Win32.Worm.Mafraz.A ( Global.exe )

Info From bitdefender.com

Virus ini dapat dikenali  dengan ciri-ciri sebagai berikut :

1. Adanya file global.exe didalam folder global di setiap drive  ( partisi )

2. Task manager di non aktifkan ( disable ) bila kita tekan tombol ( Crtl+Alt+Del ).

3. Adanya  File Virus yang bertempat di :

* % windir% \ system32 \ sistema \ Global.exe
* %windir%\system32\Global.exe
* %programfiles%\Messenger Plus! \ Messenger Plus! Live\Scripts\MSN PLUS\MSN PLUS.js

4. Dan juga tidak ketinggalan autorun.inf yang berfungsi menjalankan file virus di setiap drive ( partisi )

5. Menulis ( membuat registry ) sbb :

* HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrenVersion \ Run \ Windows ( Berfungsi untuk menjalankan Virus bila Windows startup).
* HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\legalnoticecaption

*HKEY_LOCAL_MACHINE \ software \ microsoft \ windows nt \ currentversion \ winlogon \ legalnoticetext dengan nilai: “Global by  AZAFRAM “
* HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system\nodispcpl HKEY_CURRENT_USER \ software \ microsoft \ windows \ currentversion \ policies \ sistem \ nodispcpl  ( mendisable display control panel )

Jadi Komponen inti dari virus ini adalah : global.exe ,MSN PLUS.js , autorun.inf

Selain itu bila ada Winrar.exe , Virus akan membuat file bernama Fotos-Caos-Global.rar dilokasi = % windir% \ system32 \ Global \ Fotos-Caos-Global.rar.

Dan lagi dia juga akan menularkan File virusnya bila ada program MSN Messenger terinstall di komputer tsb. ke komputer lain melalui Live Messenger dengan mengirim file yang ada di % windir% \ system32 \ Global \ Fotos-Caos-Global.rar.Dengan tujuan akan dieksekusi oleh pengguna yang menerimanya.

Serta merubah Internet Explorer mulai halaman ke alamat hxxp/ /forolibre.com.ar Sebagai default opennya.

Untuk membersihkannya :

1. Mengembalikan fungsi registry yang dirubah Virus , dengan cara mengenable task manager menggunakan plugin ansav ( registry fix ) atau pakai hijack this.

2. Menghapus registry yang ditulis Virus , dengan cara ketik regedit di menu Run. Kemudian cari dan hapus Value registry yang tersebut diatas.

3. Menghapus folder sekaligus file global.exe yang ada di setiap drive ( partisi )

juga file  virus yang ada di :

* % windir% \ system32 \ sistema \ Global.exe
* %windir%\system32\Global.exe

* % windir% \ system32 \ Global \ Fotos-Caos-Global.rar

* %programfiles%\Messenger Plus! \ Messenger Plus! Live\Scripts\MSN PLUS\MSN PLUS.js

Dan file autorun.inf yang ada ddi setiap drive.

Semua file virus dalam keadaan hidden , jadi untuk melihatnya kita harus pilih show hidden file dan system di folder option.

Dan jangan lupa kembalikan default Internet Explorer-nya..

Semoga Bisa membantu….



Tentang Mpu-Elcom

Sholatku , ibadahku , hidupku , dan matiku , ku persembahkan untuk Allah tuhan Alam semesta...
Pos ini dipublikasikan di Virus dan tag , , , . Tandai permalink.

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s