Virus ini dikenali oleh avast! Antivirus sebagai worm Win32:VB-BBF [Wrm]. Masalah utama yang ditimbulkan oleh virus ini adalah respon komputer menjai sangat lambat. Selain itu, file .exe akan diubah tipenya menjadi “File Folder”. Sama seperti pendahulunya, virus ini menyebar melalui media removable storage. Removable storage yang di-plug ke komputer yang telah terinfeksi akan otomatis menjadi ‘carrier’ virus. Files tersebut berupa file berformat *.exe dengan icon folder serta file *.scr. Nama file tersebut mudah dikenali.

Pembuat virus juga meninggalkan ‘jejak’ nya pada komputer yang telah terinfeksi. Ia akan membuat 3 buah file teks:

  • C:\WINDOWS\AbouT.txt
  • ::I-Worm.MoonLight.K[B]::
    Indonesian VX Society
    -=[HellsPawn a.K.a B4bb1Cool]=-

  • C:\WINDOWS\grezz.txt
  • rRlf Zine
    All Indonesian VXers
    Death Knight ,PushMov, SPYRO KID , TOmero , Brontok Creator
    DEcoy Creator, dr.Pluto, Evant44, Vaksiners, Jasakomers

  • My Documents\Untuk Titta.txt
  • hal yang paling membahagikan bagi gw adalah ..
    Mencintaimu

Selain itu, sepertinya bila terdapat folder yang mengandung antivirus pada removable storage, maka akan dibuat menjadi hidden system folder olehnya. Paling tidak folder Avast diubah menjadi hidden olehnya, dan terdapat file Avast.scr. Apakah untuk antivirus lain seperti itu juga, saya kurang tahu. Untuk memunculkan kembali cukup jalankan perintah di command prompt: attrib –s –h /S /D <path>.

Langkah penghapusan Manual

Pertama-tama, proses dari virus harus kita matikan terlebih dahulu. Gunakan process viewer untuk itu. Berikut adalah beberapa software yang bisa digunakan:

Cari process yang dengan icon folder. Catat path dari masing-masing process untuk nantinya dihapus secara manual. Matikan process dengan ikon folder seperti berikut ini:

  • lsass.exe
  • service.exe
  • smss.exe
  • system.exe
  • winlogon.exe

Kelima process tersebut meniru nama process asli dari Windows. Namun process yang asli, lokasi kelimanya berada pada folder C:\WINDOWS\system32\.

Kemudian, buat sebuah file .inf (misal hapus.inf) dengan isi sebagai berikut:

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”””%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”””%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”

[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoControlPanel
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
HKCU, Software\Microsoft\Windows\CurrentVersion\Run,MooNlight
HKCU, Software\Microsoft\Windows\CurrentVersion\Run,payLoad
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,ObjectDock
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Msconfig.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe

Jalankan file dengan cara klik kanan pada file lalu pilih Install.

Selanjutnya hapus startup dari virus. Bisa menggunakan tool Startup Control Panel. Bila menggunakan tool ini, telusuri seluruh tab, dan cari startup berikut:

  • 0 – C:\WINDOWS\l.exe
  • 084606 – C:\WINDOWS\l511078.exe
  • a46621 – C:\WINDOWS\notepad.exe:X
  • s0 – C:\WINDOWS\system32\l.exe
  • s2810780 – C:\WINDOWS\system32\621188306280l.exe

Nama dan path dari startup virus bisa bervariasi di setiap komputer. Cari saja yang memiliki nama yang aneh seperti di atas. Catat juga path nya untuk nantinya dihapus (Kedua file l.exe ternyata tidak ada). Oh ya, kenapa notepad.exe juga dihapus? Karena itu adalah notepad palsu, notepad asli terletak di folder C:\WINDOWS\system32.

Sekarang saatnya menghapus files dan folders dari virus ini. Beberapa dari file dan folder virus berada dalam keadaan hidden. Untuk memunculkan file yang tersembunyi itu, jalankan perintah di command prompt: attrib –s –h /S /D <file path>. Untuk mengakses folder yang tersembunyi, cukup masukkan path dari folder ke Address Bar dari Windows Explorer. Cari lokasi files process dan startup yang sebelumnya telah dicatat, lalu hapus.

Selain itu, masih terdapat beberapa file dan folder lain yang perlu dihapus. Ciri umumnya (walau tidak semua) adalah memiliki ukuran 58 KB, berekstensi .exe dan Date Modified nya adalah 3/20/2006. Berikut adalah files tersebut:

  • C:\WINDOWS\kb913800.exe
  • C:\WINDOWS\system32\67451a\621188.cmd
  • C:\WINDOWS\system32\moonlight.scr
  • C:\Documents and Settings\<Username>\My Documents\My Music\My Music.exe
  • C:\Documents and Settings\<Username>\My Documents\My Pictures\My Pictures.exe
  • C:\Documents and Settings\<Username>\My Documents\private\private.exe
  • C:\Documents and Settings\<Username>\Start Menu\Programs\Startup\adobe gama.cmd (perhatian: file ini jangan sampai lupa dihapus, bila tidak virus akan aktif kembali saat startup)
  • C:\WINDOWS\z306280d.exe

Sekali lagi harus diingat bahwa nama file dan folder tersebut mungkin bervariasi di setiap komputer.

Setelah itu, bila ingin (tidak juga tidak apa-apa) hapus beberapa registry berikut:

  • Files yang disebutkan di atas (gunakan fitur Find dari regedit).
  • C:\WINDOWS\regedit.exe:X.
  • Path dari file yang pertama kali menginfeksi (bila ingat).

Agar lebih meyakinkan, scan seluruh komputer dengan antivirus yang telah di-update sebelumnya. Hapus file yang masih tersisa bila ada.

Terakhir, tes apakah virus benar-benar telah hilang dengan cara log off dan kemudian login kembali. Bila muncul kembali, berarti ada file yang terlewatkan. Dan langkah-langkah di atas harus diulangi kembali🙂.