About Me

Saturday, 31 December 2011

Virus Win32sta.dll (Basmi Tanpa Anti Virus)

Asal mula virus ini menyebar lewat Tipuan Crack, Keygen, ataupun Patch suatu Software berbayar. Menyamar sebagai Crack, Keygen, ataupun Patch memang sangat efektif karena biasanya Crack yang asli akan terdeteksi sebagai virus oleh Anti Virus yang kita pasang sehingga kita terpancing untuk mematikan proteksi Anti Virus sebelum menjalankan Crack gadungan ini. Walaupun melakukan full scan dengan Anti Virus, virus yang satu ini sangat sulit dihapus karena memakai berbagai teknik untuk memulihkan dirinya kembali.

Ukuran file: 78,5 kB
Tipe File: Aplikasi (berekstensi exe)
Sumber sampel: Sewaktu mencari Crack
MD5: E4BCB009627C2A26B10BCA6BB8A4DC0C
CRC32: 7B7F4604

Saat pertama kali dijalankan, aplikasi ini akan membuat file win32sta.dll (40 kB) pada:
C:\Document and Settings\All Users\Documents, dan
C:\Windows\system32

File win32sta.dll yang berada di folder C:\Document and Settings\All Users\Documents kemudian akan dihapus.
File win32sta.dll ini kemudian akan menumpang proses windows spoolsv.exe dengan membuat key Registry:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Bindows
AppInit_DLLs = C:\WINDOWS\system32\win32sta.dll
DeviceNotSelectedTimeout = 15
GDIProcessHandleQuota = dword:00002710
Spooler = yes
swapdisk = ""
TransmissionRetryTimeout = dword:00000001

Key ini akan muncul kembali setiap kali dihapus korban.

Win32sta.dll telah berhasil menumpang spoolsv.exe
Setelah komputer korban di-Reboot, maka win32sta.dll akan menumpang banyak proses:


Hal ini mengakibatkan akitivitas komputer berjalan lebih lambat dari biasanya, Shutdown mendadak sewaktu melakukan aktivitas online, proses log on Windows yang jauh lebih lambat, dan nada pengantar log on terlambat berdering (Duluan masuk ke Desktop barulah muncul nadanya).
Dengan menumpang pada berbagai proses kritis Windows ini akan membuat dirinya tidak bisa dihapus manual karena selalu aktif di-load. Tetapi masih bisa dihapus dengan tools spesial seperti Unlocker. Walaupun sudah dihapus, win32sta.dll ini akan muncul kembali setelahnya.
Pemulihan seketika key Bindows dan file win32sta.dll setelah dihapus inilah yang mengakibatkan sejumlah Anti Virus masih gagal dalam menghapusnya.

Karena System Restore bisa digunakan oleh User untuk memulihkan kondisi komputer ke tanggal sebelum terinfeksi virus ini, maka virus ini mencegah korban menggunakan System Restore dengan menghilangkan tab System Restore pada menu System Properties (Klik kanan pada My Computer dan klik Properties) dengan menghapus value pada:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore, DisableSR.
Dihapusnya value ini juga membuat file rstrui.exe (letaknya di c:\WINDOWS\system32\Restore) yang berfungsi untuk menjalankan System Restore ini tidak bisa dijalankan sehingga mencegah korban untuk mengaksesnya secara langsung tanpa melalui System Properties.

Tab System Restore Sebelum Dihilangkan

 Tab System Restore Setelah Dihilangkan 

Virus ini juga memblok beberapa website untuk mempertahankan dirinya dengan menambahkan string berikut pada C:\WINDOWS\system32\drivers\etc\HOSTS:

127.0.0.1 82.165.237.14
127.0.0.1 82.165.250.33
127.0.0.1 akamai.avg.com
127.0.0.1 antivir.es
127.0.0.1 anti-virus.by
127.0.0.1 avast.com
127.0.0.1 avg.com
127.0.0.1 avp.com
127.0.0.1 avp.ru
127.0.0.1 avp.ru/download/
127.0.0.1 avpg.crsi.symantec.com
127.0.0.1 backup.avg.cz
127.0.0.1 bancoguayaquil.com
127.0.0.1 bcpzonasegura.viabcp.com
127.0.0.1 bitdefender.com
127.0.0.1 clamav.net
127.0.0.1 comodo.com
127.0.0.1 customer.symantec.com
127.0.0.1 dispatch.mcafee.com
127.0.0.1 download.mcafee.com
127.0.0.1 download.microsoft.com
127.0.0.1 downloads.microsoft.com
127.0.0.1 downloads1.kaspersky-labs.com
127.0.0.1 downloads1.kaspersky-labs.com/products/
127.0.0.1 downloads1.kaspersky-labs.com/updates/
127.0.0.1 downloads2.kaspersky-labs.com
127.0.0.1 downloads2.kaspersky-labs.com/products/
127.0.0.1 downloads2.kaspersky-labs.com/updates/
127.0.0.1 downloads3.kaspersky-labs.com
127.0.0.1 downloads3.kaspersky-labs.com/products/
127.0.0.1 downloads3.kaspersky-labs.com/updates/
127.0.0.1 downloads4.kaspersky-labs.com
127.0.0.1 downloads4.kaspersky-labs.com/products/
127.0.0.1 downloads4.kaspersky-labs.com/updates/
127.0.0.1 downloads5.kaspersky-labs.com
127.0.0.1 downloads5.kaspersky-labs.com/products/
127.0.0.1 downloads5.kaspersky-labs.com/updates/
127.0.0.1 drweb.com
127.0.0.1 emsisoft.com
127.0.0.1 eset.com
127.0.0.1 eset.com/
127.0.0.1 eset.com/download/index.php
127.0.0.1 eset.com/joomla/
127.0.0.1 eset.com/products/index.php
127.0.0.1 eset.es
127.0.0.1 fortinet.com
127.0.0.1 f-prot.com
127.0.0.1 f-secure.com
127.0.0.1 gdata.es
127.0.0.1 go.microsoft.com
127.0.0.1 hacksoft.com.pe
127.0.0.1 ikarus.at
127.0.0.1 kaspersky.com
127.0.0.1 kaspersky.ru
127.0.0.1 kaspersky-labs.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 macafee.com
127.0.0.1 mast.mcafee.com
127.0.0.1 mcafee.com
127.0.0.1 microsoft.com
127.0.0.1 msdn.microsoft.com
127.0.0.1 my-etrust.com
127.0.0.1 networkassociates.com
127.0.0.1 nod32.com
127.0.0.1 norman.com
127.0.0.1 norton.com
127.0.0.1 nprotect.com
127.0.0.1 pandasecurity.com
127.0.0.1 pandasoftware.com
127.0.0.1 pctools.com
127.0.0.1 pif.symantec.com
127.0.0.1 pifmain.symantec.com
127.0.0.1 rads.mcafee.com
127.0.0.1 rising-global.com
127.0.0.1 scanner.novirusthanks.org
127.0.0.1 secure.nai.com
127.0.0.1 securityresponse.symantec.com
127.0.0.1 service1.symantec.com
127.0.0.1 sophos.com
127.0.0.1 sunbeltsoftware.com
127.0.0.1 support.microsoft.com
127.0.0.1 symantec.com
127.0.0.1 symantec.com/updates
127.0.0.1 threatexpert.com
127.0.0.1 trendmicro.com
127.0.0.1 u2.eset.com
127.0.0.1 u20.eset.com
127.0.0.1 u3.eset.com
127.0.0.1 u3.eset.com/
127.0.0.1 u4.eset.com
127.0.0.1 u4.eset.com/
127.0.0.1 u7.eset.com
127.0.0.1 update.avg.com
127.0.0.1 update.microsoft.com
127.0.0.1 update.symantec.com
127.0.0.1 updates.symantec.com
127.0.0.1 updates1.kaspersky-labs.com
127.0.0.1 updates2.kaspersky-labs.com
127.0.0.1 updates3.kaspersky-labs.com
127.0.0.1 us.mcafee.com
127.0.0.1 viabcp.com
127.0.0.1 virscan.org
127.0.0.1 virusbuster.hu
127.0.0.1 viruslist.com
127.0.0.1 viruslist.ru
127.0.0.1 virusscan.jotti.org
127.0.0.1 virustotal.com
127.0.0.1 windowsupdate.microsoft.com
127.0.0.1 www.ahnlab.com
127.0.0.1 www.aladdin.com
127.0.0.1 www.antivir.es
127.0.0.1 www.antiy.net
127.0.0.1 www.authentium.com
127.0.0.1 www.avast.com
127.0.0.1 www.avg.com
127.0.0.1 www.avp.com
127.0.0.1 www.avp.ru
127.0.0.1 www.avp.ru/download/
127.0.0.1 www.bitdefender.com
127.0.0.1 www.clamav.net
127.0.0.1 www.comodo.com
127.0.0.1 www.download.mcafee.com
127.0.0.1 www.drweb.com
127.0.0.1 www.emsisoft.com
127.0.0.1 www.eset.com
127.0.0.1 www.eset.com/
127.0.0.1 www.eset.com/download/index.php
127.0.0.1 www.eset.com/joomla/
127.0.0.1 www.eset.com/products/index.php
127.0.0.1 www.fortinet.com
127.0.0.1 www.f-prot.com
127.0.0.1 www.f-secure.com
127.0.0.1 www.gdata.es
127.0.0.1 www.grisoft.com
127.0.0.1 www.ikarus.at
127.0.0.1 www.kaspersky.com
127.0.0.1 www.kaspersky.ru
127.0.0.1 www.kaspersky-labs.com
127.0.0.1 www.macafee.com
127.0.0.1 www.mcafee.com
127.0.0.1 www.microsoft.com
127.0.0.1 www.my-etrust.com
127.0.0.1 www.networkassociates.com
127.0.0.1 www.nod32.com
127.0.0.1 www.norman.com
127.0.0.1 www.norton.com
127.0.0.1 www.nprotect.com
127.0.0.1 www.pandasecurity.com
127.0.0.1 www.pandasoftware.com
127.0.0.1 www.pctools.com
127.0.0.1 www.rising-global.com
127.0.0.1 www.scanner.novirusthanks.org
127.0.0.1 www.sophos.com
127.0.0.1 www.sunbeltsoftware.com
127.0.0.1 www.symantec.com
127.0.0.1 www.symantec.com/updates
127.0.0.1 www.trendmicro.com
127.0.0.1 www.virscan.org
127.0.0.1 www.viruslist.com
127.0.0.1 www.viruslist.ru
127.0.0.1 www.virusscan.jotti.org
127.0.0.1 www.virustotal.com
127.0.0.1 www.windowsupdate.microsoft.com

Untuk menghilangkan jejak dan menghindari untuk dianalisis sampelnya, Crack gadungan sebagai penyebar virus ini kemudian akan dihapus setelah win32sta.dll berhasil masuk ke sistem. Jadi, hanya tersisa win32sta.dll sajalah di komputer korban.
Virus ini juga tidak menyebar/menular ke Flash Disk maupun ke jaringan, jadi tidak mungkin untuk mendapatkan sampelnya kembali pada komputer yang telah terinfeksi.

Pembersihan:
1. Buat folder baru (New Folder) dengan nama win32sta.dll letakkan di lokasi yang mudah diakses, misalnya pada desktop seperti gambar berikut ini:

Kemudian klik kiri satu kali pada folder tersebut dan tekan CTRL+C untuk mengkopinya.

2. Hapus win32sta.dll pada  C:\Windows\system32 dengan cara berikut ini:
- Download dan Install Unlocker (>Download<).
- Klik kanan pada file  win32sta.dll tersebut dan klik Unlocker
- Klik tulisan Unlock All untuk menghentikan semua proses loading terhadap win32sta.dll.
- Kemudian klik kiri satu kali pada file  win32sta.dll dan tekan Shift+Delete
- Pada saat muncul jendela ini:


Tekan Enter untuk menghapusnya. Setelah tekan Enter, secepatnya CTRL+V (untuk mem-paste-kan folder win32sta.dll yang telah dibuat tadi ke lokasi ini). Tujuan folder ini adalah mencegah terbentuknya kembali file win32sta.dll yang telah dihapus tadi karena Windows tidak mengijinkan ada dua file/folder yang bernama sama pada satu lokasi.
Lakukan paste folder ini dengan cepat. Jika anda kurang cepat, maka file yang telah dihapus ini akan segera terbentuk lagi sebelum anda sempat mem-paste-kan folder ini. Ulangi hapus ulang dengan Shift+Delete dan CTRL+V sekali jika kurang cepat, dan seterusnya sampai anda berhasil  mem-paste-kan folder tadi.


3. Hapus key ini:  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Bindows. Setelah hapus, coba refresh kembali dan lihat apakah key yang baru dihapus terbentuk kembali setelahnya? Jika iya, Restart komputer dan ulangi lagi menghapusnya sampai key ini hilang selamanya.

4. Setelah key pada nomor 3 tidak lagi muncul, folder win32sta.dll yang di-paste-kan tadi sudah bisa dihapus. Tetapi untuk pencegahan terinfeksi kembali, folder ini dibiarkan saja.

5. Perbaiki kembali file hosts yang telah diubah virus dengan tool ini. Pada Tab File Handling, klik Restore MS Hosts File untuk memulihkannya.

6. Pulihkan kembali akses ke System Restore dengan cara membuka key berikut melalui Regedit:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore
Klik kanan pada kolom sebelah kanan dan klik New->DWORD Value dan isikan nama berikut ini: DisableSR.

Jika anda memang selalu mematikan System Restore dalam keseharian, maka klik ganda pada value  DisableSR dan ganti nilainya menjadi 1.

Jika anda ingin mendapatkan sampel virus ini, silahkan tinggalkan email anda di sini dan saya akan mengirimkannya sesegera mungkin.

 Semoga berhasil 

2 comments: