Monday, November 3, 2014

Virus Baru yang Menyamar sebagai Windows Servis

Identitas Virus

Virus ini adalah sebuah file exe yang menyamar sebagai windows service dengan nama file acak. Virus ini sendiri tidak berjalan sebagai sebuah entitas sendiri tapi sebagai process handle dalam file svchost.exe sehingga namanya tidak muncul di task manager dan tidak bisa dihentikan dengan taskkill.

Perilaku

Menyembunyikan semua file dan folder serta mengubahnya menjadi shortcut mirip sality dan ramnit hanya saja file exenya ikut disembunyikan tapi tidak di folder tertentu.

Cara Menghentikan

Tampilkan file super hidden di flashdisk, lalu cari file exe dengan nama acak. Buka Command Prompt ketikkan taskkill /f /im svchost.exe /t

Lalu hapus file exe dengan nama acak dan semua file shortcut. Kembalikan seluruh file super hidden lewat Command Prompt dengan perintah attrib -s -r -h *.* /s /d

Eject flashdisk lalu restart komputer untuk mengembalikan process handle yang ikut dimatikan saat pembersihan tadi