Professional Documents
Culture Documents
Once you infected, no antivirus can remove in windows mode, mtx virus infected
windows components like wsock32.dll, explorer.exe , run32dll.exe that cannot deleted,
remove or rename in windows mode.
W95.MTX has a virus component and a worm component. It propagate using email. Also
it infects some Win32 executables in specific directories.The virus also has the capability
to block access to certain web sites. This may prevent users from downloading new virus
definitions.
The best way how to remove mtx, is use rescue disk of antivirus ( you must have
antivirus software like avp, nav, or mcafee ), then scan your hardisk in dos mode.... it's
need 3 up to 5 hours depend on your hardisk volume and usages.
If you don't have antivirus updated at least from october 2k , you can try this article from
symantec
http://www.symantec.com/avcenter/venc/data/w95.mtx.html
I suggest you to try both of way.. use rescue disk ( you will need 5 diskettes ) and manual
removal, to check whether your antivirus already clean up all the files or not, hope will
help
note : for your safety, please don't ever open attachment contain one of those files :
I_wanna_see_you.txt.pif
Matrix_screen_saver.scr
Love_letter_for_you.txt.pif
New_playboy_screen_saver.scr
Bill_gates_piece.jpg.pif
Tiazinha.jpg.pif
Feiticeira_nua.jpg.pif
Geocities_free_sites.txt.pif
New_napster_site.txt.pif
Metallica_song.mp3.pif
Anti_cih.exe
Internet_security_forum.doc.pif
Alanis_screen_saver.scr
Reader_digest_letter.txt.pif
Win_$100_now.doc.pif
Is_linux_good_enough!.txt.pif
Qi_test.exe
Avp_updates.exe
Seicho_no_ie.exe
You_are_fat!.txt.pif
Free_xxx_sites.txt.pif
I_am_sorry.doc.pif
Me_nude.avi.pif
Sorry_about_yesterday.doc.pif
Protect_your_credit.html.pif
Jimi_hendrix.mp3.pif
Hanson.scr
F___ing_with_dogs.scr
Matrix_2_is_out.scr
Zipped_files.exe
Blink_182.mp3.pif
withlove - sophie
The email can come from addresses that you will recognize. Attached is a file named
NAVIDAD.EXE and when it is run, it displays a dialog box entitled, "Error" which reads
"UI". A blue eye icon then appears in the system tray next to the clock in the lower right
corner of the screen, and a copy of the worm is saved to the file "winsvrc.vxd" in the
WINDOWS SYSTEM directory. If your PC becomes infected with the
W32/Navidad@M worm, all subsequent emails addressed to you will be responded to
automatically with an email from your address with the W32/Navidad@M worm as an
attachment.
* The value of
HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\exefile\shell\open\command is
restored to "%1" %*" on Windows 95 and Windows 98 systems or The value of
HKEY_CLASSES_ROOT\exefile\shell\open\command is restored to "%1" %*" on
windows NT and Windows 2000 systems.
Type the following command to check the digital signature of fixnavid.com: chktrust -i
fixnavid.com. If the digital signature is valid you will see a dialog asking the following
question: "Do you want to install and run "navidadfix" signed on 11/11/00 2:10PM and
distributed by Symantec Corporation."
The date and time that are displayed in this dialog will be adjusted to your timezone if
your computer is not set to the Pacific time zone. For example, if you live in the Eastern
time zone the date and time you will see will be 11/11/00 5:10PM. If you have the
Daylight Savings feature activated on your computer's clock, the time displayed will be
exactly one hour earlier.
You might also see the text message "Result:0" displayed following the command line. If
you do, then the test is positive and the file is confirmed as being from Symantec. If this
dialog or text message do not appear or the date and time are not properly adjusted for
your timezone do not use your copy of fixnavid.com. It is not from Symantec. If this
dialog appears and the text is correct for your timezone this copy of fixnavid.com is from
Symantec. Click the "Yes" button to dismiss the chktrust dialog. Type exit and then press
the enter key. This will terminate the MS DOS session.
A new virus, (W32/SirCam@MM) has made an appearance. This virus sends itself to
everyone in your address book "and" reads from your CACHE folder for mailto address
and sends to thes as well. Everyone should do a scan of their system to see if it's on your
computer. Many of you will find it is. It's a bit of a pain to get rid of but it can be done.
Two things all Internet users can/should do to help prevent the spead of these viruses are:
1: Do Not select the option in Outlook/Outlook Express to automatically add senders to
your adress book. If you have this option selected, go into your option folder and disable
it.
2: If you use an auto-responder, you should always have virus protection in place. If you
don't, then you will be sending this virus to everyone you reply to.
For more information on this virus, it's characteristics and how to kill it, please visit:
http://vil.nai.com/vil/virusSummary.asp?virus_k=99141
WARNING No.1
Do not open Snow-white and the Seven Dwarfs, it is the Hybris virus which is a worm
and will destroy all of your files and sends itself to everyone in your address book. It is
being sent by HAHAHA@sexyfun.net and is sent as attachment, an executable file.
WARNING No. 2
If you receive any CELCOM Screen Saver, please do not install it! This screen saver is
very cool. It shows a NOKIA hand phone, with time messages. After it is activated, the
PC cannot boot up at all. It goes very slowly. It destroys your hard disk. The Filename is
CELLSAVER.EXE
WARNING No. 3
Beware! If someone named SandMan asks you to check out his page. DO NOT! It is at
http://www.geocities/. This page hacks into your C:/drive. DO NOT GO
THERE...FORWARD THIS MAIL TO EVERYONE YOU KNOW.
WARNING No. 4
If you get a E-mail titled "Win A Holiday" DO NOT open it. Delete it immediately.
Microsoft just announced it yesterday. It is a malicious virus that WILL ERASE YOUR
HARD DRIVE. At this time there is no remedy.
Sebuah virus hanyalah sebuah program komputer. Seperti program komputer lainnya, di
dalamnya terdapat instruksi yang dapat menyuruh komputer untuk melakukan tugas
tertentu. Tetapi berbeda dengan program aplikasi, sebuah virus biasanya memerintahkan
komputer Anda untuk melakukan hal yang sebenarnya tidak Anda inginkan, dan biasanya
dapat menyebarkan dirinya ke file-file yang ada di dalam komputer Anda--dan kadang-
kadang ke komputer orang lain juga.
Bila Anda beruntung, sebuah virus paling-paling hanya menyebabkan komputer untuk
melakukan tindakan yang aneh-aneh, seperti menyebabkan speaker komputer Anda
berbunyi "blip-blip-blip" secara acak. Yang paling ditakuti adalah virus ganas yang dapat
menyebabkan seluruh data pada harddisk Anda hilang (dengan memerintah komputer
untuk memformat harddisk), bahkan ada virus yang dapat merusak hardware komputer
Anda, seperti virus CIH yang merusakkan BIOS motherboard komputer Anda.
Seorang penulis virus dapat mengeset waktu penyerangan virusnya, saat itu juga, pada
waktu atau tanggal tertentu, atau pada saat suatu perintah tertentu dijalankan, misalnya
sewaktu Anda memerintahkan menyimpan atau menutup sebuah file. Contoh: virus
Michaelangelo yang diprogram untuk melepas kode perusaknya setiap tanggal 6 Maret
setiap tahunnya--yang merupakan tanggal ulang tahun
· Virus file: menginfeksi aplikasi. Virus ini melakukan eksekusi untuk menyebarkan
dirinya pada aplikasi dan dokumen yang terkait dengannya saat file yang terinfeksi
dibuka atau dijalankan.
· Virus polymorphic: akan mengubah kode dirinya saat dilewatkan pada mesin yang
berbeda; secara teoritis virus jenis ini lebih susah untuk dapat dideteksi oleh scanner
antivirus, tetapi dalam kenyataannya virus jenis ini tidak ditulis dengan baik, sehingga
mudah untuk diketahui keberadaannya.
· Virus stealth: menyembunyikan dirinya dengan membuat file yang terinfeksi tampak
tidak terinfeksi, tetapi virus jenis ini jarang mampu menghadapi scanner antivirus terbaru.
Virus komputer telah ada sejak tahun 1960, sejak dimulainya era komputer, walau hingga
kisaran tahun 1980 mereka kebanyakan hanya spesimen di laboratorium komputer,
diciptakan oleh periset dan dilepas dalam lingkungan yang terkontrol untuk mengevaluasi
efek mereka.
Saat virus pertama kali ditemukan di permukaan pada tahun 1980-an, penyebaran mereka
sangat lambat dan berpindah melalui "jaringan penyelundup": melalui floppy disk yang
dijual dan dibagi pakai antar komputer. Tetapi dengan adanya Internet dan akses e-mail
penyebaran virus semakin dipercepat.
Dua tahun yang lalu, dimulai dengan munculnya virus Melissa LoveLetter, penyebaran
virus lewat e-mail terus meningkat sehingga perbandingan pengguna komputer biasa
menghadapi virus pun semakin membesar. Virus e-mail sekarang menempati tempat
teratas dimana ia mengambil porsi 81 persen penyebab komputer terinfeksi virus dan
dapat menyebar ke dalam sistem dalam hitungan menit.
Untuk memperketat keamanan, Anda perlu menginstall software scanning antivirus yang
handal dan selalu mendownload updatenya secara teratur. Vendor software antivirus
besar, seperti Symantec, Network Associates, Computer Associates, dan Kapersky Lab,
menyediakan layanan update reguler (sebagai catatan Computer Associates InoculateIT
merupakan software antivirus yang gratis). Beberapa vendor juga menawarkan layanan
update reguler melalui situs Web perusahaan mereka.
Update secara reguler sangat penting. Para periset dari Computer Economics
memperkirakan bahwa 30 persen dari usaha kecil sangat rentan terhadap bahaya virus
dan itu dikarenakan mereka tidak mengupdate software antivirus mereka secara teratur
atau mereka tidak menginstalasikannya secara benar.
Dalam kasus virus baru yang belum ditemukan antidote-nya, software antivirus akan
menjalankan program heuristic yang akan mencari aktivitas mirip virus pada sistem
Anda. Bila program tersebut melihat ada gejala tak beres, ia akan mengkarantinakan
program yang bermasalah tersebut dan akan menampilkan pesan peringatan pada Anda
mengenai apa yang akan dilakukan oleh program tersebut (misalnya mengubah registry
Windows Anda). Bila Anda dan software merasa bahwa program tersebut adalah virus,
Anda dapat mengirimkan file yang telah terkarantina tersebut pada vendor software
antivirus untuk dianalisa, menentukan signaturenya, menamainya dan memasukkannya
ke dalam katalog, dan mengirimkan antidote-nya. Virus itu sekarang merupakan virus
yang dikenal.
Bila virus tersebut tidak muncul lagi--hal tersebut sering terjadi karena virus tidak ditulis
dengan baik untuk disebarkan--vendor akan mengkategorikan virus itu sebagai dormant
(virus tidur). Tetapi sebagian virus menyebar seperti gempa: Penyebaran awalnya selalu
disertai dengan kejadian susulan. Varian virus (virus jiplakan yang muncul setelah
penyebaran virus pertama) akan menambah jumlah jenis virus yang ada.
Contoh adalah saat virus Melissa LoveLetter muncul di Amerika Serikat, variannya--
VeryFunnyJoke--langsung muncul dalam beberapa saat, diikuti dengan lebih dari 30 jenis
lainnya dalam dua bulan kemudian. Dan tidak semua varian berasal dari penulis program
yang misterius. Beberapa perusahaan pernah terinfeksi oleh varian virus yang disebarkan
oleh pegawainya sendiri yang penuh rasa ingin tahu terhadap virus yang mereka yang
terima, menciptakan variannya, dan melepaskannya dalam sistem komputer perusahaan
mereka--kadang secara tidak sengaja, kadang memang ingin melakukannya.
Pada tanggal 11 Februari 2000, sewaktu saya membuka PC saya, program antivirus
McAfee saya memberi message seperti ini :
C:\Autoexec.bat
Found the WScript/kok.worm.bat
Virus apa pula ini ? Kenapa PC saya (berbasiskan Windows '98) bisa terinfeksi virus ini ?
Darimana asal muasal virus ini ? Koq tidak ada warning dari McAfee saya sewaktu virus
itu akan menginfeksi PC saya? Karena saya tidak bisa menemukan cara membersihkan
virus ini (pada waktu itu), maka saya tekan tombol enter saja dan menjalankan komputer
seperti biasanya. Saya mulai merasa terganggu akan kehadiran virus ini setelah sering
komputer saya hang, padahal sedang online (kejadian ini tidak saya alami lagi sewaktu
virus tersebut sudah saya bersihkan). Saya kemudian ke homepage McAfee dan Network
Associates, tetapi jawaban yang saya temukan adalah : Search Results No Archive
Documents Matched The Query: WScript/kak.worm.bat
Wah ternyata, antivirus saya belum mempunyai catatan mengenai virus aneh ini.
Kemudian mulailah saya menjelajah mencari-cari keterangan mengenai virus ini. (berita
terakhir saya temui, virus ini dengan nama : Kagou-Anti-Kro$oft Kak ) Akhirnya saya
temukan sedikit keterangan di F-Secure : (dan berita terakhir Norton 2000 juga sudah
mengantisipasi hal ini). NAME: Kak ALIAS: Wscript.KakWorm, merupakan virus yang
melekat pada mail yang dikirim dari sistem yang telah terinfeksi. Virus ini ditulis dengan
Javascript dan bekerja pada Windows 95/98 versi Bahasa Inggris dan Perancis. Virus ini
memanfaatkan kerentanan Outlook Express. Pada waktu pengguna menerima e-mail yang
telah terinfeksi (biasanya dalam HTML/Rich Text style) maka virus ini akan membuat
file kak.hta pada direktori Windows Startup. Saya sendiri menemukan file kak.hta ini
pada folder : C:\WINDOWS\Start Menu\Programs\Startup\KAK.HTA
Pada waktu kita reboot komputer kita setelah file kak.hta ini sudah ada dalam sistem kita,
maka virus ini mengcopy file c:\autoexec.bat kita menjadi c:\ae.kak dan membuat file
c:\autoexec.bat baru dengan tambahan 2 baris di akhir file tersebut yang tulisannya
sebagai berikut :
@echo offC:\Windows\STARTM~1\Programs\Startup\kak.hta
del C:\Windows\STARTM~1\Programs\Startup\kak.hta
Kemudian signature kita di Outlook Express 5.0 akan direplace dengan signature yang
telah terinfeksi file kak.htm. Setelah kejadian ini, secara tak sadar jadilah kita penyebar
virus Kak ini, melalui e-mail yang kita kirim ke rekan-rekan kita. Jeleknya, kerja virus ini
bukan hanya sampai disitu saja. Registri kitapun diobrak-abrik. Dengan memodifikasi
registri maka virus ini akan bekerja setiap kita memboot / menjalankan komputer kita.
Kemudian pada hari pertama setiap bulan, jika waktu telah menunjukkan lebih dari 17:00
(5:00pm) maka virus ini akan menunjukkan kotak peringatan dengan tulisan : Kagou-
Anit-Kro$oft say not today! Kemudian virus ini akan membuat komputer Windows kita
shut down. Saya menemukan isi registri saya sbb. :
MyComputer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\Doc Find Spec MRU Name Data (Default) (value not set)
a ""
b ""
c "DS32"
d "kok.reg"
e "kak.worm.bat"
f "sendcmt.cgi"
g "gotmale"
h "kak.reg"
i "bworks"
j "body"
MRUList "hadecgbijf
Jika kedua baris itu sudah ada, maka yang Anda perlu lakukan adalah menghapus
Autoexec.bat kemudian merename file C:\ae.kak menjadi C:\autoexec.bat.
Untuk melakukan hal ini gunakan perintah dari DOS. Cari file : KAK.HTA, jika ketemu
segeralah hapus : C:\WINDOWS\Start Menu\Programs\Startup\KAK.HTA kak.htm, jika
ketemu segeralah hapus : C:\Windows\kak.htm
Obok-obok registri dengan mencari kata kok.reg atau kak.reg. Bisa juga langsung saja
menuju :
MyComputer\HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\Doc Find Spec MRU
Kemudian hapus segeralah file / karakter yang ada hubungannya dengan kak dan kok ini
di registri tersebut.
Periksa Start up komputer Anda, caranya : Start | Run | msconfig, kemudian ke tab
Startup. Akan terlihat dua line yang mengandung kata :
- cAgAu
- kak.hta
Uncheck kedua line ini. Jika telah di unchek, langkah selanjutnya adalah menghilangkan
2 baris ini melalui regedit. Gunakan fasilitas regedit ke :
HKLM/Software/Microsoft/Windows/CurrentVersion
Cari di bagian Run atau RunService.Cari karakter kak atau kok atau cAgAu dan hapus.
Dengan menghapus karakter ini maka fasilitas on/off di startupnya jadi hilang. Setelah ini
selesai dilakukan, bootlah kembali komputer Anda. Apa yang harus kita lakukan untuk
mencegah tertularnya virus ini ?
Jika hal ini telah dilakukan, maka sewaktu ada virus sejenis yang menyerang sistem PC
Anda, akan muncul warning:
Some software (ActiveX controls) on this page might be unsafe. It is
recommended that you not run it. Do you want to allow it to run ?(Yes/No)
Kemudian muncul warning lagi (apapun yang kita tekan) : An ActiveX control on this
page is not safe. Your current security settings prohibit running unsafe controls on this
page. As a result this page may not display as intended (OK)
Saya tidak tahu apakah bisa dibersihkan dengan norton antivirus... Tapi sudah saya pake
scan mcafee versi terbaru ngga isa dibersihkan... satu2nya cara adalah mendelete file
tersebut... Tapi catatlah file tersebut sebelum mendelete... kemudian kopilah dari
komputer lainnya dengan sistem operasi yang sama... kalo windows 98 SE juga gunakan
windows 98 SE... Kalo belon dibersihkan setiap anda menjalankan file pasti terinfeksi...
Semakin lama semakin banyak yang terinfeksi... Dan file yang sudah terinfeksi jika
dijalankan akan membuat tiga buah file baru... file tersebut adalah MTX_.EXE,
IE_PACK.EXE dan WIN32.DLL Nach ketiga file ini di hidden dan akan terus muncul
selama virus masih ada (meskipun sudah didelete berulang kali)... dan register belum
dibersihkan.
Jalankan regedit dulu baru kemudian selanjutnya ... Jadi jika anda sudah mengetahui file
apa saja yang terinfeksi (dat file mcafee terbaru adalah 4098)... Maka replace (tumpukin)
file tersebut dengan file yang sama yang bersih... (sizenya seharusnya lebih kecil)... Tapi
saat melakukan replace jangan masuk ke sistem windows... Melainkan lakukan melalui
ms-dos prompt... Jangan sekali2 melalui windows... sama saja bohong... pake F8 pilih
command prompt only... baru kemudian kopikan... Setelah itu hapus ketiga file tersebut
(MTX_.exe, win32.dll, dan ie_pack.exe) yang dihidden... baru load windows-nya...
kemudian check lagi apa tiga file tersebut masih ada... jika tidak ada maka sudah bersih...
jika masih ada maka masih ada yang terinfeksi... dan jalankan langkah di atas...
Saya sudah kena selama satu minggu dan sekarang sudah bersih... Biasanya sich file
'.pif'-nya itu selalu menarik untuk dilihat heheeee... Dan jika melihat ada file *.mtx
jangan ragu2 untuk melakukan pendelete-an... Dan jangan dicari backup-nya ... sebab
pasti tidak ada hahahaaaa... Ciri khas emailnya adalah email kosong dengan attachment
*.pif (terkadang sender bisa unknown)...
Cara kerjanya jika anda terinfeksi maka saat anda sending email akan disending pula
sebuah email ke alamat yang anda tuju... Jadi orang yang tuju akan menerima dua email
dengan subject yang berbeda dan isi yang berbeda... hati2... Semoga pengalaman saya
berguna untuk anda semua....
"Budianto Putero Widjaya"
VIRUS NAVIDAD
NAVIDAD adalah jenis virus Worm yang menginfeksi file Exe. Jika kita menjalankan
program Navidad*.Exe maka virus tersebut akan menyebar langsung ke sistem komputer.
Virus ini bekerja secara otomatis melakukan penyebaran ke setiap email yang kita kirim
dan terima berupa file attachment. Jadi bila mendapatkan file attachment yang bernama
Navidad.Exe lebih baik jangan dibuka, langsung dihapus saja.
REGEDIT4
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command]
@="\"%1\" %*"
Menurut Microsoft, virus ini sangat berbahaya karena bisa mengenkripsikan aplikasi file
.exe secara acak dan membuatnya luluh-lantak. Selain merusak .exe, virus ini juga
memeriksa koneksi internet yang terbuka sambil mencari file berekstensi .ht dalam folder
My Ducuments. Lebih jauh, mereka masuk ke alamat e-mail dan melakukan proses
forward dengan sendirinya. Ciri-cirinya dalah:
Hello,
Microsoft Corporation announced that an invalid SSL certificate that web sites use is
required to be installed on the user computer to use the https protocol. During the
installation, the certificate causes a buffer overrun in Microsoft Internet Explorer and by
that allows attackers to get access to your computer. The SSL protocol is used by many
companies that require credit card or personal information so, there is a high possibility
that you have this certificate installed. To avoid of being attacked by hackers, please
download and install the attached patch. It is strongly recommended to install it because
almost all users have this certificate installed without their knowledge.
Have a nice day,
Microsoft Corporation, Attachment: sslpatch.exe
Nah, menurut Central Commands virus ini sangat berbahaya lantaran banyak orang yang
sedang gencar melakukan upgrade Internet Explorer 6.0 dan Media Player 7. Buat yang
menerima file ini harap jangan membuka attachment-nya.