The Sality (Win32.Sality)

Assalamu’alakum,

Hufp, ape kabar nih encang encing enyak babe, ketemu lagi nih ma bang depi yang makin asoy aje (hehehe)

Untuk post kali ini abang mo cerita – cerita tentang virus yang iseng banget, udeh beberapa kali isengin komputer abang (bayangin aje deh, abang ampe bolak balik instal komputer ampe tiga kali, tiga kali Gan, jiah untung aje komputer abang, yah mendekati high end lah hehe jadi proses instalasi yang g bgitu lama…, eh iya, belakangan ini die isengin laptop temen abang (jangan2 dari kompie abang :p), tapi sekarang sih tuh laptop udeh bener… lho? trus maksud abang nge-post ini buat ape donk? mo curhat bang? jiah abang mah maklum aje klo ampe ada yang nanya kayak begini abis pan orang kita  mah emangnya suka pura-pura bloon(ape emang bloon, wkwkwkw, becanda, becanda, ) , Yups… /*nih tulisan klo pke bahasa jawa ceritanya gk kliatan, jadi jangan dibaca*/ nah ntuh!… siape tuh yang tadi yang jawab? /*ceritanya tadi ada yang jawab (nyeletuk)*/ayo tanggung jawab? bingung pan, nih orang ngomong ape sih dari tadi gak jelas banget, wkwkwkwkw… udeh langsung simak aje deh dari pada baca komen2 yang gak jelas… :p

Win32/sality

Win32/sality adalah virus yang menyerang komputer anda dengan cara menginfeksi executable file (.exe) yang berada di dalam komputer anda, tidak tanggung-tanggung semua file system ataupun installer anda pasti dilibas semua oleh virus ini dan virus ini pun tidak pilih-pilih mau menginfeksi hard drive yang mana, semua hard drive diinfeksi, klo kata tmen abang,”hajar bleh semuanya”, ibarat kata klo misalnya di meja ada 4 kue, sus, lontong, donat, martabak, trus misalnya anda sality dan kue tersebut itu hard drive, pasti tahu jawabannya kan? tuh kue pasti ludes semua(^o^).

W32.Sality is an entry-point obscuring (EPO) polymorphic file infector. It will infect executable files on local, removable and remote shared drives. The virus also creates a peer-to-peer (P2P) botnet and receives URLs of additional files to download. It then attempts to disable security software.”

Infeksi

Beberapa sumber mengatakan bahwa selain executable (.exe) files, virus ini juga menginfeksi file dengan tipe SCR (untuk screen saver(.scr)) dan ia juga selain menginfeksi local hard drive ternyata juga menginfeksi removable dan remote share drive. Lalu apa yang terjadi dengan executable file tersebut? Ia menggantikan kode host asli pada titik masuk untuk proses eksekusi lalu mengarahkan eksekusi ke kode polymorphic virus yang telah dienkripsi dan dimasukkan ke dalam bagian terakhir dari file host(korbannya), oleh sebab itu file yang terinfeksi virus ini ukurannya akan sedikit lebih besar dari ukuran asalnya.

Selain menginfeksi file executable, W32.Sality sengaja akan mencari subkunci registri khusus untuk menginfeksi file executable yang berjalan ketika Windows mulai.

Proses Penyebaran

Namun berdasarkan pengalaman abang, virus ini tidak akan berjalan pada komputer anda sebelum anda mengeksekusinya, maksudnya begini, andaikan di komputer anda tanpa sengaja mendownload virus ini atau misalnya di removable drive anda ada virus ini atau ada file yang terinfeksi virus ini, maka jika anda tidak mengeksekusi file ini maka komputer anda kecil kemungkinannya untuk terserang, namun usahakan anda juga telah mematikan autorun pada system komputer anda, klo komputernya masih autorun ane ga berani jamin Gan.

Gejala-gejala awal komputer anda ketika terkena virus ini

  • Task Manager has been disabled – Task Manager anda tidak berjalan ketika menekan tombol the Ctrl+Alt+Del.
  • Registry Editor (REGEDIT) juga tidak bisa diakses.
  • Folder Options tools is hidden or not working – Anda tidak bisa mengakses Folder Option tools.
  • .EXE files are corrupted – Beberapa file .EXE tidak bekerja dan menampilkan/memunculkan pesan erorr seperti “it was corrupt or missing some components”. Tidak semua file .EXE files akan diinfeksi oleh virus ini.
  • Programs & Applications are Not Working – Beberapa program ataupun aplikasi anda mungkin tidak bisa dijalankan lagi, hal ini dikarenakan .exe anda telah diinfeksi oleh virus dan sedang dijalankandikomputer anda. Semua start-up progrma juga tidak bisa dijalankan.
  • Ketika memasukkan Removable disk atau USB drive, Komputer anda akan hang atau menjadi Lambat or akan pointer mouse anda akan terlihat ke bentuk pointer yang sedang seibukyour mouse pointer has change to initializing or busy pointer status.
  • virus akan meletakkan file ke sistem <System>\oledsp32.dll dan juga terbaca sebagai W32/Sality-AQ.

Untuk Mengatasi Virus ini

Proteksi sebelum terkena

1. Usahakan antivirus anda terupdate

Antivirus bisa melindungi anda dari spyware. malware ataupun virus serta yang sejenis dengannnya.

Penulis, eh abang sih ngarepnya anda telah melakukan sistem pencegahan atau proteksi terhadap virus dengan memasang Antivirus yang memang terpercaya, trus walaupun memang terpercaya, harus juga diupdate jangan membiarkan antivirus anda tidak terupdate dalam waktu yang cukup lama karena setiap harinya muncul varian-varian baru dari virus meskipun sebetulnya sama dan merupakan update-annya, walaupun memang banyak muncul virus-virus yang baru setiap harinya.

2. Hindari memakai aplikasi atau program baru yang anda baru/tidak kenal sama sekali, cermati dulu aplikasi atau software tersebut apakah memang benar-benar bersih dari infeksi virus (jangan langsung eksekusi walau hanya tertarik dengan iconnya)

3. Selalu lakukan USB atau removable drive scanning tiap kali anda mencolokkan USB ataupun removable drive ke komputer anda, dan jika bisa atur settingan pada anti-virus anda auto-scan USB or Removable drive ketika terhubung.

4. Matikan fasilitas autorun yang ada di komputer anda, fasilitas ini sebenarnya tidak begitu berguna jadi lebih baik dimatikan, toh jika anda ingin menginstall suatu program/game/software (biasanya kebutuhan akan software tuh untuk instalasi melalui cd-drive untuk mempermudah user) anda tinggal mengeksekusi setup.exe/nama software.exe /etc.exe di dalam cd/dvd tersebut.

Penyelesaian ketika telah terkena

Ketika telah terkena virus ini ada 2 hal yang bisa anda lakukan yaitu,

  1. Lakukan Install ulang Komputer anda, ini merupakan langkah yang paling simple, namun dalam hal ini persyaratannya adalah anda sebelumnya telah melakukan partisi drive minimal dua buah (satu system, satu data). Jadi ketika anda terkena, selamatkan data anda ke drive yang satunya (data) dan lakukan install ulang pada drive system sehingga data anda tidak ikut hilang. (NB: perihal anda mmenyelamatkan data, yang perlu diperhatikan adalah, semua data yang anda selamatkan ke drive itu masih ada kemungkinan terinfeksi virus, jadi saran abang dan emang ini yang menyebabkan abang berhasil survive dari virus ini pada insstalasi yang ke-3 kali, Enkripsi/compress data anda dengan ekstensi exe (.exe) dan .scr ke dalam format lain (rar, zip, etc) sehingga ia tidak akan menginfeksi anda kembali. Barulah anda instal komputer anda. cara ini yang paling bersih dan membuat anda pure 100% dari virus (pan abis diinstal ulang.. hehehe)
  2. Lakukan pengobatan dengan mencari removernya, misalnya untuk kaskus eh kasus ini cari sality remover, saat ini sudah banyak kok vendor antivirus yang menyediakan remover untuk setiap virus yang hit dipasaran. Untuk kasus ini, sality cukup banyak kok removernya, ada sality express (pcmav), rmsality (avg punya) dan lainnya. (abang sih pake kedua ini cukup ampuh). Agar virus benar-benar bisa hilang, usahakan untuk mengikuti setiap panduan yang diberikan oleh remover tersebut (biasanya sih ada file readme (baca saya).

Kelemahan

  • untuk proses 1 adalah proses instalasi yang dilakukan cukup membuang waktu, sebab ketika anda melakukan instalasi, anda akan melakukan instalasi untuk setiap program yang telah anda install ( gak harus sih, yang perlu aje)
  • untuk proses 2 adalah program yang telah terinstal kemungkinan tidak semuanya akan bisa diperbaiki oleh remover tersebut, dan tidak ada garansi remover tersebut melakukan pembersihan secara total, bersih semuanya jadi bisa saja masih ada file yang terinfeksi dan menularkannya ke yang lain.

Keunggulan

  • untuk proses 1 adalah komputer anda akan cepat seperti baru ( eh emang baru ya), trus virus pasti sudah tidak ada.
  • untuk proses 2 adalah anda tidak perlu instal ulang komputer anda, jadi anda tidak harus menginstal setiap aplikasi yang sudah ada( proses ini recomedded bagi  yang dikomputernya memang sudah menginstal banyak sekali program)

Jadi anda bisa memilih pilihan yang anda sukai, yang suka bersih pilih 1 yang suka instant dan gak ribet pilih 2

heheehehe… Semoga bermanfaat….

NB: klo ada yang mo ditanyakan, silahkan saja tinggalkan komeng eh komen siapa tahu saya bisa bantu

UN

http://malware.wikia.com/wiki/Win32/Sality.AM

http://yazagi.deviantart.com/art/Virus-32660474?q=boost%3Apopular+virus&qo=14

http://emoticlown-ist.deviantart.com/art/i-m-not-a-virus-97634620?q=boost%3Apopular+virus&qo=47

http://soulnova.deviantart.com/art/Virus-Antivirus-Contest-Entry-97936043?q=boost%3Apopular+virus&qo=100

http://www.techbalang.com/how-to-remove-win32-sality-virus.html

http://www.symantec.com/security_response/writeup.jsp?docid=2006-011714-3948-99

Advertisements

4 Comments »

  1. Ian Said:

    set dah bang depi jumarudin…
    Curhatan pribadi nih kayaknya…
    udah berapa kali install ulang bang emangnya gara-gara ni virus?
    😀

    • devizs88 Said:

      beuh, tega kali gan… abisan ane punya installer di drive yang laen ntuh trnyata kena infeksi, wong abis instal os (operating system) ane instal aplikasi dari file yang udeh ke infeksi ntuh.. weleh-weleh, pas nyang ke dua kali kena, sebelon instal yang ketiga yaudah ane coba winrar-in dulu executable filenya. trnyata lancar, trus ane instal a*gfree donlot dari file hippo, trus ane scan deh tuh file winrar yang didalemnya ada executable/installer, ternyata bener dugaan ane, tuh virus ngumpet di file ntuh, untuk ane kasih kerangkeng(rar) jadi g bisa ngapa2in deh tuh hahahahah…ane delete aje abis ntuh… ^_^

  2. valdano.arie Said:

    Memang Virung ini sangat menyebalkan karena berdasarkan pengalaman pribadi saya telah terkena virus ini sebanyak 2 kali dan gara-gara itu harus dilakukan penginstallan ulang.
    thx gan bwt info dan tipsnya.

  3. Depi Said:

    @arie
    ^_^ hehehe… Iya pan, nih virus emang ngeselin hehe…


{ RSS feed for comments on this post} · { TrackBack URI }

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: