Oghy.A (Animasi.exe ) : Virus yang ngajak ngobrol

Pengantar

Penyebaran virus lokal dewasa ini seakan sudah tak dapat dibendung lagi, sudah banyak “program-program jahat” ini dilahirkan dari tangan putra-putri bangsa ini mulai dari hanya sekedar iseng sampai dengan tujuan-tujuan tertentu, tetapi yang pasti setiap kemunculan virus lokal tersebut dapat dipastikan mempunyai karakteristik yang tidak jauh berbeda walaupun metode yang digunakan berbeda.

Sudah tak terhitung lagi berapa jumlah korban akibat “program-program jahat” tersebut, kita boleh bangga dengan kemampuan putra-putri bangsa yang sudah mampu membuat “program” tersebut yang tentunya tidak kalah “hebat” dari buatan non lokal, tetapi bagaimanapun juga program yang mereka buat sangatlah merugikan, alangkah baiknya jika ilmu yang dimiliki dipergunakan untuk kemaslahatan manusia.

Jika sebelumnya telah muncul brontok, romdil dan sederetan nama virus lokal lainya baru-baru ini telah muncul satu virus baru, virus ini tidak lagi dibuat dengan Visual Basic tetapi dibuat dengan menggunakan [kemungkinan] Borland Delphi, rupanya VB sedikit demi sedikit mulai ditinggalkan. Kemungkinan hal ini juga dimaksudkan agar mybro tidak menghalangi petualangan mereka. Virus ini juga akan merubah file MSVBVM60.dll sehingga dapat dipastikan semua program yang dibuat menggunakan Visual Basic, baik itu virus maupun program lain akan terganggu / korup.

 

Dengan up-date terbaru Norman sudah dapat mengenali virus ini dengan nama W32/Oghy.A atau bisa sering disebut sebagai virus Lambertus atau Borlas. (Lihat gambar 1)

Gambar 1, Norman mendeteksi virus Lambertus / Borlas sebagai W32/Oghy.A

Seperti yang kita ketahui bahwa kebanyakan virus lokal yang ada akan menyamarkan icon file yang terinfeksi virus, jika mybro menggunakan icon “folder”, kangen dengan “ms.word” kini W32/Oghy.A akan menggunakan icon [macromedia flash player] dengan ukuran 410 KB dengan nama animasi.exe. (lihat gambar 2)

Gambar 2, File induk W32/Oghy.A

Jika anda termasuk maniak dengan program animasi jangan coba menjalankan file ini jika anda tidak menghendaki menjadi korban virus ini, walaupun secara umum virus ini tidak terlalu berbahaya dan termasuk mudah untuk dibersihkan.

Untuk menjaga eksistensinya, Oghy.A akan membuat beberapa file induk yang akan ditempatkan dibeberapa tempat yang berbeda-beda, diantaranya:

  • C:\animasi.exe

  • C:\WINDOWS\PCHEALTH\animasi.exe

  • C:\WINDOWS\security\animasi.exe

  • C:\WINDOWS\Resources\Oghie.exe

  • C:\WINDOWS\java\classes\animasi.exe

Agar virus Oghy.A dapat aktif setiap kali komputer dinyalakan, ia akan membuat beberapa string pada registry

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Driver

MSMSG

Winamp

Word

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon

Explorer.exe “C:\WINDOWS\Resources\Oghie.exe”

Disable fungsi windows & tools

Untuk mempertahankan eksistensinya, Oghy.A akan berusaha untuk mematikan beberapa fungsi windows, sehingga mempersulit dalam proses pembersihan seperti:

  • Menyembunyikan menu [Search]

  • Registry editor

  • Folder option

  • Msconfig

  • Task manager

  • Add/remove programs

  • Notepad [.txt]

  • Cmd

  • System restore

  • System properties [

  • Display properties [termasuk jika ingin mengganti Walpaper/desktop]

  • Disable program Winamp [versi 5.05]

  • Disable pada saat membuat user account [win XP]

  • Terminate program RegCleaner

 

Untuk blok fungsi tersebut Oghy.A tidak akan membuat string pada registry editor tetapi dengan cara mematikan program tersebut, kecuali untuk menghilangkan menu Search dan disable CMD dimana Oghy.A akan membuat string pada registry:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

o NoFind

 

HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System

o DisableCMD

Jika anda mencoba untuk mengakses beberapa fungsi windows maka Oghy.A akan mengajak anda ngobrol dengan menampilkan message, seperti contoh di bawah ini:

 

  • Jika user mencoba untuk menjalankan program registry editor, maka Oghy akan langsung mematikan fungsi tersebut dengan menampilkan pesan berikut : (gambar 3)

Gambar 3, Oghy.A memblok Regedit

 

  • Jika user mencoba untuk menjalankan “msconfig” maka oghy.A juga akan memunculkan pesang berikut

(Gambar 4)

Gambar 4, Oghy.A memblok akses ke MSconfig

 

  • Begitupun jika anda mencoba untuk mengakses Task manager

(Gambar 5)

Gambar 5, Oghy.S juga memblok akses ke Task Manager dari [Ctrl][Alt][Del]

 

  • Jika anda mencoba untuk mematikan system restore, Oghy.A juga akan blok dengan menampilkan pesan “He..he..he.. SYSTEM RESTORE Nggak Bakalan Kalahkan Aku”

  • Jika anda mengunakan winamp versi 5.05, Oghy.A akan menampilkan pesan “Tau Nggak Lue Pake Winamp Bajakan..” jika berusaha untuk menjalankan program tersebut.

  • Begitupun jika anda mencoba akses Folder Option atau mencoba untuk membuat user account baru, Oghy.A akan menampilkan pesan berikut: (gambar 6)

Gambar 6, Oghy.A menghalangi akses ke Folder Option

 

Oghy.A juga akan menampilkan pesan berikut jika user akan memasukan user name password ketika login windows

 

Lambertus

“I come as protector of your computer from all pest files”

Untuk melakukan hal tersebut Oghy.A akan membuat string pada registry :

· HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

LegalNoticeCaption = Lambertus

LegalNoticeText=I come as protector of your computer from all pest files

Media Penyebaran

Untuk menyebarkan dirinya, Oghy.A akan menggunakan media Disket/UFD (USB Flash Disk) dengan mengkopi satu file dengan nama animasi.exe.

Rename file msvbvm60.dll

Seperti yang dikemukakan di atas, virus Oghy.A sudah tidak lagi menggunakan program bahasa VB, karena itulah ia juga akan merubah file msvbvm60.dll menjadi msvbvm60.dl yang berada didirektori C:\Windows\system32. Pembuat virus ini rupanya sudah mengetahui bahwa ada virus lain yang akan mematikan program yang dibuat dengan VB, tetapi akankah hal ini berlangsung lama karena kita tahu mybro/brontok mampu melakukan up-date layaknya antivirus dengan demikian setiap saat bisa saja Oghy.A akan dibuat tak berkutik, kita tunggu saja.

 

Cara mengatai W32/Oghy.A

  1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan.

  2. Matikan System Restore.

  3. Jalankan komputer dalam Safe Mode.

  4. Matikan proses virus tersebut, untuk mematikan proses dari virus Oghy.A anda dapat menggunakan tools pengganti Task Manager seperti Process Explorer (download dari www.sysinternals.com), kemudian matikan proses dengan nama “animasi.exe” dan “oghie.exe” (lihat gambar 7)

Gambar 7, Dengan processXP, proses virus Oghy.A dapat dimatikan dengan mudah

  1. Hapus string yang dibuat oleh virus pada registry

    Untuk lebih cepat dalam penghapusan string yang telah dibuat oleh Oghy.A, kopi script dibawah ini pada program notepad kemudian simpan menjadi nama repai.inf, kemudian jalankan file tersebut dengan cara:

    Klik kanan repair.inf

    Klik install

[Version]

Signature=”$Chicago$”

Provider=Vaksincom

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\comfile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\exefile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\piffile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”

HKLM, Software\CLASSES\scrfile\shell\open\command,,,”””%1″” %*”

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFind

HKCU, Software\Policies\Microsoft\Windows\System,DisableCMD

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Driver

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Winamp

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Word

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,MSMSG

  1. Hapus file induk yang dibuat oleh Oghy.A

    C:\animasi.exe

    C:\WINDOWS\PCHEALTH\animasi.exe

    C:\WINDOWS\security\animasi.exe

    C:\WINDOWS\Resources\Oghie.exe

    C:\WINDOWS\java\classes\animasi.exe

Untuk mempercepat pencarian file tersebut, anda dapat menggunakan fasilitas “Search” dengan menulis kata kunci “animasi” atau “oghie”, dan jangan sampai terjadi kesalahan pada saat penghapusan file tersebut. Hapus file yang mempuyai icon “macromedia flash player” atau mempunyai lokasi seperti yang sudah disebutkan diatas, perhatikan gambar 8 :

Gambar 8, Dengan fasilitas search akan memudahkan dapat pencarian file induk Oghy.A

  1. Rubah kembali nama file MSVBVM60.dl menjadi MSVBVM60.dll yang berada didirektori C:\Windows\system32

  2. Untuk pembersihan optimal, scan dengan antivirus yang sudah dapat mengenali virus ini dengan baik

Sumber : Vaksin.com

Satu Tanggapan to “Oghy.A (Animasi.exe ) : Virus yang ngajak ngobrol”

  1. nah sekarang … bagaimana untuk mendisable program prosesexplorer.exe itu agar tidak bisa di insatal / jalan di komputer sebab dengan software itu bisa untuk meng hack billing warnet …
    tolong respon yach jawab di email aku yach…
    aturwicaksonoyotowahyudi@yahoo.com

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

%d blogger menyukai ini: