Mengatasi virus Lone4ever (The Skull – Yemen Hacker.scr)

Assalamualikum, wr, wb

Kebetulan saya mendapat sample virus dari Kaskus Virus klinik. Salah satu member forum tersebut mengeluhkan tentang masalah virus lone4ever. “Hemm… virus baru kah??” dalam hati menggumam. Setelah mendapat sample virus tersebut, saya tidak langsung mengetesnya. Keesokan harinya saya mengeksekusi file virus tersebut. Setelh file tereksekusi, effect yang terjadi hanya memunculkan beberapa gambar. Biasanya virus lainnya langsung memblokir beberapa fungsi windows. Tetapi di komputer saya tidak, agak aneh memang. Saya berfikir “mungkin file virus nya bukan ini”. Akhirnya saya tinggalkan komputer saya tanpa proses pembersihan virus. Malam harinya ketika saya mengaktifkan kembali komputer, betapa terkejutnya saya!!.
Semua File dengan ekstension *.exe yang ada di folder Data saya berubah menjadi nama file.scr. Ah mungkin hanya menghidden file asli saja… saya show hidden file, ternyata tidak ada file aslinya. Saya coba membuka dengan Hexeditor file yang terinfeksi, sungguh terkejut ketika saya melihat hasilnya. Virus ini merubah habis habisan crc32 dari file asli, selain itu ia juga merubah ukuran file menjadi 280 kb. Namun, mengapa file *.exe yang ada di program files dan system tidak terinfeksi y?

properties file terinfeksi

Gambar di atas adalah properties dari file yang terinfeksi, semua file yang terinfeksi sama propertiesnya. Walaupun nama filenya berbeda tergantung nama asli file inangnya. Satu hal yang penting, file yang terinjeksi virus ini murni tidak bisa di kembalikan, setidaknya sampai saat tulisan ini dibuat. Saya akan sedikit penjelasan cara kerja virus ini. Virus Ini aktif di memory dengan nama file winlogon.exe. Tapi bukan winlogon bawaan windows yang berguna saat booting. Karena letak winlogon.exe palsu ini terdapat di C:\WINDOWS\winlogon.exe, dan file asli terdapat di C:\WINDOWS\system32\winlogon.exe.

Selanjutnya virus ini meregister di driver yang terletak di reg import C:\WINDOWS\system32\InSys.dll. Agar prosesnya tidak bisa langsung di matikan user dari task manager. Selanjutnya virus tersebut mengembed wmiprvse.exe yang terletak di C:\WINDOWS\system32\wbem\wmiprvse.exe . Membuat Autorun.inf dan file The skull.com di setiap Harddrive. Aktif sebagai DCOMservice yang menjalankan file svchost.exe, dan membuat string registry

* Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
* Value: Shell
* Data: Explorer.exe “C:\windows\winlogon.exe”

* Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
* Value: System
* Data: C:\windows\winlogon.exe

* Key: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLS
* Value: Shell
* Data: Explorer.exe “C:\windows\winlogon.exe”

* Key: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
* Value: Dword
* Data: DisableRegistryTools = 0x00000000

* Key: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
* Value: Dword
* Data: NoDrives = 0x00000000

Bukan Hanya itu, virus yang di buat dengan engine visualbasic ini juga mampu menginject file *.jpg, *.html, *.png, *.gif, *.exe. Untungnya saat saya eksekusi virus ini tidak sampai merusak *.exe file yang ada di system dan program files. Tidak seperti virus alman atau sality. Wah jadi kebanyakan jelasinnya nih, mana cara mengatasinya?? Hehheh..

Cara Mengatasi Virus Lone4ever

Download beberapa file ini

1. ProsesExplorer
2. Combofix
3. Norman malware Cleaner
4. Hijact This

Saya sangat menganjurkan agar anda mendownload di warnet atau komputer lain. Karena file – file di atas berekstension *.exe. Setelah selesai mendownload, rename semua file diatas dengan ekstension *.cmd. Misal dari Combofix.exe menjadi combofix.cmd.

Langkah Pertama

  • Matikan Koneksi Internet anda, setelah itu matikan system restore
  • Jalankan prosesexplorer.exe yang telah di rename menjadi prosesexplorer.cmd

lokasi file terinfeksi

  • cari proses winlogon.exe dengan company name lone4ever – lone4ever
  • Untuk lebih Memastikan, klik kanan di proses tersebut, pilih properties, dan lihat lokasinya
  • Lokasi virus seharusnya di C:\WINDOWS\winlogon.exe
  • Klik Kanan Kembali d winlogon.exe pilih Kill Prosess tree

Langkah kedua

  • Jalankan Hijacthis
  • Pilih scan and save log

Fix baris Hijacthis

Fix Baris ini

F2 – REG:system.ini: Shell=Explorer.exe “C:\windows\winlogon.exe”
O4 – HKLM\..\Run: [System] C:\windows\winlogon.exe

Langkah Ketiga

  • Jalankan Norman Malware Cleaner yang telah direname juga menjadi ekstension.cmd
  • Tunggu proses Hingga selesai

Langkah keempat

  • Jalankan hijactthis kembali
  • Periksa apakah string yang di fix sebelumnya masih ada atau tidak
  • Jalankan Combofix
  • Jika di minta backup, sebaiknya di skip saja!!

Perhatian!!! Menjalankan Combofix dapat membuat beberapa service windows tidak bekerja sementara. Jika anda ragu sebaiknya jangan di lakukan. Sebenarnya sampai Langkah kedua saja Sudah bersih, namun memang masih ada sedikit effect dari virus tersebut. Dan saya menggunakan Combofix untuk meremove service virus serta driver palsu buatan virus tersebut.

Selesai, restart PC anda.

Wassalamualikum , wr ,wb

 

update :

hey that’s pretty good but i think you have to search about this in google (Lone4ever 8er) and show me how will you deal with it, this virus’s name is 8er,,, but as an advice just watch out dude (^_^)

8 thoughts on “Mengatasi virus Lone4ever (The Skull – Yemen Hacker.scr)

  1. hey that’s pretty good but i think you have to search about this in google (Lone4ever 8er) and show me how will you deal with it, this virus’s name is 8er,,, but as an advice just watch out dude (^_^)

    • assalamualikum wr, wb

      Are you making this a virus?
      If true I am sorry, I’m naming this virus in accordance with the properties that appear in the files that have been infected. Not because I was looking in google.

      If you are making this virus, please tell me how to fix files that have been infected this virus. Since I have not able to find a way ..

      This virus samples sent by one of my friends, and I try to analyze it, and I write as much as possible in a simple on this blog, so easy to understand!!

  2. hahaha, is that what you call real security (^_^).

    just put your email over here so i’ll try to catch up with you dude, but don’t even tray to recover your damaged files because it’s kind of possible,,, good luck but don’t give up,

    oh thanks to my friend Crasher4ever who drove me out of it, lolz

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s