Bagaimana dengan kehidupan para Hacker/Cracker dan pembuat virus khususnya virus lokal dalam meyikapi bulan puasa ini? Ternyata masuknya bulan puasa tidak berarti menyurutkan para VM untuk tetap berkreasi walaupun dalam konteks yang berbeda. Jika sudah berada didepan komputer dan mulai menulis sederetan kode mereka sudah tidak memikirkan dampak yang akan ditimbulkan bagi para pengguna komputer, singkat kata Puasa jalan coding juga jalan J, walaupun ada sebagian sang VM yang membuat virus demi untuk kebaikan dan mengajak kejalan kebenaran tetapi jumlahnya sangat sedikit seperti yang dilakukan oleh VBWorm.NVX begitulah Norman Virus Control (lihat gambar 1) memberikan nama untuk virus ini, tetapi justru sangat menggangu bagi sebagian orang yang tidak menghendaki kedatangan VBWorm.MVX ini.
Gambar 1, Norman mendeteksi virus pengingat Shalat sebagai VBWorm.NVX
Secara umum VBWorm.MVX tidak lah ganas, selain tidak membuat file duplikat, menyembunyikan file / folder juga tidak sampai melakukan blok terhadap fungsi Windows atau tools security. Tujuannya hanya bersisi seruan untuk melakukan ibadah Sholat seperti yang banyak dilakukan oleh virus Macro. Untuk menyebarkan dirinya VBWorm.MVX masih menggunakan Flash Disk dengan membuat file Explorer.exe dengan ukuran 56 KB.
Icon yang digunakan oleh VBWorm.MVX adalah Microsoft Windows Explorer dengan ukuran file sebesar 56 KB (sedangkan file aslinya berukuran 1 KB). File ini mempunyai ekstensi EXE dengan type file sebagai “Application”. Dengan type file yang menyerupai Windows Explorer maka dapat dipastikan akan banyak user yang terjebak untuk menjalankan file tersebut, apalagi saat menjalankan file tersebut akan terbuka jendela My Documents layaknya menjalankan Windows Explorer. (lihat gambar 2)
Gambar 3
Jika Anda pilih tombol “Ya” maka akan muncul pesan berikut (gambar 4) tetapi jika memilih tombol “Bukan” maka tidak akan terjadi reaksi apa-apa.
Gambar 4
Jika Anda memilih tombol “Sudah” maka akan muncul layar konfirmasi berikut (gambar 5), tetapi jika Anda memilih tombol “Belum”, maka komputer secara otomatis akan shutdown (mati).
Gambar 5
Mengatasi VBWotm.MVX secara manual
1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan
2. Disable “System Restore” selama proses pembersihan berlangsung
3. Matikan proses virus yang aktif dimemori. Untuk mematikan proses virus ini Anda dapat menggunakan tools Proceexp kemudian matikan proses dengan nama Windowsapp.exe yang mempunyai icon Microsoft Windows Explorer, perhatikan gambar 6 dibawah ini.
Gambar 6, Mematikan proses virus VBWorm.MVX di memori
4. Hapus file induk yang dibuat oleh Virus. Sebelum menghapus file duplikat tersebut pastikan Anda sudah menampilkan semua file / folder yang disembunyikan kemudian hapus file yang mempunyai ciri-ciri berikut:
Menggunakan icon Windows Explorer
Ukuran 56 KB
Ekstensi EXE
Type file Application
Berikut contoh file yang akan dibuat oleh VBWorm.MVX
o C:\explorer.exe (file ini akan dibuat disetiap drive)
o C:\WINDOWS\windowsapp.exe
o C:\Documents and Settings\%user% \My Documents\explorer.exe
o C:\Windows\Yoosa.a
5. Hapus string registry yang dibuat oleh virus. Untuk mempercepat proses penghapusan silahkan copy script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf. Jalankan file tersebut dengan cara:
Klik kanan repair.inf
Klik install
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oye
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
[del]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, windowsapp
HKLM, SYSTEM\CurrentControlSet\Services\4LLI
HKLM, SYSTEM\ControlSet001\Services\4LLI
HKLM, SYSTEM\ControlSet002\Services\4LLI
HKLM, SYSTEM\ControlSet003\Services\4LLI
6. Untuk pembersihan optimal dan mencegah infeksi ulang sebaiknya scan dengan Norman Virus Control yang up-to-date dan sudah dapat mengenali virus ini dengan baik.
7. Jika komputer sudah benar-benar bersih, aktifkan (enable) kembali “System Restore”
