.

« »

Pernahkan kamu kena worm 32 sality, biasa menular lewat flashdisk dan LAN
Diketemukan pada 06/08/2008, dengan Type file infector (Menjadi aktif di memory dan akan menjadi
resistent serta berbentuk file exe)

Penularan Secara umum Melalui
• Local network
• Mapped network drives (flasdisk/Memory Card/Eksternal Hardrive)

Sudah dideteksi oleh :
• Symantec : W32.Sality.AE
• Mcafee : W32/Sality.gen
• Kaspersky : Virus.Win32.Sality.aa
• TrendMicro: PE_SALITY.JER
• F-Secure : Virus.Win32.Sality.aa
• Sophos : W32/Sality-AM
• Panda : W32/Sality.AK
• VirusBuster: Sality.AQ.Gen
• Bitdefender: Win32.Sality.OG

Efek samping:
• Memperlemah keamanan system
• Memodifikasi Registry menjadi
Task manager tidak bisa dibuka
Registry Editor tidak bisa terbuka
Antivirus tidak berfungsi dan tidak bisa di Update, diinstal juga tidak bisa
Firewall juga tidak jalan
Folder Option di Explorer akan hilang

Dibawah ini adalah posisi w32/sality.Y di registry windows :

Registry The value of the following registry key is removed :

– [HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot]


It creates the following entry in order to bypass the Windows XP firewall:

– [HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\List]
• "c:\\%filename%"="c:\\%filename%:*:Enabled:ipsec"
• "c:\windows\\system32\\ctfmon.exe"="c:\windows\\system32\\ctfmon.exe:*:Enabled:ipsec"


The following registry key is added:

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system]
• "DisableTaskMgr"=dword:00000001
• "DisableRegistryTools"=dword:00000001


The following registry keys are changed:

– [HKLM\SOFTWARE\Microsoft\Security Center]
Old value:
• "AntiVirusDisableNotify"=dword:00000000
• "FirewallDisableNotify"=dword:00000000
• "UpdatesDisableNotify"=dword:00000000
• "AntiVirusOverride"=dword:00000000
• "FirewallOverride"=dword:00000000
New value:
• "AntiVirusDisableNotify"=dword:00000001
• "FirewallDisableNotify"=dword:00000001
• "UpdatesDisableNotify"=dword:00000001
• "AntiVirusOverride"=dword:00000001
• "FirewallOverride"=dword:00000001
• "UacDisableNotify"=dword:00000001

– [HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
Old value:
• "Hidden"=dword:00000001
New value:
• "Hidden"=dword:00000002

cara membersihkannya :
1. Gunakan remover sality yang dijalankan dari cd, remover sality yang biasa saya gunakan dari AVG, Kaspersky, Norman, tunggu semua proses selesai. Sabar menunggu.
2. Setelah selasai lakukan perbaikan registry yang di rusak oleh sality (repair.inf)
3. Restore semua registry yang hilang (bisa di donlot di bagian Downloads)
4. Install antivirus avira Product version 9.0.0.394 or higher version , (kalo ada yang gratis kenapa musti beli apalagi membajak), jangan lupa diupdate virus definitionnya.
5. Scanning semua drive yang ada...sampai selesai, akan muncul "repair all" klik repair all
6. Selamat mencoba.

0 Comments:

Post a Comment



 
Powered By Blogger | Portal Design By egreat goth