<<
Untuk dapat menikmati artikel ini dengan baik, kami akan memberikan sedikit pembekalan kepada anda, tetapi janji .... jangan ada yang tidur yaaa.... :P
Hatake Kakashi dikenal luas sebagai ninja peniru. Kemampuan ini didapatnya dari sharingan yang ada di mata kirinya. Mata ini bisa membaca gerakan sampai tiga detik sebelum kejadian. Bisa juga sebagai media Doujutsu atau jutsu menggunakan mata. Kabarnya kakashi meniru 1000 jurus musuh dengan kemampuan ini. Dia juga memiliki kemampuan untuk manipulasi chakra, sebagai contohnya, dengan mengumpulkan chakra di tangannya, dia mampu membuat tangannya dialiri chakra yang berbentuk seperti petir untuk menyerang musuhnya. Teknik ini biasa disebut Chidori atau Raikiri. Chidori berarti "kicauan 1000 burung" karena bunyi-bunyian yang ditimbulkan oleh jutsu ini mirip seperti kicauan burung (sering dituliskan dengan kata "ckit.. ckit.."). Sedangkan raikiri berarti pemotong petir, karena konon Kakashi mampu memotong petir dengan jutsu ini. Belakangan, dia juga berhasil mengaktifkan mangekyou sharingan, yang digunakannya untuk melempar tangan deidara dan ledakan jutsu deidara ke dunia lain.
<<
VBWorm.Gen16 atau lebih dikenal dengan sebutan virus Hokage ini mempunyai ukuran 42 KB dan untuk mengelabui user ia akan mengngunakan icon Winamp walaupun sebenarnya merupakan sebuah file aplikasi (exe). Virus ini dibuat menggunakan bahasa VB dan di kompresi dengan menggunakan UPX dan jika dilihat dari bodi virus ini kemungkinan virus ini berasal dari daerah sampit. Virus ini sebenarnya masih mudah untuk di basmi. Salah satu ciri yang menonjol dari virus ini adalah berubahnya icon Flash Disk menjadi icon Winamp. (lihat gambar 2 dan 3)
Gambar 2, VBWorm.gen16 merubah icon Flash Disk menjadi icon Winamp
Gambar 3 Salah satu file induk VBWorm.gen16
Dengan menggunakan update terakhir, Norman Virus Control sudah dapat mendeteksi virus ini sebagai VBWorm.gen16 (gambar 4)
Gambar 4, Norman mendeteksi Hokage sebagai VBWorm.gen16
Setelah virus ini berhasil menginfeksi komputer, ia akan membuat beberapa file yang akan dijalankan pertama kali setiap komputer dinyalakan. File ini akan di sembunyikan sehingga tidak mudah untuk di hapus, berikut beberapa file induk yang akan dibuat oleh VBWorm.gen16:
C:\Documents and settings\%user%\My DOcuments\KakashiHatake
HOKAGE4.EXE
HokageFile.exe
KakashiHatake.exe
Obito.exe
Rin.exe
Membuat file “Hokagefile.exe” di setiap folder/subfolder yang di akses.
Sebagai penunjang agar file tersebut dapat di jalankan, ia akan membuat beberapa string pada registri berikut:
HKLM\Software\Microsoft\Windows\CurrentVersion\run
Hokage4 = C:\Documents and settings\%user%\MY Documents\KakashiHatake\Hokage4.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\run
Kakashi Hatake = C:\Documents and settings\%user%\MY Documents\KakashiHatake\KakashiHatake.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\run
Obito Uchiha = C:\DOcuments and settings\%user%\My Documents\KakashiHatake\Obito.exe
HKLM\Software\Microsoft\Windows\CurrentVersion\run
Rin = C"\Documents and settings\%user%\My Documents\KakashiHatake\Rin.exe
Untuk varian awalnya tidak banyak fungsi Windows yang diblok, tetapi ia akan tetap bermain-main dengan Folder Options yakni dengan tidak mengijinkan user untuk menampilkan file yang tersembunyi. Untuk melakukan hal tersebut ia akan membuat string pada registri berikut : (lihat gambar 5)
HKCU\Software\Microsoft\WIndows\CurrenVersion\Explorer\Advanced
HIdden = 2
HKCU\Software\Microsoft\WIndows\CurrenVersion\Explorer\Advanced
HideFileExt = 1
HKCU\Software\Microsoft\WIndows\CurrenVersion\Explorer\Advanced
ShowSuperHidden = 0
HKCU\Software\Microsoft\WIndows\CurrenVersion\Explorer\Advanced
superhidden = 1
Gambar 5, VBworm.Gen16 tidak mengijinkan user untuk menampilkan file yang tersebunyi
Gambar 6, MizuBushinNoJutsu
MizuBushinNoJutsu
Bushin No Jutsu dalam serial Naruto berarti jurus jurus untuk memperbanyak diri. Lalu apa hubungan nya dengan virus ini ? Ini bukan pembekalan lagi, tetapi beneran ada hubungan. Sekarang coba anda buka sebuah Notepad dari komputer yang terinfeksi Hokage, kemudian tulis dengan sembarang kata setelah itu copy tulisan yang baru anda tulis tadi ke baris berikutknya, coba perhatikan apa yang akan terjadi. Ternyata tulisan yang anda baru copy tidak akan pernah berhasil di lakukan tetapi VBWorm.gen16 akan mengantikannya dengan tulisan MizuBushinNoJutsu.
Menyebar melalui Flash Disk
Untuk menyebarkan dirinya, ia akan menggunakan media “Flash Disk” ataupun “Disket” dengan membuat beberapa file induk dan beberapa file pendukung agar dirinya dapat aktif secara otomatis setiap kali user akses ke Flash Disk tersebut. Berikut beberapa file yang akan dibuat pada media Flash Disk atau Disket:
Hokagefile.exe
Autorun.inf
Desktop.ini
Folder.htt
Anbu.txt
Jika fitur Auto Play tidak dimatikan, maka secara otomatis virus ini akan aktif setiap kali user akses ke Flash Disk tersebut. Untuk melakukan hal ini VBWorm.gen16 tidak tanggung-tanggung, ia akan membuat 3 file pendukung yakni :
Autorun.inf yang berisi skrip untuk menjalankan file Hokagefile.exe (gambar 7)
Gambar 7, Skrip autorun.inf
Desktop.ini, berisi script untuk menjalankan file Folder.htt (gambar 8)
Gambar 8, Skrip file “desktop.ini” yang menjalankan “folder.htt”
Folder.htt, berisi script untuk menjalankan file Hokagefile.exe (gambar 9)
Gambar 9, “Foldet.htt” pada akhirnya yang akan menjalankan file virus “Hokagefile.exe”
Mengganti Icon Flash Disk menjadi icon Winamp
VBWorm.Gen16 juga akan berusaha untuk merubah icon Flash Disk anda menjadi icon Winamp seperti terlihat pada gambar 10 dibawah ini:
Gambar 10, VBWorm.gen16 merubah icon Flash Disk menjadi icon Winamp
Sebagai penutup, VBWorm.gen16 ini akan membuat file induknya dengan nama HokageFile.exe disetiap folder / subfolder yang di akses. File ini mempunyai ciri-ciri : (gambar 11)
Icon Winamp
Ukuran 42 KB
Ekstensi file EXE
Type file “Application"
Gambar 11, File induk yang akan dibuat di setiap folder / subfolder yang di akses
Cara membersihkan VBWorm.Gen16
Matikan “System Restore” selama proses pembersihan (jika menggunakan Windows XP)
Matikan proses virus (gunakan currprocess).
Setelah menjalankan tools “Currprocess”, pilih file semua file yang mempuyai icon winamp (Rin.exe, Obito.exe, KakashiHatake.exe dan Hokage4.exe) seperti yang terlohat pada gambar 12 dibawah ini:
Gambar 12, Mematikan proses virus VBWorm.gen16
Hapus registri yang dibuat oleh VBWorm.gen16. Untuk mempermudah proses penghapusan silahkan salin script dibawah ini pada program Notepad kemudian simpan dengan nama repair.inf. Jalankan file repair..inf dengan cara:
Klik kanan repair.inf
Klik Install
[Version]
Signature="$Chicago$"
Provider=Vaksincom Naruto
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NOFind
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NORun
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Hokage 4
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Kakashi Hatake
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Obito Uchiha
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Rin
Cari dan hapus file yang sudah dibuat oleh virus. Untuk mempercepat proses pencarian penghapusan dapat menggunakan “Search Windows”. Sebelum melakukan pencarian dan penghapusan file virus tampilkan terlebih dahulu file yang tersembunyi agar pencarian lebih maksimal.
Untuk menampilkan file yang tersembunyi lakukan langkah berkut:
Buka Windows Explorer
Klik menu “Tools”, kemudian klik “Folder Options”
Pada layar “Folder Options”, klik tabulasi “View
Pada folder “Hidden files and folders”, hilangkan tanda centang pada opsi “Hide extensions for known file types” dan “Hide protected operating system files (recomended) (lihat gambar 13)
Gambar 13, Menampilkan file / folder yang disembunyikan
Klik tombol “Ok”
Untuk mencari dan menghapus file virus, lakukan langkah berikut:
klik “Start” menu
Klik “Search”, kemudian klik “For Files or Folders”
Setelah muncul layar “Search Result”, klik menu “All files and folders”
Kemudian pada kolom “All or part of the file name” isi dengan ekstensi *.EXE
Pada kolom “Look in” pastikan sudah menuju ke lokasi Drive yang akan di periksa termasuk ke lokasi Flash Disk.
Klik menu “What size is it”, kemudian pilih opsi “Specify size (in KB)
Pilih “at most”
Isi dengan ukuran “42”
Klik menu “More Advanced option”, kemudian pilih opsi
Searh system folders
Search hidden files and folders
Search subfolders
Kemudian klik tombol “Search” untuk memulai proses pencarian
Hapus file virus disemua drive termasuk flash disk yang mempunyai ciri-ciri:
Icon winamp
Ukuran 42 KB
Type file "Application"
Ekstensi .EXE
Hapus juga file desktop.ini, folder.htt, Autorun.inf dan anbu.txt di flash disk.
Untuk pembersihan maksimal dan mencegah infeksi ulang, scan dengan anti virus yang up-to-date dan sudah dapat mengenali virus ini dengan baik.
Untuk mencegah agar virus tidak otomatis aktif pada saat akses ke suatu drive sebaiknya Anda matikan fungsi autoplay.
Untuk antisipasi agar virus ini tidak kembali menginfeksi komputer anda selain dengan menginstall antivirus yang up-to-date, juga dapat membuat script sederhana untuk mematikan proses virus ini jika berusaha aktif di memori caranya, salin script dibawah ini pada program notepad kemudian simpan dengan nama RemoveHokage.reg. Kemudian jalankan file tersebut (klik 2x), klik “Yes” jika terdapat konfirmasi untuk menambahkan registri tersebut.
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HOKAGE4.exe]
"Debugger"="cmd.exe /c del"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HokageFile.exe]
"Debugger"="cmd.exe /c del"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KakashiHatake.exe]
"Debugger"="cmd.exe /c del"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rin.exe]
"Debugger"="cmd.exe /c del"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Obito.exe]
"Debugger"="cmd.exe /c del"
Aj Tau
PT. Vaksincom
info@vaksin.com
