(VIRUS YANG TIDAK KREATIF)
Segera amankan file Zip dan Master program anda

Dikatakan tidak kreatif, karena virus ini banyak meniru virus-virus pendahulunya, seperti ManOrBlack, RontokBro, Smslucu, Small.Km.

Pengging , aku jadi ingat tokoh jawa saat pertama kali menemui virus ini. Virus yang menamakan dirinya sebagai Pengging ini bisa dibilang cukup berbahaya, karena ia akan “ Menghapus file berekstensi .Exe dan .Zip ”, kemudian menggantinya dengan file palsu berukuran 46 Kb.

Disamping itu, virus inipun akan menyamar sebagai folder dan tentu saja akan menduplikasi seluruh folder yang ada.

Dari segi fungsi, virus ini memang cukup berbahaya dan menjengkelkan. Namun, dari segi cara dan teknik manipulasi, virus termasuk dalam golongan virus bajakan, karena sama sekali tidak kreatif dan banyak meniru para pendahulunya.

Manipulasi
Berikut ini adalah beberapa screenshot yang diambil dari manipuasi virus pengging :

Gambar 1 : Penggantian Nama Icon Inti

Pada gambar diatas, virus ini akan melakukan penggantian nama secara paksa pada :

  1. MyComputer dengan Kompi Pengging
  2. My Documents dengan Dokumen Pengging
  3. MyNetworkPlaces dengan Network Pengging
  4. RecycleBin dengan Tonk Pengging

Gambar 2 : Pesan Eror

 

Gambar 2 menunjukkan pesan eror ketika anda membuka Run ( Start + R ) atau Windows Explorer (dengan Start + E ).

Gambar 3 : Mematikan Fungsi Task Manager

Gambar 4 : Manipulasi Start Menu

Gambar 5 : Manipulasi Folder Options

Gambar 6 : Menjadikan seluruh folder dan file zip berukuran 46 kb

File Induk

Virus ini sepertinya ingin meniru pendahulunya, om RontokBro dengan menggunakan icon folder sebagai sarana penipuan. Berikut ini adalah daftar file induk virus Pengging :

  1.  
    1. Drive C:\
      Message from pengging.exe
      Microsoft Data.exe
    2. C:\Windows
      Pengging.exe
    3. C:\Windows\System32
      Shell.exe
      Pengging.scr
    4. C:\Documents and Settings\Microsoft\Local Settings\Application Data
      Pengging.exe
      Lsass.exe
      Smss.exe
      Csrss.exe
      Services.exe
      Shell.exe
      Winlogon.exe
    5. C:\Documents and Settings\%users%\Start Menu\Programs\Startup\
      Microsoft.exe
    6. C:\Documents and Settings\All Users\Start Menu\Programs\Startup\
      Default.exe
    7. C:\Documents and Settings\Default User\Start Menu\Programs\Startup\
      Default.exe
    1.  
      1. HKEY_CLASSES_ROOT\exefile\
        Default : File Folder
      2. HKEY_CLASSES_ROOT\scrfile\
        Default : Microsoft Word Document
      3. HKEY_CLASSES_ROOT/vbsfile
        Default = JPEG image
      4. HKLM\Software/Microsoft/Windows/Current Version/Run
        Msg : C:\Document …..\Local Settings\Application Data\lsass.exe
        Systray : C:\Windows\pengging.exe
      5. HKLM\Software/Microsoft/windows/cmd
        Debugger : C:\Windows\pengging.exe
      6. HKLM\Software/Microsoft/windows/shell
        I Worm [pengging] : Explorer.Exe “C:\WINDOWS\pengging.exe”
      7. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
        LegalNoticeText = “ Assalamualaikum…Microsoft. Did you know? Sorry it just too little too late, maybe you sick or suck and fuck with me, don’t worry it’s a joke and I’ll be play with you. Thank’s for choose me, this computer be controlled.. .^_*”
        LegalNoticeCaption = Good Day Microsoft …
        Shell = “Explorer.Exe “C:\WINDOWS\pengging.exe””
        Userinit = “C:\WINDOWS\system32\Userinit.Exe, C:\WINDOWS\pengging.exe”
      8. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
        Paint.exe
        Regedit.exe
        Taskmgr.exe
        Notepad.exe
        Setup.exeDebugger : C:\Documents and Settings\Microsoft\Local Settings\Application Data\shell.exe
      9. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\
        AlternateShell : C:\WINDOWS\pengging.exe
      10. HKEY_LOCAL_MACHINE\Software/Microsoft/Windows NT/System Restore
        DisableConfig = 1
        DisableSR = 1
      11. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\
        AlternateShell : C:\WINDOWS\pengging.exe
      12. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
        Pengging = C:\Documents and Settings\Microsoft\Local Settings\Application Data\smss.exe
        Service : C:\Documents and Settings\Microsoft\Local Settings\Application Data\csrss.exe
      13. HKEY_CURRENT_USER\Software/Microsoft/Windows/Current version/policies/system
        Disabled RegistryTools
        NoDispSettingsPage
        NoDispAppearancePage
        NoDispScrSavPage
        DisableTaskMgr
        DisableCMD
      14. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
        Disabled = 1
      15. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
        NoDriveTypeAutoRun”=dword:00000091
        NoClose
        NoFind
        NoRun
        NoSearch
        NoControlPanel
        NoSetFolders
        NoSetTaskbar
        NoTrayContextMenu
        NoUserNameInStartMenu
        StartMenuLogOff
        NoStartMenuTurnOff
        NoStartMenuTurnOffComputer
        NoFolderOptions
        NoSMHelp
        NoThemesTab
        NoInstrumentation
        NoChangeStartMenu
        NoDesktop
      1.  
        1. IknowPS (Installer)
        2. Explorer.exe
        3. HijackThis
      1. Install IknowPS langsung dari CD (kebetulan file executable-nya bukan setup.exe , jadi tidak diblokir).
      2. Pada konfirmasi terakhir, pastikan anda menceklis opsi Launch IknowPS (lihat gambar)
        Sehingga, program ini akan langsung berjalan
      3. Selanjutnya, perhatikan proses yang sedang berlangsung. Jika bingung, lihat daftar file induk pada bagian awal artikel ini.
      4. Jika anda menemukan kecocokan antara file induk dengan file yang sedang berproses, langsung matikan saja prosesnya dengan cara klik kanan dan pilih Remove
      1. Setelah proses mati dengan IknowPS, sekarang anda akan menggunakan program HijackThis untuk proses memasuki Registry.
      2. Silakan jalankan Executable Hijackthis.exe kemudian cari opsi yang mendisable regedit. Klik opsi tersebut dan klik Fix checked . Jika anda bingung dengan semua opsi yang ada, klik semua aja, kemudian klik Fix Checked .
      3. Sekarang masuk ke Registry dan perbaiki nilai-nilai yang ada diatas.
    2. Mengenai fungsi dari perintah-perintah diatas, sepertinya anda sudah faham, atau jangan malu-malu untuk menanayakan.

      Solusi :

      Untuk menghadapi virus ini, tidak dianjurkan menggunakan senjata (program) yang ada di dalam flashdisk atau media lain yang bisa Read-Write . Alangkah lebih baik jika program yang digunakan ada dalam CDR. Karena CDR hanya mempunyai fungsi Read Only .

      Siapkan program berikut dan burning ke CD :

      Langkah :

      Kira-kira, file yang berproses dari Pengging ini adalah :

      Nama file

      Path

      Pengging.exe C:\Windows
      Shell.exe C:\Windows\system32
      Smss.exe C:\Documents and Settings/%userprofile%/local settings/application data
      Csrss.exe C:\Documents and Settings/%userprofile%/local settings/application data
      Services.exe C:\Documents and Settings/%userprofile%/local settings/application data

      Gambar proses :

      Pada gambar diatas, terdapat dua proses smss.exe , yang harus anda matikan adalah proses smss.exe yang lokasi pathnya C:\Documents and Settings/%userprofile%/local settings/application data . Begitu seterusnya ….

      Karena ini tergolong virus baru, silakan submit virus pengging ke vendor Antivirus kepercayaan anda.

      Nasib File master dan Zip Anda ?????
      Virus ini akan menghapus file master program ( .exe ) dan .Zip . dan menduplikasinya dengan file palsu berukuran 46 kb. Untuk mengembalikan data yang dihapus tersebut, anda bisa menggunakan Restorisasi , program kecil yang cukup tangguh untuk proses Recovery Data.

  2. Registry Yang diObok-obok

    Seperti halnya virus lain, tentu saja virus inipun akan memanipulasi registry, pada ruang-ruang berikut :