Baru kemarin saya baca tentang artikel ini di Blog m-alwi.com. Tiba-tiba pagi ini seorang teman menyodorkan Lappynya untuk diperiksa yang ternyata mempunyai ciri yang sama dengan artikel yang saya baca tersebut. Adapun Screenshot yang muncul  seperti gambar berikut :

Sreenshot Virus Luna Maya

Sebuah virus yang cukup menjengkelkan dengan julukan ‘Luna Maya’ telah menyebar di Indonesia. Virus ini menampilkan pesan yang agaknya meledek penggemar video porno di Indonesia, dengan menampilkan Pop Up bertuliskan “dasar!! otak bokep..”

Virus itu juga menimbulkan dampak-dampak yang cukup menjengkelkan. Misalnya, drive CD/DVD ROM akan terus terbuka meskipun sudah ditutup secara manual oleh pengguna.

Julukan ‘Luna Maya’ diberikan pada virus ini karena salah satu file penyebarannya memiliki nama LunaMaya.exe. Virus ini dideteksi sebagai Suspicious_Gen2.LBTU oleh Norman Security Suite.

Karena virus ini tergolong baru maka terpaksa saya browsing untuk mencari keterangan dan setelah beberapa lama, saya berhasil menemukan cara untuk menghapusnya.

Berikut beberapa penjelasan seperti disampaikan oleh Adi Saputra, analis antivirus dari Vaksincom tentang Virus Luna Maya dan Cara Menghapusnya yang saya Copas dari http://vaksin.com/2010/0610/lunamaya/lunamaya.htm

GEJALA & EFEK VIRUS

Jika anda termasuk penggemar artis “Luna Maya” atau anda mencari video hot artis “Luna Maya”, harap waspada jika anda menerima kiriman file atau mendownload file dan bermaksud menjalankan-nya atau membuka-nya.

Jika anda sudah terlanjur menjalankan file virus tersebut, maka virus akan langsung beraksi dengan menimbulkan gejala sebagai berikut :

• Memunculkan pop-up pemberitahuan kepada user yang telah menjalankan file virus. seperti gambar di atas.
  
• Membuat drive CD/DVD-ROM selalu terbuka, meskipun sudah anda tutup kembali tetapi akan terbuka lagi.
  
• Menu “Start” Windows yang bergerak bolak balik ke-kanan dan ke-kiri. Hal ini digunakan untuk mempersulit user mengklik tombol “Start”
  
• Merubah fungsi klik pada “mouse” yaitu fungsi klik kiri menjadi klik kanan, dan sebaliknya serta memanipulasi key pada keyboard. Hal ini digunakan untuk mempersulit user menjalankan atau meng-eksekusi file.
  
• Menyembunyikan dan mematikan fungsi Windows, seperti Task Manager  dan Run.
• Membuat komputer menjadi lambat atau hang secara mendadak.
  
• Menyembunyikan notifikasi jam/waktu yang ada pada taskbar.
• Membuat komputer menjadi mati atau shutdown secara tiba-tiba atau mendadak.
• Membuat USB flash atau removable drive anda menjadi tidak terbaca. Virus melakukan dengan menjalankan file virus “nt.bat” yang berisi script untuk melakukan format drive.
• Mematikan atau menutup beberapa aplikasi/program Windows seperti Notepad, Windows Media Player dan Internet Explorer.

FILE VIRUS

Virus “Luna Maya” merupakan virus lokal yang dibuat menggunakan bahasa Visual Basic. Ciri-ciri virus “Luna Maya” yaitu sebagai berikut :

• Memiliki ukuran 37 kb
• Memiliki type file “application” dan ber-ektensi “exe”.
• Menggunakan icon MS Word.

Jika virus berhasil menginfeksi komputer, maka akan membuat beberapa file virus sebagai berikut :

• C:\nt.bat
• C:\WINDOWS\system32\Amoumain.exe
• Love.exe (pada semua root drive)

File virus yaitu “Love.exe” akan terdapat pada setiap root drive termasuk pada mapping drive atau removable drive. Sedangkan file “nt.bat” merupakan script virus untuk melakukan format drive.

METODE PENYEBARAN VIRUS

Tidak jauh berbeda dengan varian virus lokal lainnya, virus “Luna Maya” juga otomatis dapat menginfeksi UFD / USB Flashdisk atau removable disk, virus akan membuat file virus dengan nama “Love.exe” baik penggunaan usb atau pun share jaringan yang full akses.

MODIFIKASI REGISTRY WINDOWS

Tidak banyak yang dilakukan oleh virus dalam perubahan pada registry. Beberapa modifikasi registry yang dilakukan oleh virus “Luna Maya” antara lain sebagai berikut :

• Menambah Registry

o    Start-up

ü  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Shell = Explorer.exe C:\WINDOWS\system32\Amoumain.exe

o    Blok Fungsi Windows

ü  HKEY_ CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system

DisableTaskMgr = 1

ü  HKEY_ CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer

NoRun = 1

PEMBERSIHAN VIRUS

Langkah-langkah yang harus dilakukan untuk melakukan pembersihan virus ini adalah sebagai berikut :

1. Lakukan pembersihan virus pada mode “safe mode”.

• Untuk masuk pada mode “safe mode”, tekan tombol F8 pada keyboard saat komputer dinyalakan.
• Pada menu Windows Advanced Options, anda dapat memilih mode “safe mode” atau dapat juga mode “safe mode with networking” dan “command prompt”. Agar lebih mudah pilih saja mode “safe mode”.
• Biarkan windows berjalan hingga muncul jendela konfirmasi penggunaan “safe mode”. (lihat gambar 12)
• Klik pilihan “Yes”, untuk menggunakan mode “safe mode” pada jendela konfirmasi tersebut.

2. Matikan proses virus yang aktif pada memory.

• Gunakan tools pengganti Task Manager dalam hal ini gunakan CurProcess. Download tools CurrProcess pada link berikut ini : http://www.nirsoft.net/utils/cprocess.zip
• Jalankan CurrProcess, kemudian cari file virus “Amoumain.exe”. Klik kiri file virus, kemudian pilih “Kill Selected Processes”. Jika file virus sudah hilang, maka tutup jendela CurrProcess.

3. Perbaiki registry windows yang sudah di modifikasi oleh virus dengan langkah sebagai berikut :

a. Salin script dibawah ini menggunakan wordpad. Klik menu [Start] à [All Programs] à [Accessoris] à [Wordpad].

[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0×00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden,0×00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt,0×00010001,0
HKLM, SOFTWARE\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”
HKLM, SOFTWARE\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”
HKLM, SOFTWARE\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”
HKLM, SOFTWARE\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”
HKLM, SOFTWARE\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”

[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\system, DisableTaskMgr
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\explorer, NoRun

b. Simpan file dengan nama “repair.inf”. Gunakan pilihan Save as type menjadi Text Document agar tidak terjadi kesalahan.
c. Klik kanan file “repair.inf” kemudian pilih “Install”.

4. Hapus file virus “Luna Maya” dengan ciri-ciri sebagai berikut :

• Memiliki type file “Application”
• Memiliki ukuran file “37 kb”
• Memiliki icon file MS Word

Catatan :

• Untuk mempermudah pencarian sebaiknya gunakan fungsi Search Windows dengan menggunakan filter file *.exe dan *.inf dan berukuran 37 kb.
• Hapus file virus yang biasanya mempunyai date modified yang sama.
• Pastikan hapus file virus utama seperti : Amoumain.exe, Luna Maya.exe, Love.exe, dan nt.bat
• Log-off komputer, kemudian log-in kembali.

5. Untuk pembersihan yang optimal dan mencegah infeksi ulang, scan kembali menggunakan antivirus yang ter-update dan mengenali virus ini dengan baik.

6. Untuk USB flash atau removable drive yang sudah di rusak atau format oleh virus, sebaiknya gunakan software recovery untuk mengembalikan data yang hilang.

Dan setelah saya coba, ternyata screenshot tersebut benar-benar sudah terhapus.