Virus Winsta adalah virus yang dapat melahap semua lahan kosong di hardisk hingga penuh. Winsta dikenal juga dengan nama Stuxnet. Selain hardisk penuh, file Winsta juga bersembunyi sebagai file DLL sah dari Realtek, sehingga agak sulit mendeteksinya.
Penyebaran awal virus ini adalah melalui situs-situs berbahaya. Termasuk di antaranya adalah situs dengan konten porno, software ilegal dan situs-situs 'kelabu' lainnya. Penyebaran Winsta di Indonesia cukup besar. Bahkan Indonesia menempati posisi kedua infeksi Winsta alias Stuxnet ini setelah Iran.
File Virus
Jika script Trojan Stuxnet dari situs berbahaya tadi sudah berjalan akan muncul tiga file di komputer korban. Ketiganya adalah Winsta.exe, mrxcls.sys dan mrxnet.sys.
File bernama Winsta itu yang akan membengkak ukurannya sesuai sisa ruang hardisk yang ada. Biasanya partisi yang jadi korban adalah partisi tempat sistem operasi Windows berada.
Nama file itu, Winsta, dicatut dari nama file asli Windows untuk program bernama WinStation Monitor. Aplikasi ini merupakan tools yang digunakan pada Windows 2000 dan terletak di C:\Program Files\Resources\Winsta.exe.
Gejala & Efek Virus
Efek paling kasat mata dari virus ini tentunya adalah hardisk yang mendadak penuh. Akibat dari hardisk yang penuh itu, beberapa program mungkin tak akan berjalan dengan baik.
Selain itu,infeksi Stuxnet juga terjadi pada file sistem berikut:
- Scvhost, sehingga komputer sulit terhubung ke jaringan.
- Lsass, komputer bisa menjadi lambat, hang ataupun restart dengan sendirinya.
- Spoolsv, komputer tidak bisa mencetak dokumen/gambar lewat printer.
Berikut adalah langkah-langkah membasmi virus Winsta :
1. Menggunakan Dr Web CureIt
Bagi korban Winsta alias Stuxnet itu untuk mengunduh piranti lunak penghapus virus. Removal Tools bernama Dr.Web CureIt itu bisa diunduh dari situs FreeDrWeb.com
2. Perbaiki Registri
Perbaikan pada registri Windows yang sudah dimodifikasi oleh virus. Caranya, pertama-tama, salin script di bawah ini ke file Wordpad.
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden,0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt,0x00010001,0
HKLM, SOFTWARE\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
[del]
HKLM, SYSTEM\CurrentControlSet\Services\MRxCls
HKLM, SYSTEM\CurrentControlSet\Services\MRxNet
HKLM, SYSTEM\ControlSet001\Services\MRxCls
HKLM, SYSTEM\ControlSet002\Services\MRxNet
HKLM, SYSTEM\CurrentControlSet\Services\Enum\Root\LEGACY_MRXClS
HKLM, SYSTEM\CurrentControlSet\Services\Enum\Root\LEGACY_MRXNET
HKLM, SYSTEM\ControlSet001\Services\Enum\Root\LEGACY_MRXClS
HKLM, SYSTEM\ControlSet002\Services\Enum\Root\LEGACY_MRXNET
Kemudian, simpan file dengan nama 'repair.inf'. Gunakan pilihan Save as type menjadi Text Document agar tidak terjadi kesalahan. Lalu, klik kanan file 'repair.inf', pilih 'Install' dan restart komputer.
Bersihkan temporary file, hal ini agar dapat mencegah sisa trojan yang mencoba aktif kembali. Gunakan tools seperti ATF Cleaner atau gunakan fitur Windows yaitu Disk Clean-Up.
3. Solusi Darurat
Selain itu, berikut adalah script darurat yang bisa digunakan untuk mencegah agar Winsta tidak kembali menginfeksi. Simpan script berikut dengan nama Winsta.bat (tipe file: Text)
@echo off
del /f c:\windows\system32\winsta.exe
rem rd c:\windows\system32\winsta.exe
md c:\windows\system32\winsta.exe
del /f c:\windows\system32\drivers\mrxnet.sys
rem rd c:\windows\system32\drivers\mrxnet.sys
md c:\windows\system32\drivers\mrxnet.sys
del /f c:\windows\system32\drivers\mrxcls.sys
rem rd c:\windows\system32\drivers\mrxcls.sys
md c:\windows\system32\drivers\mrxcls.sys
attrib +r +h +s c:\windows\system32\winsta.exe
attrib +r +h +s c:\windows\system32\drivers\mrxnet.sys
attrib +r +h +s c:\windows\system32\drivers\mrxnet.sys
Setelah selesai, klik ganda file Winsta.bat yang dihasilkan. Untuk pembersihan yang optimal dan mencegah infeksi ulang, scan kembali menggunakan antivirus yang ter-update dan mengenali virus ini dengan baik.
Sumber : Detiknet
0 komentar:
Speak up your mind
Tell us what you're thinking... !