Assalamualaikum, kahatur LUBIS, Kalau boleh nimbrung, ini bukan virus, tapi WORM. Biasanya modus operandi worm kebanyakan seperti ini (membutuhkan loader command dari registry). HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Kalau virus, dia akan menumpang pada file executable (.exe, .com, .dll, .vxd) sehingga mengakibatkan ukuran file menjadi besar atau nilai CRC dan MD5 checksum berubah. Btw, nice explanation :) Kalo boleh, saya minta sampelnya, di zip / rar. dikirim ke email saya dan mohon dipassword. Jgn lupa kasih tau saya passwordnya :) Wassalamualaikum, hatur nuhun, bm[x]r -- ----- Pesan sebelumnya ------ Sunday, August 21, 2005, 5:40:23 PM, CHAIRUDDIN NUR LUBIS <[EMAIL PROTECTED]> menulis: > Met sore rekan - rekan PC+er ini saya ada sedikit bahan yang bisa di > ambil hikmahnya (mungkin): > Awas virus norak yang kekanak2an. Virus ini saya lihat hanya merubah > beberapa parameter di registry, antar lain: > HKEY_CLASSES_ROOT\exefile dengan nilai default menjadi "Microsoft Word > Document" yang mana seharusnya adalah Application. Value ini merubah > semua file yang berekstensi .exe menjadi Microsoft Word Document, di > file type-nya. Sehingga user yang kurang mengetahui akan meng-klik > file yang dikira sebagai file word hasil karyanya. > Kemudian virus ini mendisable penggunaan registry editor dan msconfig. > Key registry yang lain yang diserangnya adalah > HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\E > xplorer, value yang diganti adalah: > DisableRegistryTools, ini berakibat tidak berfungsinya Regedit > windows. > NoFolderOptions, ini berakibat tidak berfungsinya folder option di menu view>>folder options, sehingga user tidak bisa melihat file yang > di hidden virus ini (File word asli yang di tulis di hidden dengan > nama yang kita berikan. Virus juga mengambil nama asli file) > NoLogOff, akibatnya komputer tidak bisa loog off > NoSetFolders, berakibat matinya akses ke control panel. > Semua value dari key diatas diganti dari default 0 ke 1 oleh virus. > Virus akan otomatis jalan setiap komputer di nyalakan atau di reboot, > karena ada di key registry yang mengatur untuk menjalankan file utama > virus dari folder C:\Windows\Systray.exe, pintar memang modifikator > virus ini (pesin pesin juga) tapi untung masih ada yang lebih TELITI > dari pada dia. Karena untuk yang mengerti OS Windows, dia pasti > curiga, kenapa Systray dijalankan dari C:\Windows ? yang seharusnya > dari C:\Windows\System\Systray.exe. dan si virus juga meng-hidden > dirinya sendiri, curiga gak? > Himbauan saya bagi rekan rekan di milis PC+ waspadalah, waspadalah > Om Moderator, tolong kasih lagi dong ke kita kita akses untuk upload > file, soalnya kalau mo kirim sampel virus jadi susah. Thanks A Lot > PS: Kalau bisa beritain di PC+ edisi mendatang > sori kalau nulisnya berantakan, maklum baru belajar komputer ;) ----- Akhir pesan sebelumnya ------ ------------------------ Yahoo! Groups Sponsor --------------------~--> <font face=arial size=-1><a href="http://us.ard.yahoo.com/SIG=12h67m9un/M=323294.6903899.7846637.3022212/D=groups/S=1705329729:TM/Y=YAHOO/EXP=1124639626/A=2896129/R=0/SIG=11llkm9tk/*http://www.donorschoose.org/index.php?lc=yahooemail";>DonorsChoose. A simple way to provide underprivileged children resources often lacking in public schools. Fund a student project in NYC/NC today</a>!</font> --------------------------------------------------------------------~-> Yahoo! Groups Links <*> To visit your group on the web, go to: http://groups.yahoo.com/group/mailplus/ <*> To unsubscribe from this group, send an email to: [EMAIL PROTECTED] <*> Your use of Yahoo! Groups is subject to: http://docs.yahoo.com/info/terms/
