Tentang Virus Sality

Siang tadi ada pesan masuk di inbox Facebook saya, dan setelah kubuka ternyata dari Grup Vaksin, yang memberitahukan tentang adanya tulisan terbaru di Vaksin.com. Langsung deh meluncur ke TKP untuk membaca tulisan tersebut yang berjudul "W32 Sality.AE Virus nomor 1 di Indonesia, injeksi file exe, com, scr". Artikel yang bagus, yang membahas tentang apa itu virus Sality yang sekarang ini mungkin sedang bersemayam di komputer anda tanpa anda sadari, hihi. Virus yang sedang naik daun alias ngetrend bersama dengan Worm Conficker atau Downadup.

Disana dijelaskan bagaimana virus Sality ini menginfeksi komputer dan registry apa saja yang dirubah oleh virus tersebut. Cara membersihkan Virus W32.Sality.AE ini juga diberikan secara detail langkah-langkahnya, beserta download file Restore Registry dan Repair.inf untuk mengembalikan dan memperbaiki registry yang sudah dirubah oleh virus W32 Sality ini.

Tools yang digunakan dalam membersihkan virus Sality tersebut adalah Norman Malware Cleaner. Agar Norman Malware Cleaner itu tidak terinfeksi oleh Virus Sality juga ( seperti yang pernah aku alami ) disarankan untuk mengganti ekstensi file .exe menjadi ekstensi lain, misalnya .cmd, jadi namanya Norman Malware Cleaner.cmd.

Bagi anda yang ingin mengetahui lebih mendalam tentang Virus Sality, silahkan meluncur ke Vaksin.com dan membaca artikelnya, dan bila komputer anda terinfeksi virus Sality, tetapi masih belum berhasil membasminya dengan cara yang disarankan oleh Vaksin.com, silahkan coba cara saya dalam Membersihkan Virus W32.Sality.AE, siapa tahu lain komputer lain cara, lain ladang lain belalang, hihi.

Cara Membasmi, Menghapus Sality Virus Ganas Perusak Komputer (.exe) All Varians (Update)

Nama lain virus : W32/Sality.AE, W32.Sality.AE, TROJ_AGENT.XOO [Trend], W32/Sality.ae [McAfee], Sality.AG [Panda Software], Win32/Sality.Z [Computer Associates], Win32/Sality.AA [Computer Associates]

Virus ini akan meng infeksi dan merusak file exe / com / scr. Ukuran file yang sudah terinfeksi Sality akan bertambah besar beberapa KB dan masih dapat di jalankan seperti biasa. Biasanya virus ini akan mem blok antivirus atau removal tools selain itu juga akan memblok task manager atau registry editor Windows. Untuk mempermudah dalam proses penyebarannya selain memanfaatkan File Sharing dan Default Share virus ini juga akan memanfaatkan media Flash Disk dengan cara membuat file acak dengan ekstensi exe/com/scr/pif serta menambahkan file autorun.inf

Untuk blok task manager atau Registry tools, Sality akan membuat :

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciessystem

* DisableRegistryTools
* DisableTaskMgr

File yang terinfeksi akan men dekrip dirinya dan mencoba copy *.dll (acak) dan menginjeksi file lain yang aktif di memori serta file lain yang terdapat di computer dan network (file sharing) serta
menginfeksi file *.exe yang terdapat dalam list registry hingga virus dapat aktif secara otomatis setiap kali komputer dinyalakan.

* HKLMSoftwareMicrosoftWindowsCurrentVersionRun
* HKCUSoftwareMicrosoftWindowsCurrentVersionRun
* HKEY_CURRENT_USERSoftwareMicrosoftWindowsShellNoRoamMUICache

Beberapa file *.dll yang akan di drop oleh Sality.

* C:Windowssystem32syslib32.dll
* C:Windowssystem32oledsp32.dll
* C:Windowssystem32olemdb32.dll
* C:Windowssystem32wcimgr32.dll
* C:Windowssystem32wmimgr32.dll

Selain membuat file DLL, sality juga akan membuat file *.sys [acak] di direktori C:Windowssystem32drivers [misal : kmionn.sys]