Home > Analisa Virus, Antivirus, Update PCMAV > LockScreen: Sabotase Desktop

LockScreen: Sabotase Desktop

LockScreen. Hasil infeksi malware tipe Trojan ini akan membuat user tidak bisa melakukan kegiatan apapun. Karena trojan LockScreen ini akan menampilkan sebuah output berupa tampilan pesan full screen yang tidak bisa di-close atau di-kill prosesnya meski sebenarnya ada saja celah yang bisa digunakan user untuk menghentikan payload trojan LockScreen.

A. Info File
Nama Malware : LockScreen
Asal : ~
Ukuran File : 25.0 KB (25,600 bytes)
Packer : ~
Pemrograman : Microsoft Visual C++
Icon : Malware Icon
Tipe : Trojan

B. About Malware
Pada beberapa website antivirus luar, dikatakan bahwa trojan LockScreen sudah ditemukans sejak tahun 2011, dan memiliki banyak varian. Namun bisa jadi teknik infeksi, hasil infeksi, serta metode pembersihan sama seperti varian yang lain. Ada juga laporan bahwa user yang terinfeksi trojan LockScreen kebanyakan sedang melakukan browsing, kemudian melihat video dan tidak sengaja mengunduh sebuah aplikasi. Setelah di-eksekusi yang didapatkan adalah sebuah tampilan yang tidak bisa di-close atau melakukan aktivitas yang lain. Seperti pada gambar berikut ini:

Pada varian yang lainnya, setelah trojan aktif di memory, tampilan yang dikeluarkan lebih mengarah kepada pornografi, maka dari itu terdapat beberapa antivirus luar negeri yang memberi nama PornoAsset. Berikut ini adalah contoh LockScreen yang menampilkan gambar porno.

C. Companion/File yang dibuat
Setelah di eksekusi, trojan LockScreen membuat 2 buah file host.

  1. Documents and Settings\All Users\Application Data\22CC6C32.exe
  2. WINDOWS\system32\taksmgr.exe (replace file taksmgr yang asli)

File dengan nama 22CC6C32.exe adalah file host yang nantinya akan di eksekusi setelah proses logon. Dan hasilnya, sebelum masuk ke tampilan dekstop user akan dihadapkan dengan tampilan buatan LockScreen terlebih dahulu.

D. Hasil Infeksi
Berikut ini adalah entry yang di ubah oleh LockScreen.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell : C:\Documents and Settings\All Users\Application Data\22CC6C32.exe

Seharusnya value pada shell diatas adalah explorer.exe, namun setelah di ubah sudah jelas hasilnya akan menjalankan host LockScreen terlebih dahulu dan ini adalah teknik pertahanan yang pertama, yang kedua adalah meng-overwrite file taksmgr.exe yang sebenarnya jika kita membuka taks manager.exe akan memanggil file taksmgr.exe yang merupakan file trojan.

E. Pembersihan
Untuk membersihkan trojan LockScreen harus menggunakan teknik yang sedikit berbeda. Karena dalam keadaan normal, seluruh dekstop akan ditutup oleh tampilan full screen dari trojan LockScreen. Maka dari itu, berikut ini akan dijelaskan teknik pembersihan khusus trojan LockScreen.

    1. Restart kemudian tekan F8 untuk masuk kepilihan Windows Advanced Option Menu

    1. Pilih Safe Mode With Command Prompt dan tekan enter untuk melanjutkan.

    1. Setelah masuk ke tampilan Command Prompt, ketik regedit kemudia enter.

    1. Ubah nilai Value pada entry berikut ini yang tadinya mengarah kepada host virus:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

Double Click pada entry Shell, kemudian ubah valuenya menjadi “Explorer.exe” (tanpa tanda kutip)

  1. Tutup regedit – Restart
  2. Aktifkan PCMAV, dan Scan seluruh Hard Drive

PCMAV 8.1 Update Build1

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 8.1 Update Build1 telah hadir dengan penambahan 10 pengenal varian virus baru. Bagi Anda pengguna PCMAV 8.1, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada menu Setup – Updater. Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik tombol “Check for Updates” pada menu Update.

Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui link ini:

SendSpace.com

Letakkan file hasil download tersebut (vx1.sig) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah vx1.sig, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 8.1 Update Build1:
Cacingan
Cacingan.inf
LockScreen.C
LockScreen.C.bat
LockScreen.D
LockScreen.E
LockScreen.F
LockScreen.G
LockScreen.H
LockScreen.I

Categories: Analisa Virus, Antivirus, Update PCMAV Tags:
  1. Indra
    August 7th, 2012 at 14:52 | #1

    Gak ngerti tulisan rusianya.

  2. yusmar1234
    August 7th, 2012 at 16:39 | #2

    Valuenya di ganti berapa

  3. August 8th, 2012 at 09:21 | #3

    @yusmar: Valuenya bukan diganti angka… Tapi diganti seperti yang ada di gambar terakhir di atas… Sudah cukup jelas saya rasa… Yaitu diganti “explorer.exe” (tanpa tanda kutip).

  4. yusmar1234
    August 8th, 2012 at 13:29 | #4

    Kips :
    @yusmar: Valuenya bukan diganti angka… Tapi diganti seperti yang ada di gambar terakhir di atas… Sudah cukup jelas saya rasa… Yaitu diganti “explorer.exe” (tanpa tanda kutip).

    Trms