Virus Golden Ghost atau W32/Agent.GYMR merupakan virus yang iseng dan mendesah, kemudian mengakses playboy.com. Berikut ciri-ciri virus ini :
1. Munculnya pesan error “16 bit MS-DOS Subsystem” pada saat komputer dinyalakan.
2. Merubah nama pemilik dan nama organisasi komputer menjadi:
- RegisteredOrganization = GoldenGhost.Inc
- RegisteredOwner = GoldenGhost
3. Menambahkan string -= GoldenGhost Was Here =- pada file C:Boot.ini sehinga pada saat booting Windows akan muncul menu tambahan dengan nama GoldenGhost Was Here =-
Virus ini dibuat menggunakan program bahasa Visual Basic dan dikompres menggunakan UPX, ukuran Virus ini cukup besar sekitar 1,312 KB. Untuk mengelabui user ia akan menggunakan icon “Windows media player”.
Pada saat file virus di jalankan ia akan membuat beberapa file induk yang akan dijalankan setiap kali komputer dihidupkan/restart di lokasi berikut:
• C:Windows%folder%%file%.exe (acak)
• C:Windowssystem32%folder%%file%.exe (acak)
Berikut beberapa nama file yang akan di buat (acak)
• devil.ocx
• pluto.ocx
• capiw.exe
• dusiw.exe
• gexuw.exe
• GoldenGhost.exe
• mamuv.exe
• ridec.exe
• msvbvm60.dll
• heluh.exe
• muxim.exe
• quniw.exe
• gutum.exe
• helef.exe
• kabuh.exe
• mideg.exe
• tixec.exe
• vuvey.exe
Agar file tersebut dapat dijalankan secara otomatis, ia akan membuat string pada registry berikut:
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCur rentVersionrun
o GoldenGhost =C:%SystemRoot%%Folder%%File%.exe atau C:%Windir%folder%%Files%.exe
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
o Shell = Explorer.exe C:%SystemRoot%%Folder%%File%.exe atau C:%Windir%folder%%Files%.exe
Untuk mempertahankan dirinya virus ini akan memblokir beberapa fungsi windows seperti:
• Disable fungsi “paste”
• Disable run
• Disable Searh
• Disable FolderOptions
• Disable menu Recent Documents
• Disble Klik kanan
• Disable CMD
• Disable RegistryTools
• Disable TaskMgr
• Tidak dapat menampilkan file yang disembunyikan
Untuk melakukan hal tersebut ia akan membuat string pada registry berikut:
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurr entVersionExplorerAdvanced
o Hidden = 2
o HideFileExt = 1
o ShowSuperHidden= 0
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentV ersionPolicies
o Explorer = NoClose
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentV ersionPoliciesexplorer
• NoFInd
o NoFOlderOption
o NoRecentDocsMenu
o NoRUn
o NoSaveSettings
o NoSetFolders
o NoTrayContextMenu
o NoViewContextMenu
• HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentV ersionPoliciesSystem
o DisableCMD
o DisableRegistryTools
o DisableTaskMgr
• HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent VersionExplorerAdvancedFolderHidden
o type = -
o HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent VersionExplorerAdvancedFolderHideFileExt
o type = -
o HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent VersionExplorerAdvancedFolderSuperHidden
o type = -
Virus ini juga akan membuat string pada registry berikut :
HKEY_LOCAL_MACHINESOFTWAREGoldenGhost.A
- AppAll = tupin.exe (random)
- AppMirc = heluh.exe (random)
- AppOther = quniw.exe (random)
- AppSetan = gutum.exe (random)
- AppUtama = muxim.exe (random)
- Lokasi = C:WINDOWSSystem32config (random)
Selain blok fungsi Windows di atas, ia juga akan mencoba untuk blok tools security seperti proceexp, curr preoces, pocket killbox, security task manager serta tools lainnya. Selain merubah nama pemilik Windows, ia juga akan merubah alamat utama Internet Explorer menjadi http://www.playboy.com/ dengan terlebih dahulu membuat string pada registry berikut:
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain
- Start Page = http://www.playboy.com/
Host file windows juga tak luput dari serangan virus ini yakni dengan manghapus isi dari file “C:WindowsSystem32Driversetchost”, kemudian menambahkan string @echo off pada file “C:autoexec.bat”, lalu menambahkan string “-= GoldenGhost Was Here =-” pada file “C:boot.ini” sehingga setiap kali komputer booting akan muncul satu menu dengan nama GoldenGhost Was Here =-, dan jika menu ini dipilih maka komputer akan restart.
Virus ini juga akan merubah hasil copy and paste teks di notepad menjadi desahan, dengan menampilkan text "Oohhh... Aughhhh... yess... babbby...!!" setiap kali user copy paste isi text file. Selain membuat file duplikat, virus ini juga akan mencoba untuk menginjeksi file yang mempunyai ekstensi EXE, ukuran file yang berhasil di injeksi ini akan bertambah sekitar 1.312 KB dari ukuran semula, sehingga jika user menjalankan file tersebut maka secara otomatis akan menjalankan dirinya. Setiap kali komputer dinyalakan virus ini akan memunculkan pesan “error 16 bit MS-DOS Subsystem”, pesan error ini juga akan mucul setiap berapa menit sesuai dengan waktu yang sudah ditentukan serta membuat file duplikat (random) di direktori “C:Windows” yang kemudian file yang sudah dibuat tersebut akan dihapus kembali.
• nick, free picture indonesia sex double klik url
• nick Ada info baru ne Marshanda, Agnes Monica, Dian Sastro, Bunga.C Dah Berani Bugil, Untuk liat Fotonya double klik url
• artis indonesia nude, double klik url
• nick, indo artis majalah playboy double klik url
• nick mo liat artis majalah playboy indo
• nick indonesia free porn, double klik url
• ce bangsa indo, double klik
Virus W32/Agent.GYMR ini juga akan menggunakan flash disk sebagai media penyebaran dirinya dengan membuat file duplikat dengan ciri-ciri:
o Icon Windows Media Player
o Ukuran 1.312 KB
o Ekstensi EXE
o Type File “Application”
12 komentar:
ckckck!!!
virus yang
nakal bangettt!!
Iseng bangettt!!
Unik bangetttt!!
gmn cara menghapusnya???
wuiiiihh.....lucu banget virus nya..kog bisa ya ada virus aneh kek geto..aneh banget ya!!
Tapi sejau ini blm pernah dengar ada yg mengalamin keanehan kek geto se...
wah..wah..mesti waspada ne ma virus2 anehh...^^
GoldenGhost...
Nmy keren juga,binz..skr virus komp emg bnyk n aneh2 yach..para pembuat virus emg iseng bgt..ada antivirusy ga?
wa bin artikel lo panjang bener g jd cape bc nih hahaha..gileternyata komputer jg bs mendesah ya g kira cuma " " yg bs hahaha..btw ada gak cara untuk mencegah komputer tdk mendesah ge hahaha...
aneh ya ad yg bilang virus itu lucu. ha3. coly yul becande jak bah. iseng banget neh pembuat virus. makin banyak aj virus yg menyebar di dunia ini. makin tak aman komputer g. ha3. tp sayang mereka menggunakan kekreatifan mereka ke jalan yg salah. semoga saja mereka di beri ridho oleh allah swt untuk kembali ke jalan yg bener. kan ini bulan puasa. untung anggota FPI atau Muhamadiyah gk ad d komputer. xlo ad pasti mereka teriak "hilangkan virus maksiat di komputer ini" wkwkwkwkwk ... ^^
haha.. ade-ade jak nih virus.. coba jangan hanya tulisan, sekalian suaranya juga donx..
btw, darimana nih asal virusnya, maksud gw gimana d bs jangkitin pc kitak??
^^v
kalo kena sih, udah langsung format en install ulang aja, susah klo ud gitu, mau nyelamatkan data juga gak bisa, karena virus ini ud nyerang ke system ama registry juga...
nice post bin>>>>>
mantap virusnya
hebat yang bikin tuh
jd tantangan buat para pencipta antivir
Sori bro br comment.. Sbk lar... Hmmm... Jgn gitu lar, g berubah kan g masi kyk yg dl.. Xan smua masi temen g koq.. Wakakaka... Nice post bin... Unik BAnget!!!
Ciaossu!
Duh,pusing gue baca bahasa pemograman yang panjang2 itu..
tapi ada2 aja ya orang bikin virus begituan.Makanya buat para cowok berhati-hatilah:D
ee-eehh..
yang nakal tuh pembuat virusnya kalii...
mungkin mereka udah kehabisan ide untuk buat virus kayak gimana, coba dehhh jangan buat virus..
ga ada gunanya.. merusak sajaaa...
dosa lagii..!
coba la.. buat suatu software yang berguna gitu, daripada virus..
merusakkk!
g jd trauma ma virus nehhh
ckck...
pencipat virus tuh org pinter yg suka ngacau..maka na dia ciptakan virus yg sk ganggu org..kl komp di dunia fine2 aja gak seru..bkn komp org 'mendesah' jg tujuan dia..biar variasi..haha
Posting Komentar