komputer

virus w32/Fawn.A atau W32.ANF

W32/Fawn.A lebih dikenal sebagai W32.ANF. Virus ini menggunakan Visual Basic dan dikompres dengan UPX sehingga berukuran 16 KB.

Gejala

1. Menambahkan kata W32.ANF pada setiap file MS Word yang dibuka/dibuat. Ini menunjukkan file asli telah disembunyikan dan digantikan file terinfeksi. Untungnya file asli disembunyikan di folder yang sama. Setiap file yang terjangkit mempunyai icon MS Word dan selalu berukuran 16 KB. Jika file tersebut dijalankan akan langsung aktif tanpa permisi. Berbeda dengan virus kangen yang menampilkan file terinfeksi sebagai aplication, Fawn tetap menampilkannya sebagai MSWord dokumen. File Excel yang terinfeksi berubah icon MSWord.
2. Selalu mengkopi dirinya ke folder C:windows dengan nama SysTray.exe. Oleh karenanya Win 2000 tidak terinfeksi.
3. Mendisable registry editor,msconfig dan Task Manager dengan menambahkan dua string DisableRegistryTools dan DisableTaskMgr pada registry key HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem sehingga ketika program registry diakses menampilkan Registry Editing has been disabled by your administrator.
4. Membuat folder !Submit yang berisi systray.exe pada direktori C: yang berukuran 16kb.
5. Menambahkan 1 option pada msconfig pada menu [startup] pada Win9x/Me yaitu System Tray.
6. Menambahkan string value System tray pada registry key HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunServices.
7. Menyembunyikan Folder Option Windows Explorer dengan menambahkan string value “NoFolderOptions"=dword:00000001 pada HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer. Virus ini selalu mengaktifkan Do not show hidden file and folders dan Show hidden file and folders. Virus menguncinya dengan mengubah string value HKEY_LOCAL_MACHINEMicrosoftWidowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDEN dan HKEY_LOCAL_MACHINEMicrosoftWidowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL.
8. Menyembunyikan menu [Control Panels], [Network connections] dan [Printers and Faxes] yang terdapat pada [Start] >> [Settings] dengan menambahkan string "NoSetFolders"=dword:00000001 pada HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer.

Solusi

1. Matikan proses file systray.exe. Windows XP/Server 2003 gunakan taskkil yaitu taskkill /f /im systray.exe. Versi windows lain dapat menggunakan killbox .
2. Hapus folder C:!Submit.
3. Hapus semua registry key yang dibuat oleh virus. Bagi yang menggunakan windows 9x, Tulis script dibawah ini dengan menggunakan notepad untuk mengaktifkan kembali registry editor :

REGEDIT4
[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesSystem]
"DisableRegistryTools"=dword:00000000
kemudian simpan menjadi nama file
repair.reg dan jalankan file tersebut.

1. Tampilkan kembali menu [Folder Option] pada windows Explorer, menu [Control Panels] [Network Connections] dan [Printer and Faxes], dengan menghapus registry key NoFolderOptions dan NoSetFolders pada HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer.

Jika Anda menggunakan Windows XP/Server 2003, tulis script dii bawah ini,

kemudian simpan menjadi nama file FOLDER OPTION.reg, kemudian jalankan file

tersebut, setelah itu restart komputer.

Windows Registry Editor Version

5.00

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]

"NoSetFolders"=dword:00000000

"NoFolderOptions"=dword:00000000

Tulis

script di bawah ini (untuk 9X), kemudian simpan menjadi nama file FOLDER

OPTION.reg, kemudian jalankan file tersebut, setelah itu restart

komputer

REGEDIT4

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]

"NoSetFolders"=dword:00000000

"NoFolderOptions"=dword:00000000

1. Set kembali option [hidden files and folders] pada menu [View]
   Dengan merubah registy key : HKEY_LOCAL_MACHINEMicrosoftWidowsCurrentVersionExplorerAdvancedFolderHiddenNOHIDDEN
   CheckedValue menjadi 2
   DefaultValue menjadi 2

HKEY_LOCAL_MACHINEMicrosoftWidowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL
CheckedValue menjadi 1
DefaultValue menjadi 2

1. Hapus file pada direktori C:Windows Systray.exe.
2. Hapus option pada msconfig pada menu [startup] System Tray.
3. Tampilkan kembali file MS. WORD yang telah disembunyikan dengan cara: a. Klik [Start] [Run]. b. Ketik [cmd] untuk masuk ke command prompt. c. Pada layar command promprt, ketikan perintah “Attrib –s –h c:*.doc /s” (tanpa tanda kutip) . Jika drive anda lebh dari satu (contoh drive D: atau E: ), gunakan perintah diatas untuk menampilkan file yang disembunyikan dengan mengganti lokasi drive, contoh “attrib –s –h d:*.doc /s”. Jika terdapat nama file yang sama tetapi dengan ext. yng berbeda (file tersebut ada dalam satu folder) dengan salah satu file mempunyai ukuran 16 kb, sebaiknya hapus file tersebut secara manual (ingat !!! jangan sampai Anda salah dalam menghapus file tersebut, hapus file yang mempunyai icon MS. WORD dengan ext. EXE dan mempunyai ukuran 16 kb).
4. Tampilkan kembali file MS. EXCEL yang disembunyikan, caranya: a. Klik [Start] [Run]. b. Ketik [cmd] untuk masuk ke command prompt. c. Pada layar command promprt, ketikan perintah “Attrib –s –h c:*.xls /s” (tanpa tanda kutip).

Semoga tips ini bermanfaat