I Love You Mindhack part 2

15 Oktober 2012
I Love You Mindhack part 2
Apa hubungan Hello Kitty dengan mindhack ?
Kill 'em all
I love U Mindhack
Dimanakah kamu sekarang?
Tahukah kamu, aku mencarimu hampir disetiap waktuku?
Kamu boleh saja bersembunyi di antara berjuta tebaran bintang
Tapi, ketahuilah suatu saat aku pasti akan menemukanmu
Kamu boleh saja telah memenangkan permainan kecil dengan mereka
Beberapa dari mereka adalah teman2 ku
Beberapa dari mereka sekarang terpenjara
Tapi, kamu belum memenangkan apapun dari aku
Sampai kapan kau akan terus bersembunyi?
Ingat! Korban tak bersalah akan terus berjatuhan
Korban berikutnya adalah ektramedia.org mu yang tiada guna
Dan phreaker2 wannabe yang mengikuti gerak langkah kecilmu yang indah dan mematikan
Ketahuilah, apapun yang tidak bisa aku dapatkan
Pasti akan aku hancurkan
Bwahahahahahhahahahahhahahahahhahahah!!!!!!!!!!!!
Jarak kita hanya tinggal beberapa tombak
bwahahahahahahhahahahahahhahahhhh

 
Apa hubungannya Hello Kitty dengan mindhack ? Mungkin anda menganggap hal ini lelucon tidak lucu, apalagi kalau harddisk anda barusan terformat oleh virus ini. Tetapi setelah membaca artikel ini anda akan percaya bahwa Hello Kitty (dan bukan Snoopy) lebih memiliki hubungan dengan pembuat virus mindhack. Setelah memakan korban pada akhir September 2012 dan menuai sumpah serapah dari ribuan korbannya di Indonesia, rupanya pembuat virus mindhack tidak kapok, malahan mengeluarkan varian mindhack yang baru lengkap dengan curhat patah hati dan icon Yellow Kitty dan Red Bear.

Virus yang disebarkan dengan cara memalsukan diri sebagai aplikasi Ultrasurf **(aplikasi untuk menembus sensor internet) ini ternyata sangat marak peminatnya dan bukannya Ultrasurf yang didapatkan oleh orang yang menjalankan aplikasi ini tetapi seluruh harddisknya (kecuali C:\) di “Surf” / “Rinso” alias di format oleh virus ini.

**Ultrasurf adalah freeware sebagai “produk penghindar sensor internet” yang dibuat oleh Ultrareach Internet Corporation. Software ini memungkinkan penggunanya untuk melewati sensor dan firewall menggunakan proxy HTTP, dan mempekerjakan protokol enkripsi untuk privasi. Software ini dikembangkan oleh aktvis Cina sebagai sarana yang memungkinkan pengguna internet untuk memotong Great Firewall of China.

Virus ini terdeteksi oleh Norman sebagai Hupigon.MBKG dan Hupigon.MBKH, sedangkan G Data mendeteksi virus ini sebagai Trojan.Generic.7770658 (lihat gambar 1)
20121015I_virusmindhack01
Gambar 1, G Data mendeteksi Mindhack sebagai Trojan.Generic.7770658

Ciri-ciri virus “iloveyoumindhack”

Untuk memastikan bahwa komputer anda terinfeksi oleh virus mindhack, ada beberapa ciki khas sebagai berikut :
  • File yang berekstensi .exe tidak bisa digunakan dan type file akan berubah menjadi .iloveumindhack (lihat gambar 2) dan hal ini mengakibatkan komputer korbannya tidak akan bisa menjalankan program apapun yang memiliki ekstensi .exe. Hal ini memiliki tujuan utama mencegah korbannya menjalankan program antivirus atau tools removal antivirus untuk membasmi mindhack.
20121015I_virusmindhack02
Gambar 2, Semua file type “.exe” akan berubah menjadi “.iloveyoumindhack”

  • Virus ini akan memformat semua partisi hardisk D: s/d Z: (kecuali System drive C) dengan menggunakan proses Quick Format. Aksi inilah yang mendapatkan sumpah serapah dari korbannya karena kehilangan data yang di format. Dibandingkan dengan virus lain yang melakukan injeksi dan enkripsi file data korbannya, aksi mindhack ini relatif mudah diatasi dengan teknik data recovery yang simple. Pada prinsipnya, aktivitas format (apalagi quick format) tidak memusnahkan file dan sebenarnya file data anda masih ada di partisi / harddisk anda. Hal pertama yang harus anda lakukan adalah lepaskan harddisk yang menjadi korban quickformat, jadikan slave dan lakukan recovery dari komputer / harddisk lain dan jangan sekali-kali menjalankan OS atau dari harddisk yang ingin anda recover, apalagi mengkopikan file ke harddisk tersebut karena akan menimpa file yang ingin anda recover. Jika anda ragu, sebaiknya hubungi ahli data recovery untuk melakukan hal ini.
  • Mengkopikan / menggantikan file :
  • D:\setup.exe
  • D:\restore.exe
  • D:\backup.exe
  • D:\hddfix.exe
Dengan file virus.
  • Mematikan (taskkill) proses file :
  • C:\Program Files\Internet Download Manager\IDMan.exe
  • C:\Program Files\Mozilla Firefox\firefox.exe
  • C:\windows\explorer.exe (lihat gambar 3)
20121015I_virusmindhack03
Gambar 3, Proses “explorer.exe” dimatikan (taskkill) dan filenya digantikan dengan file virus dengan perintah “Xcopy””

Dan menggantikan dengan file virus.
  • Membuat sebuah folder dan file dan meletaknya di C:\Documents and Settings\Administrator\Local Settings\Temp (lihat gambar 4)
20121015I_virusmindhack04
Gambar 4, Folder yang dibuat oleh virus dengan icon yellow kitty, orange bear dan foto dengan nama file I LOVE U.jpg

Bagaimana mengatasi Mindhack

Jika anda termasuk ke dalam penggemar “Hello Kitty” ini dan menjalankan virus mindhack, kemungkinan besar seluruh harddisk anda (kecuali C:\) akan di format. Seperti yang disarankan di atas, untuk mengembalikan data dari harddisk yang telah di “quick format” oleh Mindhack anda perlu melakukan Data Recovery. Jika anda belum berpengalaman, Vaksincom menyarankan anda untuk jangan melakukan sendiri dan berkonsultasi dengan ahli data recovery. Khususnya jangan sekali-kali melakukan kopi data atau instalasi ulang (apalagi partisi ulang) pada harddisk yang ingin anda recover.

Sedangkan untuk sistem yang telah “dikerjai” oleh mindhack, berikut ini langkah untuk mengembalikannya (Windows XP) :

  • Kopi “explorer.exe” dari komputer lain dan rename menjadi “explorer.bat” dan jalankan.
Cari file “explorer.exe” dari komputer lain yang tidak terinfeksi virus yang OSnya sama dengan OS komputer yang terinfeksi. File “explorer.exe” bisa ditemukan dari “C:\windows\explorer.exe”. Kopi file “explorer.exe” tersebut ke usb flash disk dan rename menjadi “explorer.bat”. Colokkan USB Flash tersebut pada komputer yang terinfeksi dan jalankan “explorer.bat” untuk membuka Windows Explorer.
  • Rename command prompt “cmd.exe” menjadi “cmd.bat”.
Buka Drive C:\ WINDOWS\system32 → lalu pilih “cmd.exe” (tanpa tanda kutip) dan rename menjadi “cmd.bat” (tanpa tanda kutip). Jika ekstensi file tidak muncul, maka pada Menu Bar pilih [Tools] [Folder] [Option] buka tab [View] dan unchecklist pada pilihan “Hide extentions for known file types” (lihat gambar 5)
20121015I_virusmindhack02
Gambar 5, Ubah “cmd.exe” menjadi “cmd.bat”
  • Lalu klik ganda “cmd.bat” untuk membuka “Command Prompt”
Pada Command Prompt, langsung saja ketik “Assoc .exe=exefile” (tanpa tanda kutip) lalu tekan Enter. (lihat gambar 6)
20121015I_virusmindhack05
Gambar 6, hasil proses Assoc .exe=exefile pada Command Prompt

Setelah itu, repair registry dengan cara buka program notepad lalu copy skrip berikut :

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee 2012


[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del


[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1



[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Msconfig.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe

HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore


Paste script diatas pada notepad, lalu save dengan nama file “repair.inf” (tanpa tanda kutip). Setelah di-save dengan nama file “repair.inf”, klik kanan lalu pilih [install]

  • Scan komputer dengan antivirus yang terupdate untuk mendeteksi dan membasmi virus ini seperti G Data Antivirus atau Norman Virus Control. Program antivirus yang dapat mendeteksi virus ini akan menghapus semua file virus yang dapat ditemukan di :
  • D:\setup.exe
  • D:\restore.exe
  • D:\backup.exe
  • D:\hddfix.exe
  • C:\Program Files\Internet Download Manager\IDMan.exe
  • C:\Program Files\Mozilla Firefox\firefox.exe
  • C:\Windows\explorer.exe
  • Kopi file “explorer.exe” dari komputer dengan OS yang sama dengan komputer yang terinfeksi dan masukkan ke direktori “C:\Windows”
  • Jika anda menggunakan Firefox dan Internet download manager, kami sarankan untuk melakukan instal ulang. Kalau ada backup file .exenya silahkan di kembalikan ke direktorinya.
Salam,


Viko Akbar
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: