images.jpg

Funny yang satu ini bukanlah seorang wanita cantik, molek dan seksi seperti yang dibayangkan. Tapi Funny disini adalah sejenis trojan, ya bener, file berbahaya yang menempel pada file yang dianggap tisak berbahaya utuk mngelabui misi2 yang akan dijalankannya. Trojan ini bukan hanya menyerang sistem Windows tapi juga Linux, trojan ini datang dengan nama file Funny UST Scandal.avi.exe yang sebunyi didalam file smss.exe dan lsass.exe (yang merupakan file system asli Windows) dan killer.exe yang merupakan bagian dari file trojan tadi. Selain itu trojan ini juga akan membuat file autorun.inf yang digunakan untuk menjalankan file smss.exe yang sudah terinfeksi pada setiap kali sistem dihidupkan. Ciri2 suatu system Windows yang sudah terinfeksi trojan ini adalah:

1. Pada semua / setiap root partisi dan direktory C:\Windows\ terdapat file smss.exe, autorun.inf (hidden file) dan Funny UST Scandal.avi.exe. Sedangkan pada direktory C:\Documents and Settings\All Users\Start Menu\Programs\Startup\ terdapat file lsass.exe.

funny1.jpg       funny2.jpg

2. Trojan akan menutup close semua window aplikasi aktif, sehingga setiap aplikasi hanya diberikan waktu sesaat (+/- 10 detik) untuk digunakan dan ditampilkan di layar.

3. User tidak bisa menggunakan menu Folder Options pada Windows Explorer, command prompt, dan Task Manager karena kemungkinan melalui cara ini jati diri trojan akan dapat dibongkar.

4. Kalau kita beruntung (terkadang emang bisa), pada Task Manager akan ditampilkan 2 proses dgn imange name lsass.exe dan 2 proses smss.exe. dengan user name System dan Administrator, yang digunakan trojan adalah yang Administrator, klu yang system itu adalah proses asli Windows.

Sebagai info tambahan, smss.exe yang biasa disebut System Manager Subsystem adalah bagian dari SO Windows yang menangani dan merespon session pada system Windows, proses ini secara responsible akan memulai user sessin termasuk memulai proses Winlogon dan Win32 (csrss.exe) .

Sedangkan lsass.exe adalah Local Security Authentication Server.Ia memferifikasi logon user pada PC atau Server. Proses ini diciptakan dengan menggunakan paket autentifikasi default windows seperti msgina.dll. Jika autentifikasi sukses, maka lsass akan membuat user access token, yang digunakan untuk mebuat initial shell. Setiap proses yang diinitialisasi oleh user yang bersangkutan sangat bergantung pada proses ini. Jika pada Windows 2003 proses lsass dihentikan (kill proses) maka akan ditampilkan pemberitahuan bahwa dalam hitungan mundur sistem akan dimatikan, tidak demikian hal nya dengan proses smss.exe

Udah ah Wenk, loe cuma bisa ngomong teori doang, gimana cara basmiinnya ???, da ada ga vaksi anti trojan nya ???, yang kita butuhkan bukan teori basi loe wenk…😐

Iya2 sabar🙂 …klu tentang gimana basminya loe googling aja, ada cara otomatis menggunakan tool Funny UST Remover.exe yang hanya berjalan pada sistem Windows XP, atau cara manual seperti yang gue dapat ini…Karena skarang gue lagi banyak kerjaan, loe terjamahin sndiri yah tutornya,… lagi malas…🙂 . Ini gua ambil dari Yahoo answer dari anybody dengan initial 6519 email : six519@yahoo.com, yang kayaknya berkebangsaan Philipine. dan ini sudah saya terapkan pada system windows 2003 server, 1 dari 15 unit komp dari 150 unit total komp yang ada dalah Intranet ini yang terinfeksi Funny hanya dalam waktu 2 hari…. ccckk..ckk..ckk. dan ternyata SUKSES….
Thank for you Philipine….

What a lame virus……peace…!!!!! MABUHAY ANG LIPA(Lipa City Public College)F.E.S
Before I teach you how to remove this… first… this is the information
of that virus….

Software used to build the virus= AutoIt V3
drop Files- killer.exe(4084 kb) in c:\windows\
lsass.exe(3920kb) in c:\documents and settings\all users\start menu\programs\startup
smss.exe(4088kb) in all root drives and in c:\windows
autorun.inf(1kb) in all root drives with a script

[autorun]
open=smss.exe
shell\Open\Command=smss.exe
shell\open\Default=1
shell\Explore\Command=smss.exe
shell\Autoplay\command=smss.exe

Funny UST Scandal.avi.exe(228kb) in all root drives
Registry Entries-HKLM\Software\Microsoft\WindowNT…
HKCU\Software\Microsoft\windows\Curr…

HOw to remove this lame virus????
-first download taskiller in http://www.rsdsoft.com/task_killer/index… and install it to
your computer because you cant use taskmanager to terminate the virus(the virus automatically close taskmanager).
-run taskiller and left click it on the system tray(the one with a skull icon)
-click processes
-to close the virus, select process and click yes to the question

(process to close)
1.killer.exe
2.lsass.exe
3.smss.exe

note: close only file that have the same icon of Funny UST Scandal.avi.exe

CMD STEPS
1-now, click “start” then “run”
2-type “cmd” without quotes
3-type “cd\” without quotes
4-type “attrib -h -s smss.exe” without quotes
5-type “attrib -h -s autorun.inf” without quotes
6-type “start c:” without quotes(a new window will open)
7-select smss.exe,autorun.inf,Funny UST Scandal.avi.exe and delete it

-if theres any drive or a partition type “d:” in command prompt without quotes
“d” is the drive letter then repeat the CMD STEPS number 4-7 above…….
-now type this on the command prompt “cd windows” without quotes(na naman!)
-type “attrib -h -s smss.exe” without quotes(uli)
-type “start c:\windows” without quotes(hay naku!)
-delete the file smss.exe
-now, goto c:\documents and settings\all users\startmenu\programs\startup
-delete lsass.exe
-click “start” then “run”
-type “regedit” without quotes then delete the registry entries above….

Atu lagu pastikan merubah key Value Shell pada HKLM\Software\Microsoft\CurrentVersion\Winlogon\ dari explorer.exe, killer.exe menjadi hanya explorer.exe saja…

Tekian tutornya,… temoga ada tunanya… telima tatih