Cara Menghilangkan Virus JSE / Beautiful

Girl
Written By Rizky Indra Nurbayu on Saturday, 6 July 2013 | 10:08

Cara Menghilangkan Virus JSE / Beautiful Girl. Virus JSE adalah

sebuah virus berbasis Javascript Encoded Files yang menyembunyikan sebuah dokumen yang
berekstensi *.doc, *.docx, *.rtf dll dan mengubahnya menjadi *.jse dengan nama yang sama,
ketika file dokumen tersebut kita klik file dokumen akan terbuka seperti biasa sekaligus
mengaktifkan script virusnya. Berikut Keterangan Lebih lanjut mengenai virus JSE atau
Beautiful Girl ini :

A. About Virus

Nama : annie.ani

Ukuran : 9,201 bytes

Info : JavaScript Encoded File

B. Companion atau File yang dibuat

Serviks-JS dalam aksinya membuat file sebagai berikut:

1.) Autorun.inf
berada pada root drive dan C:\Documents and Settings\%username%\Local Settings\Application
Data\Microsoft\CD Burning.

ketika drive dibuka, maka file autorun.inf akan menjalankan file annie.ani, berikut listing file
autorun.inf tersebut.

[autorun]
shellexecute=wscript.exe //e:jscript.encode annie.ani /a
shell\open\command=wscript.exe //e:jscript.encode annie.ani /a
shell\explore\command=wscript.exe //e:jscript.encode annie.ani /a

2.) Beautiful_girl_part_1 s/d part_5

ketika user menjalankan file shortcut tersebut yang sepintas terlihat seperti file Video maka akan
menjalankan file windows media player atau wmplayer dan annie.ani

C:\WINDOWS\system32\wscript.exe //e:jscript.encode annie.ani /q:5

3.) Annie.sys

berada pada direktori C:\WINDOWS\system32\drivers, file ini akan aktif ketika komputer di
restart dengan membuat startup pada registry sebagai berikut :

HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Winlogon
value=Userinit=C:\WINDOWS\system32\userinit.exe,wscript.exe //e:jscript.encode
C:\WINDOWS\system32\drivers\annie.sys /e

4.) Annie.ani

berada pada root drive dan C:\Documents and Settings\%username%\Local Settings\Application

Data\Microsoft\CD Burning. File annie.ani selain di aktifkan oleh file autorun.inf dan shortcut,
juga aktif ketika user membuka drive dengan memanfaatkan registry.

C .Aksi

Serviks-JS menyembunyikan file dokumen dengan ekstensi *.doc , *.docx dan *.rtf. File tersebut
digantikan dengan file host Serviks-JS dengan extensi *.jse dengan nama yang sama. Ketika file
*.jse tersebut dijalankan, file dokumen akan terbuka seperti biasa sekaligus mengaktifkan virus.
Tidak hanya itu, Serviks-JS juga menginfeksi file ber-ekstensi *.htm dan *html

Pada header file *.htm dan *.html, terlihat string dari Serviks-JS sebagai berikut:

lalu menyisipkan kode Serviks-JS sebagai berikut:

Selain itu Serviks-JS melakukan perubahan pada Registry yang mengakibatkan Task Manager,
Regedit, CMD , Menu Run ,Folder Options, System Restore terdisable, membuat file hidden
tidak bisa terlihat, menyembunyikan ekstensi file, menghilangkan File Associate juga merubah
value pada file ber-ekstensi *.reg yaitu (Default)=cmd.exe /c del /q /f “%1″, Serviks-JS juga
membuat value pada Image File Execution Options bernama attrib.exe, autoruns.exe,
procexp.exe, reg.exe, regalyzer.exe dan taskkil.exe dengan value Debugger=cmd.exe /c del /q
/f

D. PCMAV Express for Serviks-JS

PCMAV Express for Serviks-JS ini mempunyai kemampuan memblok akses ke situs antivirus
dengan memodifikasi file hosts. Metode infeksi masih sama yang mebedakan adalah pada file
*.htm dan *.html terinfeksi, kode Virus dalam keadaan ter-encode.

E. Pembersihan

Untuk pembersihan tuntas gunakan PCMAV Express for Serviks-JS yang dapat didownload
melalui link di bawah ini.
Link Download: http://www.sendspace.com/file/erg1j8
Sekian. Semoga artkel Cara Mengatasi Virus JSE / Beautiful Girl ini
dapat membantu anda jika komputer anda mengalaminya. terima kasih