Winsta Virus/Stuxnet

August 5, 2010 - Information & Technology, Software - Tagged: , , - no comments

Tips Cara menghilangkan Virus Winsta dari Komputer

Waspadalah untuk para pengguna komputer. Saat ini ada malware baru yang memanfaatkan BUG pada akses sistem FLASH DISK pada windows.

Virus ini dikenal dengan beberapa nama, namun yang paling populer disebut dengan stuxnet atau winsta

Walaupun sudah memakai antivirus, KEMUNGKINAN UNTUK TETAP TERINFEKSI MASIH SANGAT BESAR! Kecuali mungkin dengan beberapa antivirus update-an terbaru

Gejala yang paling umum apabila komputer anda terkena virus ini adalah tiba-tiba hard disk anda penuh padahal anda tidak merasa menyimpan file yang besar atau Film yang banyak di dalam hard disk anda, apabila anda pernah mengalami hal tersebut,kemungkinan besar komputer anda telah tertular virus si pemakan hard disk.

Belakangan ini, virus yang diberi nama Stuxnet atau Winsta telah banyak meresahkan pengguna komputer, pasalnya virus ini akan memenuhi setiap ruang dalam hard disk anda. Jika komputer anda telah terjangkit virus Stuxnet atau Winsta ini, jangan khawatir, karena semua penyakit pasti ada obatnya, perlu anda ketahui bahwa Indonesia adalah Negara dengan korban terbanyak ke dua setelah Iran yang menjadi korban virus ini.

Malware ini memanfaatkan digital certificate curian (yang berasal dari realtek semikonduktor) sehingga dia tampak legit oleh windows.

Malware ini akan menginject rootkit kedalam windows saat explorer atau program2 explorer dari 3rd party yang bisa menampilkan icon mengakses Flash disk yang bersangkutan. JADI TANPA MENJALANKAN FILE HANYA DENGAN MENGAKSES FLASH DISK YANG BERSANGKUTAN SISTEM SUDAH BISA TERINFEKSI.

Walmare ini menginject file mrxnet.sys dan mrxcls.sys dari sistem yang terinfeksi ke dalam tiap flash disk yang terkonek untuk penyebaran lebih lanjut.

Malware ini berfungsi sebagai keylogger yang mencatat semua aktivitas komputer, juga backdoor untuk akses lain.

Malware ini dicurigai berasal dari China/Rusia karena malware ini difokuskan untuk mengintai sistem Siemens WinCC SCADA yang biasa dipakai oleh perusahaan besar dan pembangkit listrik. Jadi lebih fokus ke spionase,
namun dia juga bisa dipakai untuk mencuri daqta billing dan kartu kredit.

Karena itulah lebih berhati – hati karena sampai saat ini MICROSOFT MASIH BELUM MENEMUKAN PATCH PENANGKALNYA. Yang sudah ada hanyalah editing registry untuk yang sudah terbiasa memakai komputer.

Registry edit bisa di cek disini

http://www.microsoft.com/technet/sec…y/2286198.mspx

Link tentang virus bisa di cek disini

http://anti-virus.by/en/tempo.shtml

http://www.dailytech.com/USB+Drive+M…ticle19065.htm

Cara membersihkan Virus Winsta :

  1. Gunakan ReDr Web CureIt
    Langkah pertama untuk yang sudah tertular virus ini adalah mengunduh removal virus dari situs freedrweb.com atau klik link ini
  2. Repair Your Registry
    Cara yang kedua adalah dengan memperbaiki registry komputer, silahkan script di bawah ini: 

    [Version]
    Signature=”$Chicago$”
    Provider=Vaksincom Oyee
    [DefaultInstall]
    AddReg=UnhookRegKey
    DelReg=del[UnhookRegKey]
    HKCU, SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced, ShowSuperHidden,0×00010001,1
    HKCU, SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced, SuperHidden,0×00010001,1
    HKCU, SoftwareMicrosoftWindowsCurrentVersionExplorerAdvanced, HideFileExt,0×00010001,0
    HKLM, SOFTWARECLASSESbatfileshellopencommand,,,”””%1?” %*”
    HKLM, SOFTWARECLASSEScomfileshellopencommand,,,”””%1?” %*”
    HKLM, SOFTWARECLASSESexefileshellopencommand,,,”””%1?” %*”
    HKLM, SOFTWARECLASSESpiffileshellopencommand,,,”””%1?” %*”
    HKLM, SOFTWARECLASSESregfileshellopencommand,,,”regedit.exe “%1?”
    HKLM, SOFTWAREMicrosoftWindows NTCurrentVersionWinlogon, Shell,0, “Explorer.exe”

    [del]
    HKLM, SYSTEMCurrentControlSetServicesMRxCls
    HKLM, SYSTEMCurrentControlSetServicesMRxNet
    HKLM, SYSTEMControlSet001ServicesMRxCls
    HKLM, SYSTEMControlSet002ServicesMRxNet
    HKLM, SYSTEMCurrentControlSetServicesEnumRootLEGACY_MRXClS
    HKLM, SYSTEMCurrentControlSetServicesEnumRootLEGACY_MRXNET
    HKLM, SYSTEMControlSet001ServicesEnumRootLEGACY_MRXClS
    HKLM, SYSTEMControlSet002ServicesEnumRootLEGACY_MRXNET

    Paste script di atas pada program text editor anda misal notepad atau notepad ++ lalu simpan dengan nama repair.inf. Setelah tersimpan, klik kanan file tersebut lalu pilih install dan restart komputer anda.

    Untuk mencegah sisa trojan yang mencoba aktif kembali, bersihkan file temporary menggunakan software semisal ATF Cleaner atau menggunakan program bawaan windows yaitu Disk Clean-Up

  3. Mencegah (agar virus tidak menginfeksi lagi)
    Copy script di bawah ini untuk mencegah virus winsta menginfeksi kembali komputer anda. 

    @echo off
    del /f c:windowssystem32winsta.exe
    rem rd c:windowssystem32winsta.exe
    md c:windowssystem32winsta.exe
    del /f c:windowssystem32driversmrxnet.sys
    rem rd c:windowssystem32driversmrxnet.sys
    md c:windowssystem32driversmrxnet.sys
    del /f c:windowssystem32driversmrxcls.sys
    rem rd c:windowssystem32driversmrxcls.sys
    md c:windowssystem32driversmrxcls.sys
    attrib +r +h +s c:windowssystem32winsta.exe
    attrib +r +h +s c:windowssystem32driversmrxnet.sys
    attrib +r +h +s c:windowssystem32driversmrxnet.sys

Setelah selesai, klik ganda file Winsta.bat yang dihasilkan. Untuk pembersihan yang optimal dan mencegah infeksi ulang, scan kembali menggunakan antivirus yang ter-update dan mengenali virus ini dengan baik.

Semoga bermanfaat..

Dikutip dari berbagai sumber

 

Related Posts Plugin for WordPress, Blogger...