Ihsana Computer - Closed Message Favorite Artikel : Membersihkan Flashdisk terinfeksi All Virus Shortcut , baca selengkapnya...!


Analisa Virus Tmphider atau Stuxnet [07-2010]
Tanggal publikasi: 2010-07-20. Penulis: Jasman. Dibaca: 9477 kali

Pada hari ini 20 Juli 2010, kami menemukan virus baru yang bernama Tmphider atau Stuxnet, bagi sobat yang tidak mengupdate antivirus-nya mungkin virus Stuxnet tidak akan terdeteksi. AVG, Symantec Security,  f-secure dan beberapa antivirus besar lainnya telah menambah deteksi untuk virus ini.

Awal dari penyebaran virus Stuxnet berasal dari USB Drive/Flashdisk yang terdapat beberapa file berextensi *.lnk yang menuju ke file dll yang bernama ~WTR4141.tmp yang digunakan untuk berkembang, sedangkan untuk meloading filenya digunakanlah ~WTR4132.tmp, .

Screenshot Virus Stuxnet/Tmphider (Copy of Shortcut to.Ink, Copy of Copy of Shortcut to.lnk, Copy of Copy of Copy of Shortcut to.lnk, Copy of Copy of Copy of Copy of Shortcut to.lnk, ~WTR4132.tmp, ~WTR4132.tmp)

Setelah file di execute maka menghasilkan beberapa file yakni: mrxcls.sys dan mrxnet.sys dan menginjeksi lsass.exe, svchost.exe dan services.exe pada system sobat. Virus Stuxnet tidak akan terlihat pada USB Drive/Flashdisk sobat karena virus Stuxnet menggunakan komponen rootkit, sehingga dapat berjalan sebagai administrator/user. Dan virus Stuxnet juga  mengeksploitasi celah keamanan baru ditemukan dan belum diperbaiki dan cara kerjanya sama seperti Windows Explorer menangani file-file .lnk.

Screenshot Virus Stuxnet/Tmphider(mrxnet.sys dan mrxcls.sys)

File-file penularan pada USB Drive/flashdisk :

  • Copy of Shortcut to.Ink
  • Copy of Copy of Shortcut to.lnk
  • Copy of Copy of Copy of Shortcut to.lnk
  • Copy of Copy of Copy of Copy of Shortcut to.lnk
  • ~WTR4132.tmp
  • ~WTR4141.tmp

Registry :

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxCls
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxCls\Enum
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxNet
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxNet\Enum

Hasil Execution :

  • %System%\drivers\mrxcls.sys
  • %System%\drivers\mrxnet.sys

Untuk menghapus virus Stuxnet cukup dengan menghapus hasil excute, menghapus registry dan hapus file yang penularan. Segera restart komputer sobat.


Kami telah membuat tool-nya, Silahkan di download StuxNet-Killer
Last Update: 2 Agustus 2010
Microsoft telah mengeluarkan Updatenya, silahkan di update windows sobat. KB2286198

Komentar

Jika ada yang kurang jelas silahkan bertanya. Silahkan klik RSS atau Email jika ingin jawaban melalui email dan masukan No. Ponsel pada URL Anda jika ingin jawaban melalui ponsel atau Pantau Komentar Lewat Facebook.




Apakah cara penularannya melibatkan pengguna flashdisk atau tidak ? Maksud saya apakah ketika FD dicolok langsung jalan virusnya ato nunggu di klik dulu virusnya?
Dikirim oleh : Krisna pada tanggal : 2010-08-01


@Krisna: Terima kasih atas kunjungannya.
Virus otomatis jalan ketika mengakses Flashdisk dengan Explorer (tanpa diklik virusnya).
karena virus mengeksploitasi celah keamanan yg baru ditemukan. namun tidak semua windows memiliki celah ini. avatar / smiles
Dikirim oleh : Jasman pada tanggal : 2010-08-01


komputer kuh terkena virus inh..
file pnularan(.lnk) dan (.tmp) dan file execute(.sys)bsa di apus scara manual..
pi akuh g tau cra mnghapus registry-a nh.. bantuin dung.. bgaimana cra menghapus-a tanpa antivirus?
Dikirim oleh : jokochimaru pada tanggal : 2010-08-02


Start --> Run --> Regedit --> Enter
Kemudian cari registry yang diatas dan Klw dah ketemu klik kanan dan delete
Dikirim oleh : Jasman pada tanggal : 2010-08-02


pake usb security gmna ?.....masuk jg gak virus nya bro
Dikirim oleh : ara asrori pada tanggal : 2010-08-03


berkemungkinan besar bisa masuk sob, seperti fitur smad-lock pada smadav, non-aktifkan autoplay/autorun itu jg masih bisa masuk. tp bisa membantu.
Logikanya gini sob, bwt buka data kita kan pake explorer, dan waktu ngebuka flashdisk kan icon ke buka tu, disaat itulah virusnya masuk.
sebisa mungkin klw flashdisk terjangkit jgn pake explorer coba pake DOS, atw terlebih dahulu virusnya dihapus pake tool lain ex: USB Security.
Dikirim oleh : Jasman pada tanggal : 2010-08-03


trus jika sudah terinfeksi dan file yg jadi biangnya udah dihapus,gmana cara hapus file hasil yg udah beranak pinak di tiap folder dalam hard drive.
Dikirim oleh : hadi purnomo pada tanggal : 2010-08-05


Virus StuxNet gak beranak pinak mas.
Mas, coba install antivirus release terakhir. Avira,AVG Free, dan ANSAV. Klw download
dari komputer lain jgn lupa Antivirusnya di kompress pake winzip atau winrar. Install
di komputer yang terinfeksi, jangan lupa status logon sebagai administrator. Scan
secara global dan untuk mengembalikan file terhidden file system coba pake tool/pluggin
unhidden pada ANSAV. Untuk memperbaiki Registry yang diubah sama Virus bisa pake
tool yang ada SMADAV. Jika kebetulan Virusnya baru dan belum terdeteksi sama antivirus
baru, coba search manual dengan keywoard *.exe, ciri khas virus memiliki size yang
sama. Jangan lupa Show hidden and file system diaktifkan.
Kalau ada kesempatan, Insya Allah nanti akan saya bahas lebih detil.
Dikirim oleh : Jasman pada tanggal : 2010-08-05


apa virus ini hari ini berkembang jadi lebih?

sudah saya coba kok masih ada?
Dikirim oleh : santosa smile pada tanggal : 2010-08-07


terima kasih atas postingnya, sy sudah kena virus ini sekitar 1-2 bulan lalu. n sangat mengganggu... btw, apakah virus ini bisa membuat kompie mati tiba2?
soalnya kl sy buka explorer n keliatan copy of copy of shortcut, selama hanay 1/10 detik, trus ilang. abis itu tunggu aja 2-3 menit, kompie langsung mati. n avast sudah bisa deteksi virus ini, hanya blum ada namanya
Dikirim oleh : Anthony pada tanggal : 2010-08-07


@santosa : mungkin yang masuk jenis virus winsta, ciri2nya hampir sama.
@Anthony : ini sebenarnya bukan dikategorikan virus, cocoknya disebut exploit. gak menyebabkan komputer mati. tetapi tujuan virus ini untuk pencurian data2. virus yg ini gak berkembang biak seperti virus lainnya. mas Anthony coba scan dengan av yang terupdate. dan jangan lupa antivirusnya di download dr vendor asli. (jgn dapet dr teman). klw download dr warnet jgn lupa file di winzip/winrar.
Avira, AVG Free
Dikirim oleh : Jasman pada tanggal : 2010-08-07


Gan,, udah bisa di deteksi dengan Brain AntiVirus Update 14 Agustus 2010 atau sebelumnya.... dy mendeteksi dengan Heur....

ini linknya gan....

http://brainlabs.ucoz.com/Brain_1.9-Beta-.exe
Dikirim oleh : Brain AntiVirus pada tanggal : 2010-08-14


wah tambah banyak nih antivirus lokal, thank info
Dikirim oleh : Jasman pada tanggal : 2010-08-15


Kalau mengGunakan cra di ats,pa kan ad efk sampg ny? Misal ad bebrpa file yg ilg atau hrus meng instal ulang?

Mkasi y inf0ny...lapt0p q kena nih,.hix
Dikirim oleh : Nurul pada tanggal : 2010-08-17


@Nurul: Terimakasih telah berkunjung, dikarenakan Stuxnet bukan virus biasa (tool bwt Exploit), maka efek samping setelah dibersihkan gak ada mas. Saya telah test ke beberapa komputer dgn os yg berbeda.
Untuk windows XP sp2 coba pake Stuxnet killer mas dan Klik Protect Excutation (akan membuat folder yg sama dgn file stuxnet dan akibatnya stuxnet tidak bisa masuk), soalnya update dr Microsoft tidak ada untuk winxp sp2 mas.
Dikirim oleh : Jasman pada tanggal : 2010-08-17


Kalau windows 7? Punyaku pake 7...
Dikirim oleh : Nurul pada tanggal : 2010-08-17


Coba lihat software ini mas StuxNet Killer
panduannya juga ada disana.
Dikirim oleh : Jasman pada tanggal : 2010-08-17


Baa caro mancari sistem di injeknyo tu da...aja an wak ciek...
Dikirim oleh : Data pada tanggal : 2010-08-17


Untuk menganalisa system sebuah virus lumayan ribet. Bisa dengan baca scripts virusnya klw tidak di encode, dibaca dari registry, atw pake tool proses, seperti proces explore, CProcess, Defendence walker, Tcpview, HiJackThis, Ollydbg untuk binary code analysis. Jadi intinya memakai banyak tool.
Jika virusnya tergolong sudah lama cukup googling aja, atw buka blog2 antivirus. avatar / smiles
Dikirim oleh : Jasman pada tanggal : 2010-08-17


Terimakasih atas tutorialnya, ijin posting di blog saya ya...avatar / smiles
terimakasih..
Dikirim oleh : waffae pada tanggal : 2010-08-25


sama2, jgn lupa referensinya.
Dikirim oleh : Jasman pada tanggal : 2010-08-25


kemarin pake mcafee lumayan teratasi..
^_^
Dikirim oleh : team_elite pada tanggal : 2010-10-09


klw skrg udah masuk ke database hampir semua antivirus. termasuk beberapa av lokal jg.
Dikirim oleh : Jasman pada tanggal : 2010-10-09


agar virus nya gag masuk ke flashdish atau memory card gmana??
soal nya begitu masukn flashdisk atau memori virus nya udh masuk jd ke hidden smua nya
trus bgitu di masukin ke handphone memori di baca rusak atau terjadi kesalahan pd disk...
Dikirim oleh : dave pada tanggal : 2010-10-09


Caranya cukup mudah koq mas, cukup install antivirus terbaru aja. liat artikel terbaru samping kanan mas. Alhamdulillah tu semua virus udah masuk dalam database mereka.
[Free Antivirus] Offline Update AVG Antivirus 2011
Dikirim oleh : Jasman pada tanggal : 2010-10-10


opera,modzilla&safari di komputer sya gk bsa dgnakan,,hanya bsa menggunakan flock,smntara AVG slalu mendeteksi virus"kuda troya downloader.generic10.YCC,objek yg jdi sasaran,WINDOWS\system32\sshnas21.dll.old, apa ini vrus berbahaya,atau ini penyebab modzilla opera \safari tidak bsa di gnakan,, mohon bantuannya,,
Dikirim oleh : poker 99 pada tanggal : 2010-10-12


Wah koq bisa masuk. Kan udah update avg nya. Itu ssh exploit, semacam remote yg dbwt oleh sipembuat virus. Hati2 klw transaksi chip..
Dikirim oleh : Jasman pada tanggal : 2010-10-12


makasih mas, tools nya keren..! tapi ada yang menjadi pertanyaan saya, mengapa pada resgitry saya masih ada MRXNET dan MRXNET.sys?
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXNET
udah aku coba ilangin tapi ga bisa.. mohon pencerahan nya..

Dikirim oleh : ald pada tanggal : 2010-10-29


makasih mas, ohya mas pake windows apa? windows7 ya, coba ubah permisionnya dulu... klw masih bandel mas coba pake antivirus avg 2011 dalam situs ada link download serta update offline nya. avatar / smiles
jangan lupa jalankan run administrator.
Dikirim oleh : Jasman pada tanggal : 2010-10-29


Saya Pakai win 7 ultimate mas. Stuxnet.A sudah hilang tapi Registry nya masih, Untuk Registy permisionnya di rubah jadi seperti apa mas? mohon pencerahan, maklum masih nubi avatar / smiles. disini Security control nya Everyone, dan permision nya hanya Read yang di Cheklist, supaya bisa dihapus Registry MRXNET dan MRXNETSYS nya harus diapakan?
Saya sudah coba pakai Tutor tetangga membuat Repair.inf tapi engga bisa bisa juga. avatar / smiles
Dikirim oleh : ald pada tanggal : 2010-10-29


Makasih atas informasinya mas... , ane baru kena dengan virus ini .... , cuma alhamdulillah .. baru hanya flashdisk ane aja yang baru kena oleh virus ini ...
Saat ini flashdisk ane dah hilang virusnya dan dah terbebas dari virus .. hanya saja bekas shortcut nya masih ada ... , adakah tools khusus untuk mengembalikan file-file ane seperti sedia kala .. karena terus terang ane agak kewalahan mengubah filenya secara manual. Contoh : file G:\h3ojKiH9lvFefkO0mG6HlXplgLV3LYYJVfdZRr3dtLhEN80DnzEPQXQY2sziakx2axTnS4SA0447SPkbMnv4Qm\o3mrVQz9rDByh9hfKJ9v01t5z3m0s5hP01.exe aimp_2.61.583.zip <<<<<< ane ubah melalui klik kanan - properties - menjadi G:\aimp_2.61.583.zip..
makasih atas pencerahannya ....
Dikirim oleh : NagaBonar pada tanggal : 2010-10-29


@ald: gak bisa di edit permision nya ya mas. mas coba jalankan regedt32.exe dgn cara clik kanan terus pilih run as administrator.
regedt32.exe di c:\windows\system32
@nagabonar: wah klw ngembalikan nama file yg di encrypt saya gak tau mas. Klw utk menghapus shortcut ma unhidden udh pake aja safe explore.
Klw ol dikompi saya coba nyari encodenya mas! Klw bisa tulis nama filenya disini. Nama sbelum ter encryp dan yg terencrypt
Dikirim oleh : Jasman pada tanggal : 2010-10-30


Masih ga bisa juga mas.. gimana ya? apa itu nanti nya bisa mengganggu? saya sudah scan pakai btidefender trial version, dan Bitdefender Stuxnet Removal tools.. dan sudah tak ada virus Stuxnet nya.. hanya registry nya yang maasih pada Root.
Dikirim oleh : Ald pada tanggal : 2010-10-30


Gak menganggu sih... cuma kurang enak diliat mata waktu buka regedit.. avatar / smiles hehehehehe...
Saya kemaren pake AVG 2011 Free, scan dengan fitur Anti-Rootkit nya.
Dikirim oleh : Jasman pada tanggal : 2010-10-31


Mas saya udah coba yg diatas kok diregistry aq cari gada masalahnya
* %System%\drivers\mrxcls.sys
* %System%\drivers\mrxnet.sys dalam bentuk folder bukan file n klo ta apus kedua folder tersebut secara manual begitu ta restart pcnya muncul lagi,gmn solusinya?
Dikirim oleh : Igun Jogja pada tanggal : 2011-02-10


mas igun, pake antivirus aja. AVG ma AVIRA tu udah bisa menghapusnya.
Folder tersebut jgn di hapus, tujuannya kan agar file virus gk bisa masuk. karena namanya udh dipake folder itu.
Dikirim oleh : Jasman pada tanggal : 2011-02-10


mas komputer kantor saya kena virus/exploit semacam ini..
dan tiba2 besoknya komputer nya tidak bisa dinyalakan(sepertinya hard disk nya tidak bisa di baca pas saat booting).
apa mungkin itu dikarena kan virus/exploit semacam ini??
ada solusi nya ga mas??
komputer ini pakai OS windows server 2003,,dengan anti viru smdav dan clamwin..
Dikirim oleh : ridhwan pada tanggal : 2011-02-24


bisa diperjelas mas? booting maksud gimana? tiba2 restart lagi (bsd) atw seperti invalid system disk atw ntdlr error. coba cek di biosnya harddisk kedetek atw gk nya.
Dikirim oleh : Jasman pada tanggal : 2011-03-02


maksih ya gan infonya ..
sangat membantu saya dalam virus ini ..
Dikirim oleh : obat herbal pada tanggal : 2011-07-14


hehehe.. sama2 mas.
Dikirim oleh : Jasman pada tanggal : 2011-07-17


repot juga yaa
Dikirim oleh : renovasi rumah pada tanggal : 2012-02-08


Wah ini dia nih yang sedang aku caricari mas,., makasih banyak infonya,,
Dikirim oleh : obat stroke pada tanggal : 2012-12-28


Mas, penyebarannya memungkinkan via jaringan tidak? ketika ada satu komputer yang terkena virus ini menyebar ke komputer lain via jaringan lokal. Trus bisa diketahui ga kapan kita mulai terserang virus tersebut?
Dikirim oleh : refika pada tanggal : 2013-02-10

Kirim Komentar
Komentar dan jawaban akan terkirim ke Facebook jadi silahkan di like (suka) jika ingin menerima jawaban dari komentar tersebut.
Nama Anda : Fans Page Facebook
URL/Email/No. HP :
Hasil dari sembilan ditambah dua ? Jawaban dengan angka

  • Backlink dofollow hanya 5 komentar pertama setiap halamannya
  • Komentar berisi link, cacian, warez dan pornograpi akan dihapus
  • BBCODE aktif hanya untuk [b]bold[/b], [i]italic[/i], [i]underline[/i] dan emotion.
Analisa Virus Tmphider atau Stuxnet [07-2010]

LINK

HTML [General]
BBCODE [phpBB, vBulletin, dan lain-lain]
Widget Radio Ihsana


PENCARIAN POPULER

Berikut ini pencarian menuju situs ini dan klik link tersebut untuk mencari artikel lama pada domain ini.

flashdisk not encryptable, cara membasmi virus win 32/Tanatos.M, setting huruf besar otomatis word, http://duniasetrum.blogspot.com/2013/05/skema-lampu-running-led-menyala-3-detik.html, , setting huruf pertama tidak kapital, setting huruf pertama tidak kapital, update terbaru avg 2011, konsultasi mengenai kerusakan di komputer, , , cara uninstall 360 safe, MENGHAPUS VIrus myvideo.scr, MENGHAPUS VIrus myvideo.scr, plugin adobe flash berhenti,

Agar hasil pencarian lebih tepat, sobat harus pandai dalam menggunakan keywords. Silahkan sobat pahami Tips Menggunakan Keywords di Google.