MorphostLab

Tempat nongkrongnya Morphic dan kawan-kawan

Aku benci Sality!

Posted by Morphic pada Januari 18, 2009


Aku benci Sality!

Benci sality? Ya wajar saja. Sality salah satu virus yang bikin kita emosi sekaligus memaksa kita mengabsen nama-nama penghuni kebun binatang…

Apa saja efek sality?
Sality membawa beberapa dampak pada kompi kita. Seperti disable taskmanager, regedit, hidden file dan lain-lain. Sality juga punya banyak varian yang bermacam-macam.

Sebenarnya tutorial ini gak begitu membahas mengenai sality secara mendetail, hanya mengulas sedikit saja.

Baru-baru ini komputerku kena salah satu varian sality. Dan mungkin saja varian ini sama dengan varian yang ada di kompi kalian. He he he

Umumnya kalau terkena sality ini AV kita biasanya ter-nonaktifkan…
Contohnya sebut saja Avira. Avira tidak bisa aktif jika kompi kita terinfeksi sality (varian sality yang aku maksud tadi)

Lalu sality ini juga akan menutup semua program yang memiliki caption ”antivirus”. Artinya jika ada program yang punya caption ”antivirus” akan ditutup segera oleh si sality. Untungnya Morphost tidak bercaption ”antivirus”. Kalaupun suatu saat caption Morphost tertangkap, caption-nya bisa diganti kok. Dengan cara merename nama Morphost. Dan otomatis caption Morphost akan berubah sesuai dengan nama filenya.

Tahu kah kamu mengapa antivirus (umumnya antivirus asing) dan update status AV bisa didisabled oleh Sality???
Inilah jawabannya!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
-UacDisableNotify = 0x00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]
-AntiVirusOverride = 0x00000001
-AntiVirusDisableNotify = 0x00000001
-FirewallDisableNotify = 0x00000001
-FirewallOverride = 0x00000001
-UpdatesDisableNotify = 0x00000001
-UacDisableNotify = 0x00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]
-AntiVirusOverride = 0x00000001
-FirewallOverride = 0x00000001

Itu dia alamat-alamat registry yang dimainkan oleh si Sality. Kalau kamu seorang VM. Silakan mainkan juga alamat registri ini sebijak mungkin!

Selain itu sality juga mendisable regedit dan taskmanager.
Berikut alamat yang diubah.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
-EnableLUA = 0x00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system]
-DisableTaskMgr = 0x00000001
-DisableRegistryTools = 0x00000001

Kamu perlu tahu kalau sality masih hidup alias masih aktif Taskmanager dan regedit tidak akan bisa dihidupkan meski sudah diperbaiki dengan registry Tweaker manapun!
Untuk menghidupkannya kamu membutuhkan fitur pada Morphost. Meski dalam keadaan disabled Morphost bisa memanggil taskmanager dan regedit! Silakan coba!

Kemudian sality juga membuat registry yang tidak begitu aku mengerti. Tapi kalian semua perlu tahu!
[HKEY_CURRENT_USER\Software\%UserName%914\-72398023]
1919251285 = 0x00000026
-456464726 = 0x00000000
1462786559 = 0x00000000
-912929452 = 0x00000023
1006321833 = 0x000000A1
-1369394178 = “0500687474703A2F2F6C7A2E7A702E75612F6D61696E682E67696600687474703A2F2F6D616365646F6E69612E6D79312E72752F6D61696E682E67696600687474703A2F2F6C70626D782E72752F6C6F676F732E67696600687474703A2F2F6F30786F2E636F6D2F6C6F676F732E67696600687474703A2F2F6E65787
549857107 = “329F0CD8FADAF785DB7411FBFD9B9EFB2163D59E0D02D016DD672211D874252F4264A673CFC536D81ADA1665EAB18CE431A4C7549FD1C59F93C069AA66645518E7F6B8B7C645CFDAB224BE156F7952E11732778C37A38D6A9954528D0449883463AFA5834D9E6DD48205931EC60718A007713AE08F8B560EE15B389FE
[HKEY_CURRENT_USER\Software\%UserName%914]
U1_0 = 0xCC96283A
U2_0 = 0x0000158D
U3_0 = 0x01036A29
U4_0 = 0x00000000

Itu dia sedikit pembahasan mengenai varian sality yang aku punya.

By: Morphic

visit my blog at: http://www.morphostlab.co.nr

4 Tanggapan to “Aku benci Sality!”

  1. vaw said

    berarti kita harus merubah value registry di atas menjadi o ya?? trus yang task manager diubah menjadi 1??

  2. Morphic said

    #Morse
    yeah…

  3. Morse code said

    Sore phic (kbetulan disini udh sore pas aku ngasi comment he. .He)

    phic,
    sprti perkiraanmu,
    kompi aku mgkin kena sality updatean terbaru.
    Tp varian yg d kompi ku ini *mungkin* gk ada nyentuh bagian registry yg km blg di atas.

    Oia,
    slain menonaktifkan kaspersky,
    virus ini juga menghapus filenya dan juga menghapus semua app yg mempunyai caption system cleaner (contoh: Ccleaner)
    di dlm tubuh app ini ada tulisan system cleaner klw kita bc pk hex editor (maaf ya phic, aq gk ngasi contoh gambarnya)
    jd solusinya, di ganti bacaan system cleaner td dgn nama apa aja sesuai jumlah nama yg di ganti.

    Cara ini udh aku cb,
    dan berhasil pd ccleaner.

    Makasi ya phic. . .^^

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
%d blogger menyukai ini: