Virus Flu Burung, W32/Gnurbulf.A

**su_trisno** · 06-01-2007 02:32

Hati-hati Flu Burung Menyerang Komputer Anda.
Satu hal yang dilakukan oleh virus ini adalah kemampuannya untuk blocking desktop Windows sehingga setiap kali komputer dinyalakan maka yang ada hanya tampilan desktop dengan latar belakang warna biru sehingga komputer tidak dapat digunakan [komputer tidak aktif sebagai mana mestinya].
jika hal ini terjadi anda hanya perlu mematikan proses virus yang sedang aktif di memori dengan terlebih dahulu memanggil Task Manager
[tekan tombol CTRL+ALT+DEL secara bersama-sama].

Virus ini akan mencoba untuk membuat file duplikat disetiap folder dengan ciri-ciri:

* Icon yang digunakan tengkorak manusia
* Ukuran file 93 KB
* Type File â€œApplicationâ€

Selengkapnya untuk cara mengatasi W32/Gnurbulf.A bisa di lihat disini http://vaksin.com/flu_burung.htm

**trisunu** · 06-01-2007 03:02

W32/Gnurbulf.A atau Flu Burung menular dari komputer ke manusia ? Tentunya tidak, hal ini adalah perbuatan programmer iseng yang memanfaatkan issue terupdate untuk menyebarkan virus ciptaannya. Vaksincom menerima sample virus yang terdeteksi sebagai W32/Gnurbulf.A yang juga dikenal dengan nama virus komputer Flu Burung. Mirip dengan FLu Burung asli, virus Flu Burung mulai menyebar melebarkan sayapnya dan kini sudah mulai menginfeksi komputer-komputer yang tidak mempunyai cukup kekebalan terhadap penyakit ini.

Dengan up-date terakhir Norman sudah dapat mengenali virus ini dengan nama W32/Gnurbulf.a yang merupakan aksara terbalik dari Flubrng. (lihat gambar 1).

referrelative="t">ath o:connecttype="rect" gradientshapeok="t" o:extrusionok="f">ath>ffice

ffice" />
Gambar 1, Norman sudah dapat mengenali virus Gnurbulf.A dengan baik

Untuk mengelabui user, virus ini sudah tidak lagi menggunakan icon Folder [mungkin karena sudah terlalu umum digunakan sehingga mudah di ketahui], kali ini ia akan menggunakan icon tengkorak manusia, virus ini dibuat dengan menggunakan Borland Delpi dan mempunyai ukuran sebesar 93 KB.

Gambar 2, File induk W32/Gnurbulf.A

Jika file tersebut dijalankan maka virus ini akan langsung mengkopikan file induk tersebut ke Floppy Disk [Disket] dengan nama file random, jika Floppy Disk tersebut tidak terdapat disket maka ia akan menampilkan pesan error berikut (lihat gambar 3) :

Gambar 3, Gnurbulf.A mencoba menyalin file induk ke dalam media Disket

Pesan tersebut akan terus muncul jika virus ini belum berhasil menyalin dirinya ke dalam media Disket selain itu pesan ini juga akan muncul setiap kali komputer dinyalakan.

Untuk memperpanjang usianya virus ini akan membuat beberapa file induk, dimana file induk yang dibuat akan random [berbeda-beda] tetapi mempunyai ciri-ciri yang sama diantaranya:

Type file “Application”

Gambar 4, File induk yang dibuat oleh Gnurbulf.A

Berikut beberapa file induk yang akan dibuat oleh Gnurbulf.A:

C:\Windows\system32\Balas Dendam!!!.exe

Sebagai penunjang virus ini akan menanamkan beberapa string pada registry editor dengan tujuan agar file induk yang sudah dibuat dapat langsung dijalankan setiap kali komputer dinyalakan.

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run

Balas Dendam!!!.exe
Revenge.exe
The Revengeration.exe atau
Revenge Has Come!.exe
Time To Payback!!.exe
Pembalasan.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System

DisableRegistryTools = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run

Balas Dendam!!!.exe
Revenge.exe
The Revengeration.exe atau
Revenge Has Come!.exe
Time To Payback!!.exe
Pembalasan.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Shell = Explorer.exe Explorer.exe "C:\WINDOWS\Balas Dendam!!!.exe"

Virus ini juga akan membuat option pada [startup] msconfig (Gambar 5)

Gambar 5, Perubahan yang dilakukan virus Flu Burung pada MSConfig

Masih untung virus ini tidak sampai disable fungsi windows [regedit/msconfig/task manager] atau blocking tools lainnya [proceexp/hijackthis/pocket killlbox] sehingga lebih mudah untuk mematikan virus ini, walaupun demikian virus ini akan mencoba untuk menghapus file regedit.exe yang berada didirektori [C:\Windows].

Protect Desktop Windows
Satu hal yang dilakukan oleh virus ini adalah kemampuannya untuk blocking desktop Windows sehingga setiap kali komputer dinyalakan maka yang ada hanya tampilan desktop dengan latar belakang warna biru sehingga komputer tidak dapat digunakan [komputer tidak aktif sebagai mana mestinya], jika hal ini terjadi anda hanya perlu mematikan proses virus yang sedang aktif di memori dengan terlebih dahulu memanggil Task Manager [tekan tombol CTRL+ALT+DEL secara bersama-sama]perhatikan gambar dibawah ini (gambar 6) :

GAmbar 6, Gnurbulf.A mencoba untuk proteksi Desktop Windows

Gambar 7, Dengan menggunakan task Manager, Anda dapat mematikan proses virus di memori

Sebagai penutup virus ini akan mencoba untuk membuat file duplikat disetiap folder dengan ciri-ciri:

Type File “Application” (lihat gambar 8)

Gambar 8, File duplikat yang dibuat oleh Gnurbulf.A

Cara mengatasi Gnurbulf.A

Putuskan hubungan komputer dari jaringan selama proses pembersihan
Lakukan pembersihan melalui “safe mode”
Matikan [system restore] untuk sementara selama proses pembesrihan [jika menngunakan Windows ME/XP]
Matikan proses virus yang sedang aktif di memori, untik mematikan proses virus ini gunakan tools pengganti Task Manager seperti procexp, setelah itu matikan proses yang mempunyai icon tengkorak manusia, perhatikan gambar 9 di bawah ini:

Gambar 9, Dengan menggunakan procexp file induk yang aktif di memori lebih mudah di matikan

Hapus file induk yang telah dibuat oleh Gnurbulf.A

C:\Windows\Revenge.exe

C:\Windows\The Revengeration.exe

C:\Windows\Balas Dendam!!!.exe

C:\Windows\system32\The Revengeration.exe

C:\Windows\system32\Revenge.exe

C:\WIndows\Time To Payback!!.exe

C:\Windows\Revenge Has Come!.exe

C:\Windows\Pembalasan.exe

C:\WIndows\system32\Time To Payback!!.exe

C:\Windows\system32\Revenge Has Come!.exe

C:\WIndows\system32\Pembalasan.exe

C:\Windows\system32\Balas Dendam!!!.exe

Hapus string registry yang dibuat oleh Gnurbulf.A, untuk mempercepat proses pengapusan copy script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf setelah itu jalankan file tersebut dengan cara:

oKlik kanan repair.inf
oKlik Install

[Version]
Signature="$Chicago$"
Provider=Vaksincom

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies \System,DisableRegistryTools
HKLM, Software\Microsoft\Windows\CurrentVersion\Run,Bala s Dendam!!!.exe
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Pemb alasan.exe
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Reve nge.exe
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,The Revengeration.exe
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Reve nge Has Come!.exe
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Time To Payback!!.exe
HKCU, Software\Microsoft\Windows\CurrentVersion\Run,Bala s Dendam!!!.exe
HKCU, Software\Microsoft\Windows\CurrentVersion\Run,Pemb alasan.exe
HKCU, Software\Microsoft\Windows\CurrentVersion\Run,Reve nge.exe
HKCU, Software\Microsoft\Windows\CurrentVersion\Run,The Revengeration.exe
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Reve nge Has Come!.exe
HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Time To Payback!!.exe
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce, Revenge Has Come!.exe
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce, Revenge.exe