I Love You Mindhack part 2 15 Oktober 2012
I Love You Mindhack part 2
Apa hubungan Hello Kitty dengan mindhack ?
Kill 'em all
I love U Mindhack
Dimanakah kamu sekarang?
Tahukah kamu, aku mencarimu hampir disetiap waktuku?
Kamu boleh saja bersembunyi di antara berjuta tebaran bintang
Tapi, ketahuilah suatu saat aku pasti akan menemukanmu
Kamu boleh saja telah memenangkan permainan kecil dengan mereka
Beberapa dari mereka adalah teman2 ku
Beberapa dari mereka sekarang terpenjara
Tapi, kamu belum memenangkan apapun dari aku
Sampai kapan kau akan terus bersembunyi?
Ingat! Korban tak bersalah akan terus berjatuhan
Korban berikutnya adalah ektramedia.org mu yang tiada guna
Dan phreaker2 wannabe yang mengikuti gerak langkah kecilmu yang indah dan mematikan
Ketahuilah, apapun yang tidak bisa aku dapatkan
Pasti akan aku hancurkan
Bwahahahahahhahahahahhahahahahhahahah!!!!!!!!!!!!
Jarak kita hanya tinggal beberapa tombak
bwahahahahahahhahahahahahhahahhhh
Apa
hubungannya Hello Kitty dengan mindhack ? Mungkin anda menganggap hal
ini lelucon tidak lucu, apalagi kalau harddisk anda barusan terformat
oleh virus ini. Tetapi setelah membaca artikel ini anda akan percaya
bahwa Hello Kitty (dan bukan Snoopy) lebih memiliki hubungan dengan
pembuat virus mindhack. Setelah memakan korban pada akhir September 2012
dan menuai sumpah serapah dari ribuan korbannya di Indonesia, rupanya
pembuat virus mindhack tidak kapok, malahan mengeluarkan varian mindhack
yang baru lengkap dengan curhat patah hati dan icon Yellow Kitty dan
Red Bear.
Virus
yang disebarkan dengan cara memalsukan diri sebagai aplikasi Ultrasurf
**(aplikasi untuk menembus sensor internet) ini ternyata sangat marak
peminatnya dan bukannya Ultrasurf yang didapatkan oleh orang yang
menjalankan aplikasi ini tetapi seluruh harddisknya (kecuali C:\) di
"Surf" / "Rinso" alias di format oleh virus ini.
**Ultrasurf
adalah freeware sebagai "produk penghindar sensor internet" yang dibuat
oleh Ultrareach Internet Corporation. Software ini memungkinkan
penggunanya untuk melewati sensor dan firewall menggunakan proxy HTTP,
dan mempekerjakan protokol enkripsi untuk privasi. Software ini
dikembangkan oleh aktvis Cina sebagai sarana yang memungkinkan pengguna internet untuk memotong Great Firewall of China.
Virus
ini terdeteksi oleh Norman sebagai Hupigon.MBKG dan Hupigon.MBKH,
sedangkan G Data mendeteksi virus ini sebagai Trojan.Generic.7770658
(lihat gambar 1)
Gambar 1, G Data mendeteksi Mindhack sebagai Trojan.Generic.7770658
Ciri-ciri virus "iloveyoumindhack"
Untuk memastikan bahwa komputer anda terinfeksi oleh virus mindhack, ada beberapa ciki khas sebagai berikut :
· File yang berekstensi .exe tidak bisa digunakan dan type file akan berubah menjadi .iloveumindhack (lihat
gambar 2) dan hal ini mengakibatkan komputer korbannya tidak akan bisa
menjalankan program apapun yang memiliki ekstensi .exe. Hal ini memiliki
tujuan utama mencegah korbannya menjalankan program antivirus atau
tools removal antivirus untuk membasmi mindhack.
Gambar 2, Semua file type ".exe" akan berubah menjadi ".iloveyoumindhack"
· Virus ini akan memformat semua partisi hardisk D: s/d Z: (kecuali System drive C) dengan menggunakan proses Quick Format. Aksi
inilah yang mendapatkan sumpah serapah dari korbannya karena kehilangan
data yang di format. Dibandingkan dengan virus lain yang melakukan
injeksi dan enkripsi file data korbannya, aksi mindhack ini relatif
mudah diatasi dengan teknik data recovery yang simple. Pada prinsipnya,
aktivitas format (apalagi quick format) tidak memusnahkan file dan
sebenarnya file data anda masih ada di partisi / harddisk anda. Hal
pertama yang harus anda lakukan adalah lepaskan harddisk yang menjadi
korban quickformat, jadikan slave dan lakukan recovery dari komputer /
harddisk lain dan jangan sekali-kali menjalankan OS atau dari harddisk
yang ingin anda recover, apalagi mengkopikan file ke harddisk tersebut
karena akan menimpa file yang ingin anda recover. Jika anda ragu,
sebaiknya hubungi ahli data recovery untuk melakukan hal ini.
· Mengkopikan / menggantikan file :
o D:\setup.exe
o D:\restore.exe
o D:\backup.exe
o D:\hddfix.exe
Dengan file virus.
· Mematikan (taskkill) proses file :
o C:\Program Files\Internet Download Manager\IDMan.exe
o C:\Program Files\Mozilla Firefox\firefox.exe
o C:\windows\explorer.exe (lihat gambar 3)
Gambar 3, Proses "explorer.exe" dimatikan (taskkill) dan filenya digantikan dengan file virus dengan perintah "Xcopy""
dan menggantikan dengan file virus.
· Membuat sebuah folder dan file dan meletaknya di C:\Documents and Settings\Administrator\Local Settings\Temp (lihat gambar 4)
Gambar 4, Folder yang dibuat oleh virus dengan icon yellow kitty, orange bear dan foto dengan nama file I LOVE U.jpg
Bagaimana mengatasi Mindhack
Jika
anda termasuk ke dalam penggemar "Hello Kitty" ini dan menjalankan
virus mindhack, kemungkinan besar seluruh harddisk anda (kecuali C:\)
akan di format. Seperti yang disarankan di atas, untuk mengembalikan
data dari harddisk yang telah di "quick format" oleh Mindhack anda perlu
melakukan Data Recovery. Jika anda belum berpengalaman, Vaksincom
menyarankan anda untuk jangan melakukan sendiri dan berkonsultasi dengan
ahli data recovery. Khususnya jangan sekali-kali melakukan kopi data
atau instalasi ulang (apalagi partisi ulang) pada harddisk yang ingin
anda recover.
Sedangkan untuk sistem yang telah "dikerjai" oleh mindhack, berikut ini langkah untuk mengembalikannya (Windows XP) :
1. Kopi "explorer.exe" dari komputer lain dan rename menjadi "explorer.bat" dan jalankan.
Cari
file "explorer.exe" dari komputer lain yang tidak terinfeksi virus yang
OSnya sama dengan OS komputer yang terinfeksi. File "explorer.exe" bisa
ditemukan dari "C:\windows\explorer.exe". Kopi file "explorer.exe"
tersebut ke usb flash disk dan rename menjadi "explorer.bat". Colokkan
USB Flash tersebut pada komputer yang terinfeksi dan jalankan
"explorer.bat" untuk membuka Windows Explorer.
2. Rename command prompt "cmd.exe" menjadi "cmd.bat".
· Buka Drive C:\ WINDOWS\system32 รข†' lalu pilih "cmd.exe" (tanpa tanda kutip) dan rename menjadi "cmd.bat" (tanpa tanda kutip). Jika ekstensi file tidak muncul, maka pada Menu Bar pilih [Tools] [Folder] [Option] buka tab [View] dan unchecklist pada pilihan "Hide extentions for known file types" (lihat gambar 5)
Gambar 5, Ubah "cmd.exe" menjadi "cmd.bat"
3. Lalu klik ganda "cmd.bat" untuk membuka "Command Prompt"
Pada Command Prompt, langsung saja ketik "Assoc .exe=exefile" (tanpa tanda kutip) lalu tekan Enter. (lihat gambar 6)
Gambar 6, hasil proses Assoc .exe=exefile pada Command Prompt
Setelah itu, repair registry dengan cara buka program notepad lalu copy skrip berikut :
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee 2012
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Msconfig.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
Paste script diatas pada notepad, lalu save dengan nama file "repair.inf" (tanpa tanda kutip). Setelah di-save dengan nama file "repair.inf", klik kanan lalu pilih[install]
4. Scan
komputer dengan antivirus yang terupdate untuk mendeteksi dan membasmi
virus ini seperti G Data Antivirus atau Norman Virus Control. Program
antivirus yang dapat mendeteksi virus ini akan menghapus semua file
virus yang dapat ditemukan di :
· D:\setup.exe
· D:\restore.exe
· D:\backup.exe
· D:\hddfix.exe
· C:\Program Files\Internet Download Manager\IDMan.exe
· C:\Program Files\Mozilla Firefox\firefox.exe
· C:\Windows\explorer.exe
5. Kopi
file "explorer.exe" dari komputer dengan OS yang sama dengan komputer
yang terinfeksi dan masukkan ke direktori "C:\Windows"
6. Jika
anda menggunakan Firefox dan Internet download manager, kami sarankan
untuk melakukan instal ulang. Kalau ada backup file .exenya silahkan di
kembalikan ke direktorinya.
sumber : vaksin[dot]com