1. Hello Guest, selamat datang di Forum WinPoin. Kamu bisa bertanya, berdiskusi, sharing, dan ngobrolin apapun seputar Windows, Windows Phone, PC, Gadget, atau hal seputar Teknologi lainnya. Selamat berkomunitas! ;)

Virus Cetix, Bagaimana ia Bekerja dan menanggulanginya

Discussion in 'General' started by Krisnanda Juni Antara, Dec 11, 2014.

  1. Krisnanda Juni Antara

    Krisnanda Juni Antara Moderator Staff Member

    Joined:
    Apr 21, 2014
    Messages:
    2,503
    [​IMG]

    Nama Virus : Cetix
    Tingkat Bahaya : Dangerous
    Infeksi System yang ditumpangi : Menyeluruh

    Beberapa tahun yang lalu, ketika ane masih kelas 3 SMP, ane biasa bermain ke warnet untuk bermain game online. Ternyata warnet yang ane kunjungi tak seperti biasanya, karena Komputernya muncul IE terus menerus dengan Tulisan "CETIX". Setelah setahun ane meneliti juga tentang virus ini, berikut hasil penelitian ane selama 1 tahun


    SEKILAS

    Cetix berasal dari bahasa bali yang bearti Racun/Toxic. Virus ini berkembang dari tahun 2008 dan menghancurkan lebih dari 500 PC yang sebagian besar bersistem operasi Windows XP, namun tak mengelak bisa menyebar ke Windows versi lebih baru seperti Windows 7 dan 8. Seperti halnya sebuah racun/cetix, virus ini termasuk dalam kategori yang berbahaya, karena memiliki efek yang besar yaitu salah satunya dengan menghapus data/dokumen MS Office.

    CIRI CIRI

    Ciri Ciri Virus ini jika menginfeksi komputer kalian :
    - Memiliki ukuran file sebesar “45 kb”.
    [​IMG]
    - Mempunyai type file “Application”.
    [​IMG]
    - Berekstensi file “exe”.
    - Memiliki icon yang berbeda-beda (dalam hal ini terjadi peningkatan dari pendahulunya, yang hanya ber-icon folder).
    [​IMG]


    GEJALA
    Jika sudah mengalami/terinfeksi virus ini, ada gejala yang terjadi yaitu :

    - Melakukan blok beberapa fungsi windows seperti task manager, registry editor serta command prompt.
    - Melakukan blok beberapa program aplikasi yang dikenal virus tsb (seperti WinRAR, MSN Explorer, Total Commander, dll).
    - Tidak bisa melakukan copy file (menu paste akan di-disable).
    - Tidak bisa melakukan copy isi file ke dalam file yang lain, setiap melakukan paste isi file kedalam isi file yang lain akan muncul tulisan “Hello ! My Name is CETiX, nice to meet you...”
    - Membuat duplikat file virus pada setiap file yang dieksekusi.
    - Membuat duplikat file virus pada setiap folder / drive yang diakses.
    - Membuat duplikat file virus pada setiap folder yang ada pada removable drive / usb.
    - Menghapus file MS office yang berekstensi *.doc, *.xls, *.ppt, *.mdb, *.pdf, *.xml, dan menggantinya dengan file duplikat virus pada setiap folder / drive yang diakses.
    - Menghapus file multimedia yang berekstensi *.mp3, *.3gp, *.dat, *.mov, *.wav, dan menggantinya dengan file duplikat virus pada setiap folder / drive yang diakses.
    - Menghapus file compress yang berekstensi *.zip, *.rar, dan menggantinya dengan file duplikat virus pada setiap folder / drive yang diakses.
    - Menghapus file gambar yang berekstensi *.jpg, *.bmp, *.gif dan menggantinya dengan file duplikat virus pada setiap folder / drive yang diakses.
    - Menghapus file eksekusi yang berekstensi *.bat, *.com, *.scr, dan menggantinya dengan file duplikat virus pada setiap folder / drive yang diakses.
    - Menghapus program aplikasi security yang dikenal oleh virus tsb (seperti program antivirus, program pengganti task manager), dan menggantinya dengan file duplikat virus pada setiap folder / drive yang diakses.
    - Memunculkan pesan jika ada program aplikasi security yang berusaha mematikan virus tsb. (lihat gambar)
    [​IMG]
    - Melakukan restart komputer jika menjalankan program aplikasi security yang berusaha mematikan virus tsb (contohnya aplikasi process explorer).
    - Membatalkan proses instalasi program yang kita lakukan (seandainya kita ingin melakukan proses instalasi suatu program).
    - Membuat schedule task dengan subject ctxwarrior, pada saat kita menggunakan MS Outlook.
    - Membuat file pesan pada root drive C:\, yaitu “infoBali.txt”.
    [​IMG]
    - Membuat file pesan “aboutCetix.html”, pada desktop dan root drive C:\
    [​IMG]
    - Membuat Auto Registry sbb
    - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    Cetix = C:\WINDOWS\cetix.exe
    - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    Poison = C:\WINDOWS\system32\poison.exe
    - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
    Shell = Explorer.exe “C:\WINDOWS\system32\poison.exe”
    Userinit = C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\poison.exe

    Agar dapat aktif pada mode safe mode, virus akan membuat string registry sebagai berikut :
    - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
    AlternateShell = C:\WINDOWS\cetix.exe
    - HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot
    AlternateShell = C:\WINDOWS\cetix.exe
    - HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
    AlternateShell = C:\WINDOWS\cetix.exe

    Agar dapat memunculkan nama virus disamping jam komputer, maka akan dibuat string sebagai berikut :
    HKEY_CURRENT_USER\Control Panel\International
    s1159 = AM | CETiX
    s2359 = PM | CETiX

    [​IMG]

    Selain itu, virus membuat string registry untuk merubah owner pada system properties (gambar 9), yaitu :
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion
    RegisteredOrganization = CETiX BALi
    RegisteredOwner = xz

    [​IMG]
    Walaupun Folder Options tidak di blok, virus mencegah untuk menampilkan file yang tersembunyi. Untuk itu, ia memanfaatkan Super Hidden dengan merubah string registry sebagai berikut :

    - HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
    ShowSuperHidden = 0
    SuperHidden = 0
    - HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
    UncheckedValue = 0

    Agar dapat aktif setiap saat, virus mencoba mengalihkan beberapa file eksekusi dengan menjalankan file virus, untuk itu ia membuat string sebagai berikut :
    - HKEY_CLASSES_ROOT\batfile\shell\open\command
    Default = “C:\WINDOWS\system32\toxic.exe” “%1” %*
    - HKEY_CLASSES_ROOT\comfile\shell\open\command
    Default = “C:\WINDOWS\system32\toxic.exe” “%1” %*
    - HKEY_CLASSES_ROOT\exefile\shell\open\command
    Default = “C:\WINDOWS\system32\toxic.exe” “%1” %*
    - HKEY_CLASSES_ROOT\lnkfile\shell\open\command
    Default = “C:\WINDOWS\system32\toxic.exe” “%1” %*
    - HKEY_CLASSES_ROOT\piffile\shell\open\command
    Default = “C:\WINDOWS\system32\toxic.exe” “%1” %*

    CARA PENANGGULANGAN

    Ada beberapa cara menanggulangi virus ini yaitu :

    - Sebaiknya kamu lakukan pembersihan pada mode safe mode.
    - Matikan proses virus. Gunakan tools pengganti task manager, seperti Itty Bitty Process Manager (http://majorgeeks.com/Itty_Bitty_Process_Manager_d4690.html)
    - Lakukan kill process, pada beberapa file virus yang aktif yaitu :
    Code:
    C:\Documents and Settings\%User%\Start Menu\Programs\Startup\vserve.exe
    C:\WINDOWS\cetix.exe
    C:\WINDOWS\system32\poison.exe
    - Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini dengan menggunakan notepad, dan simpan dengan nama "repair.inf" (catatan : buatlah di komputer yang tidak terinfeksi virus ini)
    Code:
    [Version]
    Signature="$Chicago$"
    Provider=Vaksincom Oyee
    [DefaultInstall]
    AddReg=UnhookRegKey
    DelReg=del
    [UnhookRegKey]
    HKCR, batfile\shell\open\command,,,"""%1"" %*"
    HKCR, comfile\shell\open\command,,,"""%1"" %*"
    HKCR, exefile\shell\open\command,,,"""%1"" %*"
    HKCR, piffile\shell\open\command,,,"""%1"" %*"
    HKCR, lnkfile\shell\open\command,,,"""%1"" %*"
    HKCR, scrfile\shell\open\command,,,"""%1"" %*"
    HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, ProductName,0, "Windows"
    HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOrganization,0, "Organization"
    HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOwner,0, "Owner"
    HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
    HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, userinit,0, "C:\WINDOWS\system32\userinit.exe,"
    HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
    HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
    HKLM, SYSTEM\ControlSet003\Control\SafeBoot, AlternateShell,0, "cmd.exe"
    HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
    HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0x00010001,1
    HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden,0x00010001,1
    HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1
    HKCU, Control Panel\International, s1159,0, "AM"
    HKCU, Control Panel\International, s2359,0, "PM"
    [del]
    HKCU, Software\Microsoft\Windows\CurrentVersion\Run,cetix
    HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,poison
    HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
    HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableTaskMgr
    HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore,DisableSR
    HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore, DisableConfig
    
    Jalankan file ini dengan cara klik kanan - install

    - Hapus File dengan ciri ciri yang telah aku sebutkan tadi



    Itulah tadi penjelasan tentang Virus Cetix, semoga menambah wawasan kamu dan juga berhati hati dalam mendownload file apapun dari internet :goodjob:

    Gambar by vaksin.com
     
  2. Z.A.Y

    Z.A.Y Moderator Staff Member

    Joined:
    May 21, 2014
    Messages:
    1,796
    wooow lengkap sekali penjelasannya + REP deh

    ==================

    jenisnya backdoor --" metode yang biasa di pake hacker atau orang iseng yang di tanamkan ke file file untuk mengambil alih control komputernya ckckck karena biasanya file ini menarik perhatian user untuk dieksekusi
     
  3. Krisnanda Juni Antara

    Krisnanda Juni Antara Moderator Staff Member

    Joined:
    Apr 21, 2014
    Messages:
    2,503
    iya, aku juga makin penasaran sama virus ini, soalnya virus ini juga dibuat dari VB (Visual Basic)
    #hebat :kagum:
     
  4. Z.A.Y

    Z.A.Y Moderator Staff Member

    Joined:
    May 21, 2014
    Messages:
    1,796
    :ketawa: wah kok tau di buat dari Visual Basic , :hoek1: ini virus malah di bilang hebat

    :senyumsinis: kamu pengen bikin yah? :ketawa:
     
  5. Krisnanda Juni Antara

    Krisnanda Juni Antara Moderator Staff Member

    Joined:
    Apr 21, 2014
    Messages:
    2,503
    yee jangan salah, komputer sekolahku waktu SMP aja juga kena ( 1 lab komputer ), kalo dibilang mau bikin sih ane ngga mau buat, takut ada FBI patroli di Dunia maya, entar ane dicari lagi :ketawa:
     
  6. Muhammad Rizki

    Muhammad Rizki Most Valuable Member

    Joined:
    Jul 28, 2013
    Messages:
    316
    Double +Rep deh.. kalo Win 10 bisa kena gak yah?
     
  7. Jazz

    Jazz Windows Freak Staff Member

    Joined:
    Jan 6, 2014
    Messages:
    14,720
    Tidak hanya gambarnya, semuanya 1x jebret...
    http://www.vaksin.com/2008/0408/cetix/CETiX.html
     
  8. Z.A.Y

    Z.A.Y Moderator Staff Member

    Joined:
    May 21, 2014
    Messages:
    1,796
    zzzzzzzzzzzzzzzzzzzz :ketawa: :woa:
     
  9. SyamsQ

    SyamsQ Member

    Joined:
    Apr 16, 2014
    Messages:
    589
    om, tahu cara menghapaus virus shortcut yang pake CMD, Sality gak mempan? Udah coba hapus dari safe mod juga sama.
     
  10. Dejiko

    Dejiko New Member

    Joined:
    Mar 21, 2014
    Messages:
    2,309
    minta samplenya buat ujicoba di VMWare
     

Share This Page