Virus Angel

Virus yang menggunakan ikon burung elang ini dilaporkan cukup banyak menyebar di indonesia, ia menggunakan teknik yang cukup unik untuk menghindari dari scanner antivirus, seperti apakah virus ini, mari baca selanjutnya.

Sebenarnya virus ini adalah virus lokal biasa, yang membuatnya unik adalah dapat merubah sendiri ukuran file duplikat yang dibuatnya, hal ini dapat menyebabkan antivirus mengira virus ini memiliki banyak variant, padahal sebenarnya cuma 1 variant virus.

 

Lokasi file induk virus disystem :

  • C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Angel2.exe
  • C:\Users\%USERNAME%\Documents\MyDocuments.exe
  • C:\Users\%USERNAME%\Favorites\Fonts.exe
  • C:\Users\%USERNAME%\Music\My Music.exe
  • C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent\Recycle Bin.exe
  • C:\window.exe

Autorun Virus

Agar dapat berjalan otomatis saat komputer dihidukan, virus membuat value diegistry :

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gpmce: "\Angel2.exe"

String yang ada didalam virus ini tidak dienkripsi, sehingga memudahkan untuk dianalisa, untuk mengetahui hal apa saja yang dilakukan virus ketika menginfeksi sistem.


 

Target infeksi virus ini adalah  semua folder yang terdapat di setiap drive  dikomputer korban, dengan membuat virus dengan nama yang sama dengan folder yang  ditemukannya :

File Virus di yg dibuat :

  • Angel2.exe
  • <NamaFolder> \ <NamaFolder>.exe

Setiap file virus yang dibuatnya akan selalu berubah-ubah ukuran filenya.
 

Infeksi Registry

Untuk mempertahankan diri dari antivirus, virus berusaha mematikan beberapa tool windows agar tidak dapat digunakan, untuk melakukan hal itu virus mendisablenya melalui registry.

  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Page: www.booble.com

  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page:www.gpmce.net

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr: 0x00000001

  • HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\disableCMD: 0x00000002

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions: 0x00000001

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools: 0x00000001

 

Pembersihan

Untuk membersihkan virus ini gunakan Smadav Revisi terbaru minimal revisi 9.6, anda bisa mendownloadnya di www.smadav.net. Pada Smadav Revisi terbaru virus ini sudah dapat terdeteksi dengan baik. harap ikuti cara-cara dibawah ini untuk pembersihan total virus dari sistem., apabila anda memiliki USB Flashdisk jangan lupa untuk menscan isi Flash Disk tersebut untuk mencegah virus kembali menginfeksi sistem.