Oleh: Helmi | 17 Maret 2009

AntiVirus W32/sality-gen

Buat anda yang mau coba anti virus ini silahkan download di sini, atau di sini

Update : 14 Juni 2011
Kita juga bisa pakai anti virus Sality killer.
Download Sality Killer di sini, atau di sini.
Ternyata Virus sality ini mempunyai banyak sekali variant dan turunan, diantaranya Virus.Win32.Sality.aa, Virus.Win32.Sality.ae, Virus.Win32.Sality.ag

Pengalaman saya sendiri: antivirus ini mampu deteksi dan menghilangkan virus W32/sality-gen yang masuk di komputer kantor yang ternyata sudah terpasang AntiVir Premium (artinya antivir tidak mampu mendeteksi apalagi menghilangkan) selamat mencoba…!

Kalau mau baca detail virus dan bahayanya silahkan baca di bawah ini :

W32/Sality.AE

Si ‘Conficker’ yang membuat panik dapat dikatakan sebagai worm nomor satu di Indonesia, lain dengan predikat virus yang paling merepotkan dan paling banyak ditemui Vaksincom di Indonesia pantas di sandang oleh Sality. Virus yang disinyalir berasal dari Taiwan / Cina ini menempati ranking pertama dalam infeksi virus.

Sangat-sangat menyebalkan :

1. FIle yang terinfeksi tidak bisa digunakan alias rusak ( setelah kita scan dengan anti-V ). Remove juga kadang tidak bisa, sehingga perlu kerja ekxtra, kita harus instal lagi kalau mau digunakan atau di remove.
2. Ukuran file yang sudah terinfeksi W32/Sality.AE bertambah besar beberapa KB dan file yang sudah terinfeksi W32/Sality.AE tetap masih dapat dijalankan seperti biasa.
3. si “V” ini mem-blok program antivirus atau removal tools saat di Run dan juga mem-blok task manager atau “registry editor” Windows. Proses penyebarannya memanfaatkan “File Sharing” dan “Default Share”, si “V” memanfaatkan media Flash Disk dengan cara membuat file acak yang mempunyai ekstensi exe/com/scr/pif dan juga menambahkan file autorun.inf yang memungkinkan virus dapat aktif secara otomatis setiap kali user mengakses Flash Disk.
4. Situs Web yang Di block :

*Cureit
*Drweb
*Onlinescan
*Spywareinfo
*Ewido
*Virusscan
*Windowsecurity
*Spywareguide
*Bitdefender
*Panda software
*Agnmitum
*Virustotal
*Sophos
*Trend Micro
*Etrust.com
*Symantec
*McAfee
*F-Secure
*Eset.com
*Kaspersky

Untuk mem-blok task manager atau Registry tools, W32/Sality.AE membuat string pada registry berikut:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system

*DisableRegistryTools
*DisableTaskMgr

File yang terinfeksi W32/Sality.AE, ia akan mendekrip dirinya dan mencoba untuk kopi beberapa file *.dll (acak) file DLL lalu akan menginjeksi file lain yang aktif di memori serta file lain yang terdapat di komputer dan jaringan (file sharing) serta menginfeksi file *.exe yang terdapat dalam list registry , sehingga memungkinkan virus dapat aktif secara otomatis setiap kali komputer dinyalakan. ( wuahhheemm…….)

*HKLM\Software\Microsoft\Windows\CurrentVersion\Run
*HKCU\Software\Microsoft\Windows\CurrentVersion\Run
*HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache

Beberapa contoh file *.dll yang akan di drop oleh W32/Sality.AE.

*C:\Windows\system32\syslib32.dll
*C:\Windows\system32\oledsp32.dll

Selain membuat file DLL, si SEXY eh si “Sality” membuat file *.sys [acak] di direktori “C:\Windows\system32\drivers” [contoh: kmionn.sys]

*C:\Windows\system32\olemdb32.dll
*C:\Windows\system32\wcimgr32.dll
*C:\Windows\system32\wmimgr32.dll

W32/Sality.AE merubah regisrty berikut:

*HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Setting\”GlobalUserOffline” = “0″
*HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\”EnableLUA” = “0″

*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xxx [xxx adalah acak, contoh : abp470n5]
*HKEY_CURRENT_USER\Software\[USER NAME]914
*HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMI_MFC_TPSHOKER_80
*HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPFILTERDRIV

W32/Sality.AE merubah string registry Windows Firewall : W32/Sality.AE menambahkan value dari 0 menjadi 1:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center

*AntiVirusDisableNotify
*AntiVirusOverride
*FirewallDisableNotify
*FirewallOverride
*UacDisableNotify
*UpdatesDisableNotify

Juga membuat key “SVC” serta string berikut dengan value 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc

*AntiVirusDisableNotify
*AntiVirusOverride
*FirewallDisableNotify
*FirewallOverride
*UacDisableNotify
*UpdatesDisableNotify

Blok akses “safe mode” untuk bertahan hidup

W32/Sality.AE juga blok akses ke mode “safe mode” sehingga user tidak dapat booting pada mode “safe mode” dengan menghapus key yang berada di lokasi di bawah ini :

*HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
*HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot
*HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

Ngeri banged Dech kalo kena si sexy eh sality ..kekekke (maklum piktor, secara “lama ga daped”). Tapi dengan canggihnya pak google.com sebagai penyalur informasi, akhirnya di dapat cara untuk mengatasi Si “W32/Sality.AE” yang suka menggauli File exe/com/scr.

1.Pastikan tidak terhubung LAN dan Internet.
2.Matikan System Restore pada waktu pembersihan.
3.Matikan Autorun dan Default Share. Silahkan download file berikut kemudian jalankan dengan cara:
*Klik kanan repair.inf
*Klik install
* download file : Download
4.Matikan program aplikasi yang aktif di memori.
5.Scan dengan removal tools dengan terlebih dahulu merubah ekstensi dari removal tools tersebut dengan ekstensi lain [contoh: CMD] agar tidak di infeksi oleh W32/Sality.AE. Misal nama file “Norman_Malware_Cleaner.exe” di rename menjadi “Norman_Malware_Cleaner.cmd” supaya tidak di infeksi Sality. ( Download ), Agar Booting ke save mode silahkan donload ( Download ) dan klik kanan + instal.
6.Restart dan Tinggal memulihkan sisa puing-file.

Untuk cara seperti ini, sudah di uji di kantor dan 95% berhasil 5% kadang gagal akibat user yg resek.

Selamat mencoba yaw…

sumber :
http://komunitaskami.com/komunitas-windows/si-w32salityae-suka-menggauli-file-execomscr/


Responses

  1. thx info and anti virusnyo
    jadi sapa wae yang punya kasus komputer kena virus win32,trojan ,worm dll.pakai aja anti gores eee sory anti virus Avast pro.and tinggal ambil di psi4success jadi deh!cekali lagi thx buaanyak.

    • Cama-cama yaa…..
      Mana blognya om 2chin kok belum di launching….
      jgan pelit dong sama ilmunya…. heee. Tak tunggu yaa

  2. copynya bisa dikirim ke blog saya ngak?

    jawabane :
    1.Maaf pak mansyur tidak bisa dikirim ke blog, karena setahu saya blog tidak menyediakan fasilitas untuk menampung file
    2. Juga tidak bisa dikirim ke E-mail Karena Ukuran File besar
    3. Jadi yang bisa ya langsung download saja.
    4. selamat mencoba mendownload file tersebut

  3. wa coba dulu ya…..
    thanks

  4. Terima kasih kunjungannya mas kandar.
    Silahkan dicoba. Nanti sharing ya hasilnya

  5. yes kalau gitu tak dowload saja

    • Selamat Download semoga sukses.
      Sharing ya hasilnya disini biar sama-sama tahu.Tq

  6. kabar apa sekarang, kok tidak ada sesuatu yang baru?

    • Terima kasih atas perhatiannya..
      Mohon maaf sedang sibuk kerjakan project di kantor.
      sekarang mulai aktif lagi kok.tq

  7. boss, avastnya ke blok juga nih, ga mo di install-tiap kali mo install nongol program dos ‘bvhee’-
    uda coba sality removernya avg ttp g mempan
    ada solusi lain?
    thx..

    • Coba Antivirus AVG 8.5 Internet Security
      Selamat Mencoba.

  8. minta ijin mendownload antivirusnya. kompi saya dah kenak win32.sality.z, dan itu saya ketahui pada saat di scan oleh kaspersky. tapi ternyata kaspersky sendiri ngak isa mengalahkan virus itu. gila virus sality. wa acungin jempol dah

  9. 4 nufrizal :
    silahkan mas download aja. saya tunggu share hasilnya. selamat berjuang membasmi viruuuus.

  10. ai ni mas….w32/sality.gen kalo yang di clened ma mcafee, itu dah hilang….ato blom…….mohon bantuannya mass

    • coba di clean lagi pakai antivirus lain untuk memastikan bersih betul.


Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

Kategori

%d blogger menyukai ini: