Virus Win.Sality32 dan Penjelasannya

Virus Sality,win32 memiliki cukup banyak varian. Virus ini dapat dikategorikan ke dalam kategori malware karena virus ini dapat mencuri informasi pribadi anda dan menurunkan pengaturan keamanan komputer anda.

Berikut ini beberapa hal yang dapat dilakukan oleh virus jenis ini, diantaranya;

  • Virus jenis ini juga terkadang mencoba untuk menghapus beberapa file yang berkaitan dengan antivirus.
  • Memblokade akses ke beberapa situs yang berkaitan dengan sekuritas komputer
  • Menghentikan software keamanan seperti antivirus yang sedang berjalan.
  • Mencuri data pribadi anda, kemudian mengirimkannya ke komputer lain dengan koneksi peer-to-peer.
  • Mencoba mengunduh dan menjalankan file lain dari internet tanpa sepengetahuan anda.
  • Menginjeksikan code virus kedalam proses yang sementara berjalan.
  • Menurunkan pengaturan keamanan komputer anda dan memperlambat performa komputer
  • Membuat random file dan menyimpannya secara acak, termasuk didalam folder system Windows.
  • Mengubah konfigurasi didalam file system.ini

Langkah Awal Mengatasi

Sebagai langkah awal untuk mengatasi virus ini, anda dapat mengunduh antivirus yang anda percaya dan melakukan full-scanning terhadap komputer anda. Jika anda tidak terkoneksi dengan internet, maka anda dapat mengunduh program antivirus tersebut dari komputer lain dan di-install pada komputer anda. Sebagai rekomendasi, antivirus yang dapat mengatasi virus ini seperti Windows Defender, Microsoft Security Essential, Micosoft Safety Scanner, ataupun Removal Tool. Selain itu ada juga antivirus seperti McAfee, Avast dan AVG yang dapat anda dapatkan secara gratis di internet.

Jika memang, program antivirus tersebut tidak dapat terinstall pada komputer anda dikarenankan file-file yang berhubungan dengan keamanan dan antivirus telah diubah oleh virus ini, maka anda dapat “menghapus virus ini menggunakan cara manual, yaitu tanpa menggunakan antivirus”.

Langkah Selanjutnya

Jika anda sudah melakukan full-scanning pada komputer anda, dan telah membersihkan virus tersebut maka anda perlu melakukan beberapa hal lagi dikarenakan sekalipun virus ini telah bersih dari sistem komputer anda, pengaturan/settings pada komputer anda tetap saja telah diubah. Berikut ini, langkah-langkah lanjutan setelah pembersihan virus win.Sality32;

Enable Registry Editor dan check value beberapa registry berikut.

Anda perlu meng-enable Registry Editor untuk mengubah beberapa nilai/value didalamnya. Jika anda tidak dapat mengakses regedit (win + R, kemudian ketik “regedit” dan enter) secara langsung maka,

  1. Tekan tombol Windows + R untuk menampilkan jendela RUN dan kemudian ketik cmd untuk menjalankan command prompt.
  2. Ketik perintah berikut kemudian tekan Enter
  3. reg.exe add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0 /f
  4. Setelah itu ketik exit.

Kemudian silahkan cek value pada registry-registry berikut; Perlu dicatat bahwa jika nilai yang anda temukan dalam registry anda sesuai dengan nilai registry berikut maka silahkan diubah. (Jangan lupa membuat back-up registry anda)

  • Disable User Account Control (UAC):
    Dalam subkey: HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System
    Sets value: “EnableLUA
    With data: “0
    Silahkan diubah dengan nilai “1”.
  • Mengubah Windows Firewall untuk menginjinkan komunikasi internet:
    Dalam Subkey:
    HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
    Sets value: “<Win32/Sality file name>
    With data: “<Win32/Sality file name>:*:enabled:ipsec
    Dihapus saja subkey ini, setelah dihapus, (semoga :p) Windows akan membuat sebuah nilai baru pada registry yang sama dengan nilai yang baru pula.
  • Disable Windows Firewall: subkey: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
    Sets value: “EnableFirewall
    With data: “0
    Ubah data menjadi “1”
  • Redirect netsh event tracing session logging: pada subkey: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\NAP\Netsh
    Sets value: “LogSessionName
    With data: “stdout
    Hapus saja nilai ini.
  • menghentikan fitur monitoring pada antivirus didalam Microsoft Security Center: subkeys:
    HKLM\SOFTWARE\Microsoft\Security Center
    HKLM\SOFTWARE\Microsoft\Security Center\Svc
    Sets value: “AntiVirusOverride
    With data: “1
    Ubah data menjadi “0”
  • Menghentikan security alerts didalam Windows Security Center: subkeys:
    HKLM\SOFTWARE\Microsoft\Security Center
    HKLM\SOFTWARE\Microsoft\Security Center\Svc
    Sets values:
    FirewallDisableNotify
    UacDisableNotify
    UpdatesDisableNotify
    With data: “1

    Ubah data menjadi “0”
  • Disable Windows Task Manager:In subkey: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
    Sets value: “DisableTaskMgr
    With data: “1
    Ubah data menjadi “0”
  • menghentikan “Offline Mode” pada Microsoft Internet Explorer: subkey: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings
    Sets value: “GlobalUserOffline
    With data: “0
    Ubah data menjadi “1”
  • Membuat file hidden menjadi tetap hidden: subkey: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    Sets value: “Hidden
    With data: “2
    Ubah data menjadi “1”
  • Menghalangi akses ke registry editing tools seperti regedit: subkey: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
    Sets value: “DisableRegistryTools
    With data: “1
    Ubah data menjadi “0”, akan tetapi nilai ini sudah menjadi “0” jika anda mengikuti artikel ini dari awal.

Berikut ini sedikit penjelasan tambahan tentang virus Win32/Sality

Instalasi dan lokasi

Beberapa varian Win32/Sality membuat copy-an file DLL ke dalam komputer, file tersebut diantaranya

  • <system folder>\wmdrtc32.dll – file ini berisi kode-kode virus yang dapat dieksekusi langsung
  • <system folder> \wmdrtc32.dl_– File ini merupakan copy-an file berisi virus yang telah dikompresi

Beberapa varian lainnya, seperti Virus:Win32/Sality.AM justru tidak meninggalkan file DLL, tetapi memuat semua kode virus kedalam memory tanpa meng-copynya kedalam harddisk anda. Pernahkah anda merasa komputer anda menjadi sangat lambat ketika komputer anda terserang virus win32/sality? Nah, itulah yang dilakukan virus Win32/Sality dari beberapa varian, tidak hanya itu, beberapa varian ini juga terkadang membuat beberapa file driver dengan nama acak (random) kedalam folder system <system folder> (biasanya folder “system32”). Jika di Scan maka file-file driver tersebut akan dideteksi sebagai Trojan:WinNT/Sality.

Penyebaran

Penyebaran virus ini terjadi melalu beberapa cara, diantaranya;

Infeksi File/File infection

Win32/Sality biasanya menyerang semua file pada drive C yang berekstensi .exe atau .scr dan dimulai dari root folder (disebut juga folder system32) kemudian menyuntikkan code virus kedalam file-file yang diserang. Secara otomatis ukuran file yang diserang menjadi lebih besar dibandingkan ukuran sebenarnya.

Selain itu, virus ini juga menyerang program yang seringkali dijalankan ketika Windows dibuka awal dengan cara mengecek nilai dari beberapa registry berikut;

  • HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run
  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Sehingga, Cara pertama penanganan adalah menghapus semua registry yang ditemukan didalam 3 folder registry diatas.

Win32/Sality menghindari infeksi terhadap beberapa kategori file sehingga virus ini susah untuk dideteksi. File-file yang dihindari untuk diinfeksi oleh virus ini diantaranya;

  • File yang diproteksi oleh System File Checker (SFC) (yang biasa menggunakan SFC /scannow tentu tahu)
  • File-file didalam %SystemRoot% folder (System32)
  • Beberapa file .exe yang dimiliki oleh antivirus dan firewall. Adapun beberapa file yang memiliki atau mengandung nama berikut tidak akan diserang oleh virus ini; AAVSHIELD, ADVCHK, AHNSD, AIRDEFENSE, MCVSSHLD, dll

Removable Drive dan Network Share

Penyebaran virus Win32/Sality ini juga dapat melalui Removable Drive seperti USB Flash Disk ataupun Kartu Memory serta melalui Sharing Network. Beberapa varian virus ini akan mulai menginfeksi file-file didalam Flash Disk anda, kemudian membuat file “autorun.inf” didalam USB FLash Disk dan akan menyebarkan diri setelah USB Flash Disk tersebut dikoneksi ke komputer lain. Begitu pula dengan Network Sharing.

[sumber: microsoft article about win.sality32]

Sekian dulu artikel kali ini, jika ada pertanyaan, saran ataupun koreksi, silahkan tinggalkan melalui kolom komentar.

Salam.

r4ndiel

Leave a Reply

Your email address will not be published. Required fields are marked *