Virus Nadia Saphira, tidak seanggun namanya

Posted by writer Tuesday, June 9, 2009


Walaupun tidak merosak file data dan sistem, virus Nadia Saphira bakal mengganggu kerana akan terus menggandakan diri dan menyembunyikan folder-folder yang penting. Jadi, kenali ciri-cirinya kalau-kalau komputer anda diserang dan jangan sampai terlambat sebelum Nadia Saphira palsu sempat bermaharajalela.

Ciri-ciri dari file virus ini, diantaranya sebagai berikut :
1. Memiliki ukuran file sebesar 17 kb & 69 kb.
2. Mempunyai type file Application.
3. Berekstensi file exe & ini.
4. Memiliki icon folder.
5. Membuat salinan folder sesuai dengan nama folder yang ada dan menyembunyikan folder aslinya.
6. Menghilangkan pilihan “Folder Options”.
7. CD Rom tidak boleh digunakan
8. Command Prompt tidak boleh diakses.

Jika virus berhasil menginfeksi, maka ia akan membuat beberapa file virus diantaranya :
1. C:-autorun.inf (pada semua root drive)
2. C:-NadiaSaphira.ini (pada semua root drive)
3. C:-Documents and Settings-All User-Start Menu-Programs-Startup-lan.exe
4. C:-Documents and Settings-%User%-NadiaSaphira.ini
5. C:-WINDOWS-taskmgr.exe
6. C:-WINDOWS-system32-.exe
7. C:-WINDOWS-system32-allsys.exe
8. C:-WINDOWS-system32-misconfig.exe
9. C:-WINDOWS-system32-MS586.sys
10. C:-WINDOWS-system32-System
11. C:-WINDOWS-system32-wtoolsb.exe
12. C:-WINDOWS-system32-dllcache-.exe
13. C:-WINDOWS-system32- dllcache-System
14. Membuat duplikat file virus pada setiap folder yang ada pada removable drive/usb.

Hidden file

Sebagai pertahanan, virus akan mencuba melakukan usaha blok terhadap beberapa fungsi Windows. Beberapa fungsi Windows yang di blok diantaranya sebagai berikut :
1. Folder Options (dilakukan untuk mencegah akses terhadap file/folder yang disembunyikan)
2. Registry Editor (dilakukan untuk mencegah akses perbaikan registry)
3. Search/Find (dilakukan untuk mencegah dari pembersihan virus)
4. Command Prompt (dilakukan untuk mencegah dari proses kill virus)

Aktif di Start up

Untuk memastikan agar dapat aktif dengan baik pada saat komputer dijalankan, virus menyisipkan file virus pada startup windows sehingga akan aktif jika komputer dijalankan. Setelah aktif, virus memanggil kedua rakannya (virus pendukung) supaya susah dimatikan.

File virus yang aktif pada startup yaitu :
C:-Documents and Settings-All User-Start Menu-Programs-Startup-lan.exe
File ini yang kemudian memanggil kedua rakannya (virus pendukung) untuk memperkuat existensinya, yaitu :
1. C:-WINDOWS-system32-misconfig.exe
2. C:-WINDOWS-taskmgr.exe

Ubah Registry windows

Untuk dapat melakukan blok fungsi “Search” windows, virus akan membuat string registry sebagai berikut :

HKEY_CURRENT_USER-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer
nofind = 1
HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Windows-CurrentVersion-Policies- Explorer
nofind = 1

Untuk dapat melakukan blok fungsi “Folder Options” windows, virus akan membuat string registry sebagai berikut:

HKEY_CURRENT_USER-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer
NoFolderOptions = 1

Untuk dapat melakukan blok fungsi “Registry Editor” windows, virus akan membuat string registry sebagai berikut :

HKEY_CURRENT_USER-Software-Microsoft-Windows-CurrentVersion-Policies-System
DisableRegistryTools = 1

Untuk dapat melakukan blok fungsi “Command Prompt” windows, virus akan membuat string registry sebagai berikut :

HKEY_CURRENT_USER-Software-Microsoft-Command Processor
Autorun =
HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Command Processor
Autorun =

Walaupun Folder Options sudah di blok, tetapi virus mencegah untuk menampilkan file yang tersembunyi. Untuk itu, ia membuat string registry sebagai berikut :

HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Windows-CurrentVersion-Explorer-Advanced-Folder-Hidden-SHOWALL
CheckedValue = 0
DefaultValue = 0

Untuk dapat mengaburi user terhadap file virus dan mencuba mengubah type file exe, virus membuat string sebagai berikut :

HKEY_CLASSES_ROOT-exefile
(Default) = File Folder
Info Tip = File Folder
TileInfo = File Folder

Terakhir virus berusaha melakukan blok sanbungan file “Microsoft Visual Studio Spy Debugging Tools”, virus membuat string sebagai berikut :

HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Windows NT-CurrentVersion-Image File Execution Options-msiexec.exe
Debugger =
HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Windows NT-CurrentVersion-Image File Execution Options-sessmgr.exe
Debugger =
HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Windows NT-CurrentVersion-Image File Execution Options-SPYXX.exe
Debugger =


dipetik daripada http://www.sabahdaily.com/2009/06/kenali-virus-nadia-saphira-jangan-sampai-merajalela/

  Labels: ,

0 comments:

Post a Comment

Info Ancaman Terkini

Kaspersky Lab
Trojan-Dropper.Win32.Agent.atqt Backdoor.Win32.PcClient.aqfv not-a-virus:AdWare.Win32.Rabio.sr
McAfee Threat Center JS/Downloader-BNL W32/Winemmem W32/Conficker.worm.g.. Symantec Norton Antivirus Trojan.Ransomcrypt X97M.Ecmetsys Bloodhound.PDF.13
Avira Anti Virus TR/PSW.Magania.azha W32/Tobin GAME/Downloader.Gen TR/PSW.Papras.JN
AVG Downloader.Generic8.ASSY PSW.Generic7.MAM Dropper.Generic.AQEV
Trend Micro WORM_KOOBFACE.EY WORM_KOOBFACE.BX TROJ_BRANVINE.D

Tentang Blog Ini

Tujuan utama pembangunan blog ini adalah sebagai satu pusat info tentang perkembangan virus-virus komputer yang tekini.
Segala info terkini, ancaman, tips dan petua-petua mengelakkan virus komputer akan dimuatkan di laman ini.
Laman blog ini juga menjemput mana-mana bloggers yang berada di IPT di seluruh Malaysia untuk menghantar laporan terkini tentang serangan dan ancaman virus yang sedang melanda di IPT anda. Diharap info-info yang diberikan akan dapat membantu teman-teman kita bersedia dan berwaspada.

Copyright 2009 - PC VIRUS BUSTER

Theme designed by: Raycreations.net, Ray Hosting