ini, sudah di uji di kantor dan 95% berhasil 5% kadang gagal akibat user yg resek ( tak biayrin aja virusan..kikikiki)

Selamat mencoba yaw…