Cara membasmi virus sality

setelah sekian lama saya mencari sendiri virus ini, akhirnya saya pun berhasil mendapatkan cara untuk menghapus file sality tersebut.memang begitu menyebalkan ketika kita terkena virus ini, dikarenakan semua file exe,com, dan scr terinfeksi oleh virus sality. dan ingat tidak semua antivirus bisa menghilangkan virus sality ini ketika anda semua telah terinfeksi virusini. ukuran file yang sudah terinfeksi virus sality bertambah beberapa kb. untuk mempermudah penyebaran virus ini, ia memanfaatkan file sharing, juga mengandakan dirinya dari removable media seprti layaknya flask disk dengan membuat file acak dengan extension exe,com,pif atau scr dan sebuah autorun untuk menjalankan virus ini. jadi berhatilah anda dengan file tersebut yang tiba-tiba ada di dalam flask disk anda...

ada beberapa yang di blok sama virus ini, yaitu task manager dan registry editor, lokasinya di


-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system
DisableRegistryTools
DisableTaskMgr



Pada saat file yang terinfeksi Sality, ia akan mendekrip dirinya dan mencoba untuk kopi beberapa file *.dll (acak) file DLL kemudian akan menginjeksi file lain yang aktif di memori serta file lain yang terdapat di komputer dan jaringan (file sharing) serta menginfeksi file*.exe yang terdapat dalam list registry berikut sehingga memungkinkan virus dapat aktif secara otomatis setiap kali komputer dinyalakan.loasinya di :

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache


Berikut ini beberapa contoh file *.dll yang akan di drop oleh Sality.
C:\Windows\system32\syslib32.dll
C:\Windows\system32\oledsp32.dll
C:\Windows\system32\olemdb32.dll
C:\Windows\system32\wcimgr32.dll
C:\Windows\system32\wmimgr32.dll

Selainmembuat file DLL, sality juga akan membuat file *.sys dengan nama acak di direktori “C:\Windows\system32\drivers” [contoh: kmionn.sys]


bahkan banyak antivirus yang berhasil di blok sama virus ini :
ALG
InoRPC
aswUpdSv
InoRT
avast! Antivirus
InoTask
avast! Mail Scanner
ISSVC
avast! Web Scanner
KPF4
AVP
LavasoftFirewall
BackWeb Plug-in - 4476822
LIVESRV
bdss
McAfeeFramework
BGLiveSvc
McShield
BlackICE
McTaskManager
CAISafe
navapsvc
ccEvtMgr
NOD32krn
ccProxy
NPFMntor
ccSetMgr
NSCService
F-Prot Antivirus Update Monitor
Outpost Firewall main module
fsbwsys
OutpostFirewall
FSDFWD
PAVFIRES
F-Secure Gatekeeper Handler Starter
PAVFNSVR
fshttps
PavProt
FSMA
PavPrSrv
PAVSRV
Symantec Core LC
PcCtlCom
Tmntsrv
PersonalFirewal
TmPfw
PREVSRV
tmproxy
ProtoPort Firewall service
UmxAgent
PSIMSVC
UmxCfg
RapApp
UmxLU
SmcService
UmxPol
SNDSrvc
vsmon
SPBBCSvc
VSSERV
WebrootDesktopFirewallDataService
WebrootFirewall
XCOMM


ternyata,tidak hanya itu yang ia blok. bahan beberapa situs di blok juga oleh virus ini... berikut ini ada beberapa situs yang di blok oleh virus tersebut :
Cureit
Drweb
Onlinescan
Spywareinfo
Ewido
Virusscan
Windowsecurity
Spywareguide
Bitdefender
Panda software
Agnmitum
Virustotal
Sophos
Trend Micro
Etrust.com
Symantec
McAfee
F-Secure
Eset.com
Kaspersky


Sality juga akan mencoba untuk merubah regisrty berikut:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Setting\"GlobalUserOffline" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"EnableLUA" = "0"
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xxx [xxx adalah acak, contoh : abp470n5]
HKEY_CURRENT_USER\Software\[USER NAME]914
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMI_MFC_TPSHOKER_80
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPFILTERDRIVER


Selainitu ia juga akan mencoba untuk merubah beberapa string registry WindowsFirewall berikut dengan menambahkan value dari 0 menjadi 1:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
AntiVirusDisableNotify
AntiVirusOverride
FirewallDisableNotify
FirewallOverride
UacDisableNotify
UpdatesDisableNotify


dan membuat key “SVC” serta string berikut dengan value 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
AntiVirusDisableNotify
AntiVirusOverride
FirewallDisableNotify
FirewallOverride
UacDisableNotify
UpdatesDisableNotify


Tak cuma itu Sality juga akan menghapus key :
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ALG”.

ALG atau Application Layer Gateway Service adalah services yang memberikan support untuk plug-in protokol aplikasi dan meng-enable konektivitas jaringan / protokol. Service ini boleh saja dimatikan. Dampaknya adalah program seperti MSN Messenger dan Windows Messenger tidak akanberfungsi. Service ini bisa dijalankan, tetapi hanya jika menggunakan firewall, baik firewall bawaan Windows atau firewall lain. Jika tidak komputer yang terinfeksi virus ini akan mengalami celah keamanan yangserius.

Agar virus ini juga dapat mempertahankan dirinya ia juga akan mencoba untuk blok akses ke mode “safe mode” sehingga user tidak dapat booting pada mode “safe mode” dengan menghapus key yangberada di lokasi di bawah ini :


HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot


Tujuanutama dari virus ini adalah mencoba untuk menginjeksi program instalas idan file yang mempunyai ekstensi exe/com/scr yang ada di drive C - Y terutama file hasil instalasi (file yang berada di direktori C:\ProgramFiles) dan file-file portable (file yang langsung dapat dijalankan tanpa perlu instal), ia juga akan menginfeksi file yang mempunyai ekstensi “.exe” yang terdapat dalam list registry berikut sehingga memungkinkan virus dapat aktif secara otomatis setiap kali komputerdinyalakan.


HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache


Fileyang berhasil di injeksi biasanya ukurannya akan bertambah sekitar 68 -80 KB dari ukuran semula. Program yang telah terinfeksi ini akan tetapdapat di jalankan seperti biasa sehingga user tidak curiga bahwa file tersebut sebenarnya telah di infeksi oleh Sality. Salah satu kecanggihan Sality adalah kemampuannya menginjeksi file tumpangannya sehingga ukuran file bervirus tidak seragam, jelas lebih sulit diidentifikasi dibandingkan virus lain yang menggantikan file yang ada sehingga ukuran filenya akan sama besar.


Cara membersihkan Sality :

1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan dan internet

2. Matikan System Restore selama proses pembersihan berlangsung.

3. Matikan Autorun dan Default Share. Silahkan download file berikut kemudian jalankan dengan cara:

http://www.4shared.com/file/82762498/f5dc1edd/repair.html?dirPwdVerified=feea1d94

Klik kanan repair.inf
Klik install


4.Matikan program aplikasi yang aktif di memori agar proses pembersihanlebih cepat terutama program yang ada dalam daftar startup.


5.Sebaiknya scan dengan menggunakan removal tools dengan terlebih dahulumerubah ekstensi dari removal tools tersebut dengan ekstensi lain [contoh: CMD] agar tidak di infeksi ulang oleh Sality. Dalam contoh dibawah, nama file "avast.exe” di rename menjadi “avast.cmd” supaya tidakdi infeksi Sality.

catatan: ingat, jika anda meng-scan virustersebut. kemunginan besar anda akan kehilangan file yang telah terinfeksi virus tersebut. gunakan juga sality remover dari AVG


6. Restart komputer dan scan ulang dengan menggunakan removal tools untuk memastikan komputer telah bersih dari virus.

Sumber : http://weeseru.webs.com