Mengatasi Cecacing/Virus ApacheMereng

Sebelum ini, virus/cecacing yang dikenali sebagai Brontok yang dibina oleh sekumpulan nakal dari negara jiran Indonasia. Nama Brontok itu berasal daripada seekor helang brontak.

Setelah sekian lama, namapaknya pakar-pakar ICT daripada negara jiran kita tidak lekang untuk memastikan mereka bersama dalam persada dunia siber dengan mencatat sebagai pembuat script virus.

Virus (saya lebih suka menyebut virus, walaupun ia bukannya kategori virus yang sebenar tetapi sekadar satu script ciptaan) ini mungkin berjaya merebak kerana dia menyerang sebelah asia, sedangkan anti-virus kepbanyak tercipta di luar negara.

Oleh itu, semua anti-virus tidak dapat mengesannya, kerana mereka tidak mengetahui wujudnya. Virus yang ganas, misalnya Black Monday yang menyerang diawal 90an, tidak pernah dijumpai dinegara kita walaupun seluruh dunia menyebutnya.

Ini kerana kita sudah mendapat anti-virus yang sudah dimasukkan script untuk mengatasi masalah virus ini.

Saya dimaklumkan tentang script ini dan cuba untuk mengatahui sistem operasinya. Setelah melihat saya membuat kesimpulan bahawa virus ini sama operasinya dengan Brontok.

Antara yang saya perhatikan, virus ini akan:-

1. Menghilangkan folder option, bagi tujuan menghalang pengguna membuka hide fail.

2. Menukar script dalam regedit.exe bagi tujuan mengatasi beberapa perkara termasuk scan virus.

3. Menukar DNS Server, terutama pengguna wireless kepada satu IP tertentu dengan mengambil kesempatan, jika DNS Server tidak disetkan manual penggunaan Netbios akan beroperasi.

Fail Operasi

Ada dua fail yang menjalankan script ini, biasanya dia akan menepatkan di setiap harddisk, partition harddisk atau pendriver.

C:/ApacheMereng.js
C:/AuToRuN.inf

Cara membuangnya

Buka fail regedit.exe pada C:/windows/regedit.exe atau run pada paparan windows. Delete semua script pada regedit dengan menaip find perkataan "mereng"

Biasanya script berada di

HKEY_CURRENT_USER/Software/Microsoft/Internet Exploer/Main
Windows Title -- Apache Mereng Mengganas

HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/MoutPoits2/.../
Shell/AutoPlay/command

Wscripts.exeApacheMereng.js

HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/MoutPoits2/.../
Shell//AutoRun/command

Wscripts.exeApacheMereng.js

C:WINDOWSsystem32RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe ApacheMereng.js

Juga pada;
...Explorer/command

...wscript.exe ApacheMereng.js -Clicked

...Open/command

...wscript.exe ApacheMereng.js

...Scan for Apache/command

...Scan with Avira

Bagamana membuka semula folder option pada explorer?

Cari fail gpedit.msc di C:/windows/sistem32/gpedit.msc, matikan script untuk Folder option yang telah disablekan

Pilih Local Computer Policy/User Configuration/Administactive
- Templates/Windows Explorer/
- Removes Folder Options menu item from the Tolls menu
- Plih Disable

Bagaimana ia menukar DNS Server?

Misalannya dia menggunakan IP DNS server 10.10.10.2 sepatutnya DNS Server untuk TMNet ialah 202.188.0.133. Biasanya akan berlaku jika anda menggunakan wireless.

HKEY_LOCAL_MACHINE/SYSTEM/ControlSet001/Services/Tcpip/Parameters
DhcpNameServer --- 10.10.10.2

Perhatian:
Untuk mendelete fail-fail ini, anda perlu berhati-hati kerana, script akan mencipta dan membina semula oleh itu, ikuti langkah-langkah ini.

1. Buka Task Manager dengan menakan kekunci Ctrl + AlT dan Del serentak

2. Matikan operasi wscript.exe pada processes.

3. Delete fail ApacheMereng.js dan AuToRuN.inf pada C, D dan selainnya.

4. Delete semua script pada regedit.exe

5. Restat komputer.

Jika ada yang tertinggal, script ini akan beropersi semula.