W32/VBTroj.CEPA 18 Januari 2010
Kalau McGyver membuat virus
Masih ingat film McGyver yang dibintangi oleh Richard Dean Sanderson ? Di tangan McGyver, barang apapun yang ada di dekatnya bisa dijadikan sebagai alat atau senjata yang ampuh. Dengan bantuan Victorinox dan kreativitasnya, ia bisa meracik bahan-bahan yang biasa ada di rumah menjadi senjata mematikan seperti pelontar api sampai merakit bom. Rupanya hal yang sama terjadi pada dunia maya dimana hanya dengan bahasa pemrograman yang dipandang sebelah mata (VB Script) oleh para programmer diciptakan satu virus yang secara de Facto hari ini menjadi virus yang paling ganas dan paling banyak mengganggu di awal tahun 2010. Siapakah dia ? Tidak lain dan tidak bukan adalah Messenger yang di deteksi secara generik dengan nama W32/VBTroj.CEPA. Virus ini mampu melakukan banyak sekali hal seperti menginstal rootkit, memblok akses jaringan dan memanipulasi file hosts Windows supaya bisa melakukan pemblokiran akses ke situs-situs sekuriti pada komputer korbannya. Dan canggihnya lagi, file hosts tersebut di enkrip untuk menghindari deteksi dan perbaikan oleh program antivirus.
Baru-baru ini telah muncul satu virus lain ikut merampaikan acara tutup tahun ini, walaupun virus ini dibuat dengan program bahasa Visual Basic tetapi efek yang dihasilkan cukup merepotkan, ia akan melakukan blok terhadap "hampir" semua tools security termasuk antivirus yang umum sering digunakan oleh user dengan cara membaca "nama file" dari aplikasi tersebut.
Virus ini juga akan melakukan blok akses ke beberapa situs sekuriti atau situs lain yang telah ditentukan dengan cara mengalihkan ke nomor ip 209.85.225.99 yang merupakan ip publik www.google.com (lihat gambar 1), hal ini secara tidak langsung sebenarnya menyebabkan Ddos terhadap situs Google.com. Apakah ada hubungan atau tidak dengan serangan terhadap Google di China yang mengakibatkan Google mempertimbangkan untuk hengkang .... kita lihat saja. Yang jelas, makin banyak komputer yang terinfeksi oleh virus ini, maka akses (yang secara tidak langsung menyebabkan Ddos) terhadap situs awal Google akan makin tinggi.
Sehingga setiap kali user mencoba untuk akses ke website tertentu termasuk website security / antivirus, maka yang muncul adalah situs www.google.com. Untuk melakukan hal ini ia akan menambahkan alamat website yang akan di blok ke sebuah file HOSTS yang berada di direktori [C:\Windows\ System32\ Drivers\etc]
Gambar 1, Alamat website yang dialihkan oleh virus
Virus ini menyebar sangat cepat dengan memanfaatkan media chatting yang umum digunakan oleh user seperti Yahoo Messenger, MSN Messenger dan Skype dengan cara mengirimkan sebuah pesan dan melampirkan link untuk download sebuah file yang direkayasa seolah-olah file gambar (JPG) tetapi sebenarnya merupakan file virus yang sudah dikompres dengan nama file [%file%.JPG. ZIP] dengan ukuran yang berdeda-beda tegantung pada varian yang menginfeksi komputer tersebut, file yang dikompres tersebut mempunyai ekstensi EXE. Jika menerima pesan tersebut sebaiknya jangan anda terima apalagi menjalankan file yang disertakan walaupun dari kontak Messenger teman yang anda kenal, memang bukan teman anda yang mengirimkan virus tetapi virus yang menginfeksi komputernya dan memanfaatkan rekening Messengernya. (lihat gambar 2)
Gambar 2, Contoh pesan yang dikirimkan oleh virus
Salah satu hal yang menyebabkan virus ini sukses menyebar selain menggunakan media yang disebutkan di atas, ia juga akan melakukan update untuk memperbaharui dirinya hal inilah yang menyebabkan scaner antivirus tidak dapat mendeteksi virus tersebut. Virus ini semakin kuat bercokol dengan bantuan sebuah file rootkit yang bertugas untuk melindungi file induk yang aktif di memori, sehingga pembersihan yang dilakukan melalui windows Normal, Safe Mode atau safe Mode With Command Prompt terkadang tidak dapat menyelesaikan masalah, bagaimana mengatasi hal ini ? Silahkan simak pada bagian terakhir artikel ini.
Seperti yang sudah di jelaskan di atas bahwa virus ini dibuat dengan menggunakan bahasa Visual Basic, untuk file induk virus ini mempunyai ukuran yang bervariasi tergantung dari varian yang menginfeksi komputer target, biasanya akan mempunyai ukuran di atas 200 KB, sedangkan file pendukung lainnya mempunyai ukuran yang berbeda-beda yang akan di simpan didirektori yang berbeda-beda. (lihat gambar 3)
Gambar 3, File induk virus
Virus ini akan menggunakan icon Project Visual Basic dan untuk beberapa kasus akan menggunakan icon MSN Messanger untuk mengelabui user.
Bagaimana mengenali virus ini?
§ Akan menampilkan website www.google.com pada saat user mengakses web security / web antivirus, untuk beberapa varian tidak akan menampilkan website di atas.
§ Disable CMD dengan cara menutup aplikasi ini secara otomatis saat dijalankan.
§ Untuk beberapa varian, komputer yang terinfeksi akan dapat mengakses komputer lain dalam jaringan. Tetapi sebaliknya, komputer tersebut tidak akan dapat diakses oleh komputer lain dalam jaringan. Salah satu kemungkinan aksi ini dilakukan adalah untuk mempersulit pembersihan dan sekaligus mencegah infeksi ulang pada komptuer yang sudah terinfeksi.
§ Terdapat perubahan pada file [C:\Windows\ system32\ drivers\etc\ hosts], dengan menambahkan daftar alamat website yang akan di blok dengan format penulisan ip 209.85.225.99 yang di ikuti alamat website, untuk beberapa kasus virus ini akan mengenkripsi file hosts tersebut sehingga user tidak dapat mengetahui isi script yang di ubah, dengan bantuan tools maka anda dapat melihat dengan jelas isi dari file hosts tersebut. (lihat gambar 4 dan 5)
Gambar 4, Isi file hosts yang di ubah oleh virus
Gambar 5, Dengan bantuan HijackThis dapat melihat isi file hosts yang diubah dan dienkripsi oleh virus
Norman Security Suite mendeteksi virus ini sebagai W32/VBTroj.CEPA (lihat gambar 6)
Gambar 6, Norman Security Suite mendeteksi virus Messenger sebagai W32/VBTroj.CEPA
File induk Virus
Pada saat virus ini di aktifkan, ia akan membuat beberapa file induk yang akan di simpan dibeberapa lokasi yang berbeda-beda yang akan di aktifkan setiap kali komputer dinyalakan. Selain itu virus ini juga akan menyamarkan dirinya sebagai sebuah service Windows dan sebuah drivers yang berfungsi sebagai rootkit yang salah satu tugasnya akan melindungi proses virus yang aktif dimemori sehingga mempersulit dalam proses pembersihan dengan nama file yang berbeda-beda.
Berikut beberapa file yang akan dibuat oleh virus:
* C:\windows\System32
ü Wmi%xxx.exe, dimana xxx menunjukan karater acak (contohnya: wmispqd.exe, wmisrwt.exe, wmistpl.exe, atu wmisfpj.exe) dengan ukuran file yang berbeda-beda tergantung varian yang menginfeksi computer target.
ü %xxx%.exe@, dimana %xxx% menunjukan karakter acak (contoh: qxzv85.exe@) dengan ukuran yang berbeda-beda tergantung varian yang menginfeksi.
ü secupdat.dat
* C:\Documents and Settings\%user% \%xx%.exe, dimana xx adalah karakter acak (contoh: rllx.exe) dengan ukuran file sekitar 6 kb atau 16 kb (tergantung varian yang menginfeksi) . File ini akan disembunyikan oleh virus guna mempersulit dalam penghapusan.
* C:\Windows\System32 \drivers
ü Kernelx86.sys
ü %xx%.sys, dimana xx ini adalah karakter acak yang mempunyai ukuran sekitar 40 KB (contoh: mojbtjlt.sys atau cvxqvksf.sys)
ü Ndisvvan.sys
ü krndrv32.sys
* C:\Documents and Settings\%user% \secupdat. dat
* C:\Windows\INF
ü netsf.inf
ü netsf_m.inf
Autorun
Agar file tersebut dapat di jalankan secara otomatis, ia akan membuat string pada registri dengan memanipulasi file windows dengan nama ctfmon.exe, Sebenarnya trik ini digunakan agar user tidak curiga, tapi jika dilusuri lebih jauh ini adalah langkah yang brilian karena file ini justru mempunyai peranan yang sangat penting agar dirinya dapat aktif secara otomatis dengan menjalankan file virus yang sudah ditentukan. Selain itu ia juga akan aktif setiap kali user menjalankan file "explorer.exe" atau membuka aplikasi "Windows Explorer"
Ø HKEY_LOCAL_MACHINE\ software\ microsoft\ windows\currentv ersion\run
· ctfmon.exe
Ø HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\CurrentVersion\ Image File Execution Options\ctfmon. exe
· Debugger = %file_induk_ virus%.exe (contoh : wmistpl.exe)
Ø HKEY_LOCAL_MACHINE\ software\ microsoft\ windows nt\currentversion\ winlogon
· shell = explorer.exe "C:\Documents and Settings\%user% \%xx%.exe"
Catatan: %xx%, adalah karakter acak, contoh: rllx.exe
Ø HKEY_LOCAL_MACHINE\ system\ControlSe t001\services
· %xx% menunjukan file acak
o Image path = System32\drivers\ %xx%.sys (contoh: jdwjlyju.sys)
Ø HKEY_LOCAL_MACHINE\ system\CurrentCo ntrolSet\ services
· %xx% menunjukan file acak
o Image path = System32\drivers\ %xx%.sys (contoh: jdwjlyju.sys)
Blok fungsi Windows
Untuk memperlancar aksi nya ia akan blok beberapa fungsi windows termasuk disable System Restore, disable Windows Firewall, disable RPC DCOM, disable upgrade Service Pack 2 dan tidak bisa menampilkan file yang tersembunyi dengan merubah string pada registry berikut:
Ø HKEY_LOCAL_MACHINE\ software\ microsoft\ ole
· EnableDCOM = N
Ø HKEY_LOCAL_MACHINE\ software\ microsoft\ security center
· AntiVirusDisableNot ify = 1
· FirewallDisableNoti fy = 1
· AntiVirusOverride = 1
· FirewallOverride = 1
Ø HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Microsoft\ Windows NT\SystemRestore
· DisableConfig = 1
Ø HKEY_LOCAL_MACHINE\ software\ policies\ microsoft\ windows\windowsu pdate
· DoNotAllowXPSP2 = 1
Ø HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\CurrentV ersion\Explorer\ Advanced\ Folder\SuperHidd en
· DefaultValue = 0
· CheckedValue = 1
Ø HKEY_LOCAL_MACHINE\ system\ControlSe t001\control\ lsa
· restrictanonymous = 1
Ø HKEY_LOCAL_MACHINE\ system\CurrentCo ntrolSet\ control\lsa
· restrictanonymous = 1
Ia juga akan merubah registry berikut:
Ø HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\CurrentVersion\ Winlogon
· userinit = C:\WINDOWS\system32 \Userinit. exe, ,C:\Documents and Settings\%user% \%files_virus% .exe \s (%file_virus, menunjukan nama file yang berbeda-beda tergantung varian yang menginfeksi, ontohnya: fnhh.exe).
Agar file virus tersebut dapat aktif secara bebas di computer target, ia juga akan mendaftarkan file induk virus tersebut dan rule windows firewall berikut :
Ø HKEY_LOCAL_MACHINE\ SYSTEM\ControlSe t002\Services\ SharedAccess\ Parameters\ FirewallPolicy\ DomainProfile\ AuthorizedApplic ations\List
· C:\windows\system32 \%file_induk_ virus%.exe (contoh: wmistpl.exe) = C:\windows\system32 \%file_induk_ virus%.exe (contoh: wmistpl.exe) :*:Enabled:UPnP Firewall
Ø HKEY_LOCAL_MACHINE\ SYSTEM\ControlSe t002\Services\ SharedAccess\ Parameters\ FirewallPolicy\ StandardProfile\ AuthorizedApplic ations\List
· C:\windows\system32 \ file_induk_virus% .exe (contoh: wmistpl.exe) = C:\windows\system32 \%file_induk_ virus%.exe (contoh: wmistpl.exe) :*:Enabled:UPnP Firewall
Selain dengan membuat string registry tersebut, ia juga akan blok "hampir" semua tools sekuriti yang umum digunakan dengan cara membaca nama file dari aplikasi tersebut.
Blok akses Internet
Sebagai oleh-oleh ia akan mencoba untuk blok akses ke website security termasuk antivirus, dengan cara menampilkan website www.google.com (untuk beberapa varian tertentu untuk blok akses web sekuriti tidak akan menampilkan web www.google.com).
Untuk melakukan hal ini ia akan merubah isi file Hosts Windows yang berada di direktori [C:\Windows\ System32\ Drivers\Etc\ Hosts] dengan cara menambahkan nomor ip publik www.google.com di ikuti dengan alamat website yang akan diblok dan untuk beberapa kasus virus ini akan mengenkripsi file tersebut sehingga user tidak dapat mengetahui isi dari tersebut. (lihat gambar 7dan 8)
Gambar 7, Isi hosts file windows yang telah di enkripsi
Gambar 8, Isi hosts file windows yang telah diubah oleh virus setelah di dekrip
Update layaknya antivirus
Virus ini dapat melakukan update layaknya program antivirus dengan mendownload beberapa file dari website yang telah ditentukan, file ini biasanya akan di simpan didirektori [C:\Windows\ System32] dengan format file %xxx%.exe@, dimana %xxx% merupakan nama file dan ukuran yang berbeda-beda (contoh: qxzv85.exe@)
Blok akses "Safe Mode" dan "Safe Mode with command prompt"
Untuk beberapa kasus virus ini juga akan berupaya untuk menghapus key "safeboot" sehingga komputer tidak dapat booting ke mode "safe mode" dan "safe mode with command prompt". Untuk melakukan hal ini ia akan menghapus string berikut:
Ø HKEY_LOCAL_MACHINE\ SYSTEM\ControlSe t001\Control\ SafeBoot
Ø HKEY_LOCAL_MACHINE\ SYSTEM\ControlSe t002\Control\ SafeBoot
Ø HKEY_LOCAL_MACHINE\ SYSTEM\CurrentCo ntrolSet\ Control\SafeBoot
Media Penyebaran
Untuk menyebarkan dirinya ia akan memanfaatkan media chatting yang umum digunakan oleh user seperti Yahoo Messenger, Gtalk, Skype dan MSN Messenger dengan mengirimkan sebuah pesan kesemua alamat ID yang ada di komputer target dengan menyertakan link untuk mendownload sebuahlampiran yang sudah dikompresi dengan ukuran yang bervariasi sesuai dengan varian yang menginfeksi, file tersebut mempunyai nama file [%file%.JPG. ZIP], file yang dikompres tersebut mempunyai ekstensi EXE. Jika menerima pesan tersebut sebaiknya jangan anda terima apalagi menjalankan file yang disertakan kecuali anda mau terinfeksi virus ini.
Pesan yang akan disampaikan mempunyai isi yang berbeda-beda, sedangkan untuk link yang di sertakan salah satunya mengarah kesebuah alamat 208.77.45.10. (lihat gambar 9 dan 10)
Gambar 9, Pesan yang dikirimkan oleh virus
Gambar 10, Salah satu domain tempat untuk download file virus
Cara membersihkan Virus YM
1. Putuskan komputer yang akan di bersihkan dari jaringan maupun internet
2. Ubah nama file [C:\Windws\system32 \msvbvm60. dll] menjadi [xmsvbvm60.dll] untuk mencegah virus aktif kembali selama proses pembersihan.
3. Sebaiknya lakukan pembersihan dengan menggunakan Tools Windows Mini PE Live CD hal ini disebabkan untuk beberapa file induk dan file rootkit yang menyamar sebagai services dan drivers sulit untuk di hapus terlebih file ini akan disembunyikan oleh virus. Silahkan download software tersebut di alamat http://soft- rapidshare. com/2009/ 11/10/minipe- xt-v2k50903. html
Kemudian booting komputer dengan menggunakan software Mini PE Live CD tersebut. Setelah itu hapus beberapa file iduk virus dengan cara : (lihat gambar 11)
· Klik menu [Mini PE2XT]
· Klik menu [Programs]
· Klik menu [File Management]
· Klik menu [Windows Explorer]
· Kemudian hapus file berikut:
ü C:\Windows\System32
§ Wmi%xxx.exe, dimana xxx menunjukan karater acak (contohnya: wmispqd.exe, wmisrwt.exe, wmistpl.exe, atu wmisfpj.exe) dengan ukuran file yang berbeda-beda tergantung varian yang menginfeksi computer target.
§ %xxx%.exe@, dimana %xxx% menunjukan karakter acak (contoh: qxzv85.exe@) dengan ukuran yang berbeda-beda tergantung varian yang menginfeksi.
§ secupdat.dat
ü C:\Documents and Settings\%user% \%xx%.exe, dimana xx adalah karakter acak (contoh: rllx.exe) dengan ukuran file sekitar 6 kb atau 16 kb (tergantung varian yang menginfeksi) .
ü C:\Windows\System32 \drivers
§ Kernelx86.sys
§ %xx%.sys, dimana xx ini adalah karakter acak yang mempunyai ukuran sekitar 40 KB (contoh: mojbtjlt.sys atau cvxqvksf.sys)
§ Ndisvvan.sys
§ krndrv32.sys
ü C:\Documents and Settings\%user% \secupdat. dat
ü C:\Windows\INF
§ netsf.inf
§ netsf_m.inf
Gambar 11, Gunakan Windows Mini PE untuk menghapus file virus
4. Hapus registry yang dubah dibuat oleh virus, dengan menggunakan "Avas! Registry Editor", caranya : (lihat gambar 12)
· Klik menu [Mini PE2XT]
· Klik menu [Programs]
· Klik menu [Registry Tools]
· Klik [Avast! Registry Editor]
· Jika muncul layar konfirmasi kelik tombol "Load....."
· Kemudain hapus registry:
ü LOCAL_MACHINE_ SOFTWARE\ microsoft\ windows\currentv erson\run\ \ctfmon.exe
ü LOCAL_MACHINE_ SYSTEM\ControlSe t001\services\ \kernelx86
ü LOCAL_MACHINE_ SYSTEM\CurrentCo ntrolSet\ services\ \kernelx86
ü LOCAL_MACHINE_ SYSTEM\CurrentCo ntrolSet\ services\ \passthru
ü LOCAL_MACHINE_ SOFTWARE\ Microsoft\ Windows NT\CurrentVersion\ Image File Execution Options\\ctfmon.exe
ü LOCAL_MACHINE_ SOFTWARE\ microsoft\ windows nt\currentversion\ winlogon
§ Ubah value pada string Userinit menjadi = userinit.exe,
ü LOCAL_MACHINE_ SOFTWARE\ microsoft\ windows nt\currentversion\ winlogon
§ Ubah value pada string Shell menjadi = Explorer.exe
ü LOCAL_MACHINE_ SYSTEM\ControlSe t001\services\ \%xx%
ü LOCAL_MACHINE_ SYSTEM\CurrentCo ntrolSet\ services\ \%xx%
ü LOCAL_MACHINE_ SYSTEM\ControlSe t002\Services\ SharedAccess\ Parameters\ FirewallPolicy\ DomainProfile\ AuthorizedApplic ations\List\ \C:\windows\ system32\ %file_induk_ virus%.exe (contoh: wmistpl.exe)
ü LOCAL_MACHINE_ SYSTEM\ControlSe t002\Services\ SharedAccess\ Parameters\ FirewallPolicy\ StandardProfile\ AuthorizedApplic ations\List\ \C:\windows\ system32\ %file_induk_ virus%.exe (contoh: wmistpl.exe)
Catatan:
%xx% menunjukan karakter acak, key ini dibuat untuk menjalankan file .SYS yang mempunyai ukuran sebesar 40 KB yang berada di direktori [C:\Windows\ system32\ drivers\]
Gambar 12, Menghapus registry yang diubah oleh virus
5. Restart komputer, pulihkan sisa registry yang diubah oleh virus dengan copy script berikut pada program notepad kemudian simpan dengan nama repair.inf. Jalankan file tersebut dengan cara: klik kanan repair.inf | klik install
[Version]
Signature="$ Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\ batfile\shell\ open\command, ,,"""%1"" %*"
HKLM, Software\CLASSES\ comfile\shell\ open\command, ,,"""%1"" %*"
HKLM, Software\CLASSES\ exefile\shell\ open\command, ,,"""%1"" %*"
HKLM, Software\CLASSES\ piffile\shell\ open\command, ,,"""%1"" %*"
HKLM, Software\CLASSES\ regfile\shell\ open\command, ,,"regedit. exe "%1""
HKLM, Software\CLASSES\ scrfile\shell\ open\command, ,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ Winlogon, Shell,0, "Explorer.exe"
HKLM, software\microsoft\ ole, EnableDCOM,0, "Y"
HKLM, SOFTWARE\Microsoft\ Security Center,AntiVirusDis ableNotify, 0x00010001, 0
HKLM, SOFTWARE\Microsoft\ Security Center,FirewallDisa bleNotify, 0x00010001, 0
HKLM, SOFTWARE\Microsoft\ Security Center,AntiVirusOve rride,0x00010001 ,0
HKLM, SOFTWARE\Microsoft\ Security Center,FirewallOver ride,0x00010001, 0
HKLM, SYSTEM\ControlSet00 1\Control\ Lsa, restrictanonymous, 0x00010001,0
HKLM, SYSTEM\ControlSet00 2\Control\ Lsa, restrictanonymous, 0x00010001,0
HKLM, SYSTEM\CurrentContr olSet\Control\ Lsa, restrictanonymous, 0x00010001,0
HKLM, SOFTWARE\Microsoft\ Windows\CurrentV ersion\Explorer\ Advanced\ Folder\SuperHidd en, CheckedValue, 0x00010001, 0
SOFTWARE\Microsoft\ Windows\CurrentV ersion\Explorer\ Advanced\ Folder\SuperHidd en, DefaultValue, 0x00010001, 0
SOFTWARE\Microsoft\ Windows\CurrentV ersion\Explorer\ Advanced\ Folder\SuperHidd en, UncheckedValue, 0x00010001, 1
[ del ]
HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ System,DisableRe gistryTools
HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ System,DisableCM D
HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ Explorer, NoFolderOptions
HKLM, SOFTWARE\Microsoft\ Windows\CurrentV ersion\Run, ctfmon.exe
HKLM, SYSTEM\ControlSet00 1\Services\ kernelx86
HKLM, SYSTEM\ControlSet00 2\Services\ kernelx86
HKLM, SYSTEM\CurrentContr olSet\Services\ kernelx86
HKLM, SYSTEM\CurrentContr olSet\Services\ mojbtjlt
HKLM, SYSTEM\ControlSet00 1\Services\ mojbtjlt
HKLM, SYSTEM\ControlSet00 2\Services\ mojbtjlt
HKLM, SYSTEM\ControlSet00 1\Services\ Passthru
HKLM, SOFTWARE\Policies\ Microsoft\ Windows NT\SystemRestore
HKLM, SOFTWARE\Policies\ Microsoft\ Windows\WindowsU pdate, DoNotAllowXPSP2
HKLM, SOFTWARE\Policies\ Microsoft\ Windows\WindowsU pdate
HKLM, SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ Image File Execution Options\ctfmon. exe
6. Fix registry Windows untuk mengembalikan agar komputer dapat booting "safe mode with command prompt" dengan download file FixSafeBoot. reg (Windows XP) di alamat berikut kemudian jalankan file tersebut dengan cara :
o Klik menu [Start]
o Klik [Run]
o Ketik REGEDIT.EXE kemudian klik tombol [OK]
o Pada layar "Registry Editor", klik menu [File | Import]
o Tentukan file .REG yang baru anda buat
o Klik tombol [Open]
7. Hapus file temporary dan temporary internet file. Silahkan gunakan tools ATF-Cleaner. Download tools tersebut di alamat http://www.atribune .org/public- beta/ATF- Cleaner.exe
8. Restore kembali host file Windows yang telah di ubah oleh virus. Anda dapat menggunakan tools Hoster, silahkan download di alamat berikut http://www.softpedi a.com/progDownlo ad/Hoster- Download- 27041.html (lihat gambar 13)
Gambar 13, Restore Host File Windows dengan menggunakan HosterExpert
Klik tombol [Restore MS Host File], untuk merestore file hosts Windows tersebut.
9. Untuk pembersihan optimal dan mencegah infeksi ulang, scan dengan antivirus yang up-to-date dan sudah dapat mendeteksi virus ini. Anda juga dapat menggunakan Norman Malware Cleaner, silahkan download di alamat berikut http://www.norman. com/support/ support_tools/ 58732/en (lihat gambar 14)
Gambar 14, Hasil deteksi Norman Security Suite
Salam,
Aj Tau
info@vaksin. com
PT. Vaksincom
Jl. Tanah Abang III / 19E
Jakarta 10160
Ph : 021 3456850
Fx : 021 3456851