LockScreen

 Hai sobat blogger.... lama tak jumpa baru2 ini saya membaca di virusindonesia.com ada virus baru namanya LockScreen yaudah ini informasinya dikutip dari virusindonesia.com

LockScreen. Hasil infeksi malware tipe Trojan ini akan membuat user tidak bisa melakukan kegiatan apapun. Karena trojan LockScreen ini akan menampilkan sebuah output berupa tampilan pesan full screen yang tidak bisa di-close atau di-kill prosesnya meski sebenarnya ada saja celah yang bisa digunakan user untuk menghentikan payload trojan LockScreen.

A. Info File
Nama Malware : LockScreen
Asal : ~
Ukuran File : 25.0 KB (25,600 bytes)
Packer : ~
Pemrograman : Microsoft Visual C++
Icon : Malware Icon
Tipe : Trojan
B. About Malware
Pada beberapa website antivirus luar, dikatakan bahwa trojan LockScreen sudah ditemukans sejak tahun 2011, dan memiliki banyak varian. Namun bisa jadi teknik infeksi, hasil infeksi, serta metode pembersihan sama seperti varian yang lain. Ada juga laporan bahwa user yang terinfeksi trojan LockScreen kebanyakan sedang melakukan browsing, kemudian melihat video dan tidak sengaja mengunduh sebuah aplikasi. Setelah di-eksekusi yang didapatkan adalah sebuah tampilan yang tidak bisa di-close atau melakukan aktivitas yang lain. Seperti pada gambar berikut ini:

Pada varian yang lainnya, setelah trojan aktif di memory, tampilan yang dikeluarkan lebih mengarah kepada pornografi, maka dari itu terdapat beberapa antivirus luar negeri yang memberi nama PornoAsset. Berikut ini adalah contoh LockScreen yang menampilkan gambar porno.

C. Companion/File yang dibuat
Setelah di eksekusi, trojan LockScreen membuat 2 buah file host.

1. Documents and Settings\All Users\Application Data\22CC6C32.exe
2. WINDOWS\system32\taksmgr.exe (replace file taksmgr yang asli)

File dengan nama 22CC6C32.exe adalah file host yang nantinya akan di eksekusi setelah proses logon. Dan hasilnya, sebelum masuk ke tampilan dekstop user akan dihadapkan dengan tampilan buatan LockScreen terlebih dahulu.
D. Hasil Infeksi
Berikut ini adalah entry yang di ubah oleh LockScreen.

1 2	HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon Shell : C:\Documents and Settings\All Users\Application Data\22CC6C32.exe

Seharusnya value pada shell diatas adalah explorer.exe, namun setelah di ubah sudah jelas hasilnya akan menjalankan host LockScreen terlebih dahulu dan ini adalah teknik pertahanan yang pertama, yang kedua adalah meng-overwrite file taksmgr.exe yang sebenarnya jika kita membuka taks manager.exe akan memanggil file taksmgr.exe yang merupakan file trojan.
E. Pembersihan
Untuk membersihkan trojan LockScreen harus menggunakan teknik yang sedikit berbeda. Karena dalam keadaan normal, seluruh dekstop akan ditutup oleh tampilan full screen dari trojan LockScreen. Maka dari itu, berikut ini akan dijelaskan teknik pembersihan khusus trojan LockScreen.

1. Restart kemudian tekan F8 untuk masuk kepilihan Windows Advanced Option Menu

1. Pilih Safe Mode With Command Prompt dan tekan enter untuk melanjutkan.

1. Setelah masuk ke tampilan Command Prompt, ketik regedit kemudia enter.

1. Ubah nilai Value pada entry berikut ini yang tadinya mengarah kepada host virus:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

Double Click pada entry Shell, kemudian ubah valuenya menjadi “Explorer.exe” (tanpa tanda kutip)

Posted in: Virus