Pemeriksaan Malware pada Website

No Comments

Setelah membahas Malware disini dan membahas cara membersihkannya dengan Hijackthis, mari kita lanjutkan dengan pemeriksaan malware pada sebuah website.

Karena jaman sekarang yang semuanya sudah praktis dan  maka tidak mengherankan kalau ditemukan sebuah scanner gratis, yup completely free 😀

Berikut contohnya:

http://sitecheck.sucuri.net/scanner/

Sucuri Security adalah salah satu provider terkemuka dalam bidang monitoring dan deteksi malware pada suatu website dan jasanya telah digunakan oleh 18.000 pemilik website/hosting di seluruh dunia.

Caranya??

Ternyata caranya mudah sekali, masukkan URL website yang anda inginkan seperti pada gambar dibawah ini:

Mudah kan?? 😀

Hasilnya akan ditunjukkan seperti gambar berikut:

Alhamdulillah yah ternyata blog saya yg gratisan ini masih dalam kondisi aman terkendali 😀

Berikut daftar URL blog saya yang di-scan oleh Sucuri:

  1. http://ikonspirasi.wordpress.com
  2. http://ikonspirasi.wordpress.com/
  3. http://ikonspirasi.wordpress.com/about/
  4. http://ikonspirasi.wordpress.com/os-backtrack/
  5. http://ikonspirasi.wordpress.com/feed/
  6. http://ikonspirasi.wordpress.com/2011/09/24/apa-itu-os-backtrack/
  7. http://ikonspirasi.wordpress.com/category/backtrack/
  8. http://ikonspirasi.wordpress.com/category/coretanku/
  9. http://ikonspirasi.wordpress.com/2011/09/24/apa-itu-os-backtrack/?share=facebook
  10. http://ikonspirasi.wordpress.com/2011/09/24/apa-itu-os-backtrack/?share=twitter
  11. http://ikonspirasi.wordpress.com/2011/09/24/apa-itu-os-backtrack/?share=email
  12. http://ikonspirasi.wordpress.com/page/2/
  13. http://ikonspirasi.wordpress.com/2011/09/
  14. http://ikonspirasi.wordpress.com/2011/09/21/hari-minggu-18-september-2011/
  15. http://ikonspirasi.wordpress.com/2011/09/08/tentang-botnet-zombies/
  16. http://ikonspirasi.wordpress.com/2011/09/07/pengertian-malware-dan-cara-untuk-mengatasinya/
  17. http://ikonspirasi.wordpress.com/2011/09/02/apache-dos-vulnerability-cve-2011-3192/
  18. http://ikonspirasi.wordpress.com/2011/08/29/bermain-dota-di-os-linux/
  19. http://ikonspirasi.wordpress.com/2011/08/28/mendapatkan-privilege-administrator-via-command-prompt-os-windows/
  20. http://ikonspirasi.wordpress.com/2011/08/26/custom-word-list-generator-cewl/
  21. http://ikonspirasi.wordpress.com/2011/08/09/nmap-sebagai-vulnerability-scanner/
  22. http://ikonspirasi.wordpress.com/2011/07/13/cara-membuat-password-dictionary-wordlist-via-cupp-py/
  23. http://ikonspirasi.wordpress.com/category/hobby/
  24. http://ikonspirasi.wordpress.com/category/malware/
  25. http://ikonspirasi.wordpress.com/category/networking/
  26. http://ikonspirasi.wordpress.com/category/os-dan-programming/
  27. http://ikonspirasi.wordpress.com/category/security-and-vulnerability/
  28. http://ikonspirasi.wordpress.com/category/tanpa-batas/
  29. http://ikonspirasi.wordpress.com/category/teknologi-dan-informasi/
  30. http://ikonspirasi.wordpress.com/category/troubleshooting/
  31. http://ikonspirasi.wordpress.com/category/web-dan-database/
  32. http://ikonspirasi.wordpress.com/2011/08/
  33. http://ikonspirasi.wordpress.com/2011/07/
  34. http://ikonspirasi.wordpress.com/2011/06/
  35. http://ikonspirasi.wordpress.com/2011/05/
  36. http://ikonspirasi.wordpress.com/2011/04/
  37. http://ikonspirasi.wordpress.com/2011/03/
  38. http://ikonspirasi.wordpress.com/2011/02/
  39. http://ikonspirasi.wordpress.com/author/ikonspirasi/
  40. http://s0.wp.com/wp-includes/js/jquery/jquery.js?m=1305826061g&ver=1.6.1
  41. http://s1.wp.com/wp-content/blog-plugins/loggedout-follow/widget.js?m=1316614530g&ver=20110921a
  42. http://s1.wp.com/wp-content/themes/pub/skeptical/js/audio-player.js?m=1315596926g&ver=20110801
  43. http://use.typekit.com/jrg5ack.js
  44. http://edge.quantserve.com/quant.js
  45. http://s.gravatar.com/js/gprofiles.js?z&ver=MU
  46. http://s1.wp.com/wp-content/mu-plugins/gravatar-hovercards/wpgroho.js?m=1311367661g&ver=MU
  47. http://i.polldaddy.com/ratings/rating.js?ver=MU
  48. http://s2.wp.com/wp-content/mu-plugins/post-flair/sharing/sharing.js?m=1315610344g&ver=0.2
  49. http://apis.google.com/js/plusone.js
  50. http://platform.twitter.com/widgets.js?ver=20110531
  51. http://b.scorecardresearch.com/beacon.js
  52. https://ssl-stats.wordpress.com/w.js?21

Ternyata scanner ini juga melakukan pemeriksaan pada plugins yang digunakan oleh blog saya….menarik bukan? bahkan Javascript yang terdapat pada blog saya juga diperiksa…

Berikut daftar Javascript yang digunakan oleh blog saya:

  1. http://s0.wp.com/wp-includes/js/jquery/jquery.js?m=1308978500g&ver=1.6.1
  2. http://s1.wp.com/wp-content/blog-plugins/loggedout-follow/widget.js?m=1316614531g&ver=20110921a
  3. http://s1.wp.com/wp-content/themes/pub/skeptical/js/audio-player.js?m=1315596931g&ver=20110801
  4. http://use.typekit.com/jrg5ack.js
  5. http://edge.quantserve.com/quant.js
  6. http://s.gravatar.com/js/gprofiles.js?z&ver=MU
  7. http://s1.wp.com/wp-content/mu-plugins/gravatar-hovercards/wpgroho.js?m=1311367662g&ver=MU
  8. http://i.polldaddy.com/ratings/rating.js?ver=MU
  9. http://s2.wp.com/wp-content/mu-plugins/post-flair/sharing/sharing.js?m=1315610349g&ver=0.2
  10. http://apis.google.com/js/plusone.js
  11. http://platform.twitter.com/widgets.js?ver=20110531
  12. http://b.scorecardresearch.com/beacon.js
  13. https://ssl-stats.wordpress.com/w.js?21

Details pada website juga ditunjukkan dalam hasil pemeriksaan seperti gambar dibawah ini:

Status blacklist terhadap Google Safe Browsing, Norton Safe Web dan Phish Tank  juga diperiksa:

Walaupun cara diatas belum tentu 100% terjamin dapat mendeteksi malware, tetapi karena gratisan bukan berarti layanan ini tidak mumpuni. Dengan nama Sucuri Security setidaknya mereka telah berpengalaman dalam bidangnya.

Tolong blog saya ini jangan diserang ya…. 😀

Semoga bermanfaat

M

Categories: Keamanan Komputer, Malware Tags:

Tentang Botnet (Zombie’s)

1 Comment

Seperti yang sudah saya janjikan pada artikel sebelumnya bahwa akan ada artikel khusus mengenai zombie’s/botnet, so here we go..

Di dalam dunia Teknologi dan Informasi, botnet adalah kumpulan dari banyak zombie (komputer yang telah terinfeksi malware khusus botnet) dimana kemudian akan terbentuk suatu jaringan yang terhubung dengan satu atau beberapa kontroler (Masterbot/Operator).

Pada industri “underground” botnet ini sangat berguna untuk membantu mereka untuk mengumpulkan informasi, melakukan fraud/scam, phising dan sebagainya..

Oh iya, jika para pembaca belum mengerti dengan istilah “underground”, disini yang saya maksud adalah para Criminal Underground Economy dengan Black Marketnya  yang memiliki tujuan untuk mencari keuntungan finansial, yup diluar sana (internet) adalah hutan rimba hehe…

Kadang mereka juga melakukan jual beli informasi korban botnet, seperti nomor kartu kredit, nomor rekening, alamat rumah, nama pemilik dan sebagainya. Informasi tersebut selanjutnya akan digunakan untuk melakukan sebuah penipuan yang tampak valid atau istilah kerennya fraud/scam.

Informasi terhadap identitas seseorang ini biasanya dijual di Black Market (biasanya di sebuah Internet Relay Chat/IRC forum) rata-rata berharga 98 cents/orang, sedangkan identitas yang lengkap bisa mencapai US$ 10/orang.

Di Indonesia sendiri jika ada orang yang telah meninggal, akun bank orang tersebut dapat dijual seharga sekitar 2-3 juta Rupiah, mengerikan bukan?

Para Underground Criminal ini adalah para ahli di bidang keamanan komputer (hacker) yang mempunyai skill mumpuni dan mereka melakukan ini semua murni karena alasan finansial, bayangkan saja menurut Symantec estimasi keuntungan bersih di dunia underground sekitar US$ 8 Billion, siapa yang tidak tertarik dengan ini? 😛

Insiden paling baru yang saya ketahui yaitu Bitcoin Miner, dimana fungsi Bitcoin sebagai Digital Currency membuat para Underground Criminal tertarik untuk mendapatkannya dengan membuat malware kolektor bitcoin.

So much for Digital Crime… 😀

 

A.     Penyebaran Botnet

Karena internet sifatnya global, maka botnet ini menyebar ke seluruh dunia. Akan tetapi tetap memiliki pola, menurut Symantec  targetnya adalah negara atau tempat yang mempunyai kemampuan finansial yang cukup tinggi seperti Eropa dan Amerika seperti yang dapat dilihat pada gambar dibawah ini:


Satu macam botnet dapat melakukan infeksi terhadap sekitar puluhan sampai jutaan komputer, jadi tidak heran kalau traffic internet sebagian besar adalah spam atau data-data yang malicious (berbahaya).

B.    Macam-macam botnet yang telah beredar         Diantaranya adalah:

  • Rustock
  • Grum
  • Cutwail
  • Mega-D
  • Lethic

Yang paling terakhir muncul pada tahun 2011 ini adalah Koobface, Harnig, Zeus, SpyEye, TDL-4/TDSS Botnet.

Khusus TDL-4 botnet ini menurut Kaspersky adalah botnet yang paling canggih karena memadukan antara elemen Rootkit, Enkripsi dan teknik infeksinya adalah melalui MBR (Master Boot Record) sehingga malware ini akan dijalankan oleh komputer terlebih dahulu sebelum Operating System. Saat ini diperkirakan telah menginfeksi sekitar 4,5 juta komputer di seluruh dunia.

Sebenarnya Conficker/Downadup juga termasuk Botnet, tetapi malware ini hanya menyebar tanpa ada tujuan yang jelas, para ahli keamanan memperkirakan kalau Conficker hanyalah sebagai percobaan terhadap suatu malware yang akan datang dan pastinya jauh lebih sophisticated…

 

C.     Penyebaran Botnet

  1. Botnet operator mengirim malware (virus, worms, trojan dkk) yang berisi program bot untuk menginfeksi komputer secara luas.
  2. Pada beberapa kasus ditemukan beberapa botnet melakukan penyebaran melalui jejaring sosial seperti Facebook, Twitter dan sebagainya. Hal ini tampaknya menjadi sebuah cara baru yang cukup efisien dan akan sering kita lihat kedepannya.
  3. Ketika botnet telah menginfeksi sebuah komputer selanjutnya akan melakukan logging via IRC terhadap server C&C (Command and Control) server, kadang ada yang berupa web server.
  4. Kemudian para spammer membeli jasa botnet tersebut dari operator.
  5. Melalui IRC server atau web server, operator menjalankan apa yang para spammer inginkan.

 

D.    Jenis Serangan Botnet

  • Denial-of-service attacks (DoS) atau Distributed DoS (DDoS) yang berupa serangan untuk melumpuhkan kinerja suatu sistem, belakangan ini sering digunakan oleh kelompok hacker seperti Anonymous dan Lulzsec sebagai bentuk protes terhadap prinsip yang mereka anut.
  • Adware adalah iklan yang disisipkan di komputer kita dan cukup mengganggu
  • Spyware adalah malware yang bersifat memata-matai komputer korban dan akan mengambil semua informasi yang disimpan korban di komputer.
  • E-mail spam yang sering kita temui di mailbox
  • Click fraud, dimana bot ini akan melakukan akses terhadap website pemilik bot yang memiliki iklan sehingga akan mendapatkan uang dari jumlah klik atau bandwith yang dilakukan. Bisa juga berupa website phising yang berbahaya.
  • Access number replacements adalah dimana botnet akan mengganti akses terhadap dial-up modem sehingga tidak dapat diakses atau bisa jadi melakukan DoS terhadap nomor telepon yang digunakan oleh modem sehingga tidak dapat melakukan koneksi internet.
  • Fast flux adalah teknik DNS yang digunakan botnet untuk menyembunyikan phising dan situs penyebar malware dengan memanfaatkan komputer korban sebagai proxy.
  • Brute-forcing remote machines terhadap servis FTP, SMTP and SSH.
  • The worm behavior, contohnya Conficker yang hanya melakukan infeksi dan menyebar seperti worm.
  • Scareware atau Rogue software,  yang sering dijumpai akhir-akhir ini adalah Rogue antivirus yaitu antivirus palsu yang menginfeksi korban dan membuat seakan-akan komputer terinfeksi virus berbahaya untuk kemudian meminta sejumlah uang jika ingin komputer terbebas dari virus.
  • Exploiting systems by using multiple identities yang biasanya digunakan untuk bermain game.

 

E.     Now, the Question “is My PC part of a Botnet?”

Hal yang paling mendasar adalah koneksi internet yang melamban, cek semua port koneksi internet dapat dengan menggunakan software audit jaringan seperti network monitor atau melalui konsole dengan ketik netstat -an.

 

 

 

 

 

 

 

Agar terhindar dari infeksi malware ini selalu lakukan 2 (dua) hal yang paling mendasar:

  1. update terhadap OS, antivirus dan aplikasi lain (browser, ym dll).
  2. jangan click sembarangan di internet.

Selalu waspada ketika melakukan surfing di internet, jangan mudah tertipu oleh sebuah website yang tidak jelas. Kalau bisa pasang plugin HTTPS Everywhere (khusus Firefox) sehingga ketika browsing akan selalu diarahkan ke secure website (https).

 

JUST DON’T CLICK ANYTHING YOU DON”T TRUST/KNOW, BEWARE…..ALWAYS!!

 

Semoga bermanfaat

M

 

Sumber:

  • www.google.com
  • www.wikipedia.com
  • http://www.symanteccloud.com/globalthreats/threatmaps/botnets
  • https://www.europol.europa.eu/content/press/cybercrime-business-digital-underground-economy-517
  • http://money.cnn.com/2009/09/16/technology/cybercrime/index.htm
  • http://www.symanteccloud.com/globalthreats
  • http://www.thesecurityblog.com/2010/08/august-botnet-distribution/
  • https://www.infosecisland.com/blogview/12691-Harnig-Botnet-Scuttled-after-Rustock-Botnet-Takedown.html
  • https://www.readwriteweb.com/archives/is_your_pc_part_of_a_botnet.php
  • http://www.bbc.co.uk/news/technology-13973805
  • etc

Pengertian Malware dan Cara untuk Mengatasinya

4 Comments

Hmm..daripada duduk diam dirumah, lebih baik menulis artikel buat blog nih hehe
Kali ini saya akan membagi yang saya tahu mengenai malware..

Menurut om Wiki, Malware atau singkatan dari Malicious Software adalah segala software/aplikasi (berisi code, scripts, active content dan sebagainya) yang dibuat untuk mengganggu atau merusak sebuah operasi sebuah software lainnya. Untuk lebih lengkapnya bisa dilihat disini.

Malware pada umumnya telah kita semua ketahui, yaitu mulai dari virus, worm, trojan, keylogger, phising site, rogue antivirus dan sebagainya

Biasanya untuk mengumpulkan informasi target, meremote atau mendapatkan hak akses terhadap target, menjadikan target sebagai zombie/botnet.

Apalagi itu zombie/botnet?

Yang pasti bukan mayat hidup yang gentayangan (bahkan ada lari!) di film-film Hollywood itu 😛

Zombie disini adalah sebuah komputer/server yang sedang terkoneksi dengan internet dan telah disusupi oleh sebuah malware yang bisa dijalankan/diremote dari jarak jauh

Nah botnet itu adalah kumpulan dari zombie-zombie yang telah dijelaskan diatas, biasanya botnet ini dikontrol melalui protokol IRC (Internet Relay Chat) walaupun kadang ditemukan juga yg dikontrol melalui protokol http

Akhir-akhir ini botnet telah menjadi sebuah bisnis yang cukup menguntungkan karena bisa disewakan (umumnya untuk melakukan DDos), hal ini akan dibahas lebih lanjut di lain artikel…

Read More

Categories: Malware Tags: , , ,

Cara Menghapus Worm Emule (Rogue Software)

No Comments

Minggu lalu salah satu rekan saya di kantor meminta tolong agar komputernya dibersihkan dari virus. Katanya nama virusnya Emule, ciri-cirinya:

  • semua icon link shortcut dan program berekstensi exe (.exe) berubah menjadi gambar keledai (donkey)
  • ketika menjalankan program selalu diarahkan untuk membuka emule
  • tidak dapat menjalankan regedit
  • tidak dapat melakukan run as administrator
  • tidak dapat membuka task manager
  • agar emule tidak melakukan notifikasi terus menerus, pengguna ditawarkan software emule yang berbayar (hah? harus bayar? :hammer)

Seingat saya waktu itu Emule adalah salah satu software peer to peer (p2p) yang gratis, contoh lainnya adalah Azure, BitTorrent, Gnutella dll, tapi mengapa yang dialami rekan saya mirip seperti Rogue Antivirus? hanya saja softwarenya berupa p2p bukan Antivirus, apa ini semacam malware baru? Rogue Software?

Setelah sedikit melakukan Google-Fu, saya mendapatkan beberapa artikel yang menyebutkan bahwa memang ada Emule versi malwarenya :hammer atau disebut juga dengan W32.Changeup
http://www.symantec.com/connect/blogs/w32changeup-installing-and-running-emule
http://kill-computer-virus.blogspot.com/2008/10/emule-worm.html
http://www.exterminate-it.com/malpedia/remove-emule
dll

Berbekal file di virus klinik Kaskus seperti Trend Micro Hijackthis, Fixregistry, CCleaner, process explorer ccpb, ccpb regedit, LSPfix dan USB Flashdisk bootable berisi Kaspersky Rescue 10, saya akan mencoba memperbaikinya.

Karena malware ini mirip seperti Rogue Antivirus maka saya pikir kemungkinan langkah-langkah memberantasnya kurang lebih sama, hapus file yang dijalankan oleh malware tersebut, dalam hal ini emule.exe.

#NOTE: Maaf lagi-lagi tidak ada screenshot dari proses penghapusan malware ini :P.

Cara menghapus malware ini:

  1. Task manager tidak dapat dijalankan, file .exe selalu membuka emule.exe, run as administrator juga tidak bisa, ide: bagaimana kalau mengganti ekstensi .exe menjadi .com? saya coba di file process_explorer_ccpb.exe menjadi process_explorer_ccpb.com kemudian dijalankan, voila! ternyata jalan 😀
  2. Jalankan file .exe atau shortcut yang memiliki gambar keledai, perhatikan pada process explorer yang barusan dijalankan…apakah ada file selain emule.exe? *kalau tidak salah ada 3 (tiga) file yang mencurigakan, lihat saja apakah file tersebut penggunaan CPU dan Memory-nya cukup besar dan aktif.
    Lihat juga di command prompt, tasklist /svc, cek apakah file-file tersebut memiliki keterangan yang valid atau tidak.Gambar. Tampilan emule.exe pada Process Explorer.
  3. Jalankan Hijackthis, pertama ubah dulu ekstensinya menjadi .com, cara penggunaan hijackthis bisa dilihat disini. hapus semua yang mendapatkan rating berbahaya di hijackthis.de
  4. Restart komputer, ketika login ternyata masih dalam kondisi yang sama seperti sebelumnya, setelah dicek kembali hijackthis tidak dapat menghapus autorun malware emule ini. sepertinya harus menggunakan OS lain seperti Linux untuk menghapus file emule.exe ini, kebetulan flashdisk saya berisi Kaspersky Rescue 10 yang berbasis Linux, tinggal update kemudian scan 😀Cara membuat dan menggunakan Kaspresky Rescue 10 dapat dilihat disini atau di Kaspersky sendiri.
    Lalu hapus emule.exe dan beberapa file yang dideteksi di Hijackthis.
  5. Selesai? tampaknya setelah di restart kembali semua link shortcut dengan icon yang bergambar keledai menjadi hanya berwarna putih polos saja, begitu juga dengan file .exe-nya.
    Karena file emule.exe telah dihapus maka ketika ada shortcut atau file .exe yang dijalankan akan mencari keberadaan file emule.exe dan muncul sebuah window yang mencari file emule.exe tersebut. Hal ini menandakan bahwa registry Windows-nya telah rusak/corrupt.
  6. Kemudian saya melakukan sedikit Google-Fu lagi untuk mencari cara agar mengembalikan registry menjadi normal, ternyata ada cara yang mudah, tinggal download file bernama Default_EXE.reg lalu jalankan saja.
    File Default_EXE.reg bisa didapatkan disini.
  7. YES! akhirnya semua shortcut dan file .exe telah kembali normal 😀
    Tetapi icon shortcut dan file .exe masih sama saja berupa icon berwarna putih sehingga membuat tampilan masih berasa terinfeksi malware 😛
    Triknya cukup simpel, saya menemukannya secara tidak sengaja :D, waktu itu saya curiga bahwa malware ini menginfeksi browser Mozilla Firefox komputer tersebut (masih versi 3.6) karena ada add-on Emule dan browser tersebut selalu membuka link emule palsu untuk meminta pembayaran, kemudian saya install ulang dengan versi 5.0 yang lebih baru, eh ternyata semua link shortcut dan file .exe menjadi normal kembali 😀

OS yang digunakan oleh rekan saya adalah Windows 7 fully patched dengan antivirus AVG yang selalu diupdate tiap hari, tetapi masih dapat dengan mudah terinfeksi malware karena kurang waspadanya seseorang akan keamanan komputernya, NEVER CLICK ANYTHING THAT YOU DONT KNOW/TRUST!!

Akhir-akhir ini tampaknya malware dengan model meminta pembayaran untuk program yang mereka buat semakin marak, waspadalah!

Semoga bermanfaat,

iKONs

Catatan:

Pembuatan file Default_EXE.reg bisa dilihat disini. atau bisa dibuat melalui notepad dengan isi:

Windows Registry Editor Version 5.00

[-HKEY_CLASSES_ROOT.exe]

[HKEY_CLASSES_ROOT.exe]
 @="exefile"
 "Content Type"="application/x-msdownload"

[HKEY_CLASSES_ROOT.exePersistentHandler]
 @="{098f2470-bae0-11cd-b579-08002b30bfeb}"

[HKEY_CLASSES_ROOTexefile]
 @="Application"
 "EditFlags"=hex:38,07,00,00
 "FriendlyTypeName"=hex(2):40,00,25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,
 00,6f,00,6f,00,74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,
 32,00,5c,00,73,00,68,00,65,00,6c,00,6c,00,33,00,32,00,2e,00,64,00,6c,00,6c,
 00,2c,00,2d,00,31,00,30,00,31,00,35,00,36,00,00,00

[HKEY_CLASSES_ROOTexefileDefaultIcon]
 @="%1"

[HKEY_CLASSES_ROOTexefileshell]

[HKEY_CLASSES_ROOTexefileshellopen]
 "EditFlags"=hex:00,00,00,00

[HKEY_CLASSES_ROOTexefileshellopencommand]
 @=""%1" %*"
 "IsolatedCommand"=""%1" %*"

[HKEY_CLASSES_ROOTexefileshellrunas]
 "HasLUAShield"=""

[HKEY_CLASSES_ROOTexefileshellrunascommand]
 @=""%1" %*"
 "IsolatedCommand"=""%1" %*"

[HKEY_CLASSES_ROOTexefileshellrunasuser]
 @="@shell32.dll,-50944"
 "Extended"=""
 "SuppressionPolicyEx"="{F211AA05-D4DF-4370-A2A0-9F19C09756A7}"

[HKEY_CLASSES_ROOTexefileshellrunasusercommand]
 "DelegateExecute"="{ea72d00e-4960-42fa-ba92-7792a7944c1d}"

[HKEY_CLASSES_ROOTexefileshellex]

[HKEY_CLASSES_ROOTexefileshellexContextMenuHandlers]
 @="Compatibility"

[HKEY_CLASSES_ROOTexefileshellexContextMenuHandlersCompatibility]
 @="{1d27f844-3a1f-4410-85ac-14651078412d}"

[HKEY_CLASSES_ROOTexefileshellexDropHandler]
 @="{86C86720-42A0-1069-A2E8-08002B30309D}"

[-HKEY_CLASSES_ROOTSystemFileAssociations.exe]

[HKEY_CLASSES_ROOTSystemFileAssociations.exe]
 "FullDetails"="prop:System.PropGroup.Description;System.FileDescription;System.ItemTypeText;System.FileVersion;System.Software.ProductName;System.Software.ProductVersion;System.Copyright;*System.Category;*System.Comment;System.Size;System.DateModified;System.Language;*System.Trademarks;*System.OriginalFileName"
 "InfoTip"="prop:System.FileDescription;System.Company;System.FileVersion;System.DateCreated;System.Size"
 "TileInfo"="prop:System.FileDescription;System.Company;System.FileVersion;System.DateCreated;System.Size"

[-HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerFileExts.exe]

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerFileExts.exe]

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerFileExts.exeOpenWithList]

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerFileExts.exeOpenWithProgids]
 "exefile"=hex(0):

[-HKEY_LOCAL_MACHINESOFTWAREClasses.exe]

[HKEY_LOCAL_MACHINESOFTWAREClasses.exe]
 @="exefile"
 "Content Type"="application/x-msdownload"

[HKEY_LOCAL_MACHINESOFTWAREClasses.exePersistentHandler]
 @="{098f2470-bae0-11cd-b579-08002b30bfeb}"

Lalu save menjadi filename.reg dan tinggal di jalankan saja.

Categories: Malware Tags: