Virus : w32.leena@4r1f
Nilai Crc32 : FEB4E332
Ukuran : 76 kb

CIRI – CIRI YANG TERKENA VIRUS

Jika anda sudah terkena virus ini, maka ciri – cirinya akan ditandai sbb:

1. File .doc akan disembunyikan oleh worm ini
2. Menu shutdown hilang
3. Registry di blok
4. Folder Options di windows explorer menghilang
5. msconfig diblok
6. Kompie (komputer maksudnyahhhh)… jadi lelet let let!

FILE PEMICU VIRUS

File pemicu ada banyak nama dalam worm leena ini, yaitu:

ExeRun.exe
Normal.exe
3D soccer.scr
Controls.exe
Ex-plorer.exe
Av-Prev.exe
Lsass.exe
ExeServ.exe
Normal.exe
Services.exe
Controls.exe
Tugas.exe

Semuanya berukuran 76 kb dan mempunyai nilai crc32-nya FEB4E332

PESAN – PESAN YANG DIMUNCULKAN

Pesan yang dimunculkan tidak seperti virus – virus lainnya, virus ini memunculkan pesan hoax atau pesan bohong tentang system error atau windows error, padahal pesan error tersebut dimunculkan oleh virus ini agar si user merestart komputernya dan si virus menjadi lebih bisa berkembang biak dan bersenang – senang di komputer user tersebut. Contoh pesan yang dimunculkan:

A Serious system error Has occurred. Windows will now terminate.

Dan

Runtime error 492. Not enough memory. Please restart your system.

Nah kalau anda liat pesan yang beginian….otomatis percaya donk, kalau pesan tersebut dimunculkan oleh sistem komputer … jangan acuhkan pesan ini. Dan yang pasti jangan restart komputer anda …

MANIPULASI REGISTRI

Registry yang telah dimanipulasi oleh virus ini:

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\DefaultValue

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\DefaultValue

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Av-Prev.exe

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\ExeRun “%1” %*

PENANGGULANGAN

1. Seperti biasa donlot pengontrol virus di www.virologi.info/download/ , yaitu showkillprocess, acep.scr atau acep.exe dan WAV 2005
2. Kemudian matikan proses dengan nama berikut ini:

ExeRun.exe
Normal.exe
3D soccer.scr
Controls.exe
Ex-plorer.exe
Av-Prev.exe
Lsass.exe
ExeServ.exe
Normal.exe
Services.exe
Controls.exe
Tugas.exe

3. Scan Hardisk anda dengan WAV 2005 update terbaru
4. Jika belum puas cari file berekstensi .exe dengan ukuran 76kb dan mempunyai icon MS WORD, kemudian hapus.
5. Cari dan hapus file dengan nama:

ExeRun.exe
Normal.exe
3D soccer.scr
Controls.exe
Ex-plorer.exe
Av-Prev.exe
Lsass.exe
ExeServ.exe
Normal.exe
Services.exe
Controls.exe
Tugas.exe

6. Hapus registry yang ada di alamat berikut:

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\DefaultValue

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\CheckedValue

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\DefaultValue

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Av-Prev.exe

HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\ExeRun “%1” %*

7. Kemudian restart komputer anda …
8. Jika masi ada ulangi langkah tadi …