Camfrog? Virus atau bukan?

Satu lagi virus Indonesia yang baru aja muncul nih… MorphostLab menamainya Camfrog.Worm karena filename-nya demikian. Yang menjadi hal yang aneh adalah apakah camfrog ini virus atau bukan….

Dilihat dari icon, kelihatannya bukan virus. Iconnya mirip gambar kodok!

Sampai sejauh ini hanya ada beberapa antivirus yang bisa mendeteksi virus camfrog ini antara lain,
-Sophos. Sophos menyebutnya sebagai Mal/Silly-FDC.
-Kaspersky. Kebetulan virus ini bisa terdeteksi dengan metode heuristik cek packer oleh Kaspersky. Kaspersky menyebutnya “packed with: ASPack”
-Morphost. Virus ini baru bisa dideteksi setelah virus ini aku dapatkan.
-untuk antivirus lain aku belum tahu. Khususnya untuk antivirus Indonesia, aku belum coba.

Virus ini dibuat oleh anak bangsa sendiri (alias Indonesia). Tanpa kita sadari memang begitu banyak bakal-bakal anak-anak cerdas Indonesia di bidang IT. He he he he….

Virus ini menyebar dan membuat file:
c:\autorun.inf
c:\BOOTSECT.exe
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\HotKeyDrive.exe
C:\Program Files\WindowsUpdate.exe
C:\Windows\pchealth\helpctr\MSConfig.exe
C:\Windows\settings.exe
C:\Windows\System\imaps.exe
C:\Windows\System\lnkstfb.exe
C:\Windows\System\svchosts.exe
C:\Windows\System\users.exe
C:\Windows\System\winflags.scr
C:\Windows\System\216114.htm

Dan ini nama-nama process yang aktif di Morphost taskmanager yang kulihat.
-users.exe
-imaps.exe
-settings.exe
-lnkstfb.exe
-svchosts.exe

Silakan matikan proses-proses virus camfrog diatas….

Dan ini adalah alamat-alamat registry yang dimainkan si Camfrog…

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\JSFile\Shell\Open\Command]
(Default) = “%System%\users.exe “%1″ %*”
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\JSFile\Shell\Open2\Command]
(Default) = “%System%\users.exe “%1″ %*”
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\Shell\Open\Command]
(Default) = “%System%\users.exe “%1″ %*”
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\Shell\Open2\Command]
(Default) = “%System%\winflags.scr “%1″ %*”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
HideFileExt = 0×00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
NoDispCPL = 0×00000001
DisableRegistryTools = 0×00000001
DisableTaskMgr = 0×00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
NoPropertiesMyComputer = 0×00000001
NoControlPanel = 0×00000001
NoFolderOptions = 0×00000001
NoRun = 0×00000001
NoFind = 0×00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
UserServicesProc = “%System%\users.exe”
StoreProc = “%Windir%\pchealth\helpctr\MSConfig.exe”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe]
Debugger = “%System%\imaps.exe”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe]
Debugger = “%ProgramFiles%\WindowsUpdate.exe”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Taskmgr.exe]
Debugger = “%System%\svchosts.exe”

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoPropertiesMyComputer = 0×00000001
NoControlPanel = 0×00000001
NoFolderOptions = 0×00000001
NoRun = 0×00000001
NoFind = 0×00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
NoDispCPL = 0×00000001
DisableRegistryTools = 0×00000001
DisableTaskMgr = 0×00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
ScreenSav = “%Windir%\settings.exe”

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]
DisableCMD = 0×00000002

Camfrog juga menghapus alamat-alamat registry berikut:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\JSFile\Shell\Open\Command]
(Default) = “%SystemRoot%\System32\WScript.exe “%1″ %*”
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\JSFile\Shell\Open2\Command]
(Default) = “%SystemRoot%\System32\CScript.exe “%1″ %*”
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\Shell\Open\Command]
(Default) = “%SystemRoot%\System32\WScript.exe “%1″ %*”
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\Shell\Open2\Command]
(Default) = “%SystemRoot%\System32\CScript.exe “%1″ %*”

Camfrog juga gak lupa untuk memodif alamat registry berikut:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command]
(Default) = “%System%\winflags.scr “%1″ %*”
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command]
(Default) = “%System%\users.exe “%1″ %*”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell = “Explorer.exe “%System%\users.exe”"

Yah mungkin sekian artikel ini kutulis. He he he….

By: Morphic

MyBlogSite : (http://www.morphostlab.co.nr)
MyFriendster (http://www.friendster.com/morphic)
MyEmail (karta_morphic@yahoo.co.id)

Thanks to:
-Cacing_mabok (thanks for all)
-Anharku
-A.M.Hirin
-Maridjo
-Jonathan (met ultah ya tgl 7 februari ini. Thanks udah mau jadi teman sebangkuku selama 3 tahun ini)
-Adikku (yang kakinya lagi sakit kena knalpot. He he he)
-and others…

—————————————————————————————————————-
——————————————- End of Tutorial —————————————————–
—————————————————————————————————————-

Ada yang mau kupromosiin nih. Sekalian bikin tutorial.. he he he…
Bagi teman-teman virologers atau all readers… pengen punya domain “.com” atau “.net” atau “.info” atau yang lainnya secara gratis????

(bagi yang dah tahu gak usah baca lagi yooo)
Sekarang ada cara untuk dapatin domain-domain bagus seperti itu secara gratis tanpa bayar….

Caranya login di sini:
klik disini