BIANG SPAM 5

- C:\WINDOWS\system32 \[angka_random] .tmp (beberapa file)
- C:\WINDOWS\Temp\ VRT[angka_ random].tmp (beberapa file)
- C:\WINDOWS\Temp\ ~TM[angka_ random].tmp (beberapa file)
- C:\WINDOWS\Temp\ [angka_random] .exe (beberapa file)
- C:\WINDOWS\Temp\ [nama_acak] .dll (beberapa file)
Gambar 12, File virus W32/Virut.DG
Salah satu file virus menyamarkan dirinya sebagai "PE Explorer", PE Explorer merupakan salah satu tools yang dibuat oleh perusahaan Heaven Tools.
Registry Windows
Agar dapat aktif pada saat menjalankan Windows, virus membuat string registry pada :
- HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\CurrentV ersion\Run
22951 = C:\WINDOWS\system32 \[nama_random] .tmp.exe
reader_s = C:\WINDOWS\system32 \reader_s. exe
Regedit32 = C:\WINDOWS\system32 \regedit. exe
servises = C:\WINDOWS\system32 \servises. exe
- HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\CurrentV ersion\ Policies\Explorer\ Run
servises = C:\WINDOWS\system32 \servises. exe
exec = C:\WINDOWS\fonts\ services. exe
- HKEY_CURRENT_ USER\Software\ Microsoft\ Windows\CurrentV ersion\Run
reader_s = C:\Documents and Settings\klasnich\ reader_s. exe
servises = C:\WINDOWS\system32 \servises. exe
- HKEY_CURRENT_ USER\Software\ Microsoft\ Windows\CurrentV ersion\Policies\ Explorer\Run
servises = C:\WINDOWS\system32 \servises. exe
- HKEY_CURRENT_ USER\Software\ Microsoft\ Windows NT\CurrentVersion\ Windows
load = C:\WINDOWS\system32 \servises. exe
run = C:\WINDOWS\system32 \servises. exe
Agar tidak mudah diidentifikasi oleh user, virus membuat string registry pada :
- HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\CurrentV ersion\ Explorer\Advanced\ Folder\Hidden\ SHOWALL
CheckedValue = 0
- HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\CurrentV ersion\ Explorer\Advanced\ Folder\Hidden\ NOHIDORSYS
CheckedValue=0
Selain itu, virus menambahkan dan mengubah string registry pada firewall:

- HKEY_LOCAL_MACHINE\ SYSTEM\CurrentCo ntrolSet\ Services\ SharedAccess\ Parameters\ FirewallPolicy\ StandarProfile\ AuthorizedApplic ations\List
\\??\C:\WINDOWS\ system32\ winlogon. exe = \\??\C:\WINDOWS\ system32\ winlogon. exe:*:enabled: @shell32. dll,-1
- HKEY_LOCAL_MACHINE\ SYSTEM\CurrentCo ntrolSet\ Services\ SharedAccess\ Parameters\ FirewallPolicy\ StandardProfile
EnableFirewall = 0
- HKEY_LOCAL_MACHINE\ SOFTWARE\ Policies\ Microsoft\ WindowsFirewall\ StandardProfile
EnableFirewall = 0
Cara Pembersihan Virus
- Matikan System Restore (XP/ME) (pada saat digunakan)
- Hapus dan matikan proses virus yang aktif. Gunakan Norman Malware Cleaner untuk mematikan sekaligus menghapus virus. Anda dapat mendownload pada link berikut :
http://normanasa.vo.llnwd.net/o29/public/Norman_Malware_ Cleaner.exe
Sebaiknya anda men-download pada komputer yang masih bersih atau simpan file tersebut dengan extension file executable lain seperti com atau cmd.
Sebelum anda menjalankan file Norman Malware Cleaner, sebaiknya rubah terlebih dahulu extension file tersebut menjadi com atau cmd, atau anda kompress file tersebut menjadi zip. Jalankan file yang berada dalam zip atau yang sudah berubah menjadi com atau cmd. (lihat gambar 13)
Gambar 13, Matikan dan hapus virut dengan Norman Malware Cleaner