Download full version for windows 32 bit

Download full version for windows 64 bit

How do I find out if I have a 32-bit or a 64-bit operating system?

Problem solution

Windows XP  or Windows 2003 Server
1. Press the Start-button, go to Control panel and choose Performance and Maintenance and then System.
2. Under the General sheet you have:

System: Microsoft Windows XP
Professional x64 Edition
Version 2003
Service Pack 3
* If you cannot find x64 edition on the second line, you have a 32-bit operating system.
* Content may be different pending which operating system and language you have, the second line could read Home edition, Professional edition, and others. The important thing is to look for x64 edition, if this is not present then you have 32-bit.

Windows Vista / Windows 2008 Server
1. Press the start-button, go to Control Panel and choose System and Maintenance and then System.
2. System should say something like:

Rating:
Processor:
Memory(RAM):
System type: 64-bit Operating System.

* If System type is 64-bit Operating system you have 64-bit, if System type is 32-bit Operating System you have a 32-bit Operating System.

Windows 7
1. Click the Start-button
2. Right click Computer, choose Properties
3. Under System, System type you will see if you have a 32-bit or 64-bit operating system

Kami menyediakan aplikasi website Opencart dengan feature sbb:

* Open Source
* Documentation
* Unlimited Categories
* Unlimited Products
* Unlimited Manufacturers
* Templatable
* Multi-Language
* Multi-Currency
* Product Reviews
* Product Ratings
* Downloadable Products
* Automatic Image Resizing
* Multiple Tax Rates
* Related Products
* Unlimited Information Pages
* Shipping Weight Calculation
* Discount Coupon System
* Search Engine Optimization (SEO)
* Module System
* Backup & Restore Tools
* Printable Invoices
* Sales Reports
* Domain .com
* Web Hosting 100 MB
* Bandwidth 10 GB
* Email Hosting

Price Rp. 300.000/tahun

W32/Bredolab.GY

Don’t Judge the book from the cover

Tampilan sering mengelabui kita, apalagi kita hidup di dunia yang dapat dikatakan lebih mengutamakan kulit daripada isi. Jika kita dihadapkan pada orang yang rapih, memakai kemeja yang disetrika rapih lengkap dengan dasi yang bermerek berjalan beriringan dengan seorang yang memakai kaus oblong dan sepatu sandal. Dapat dipastikan kita akan lebih menghargai orang yang memakai kemeja rapih dan berdasi. Padahal tidak ada jaminan kalau orang yang penampilannya necis, keren dan mobilnya mahal itu lebih tajir daripada orang yang penampilannya biasa-biasa saja. Malahan sebenarnya yang terjadi terkadang kebalikannya. Karena ingin tampil keren dan mentereng dengan barang-barang bermerek, sebagian besar gaji tersedot untuk membeli barang-barang tersebut dan tidak bisa digunakan untuk tujuan yang produktif seperti menabung atau keperluan lain yang lebih penting. Akibatnya malah hutang menumpuk, plafond kartu kredit mentok dan hanya bayar cicilan minimal tiap bulan. Kalau hal itu terjadi di dunia nyata, rupanya di dunia maya (tanpa “luna”) hal itu juga terjadi. Saat ini banyak sekali menyebar program antivirus palsu yang aktivitasnya jelas bukan melindungi komputer, tetapi mencuri data dan menakut-nakuti korbannya. Tetapi hebatnya, tampilan antivirus palsu ini sangat bagus dan nama-nama yang digunakan juga sangat keren. Karena itu para pengguna komputer harus berhati-hati, “Don’t judge the book from the cover”.

Jika anda menerima email dengan lampiran ”aneh” dari siapapun, baik orang yang anda kenal maupun dari orang yang tidak di kenal, anda harus selalu waspada. Definisi ”aneh” disini bukan lampiran dengan logo tabung gas hijau, itu sih semua langsung tiarap :p.

Aneh yang dimaksudkan adalah lampirannya disertakan tidak lazim seperti “hanya” menyertakan link untuk download suatu file, mengandung lampiran executable terlebih jika menggunakan icon yang di manipulasi / tidak sesuai dengan asosiasi file nya (contohnya: menggunakan icon word tetapi mengandung ekstensi .EXE) karena bisa jadi ini merupakan ulah virus dalam upaya menyebarkan dirinya karena saat ini sudah banyak virus lokal maupun mancanegara yang menggunakan teknik rekayasa sosial seperti ini.

Virus yang menyebar saat ini biasanya akan menggunakan beberapa media yang biasa di akses atau di gemari oleh pengguna komputer sehingga hal ini sangat ”membantu” penyebarannya seperti situs jejaring sosial (facebook, twitter, myspace) atau media chating seperti Yahoo Messager.

Trend antivirus gadungan

Makin maraknya penyebaran virus baik local maupun mancanegara saat ini “memaksa” user harus menginstal piranti pengamanan berupa antivirus, sayangnya hal ini tidak ditunjang dengan pengetahuan dari user itu sendiri tentang bagaimana menerapkan cara berkomputer yang baik dan kurang mengikuti perkembangan virus, hal inilah yang menjadi salah satu celah yang akan dimanfatkan oleh virus.

Kurangnya dari sisi pengetahuan user menjadikan mereka ”mudah” dijebak oleh virus, anda tentu masih ingat dengan jelas dengan kasus virus yang menyamarkan dirinya sebagai ”antivirus palsu” pada beberapa waktu lalu dan sampai saat ini pun peredarannya sudah sangat luas dan sudah menghasilkan banyak varian, beberapa contoh yang sempat booming diantaranya ”Antivirus XP 2008, antivirus XP 2009, Antivirus Xp 2010 atau Internet Security 2010. JIka dibandingkan dengan antivirus alsi, antivirus palsu tersebut mempunyai tampilan yang sangat menarik, antivirus palsu ini juga dilengkapi dengan fitur-fitur yang sama persis dengan antivirus asli seperti fasilitas scan hard disk, update definisi, firewall, email protection dan setting optimalisasi antivirus tersebut sehingga user tidak dapat membedakan antara antivirus palsu tersebut dengan antivirus asli. Antivirus palsu ini lebih “agresif” dibandingkan dengan antivirus asli dengan menampilkan beberapa peringatan hasil deteksi virus “yang tentunya juga palsu” dengan tingkat resiko yang membuat user menjadi lebih “paranoid”.

Saat ini golongan mereka (virus) masih tetap setia mengincar user-user terutama yang awam untuk dijadikan korban, ini terbukti dengan kemunculan varian lain dengan nama W32/Bredolab.GY , virus ini mempunyai tugas untuk membuka port dan melakukan koneksi ke website yang telah ditentukan kemudian mendownload Trojan/ virus lain, virus ini juga akan mendownload dan menginstall sebuah program antivirus palsu dengan nama “Security essentials 2010 ” secara otomatis, jika anda melihat tampilannya anda juga tidak akan percaya bahwa antivirus tersebut sebenarnya adalah virus yang memalsukan dirinya sebagai antivirus. Jika dilihat dari namanya, antivirus palsu ini mempunyai nama yang “hampir” sama dengan program antivirus yang dikeluarkan oleh Microsoft yakni “Microsoft Security Essentials”, perbedaannya terdapat dari segi tampilan selain itu untuk mendapatkan versi full dari program “Security essentials 2010 ” ini anda akan di tawarkan untuk melakukan pembelian terlebih dahulu sedangkan “Microsoft Security Essentials” adalah program free yang dikeluarkan langsung oleh Microsoft, apakah hal ini dilakukan untuk menjebak user ataukan ada hal lain ????. Antivirus palsu tersebut di kenali oleh Norman Security Suite sebagai W32/FakeAV (lihat gambar 1 dan 2)

Gambar 1, Tampilan antivirus “palsu” Security essentials 2010

Gambar 2, Tampilan “Microsoft Security Essentials”

Antivirus palsu yang di install oleh W32/Bredolab.GY ini memang cukup menarik perhatian apalagi ia akan menampilkan beberapa nama virus “berbahaya” yang berhasil di kenali serta peringatan-peringatan lain yang mengiformasikan adanya upaya dari pihak luar yang mencoba untuk menyusup kedalam komputer yang berhasil di tangkal oleh Firewall “palsu” dari antivirus tersebut. Antivirus palsu ini juga mempunyai fasilitas untuk update definisi layaknya antivirus. (lihat gambar 3)

Gambar 3, Hasil deteksi “palsu” dari ”Security essentials 2010 ”

Ternyata dibalik penampilan yang “menawan” tersebut tersisip sebuah ancaman yang cukup berbahaya, apa saja ancamannya …silahkan baca artikel ini lebih lanjut.

Untuk mengelabui user, W32/Bredolab.GY akan mengunakan rekayasa sosial dengan memanfaatkan icon MS.Word dengan ekstensi EXE. Virus ini akan di kompresi dengan menggunakan UPX dan mempunyai ukuran sekitar 50 KB (sebelum di kompres mempunyai ukuran 76 KB), lihat gambar 4.

Gambar 4, Contoh File virus W32/Bredolab.GY

Dengan update definisi terakhir, Norman Security Suite berhasil mendeteksi virus ini sebagai W32/Bredolab.GY (lihat gambar 5)

Gambar 5, Hasil deteksi Norman Security Suite

Pada saat file yang telah terinfeksi W32/Bredolab.GY ini di aktifkan, ia akan mendownload beberapa trojan/virus lainnya yang akan di simpan dibeberapa lokasi kemudian mengeksekusi dan menginstall kan dirinya kedalam komputer target (oleh karena itu virus ini akan aktif sempurna jika komputer target mempunyai koneksi internet). Untuk mengelabui user, ia akan menginstall sebuah program antivirus palsu dengan nama ”Security essentials 2010 ”, kemudian ia akan membuat beberapa file berikut:

· C:\Documents and Settings\%user%\orflrkuat.exe

· C:\Program Files\Securityessentials2010\SE2010.exe

· C:\WINDOWS\system32

o smss32.exe

o orflrkuat.exe

o winlogon32.exe

o Warning.html

o Post.txt

o %x%.exe (%x%, menunjukan angka)

o Pgsb.lto

o Adbd.sys

o Helpers32.dll

o ES15.exe

· C:\Documents and Settings\%user%\Local Settings\Temp

o *.tmp

o *.bat

· C:\Documents and Settings\%user%\Local Settings\Temporary Internet Files

· C:\windows\system32\drivers\ndis.sys (merubah isi file)

· C:\WINDOWS\system32\ipsecndis.sys

· C:\WINDOWS\system32\Drivers\ntndis.sys

· C:\Documents and Settings\%user%\Application Data\Microsoft\Internet Explorer\Quick Launch\Security essentials 2010 .lnk (lihat gambar 6)

Gambar 6, Program Security essentials 2010 pada tray menu

Registry Windows

W32/FakeAV akan membuat perubahan pada sejumlah registry berikut dengan tujuan agar salah satu dari file induk tersebut dapat di aktifkan secara otomatis pada saat komputer dihidupkan

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

  • orflrkuat = C:\Documents and Settings\%user%\orflrkuat.exe

  • Security essentials 2010 = C:\Program Files\Securityessentials2010\SE2010.exe

  • smss32.exe = C:\WINDOWS\system32\smss32.exe

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  • orflrkuat = C:\WINDOWS\System32\orflrkuat.exe

  • smss32.exe = C:\WINDOWS\system32\smss32.exe

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

• Shell = Explorer.exe rundll32.exe pgsb.lto csxyfxr

• Userinit = C:\WINDOWS\system32\winlogon32.exe

• HKEY_CURRENT_USER\Software\SE2010

W32/FakeAV juga akan melakukan sejumlah perubahan pada registry berikut

• HKEY_USERS\S-1-5-21-1644491937-113007714-1580818891-1003\software\microsoft\internet explorer\main

  • Disable Script Debugger = ye

  • Error Dlg Displayed On Every Error = ye

  • DisableScriptDebuggerIE = ye

• HKEY_USERS\S-1-5-21-1644491937-113007714-1580818891-1003\software\microsoft\windows\currentversion\explorer

  • ShellState = 24 00 00 00 73 88 00 00 00 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 0D 00 00 00 00 00 00 00 00 00 00 00

  • EnableAutoTray = 0

• HKEY_LOCAL_MACHINE\system\ControlSet001\services\winsock2\parameters\protocol_catalog9\catalog_entries00000000012

• HKEY_LOCAL_MACHINE\system\ControlSet001\services\winsock2\parameters\protocol_catalog9\catalog_entries00000000013

• HKEY_LOCAL_MACHINE\system\ CurrentControlSet\services\winsock2\parameters\protocol_catalog9\catalog_entries00000000012

• HKEY_LOCAL_MACHINE\system\ CurrentControlSet\services\winsock2\parameters\protocol_catalog9\catalog_entries00000000013

• HKEY_LOCAL_MACHINE \system\ControlSet001\services\adbd

• HKEY_LOCAL_MACHINE \system\ControlSet002\services\adbd

• HKEY_LOCAL_MACHINE\system\CurrentControlSet\services\adbd

Lumpuhkan Fungsi Windows

Agar tidak mudah di bersihkan oleh user, W32/FakeAV akan melumpuhkan beberapa fungsi Windows seperti Task Manager, Registry Editor atau CMD, selain itu ia akan blok sederetan proses yang mempunyai nama tertentu dengan menampilkan peringatan “palsu” seolah-olah file tersebut telah terinfeksi virus seperti terlihat pada gambar 7 di bawah ini

Gambar 7, Peringatan “palsu” dari W32/FakeAV saat menjalankan fungsi Windows atau tools security

Berikut beberapa daftar nama file yang akan dilumpuhkan oleh W32/FakeAV

• calc.exe

• notepad.exe

• control.exe

• WINWORD.exe

• winmine.exe

• vmware.exe

• uTorrent.exe

• msconfig.exe

• thebat.exe

• taskmgr.exe

• spider.exe

• sol.exe

• sndvol32.exe

• Skype.exe

• wupdmgr.exe

• GoogleEarth.exe

• chrome.exe

• MsnMsgr.Exe

• word.exe

• POWERPOI.exe

• RealPlayer.exe

• skypePM.exe

• shvlzm.exe

• RWipeRun.exe

• RwcRun.exe

• regedit.exe

• RegCloneCD.exe

• RecordingManager.exe

• POWERPNT.exe

• PokerStars.exe

• pinball.exe

• Photoshop.exe

• OUTLOOK.exe

• nfs.exe

• NeroExpressPortable.exe

• Nero.exe

• MSWorks.exe

• mspaint.exe

• msmsgs.exe

• msimn.exe

• mshearts.exe

• mplayer2.exe

• mplay32.exe

• moviemk.exe

• miranda32.exe

• Illustrator.exe

• Icq.exe

• hrtzzm.exe

• FullTiltPoker.exe

• freecell.exe

• digitaleditions.exe

• cmd.exe

• CloneCD.exe

• rstrui.exe

• AcroRd32.exe

• wmplayer.exe

• mplayerc.exe

• PowerDVD.exe

• setup_wm.exe

• winamp.exe

• windvd.exe

• realplay.exe

• WindowsAnytimeUpgradeUI.exe

• sidebar.exe

• tvp.exe

• AdvancedDVDPlayer.exe

• QuickTimePlayer.exe

• winupdate.exe

Untuk melumpuhkan beberapa fungsi Windows di atas ia akan membuat string pada registry berikut:

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop

  • NoChangingWallpaper

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

  • NoActiveDesktopChanges

  • NoSetActiveDesktop

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

  • DisableTaskMgr

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\ActiveDesktop

  • NoChangingWallpaper

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

  • NoActiveDesktopChanges

  • NoSetActiveDesktop

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system

  • EnableLUA = 0

Selain itu W32/FakeAV juga akan mendaftarkan sejumlah website dirinya ke zona aman (trusted sites) Internet Explorer agar tidak diblok oleh dengan membuat string pada registry berikut:

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\buy-security-essentials.com

  • http : 0×00000002 (2)

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\download-soft-package.com

  • http : 0×00000002 (2)

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\download-software-package.com

  • http : 0×00000002 (2)

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\get-key-se10.com

  • http : 0×00000002 (2)

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\is-software-download.com (lihat gambar

  • http : 0×00000002 (2)

Gambar 8, Kumpulan alamat website yang di amankan oleh W32/Bredolab.GY

Peringatan palsu

Untuk menarik perhatian korban, W32/FakeAV “si antivirus palsu” akan menampilkan beberapa peringatan “palsu” berupa hasil deteksi virus dilengkapi dengan tingkat resiko dari virus tersebut lengkap dengan tombol pembersih (Remove Threats], jika user memilih tombol tersebut maka W32/FakeAV akan menampilkan sebuah layar konfirmasi yang mengharuskan anda untuk melakukan aktivasi/register program tersebut terlebih dahulu. Jika user tidak memiliki kode aktivasi, W32/FakeAV akan menyediakan tombol bantu lain untuk mendapatkan kode aktivasi yakni “Get License”, jika user klik tombol tersebut maka W32/FakeAV akan menggiring korban untuk mengisi sederetan kolom-kolom yang akan ditampilkan oleh website yang sudah dipersiapkan yang merupakan website “jebakan” dengan dalih untuk mendapatkan produk “full version”, sebaiknya jangan anda isi karena bukan antivirus “palsu” tersebut yang anda dapatkan melainkan sejumlah uang akan melayang dengan percuma tanpa bisa membersihkan virus tersebut. (lihat gambar 9 – 12)

Gambar 9

Gambar 10

Gambar 11

Gambar 12

Kumpulan virus dan peringatan palsu yang berhasil di deteksi oleh W32/FakeAV (lihat gambar 13 da 14)

Gambar 13, Layar konfirmasi aktivasi “Security essentials 2010 ”

Gambar 14, Website “palsu” Security essentials 2010

Selain itu, ia juga akan menampilkan peringatan palsu pada saat komputer dinyalakan atau di restart seperti terlihat pada gambar 15 dibawah ini

Gambar 15, Peringatan palsu “Security Essentials 2010”, saat computer login Windows

Update layaknya antivirus

Untuk meyakinkan korban, W32/FakeAV akan menyediakan fasilitas update database layaknya sebuah antivirus. Lagi-lagi virus antivirus palsu ini akan meminta anda untuk melakukan register atau melakkan pembelian jika mengaktifkan tombol yang tersedia [update now]. (lihat gambar 16)

Gambar 16, Konfirmasi update database Security essentials 2010

Hidden Proses

Jika dilihat dengan menggunakan tools Wireshark atau dengan menggunakan perintah NETSTAT pada command prompt (cmd) terlihat jelas bahwa W32/FakeAV akan melakukan serangkaian aktifitas tersembunyi dengan melakukan koneksi ke sejumlah alamat IP yang telah ditentukan dengan tujuan untuk mendownload virus/trojan lain atau mendownload file tertentu untuk meng-update dirinya agar tidak mudah dikenali oleh antivirus lain.

Selain itu W32/FakeAV juga melakukan serangkaian aktifitas pengiriman email ke sejumlah alamat email yang sudah di dapat dari komputer target, aktivitas ini dilakukan dalam upaya untuk menyebarkan dirinya. (lihat gambar 17 – 19)

Gambar 17

Gambar 18

Gambar 19, Aktivitas pengiriman email

Jebakan W32/FakeAV

Setelah virus W32/FakeAV berhasil di bersihkan, jangan lupa untuk mengembalikan string yang berada di registry HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon ke nilai default dengan mengganti string Userinit menjadi userinit32.exe atau %windir%\System32\userinit.exe,

Jika hal ini tidak dilakukan, maka pada saat computer booting/restart maka akan terjadi kegagalan pada saat anda login Windows

Catatan: Nilai %Windir% ini berbeda-beda

• Windows 2000 (C:\Winnt\system32)

• Windows XP/2003/Vista/Windows 7 (C:\Windows\System32)

Blue Screen Windows

Untuk beberapa kasus, virus ini akan menyebabkan computer mengalami blue screen setelah login Windows dengan terlebih dahulu menampilkan pesan error berikut (lihat gambar 20)

Gambar 20

Langkah pembersihan W32/Bredolab.GY dan W32/FakeAV

1. Putuskan komputer yang akan di bersihkan dari intranet dan internet

2. Disable ”system restore” selama proses pembersihan

3. Sebaiknya lakukan pembersihan pada mode “safe mode”

4. Matikan proses virus yang aktif dimemori gunakan tools Security Task Manager.

Pada layer “Security Task Manager”, klik kanan pada proses dengan nama smss32.exe, winlogon32.exe, orflrkuat.exe, Security Essentials 10, klik “Remove”, kemudian pilih opsi “Move file to quarantine”, klik tombol “OK” (lihat gambar 21)

Gambar 21, Matikan proses virus dengan menggunakan Security Task Manager

1. Scan dengan menggunakan antivirus yang up-to-date, anda dapat menggunakan Norman Malware Cleaner, silahkan download tools tersebut di alamat http://www.norman.com/support/support_tools/58732/en atau menggunakan tools Malwarebytes Antimalware (www.malwarebytes.org), lihat gambar 22 dan 23

Gambar 22, Hasil deteksi Norman Malware Cleaner

Gambar 23, Hasil deteksi “Malware Bytes Antimalware”

1. Fix Winsock Windows yang sudah di ubah oleh virus. Anda dapat menggunakan tools lsfix, silahkan download di website http://download.cnet.com/LSPFix/3000-2085_4-10417026.html (lihat gambar 24)

• Pada program “Winsock 2 repair Utility”, klik opsi “I known what I’m doing”

• Pada kolom “Keep”, pindahkan file “helpers32.dll” (jika ditemukan) ke kolom “Remove” dengan klik tanda ”>>”

• Klik tombol ”Finish”

Gambar 24, Fix Winsock Windows

1. Hapus file temporary dan temporary internet file, anda dapat menggunakan tools ATF-Cleaner (lihat gambar 25)

Gambar 25, ATF-Cleaner

1. Restart komputer dan lakukan scan ulang dengan menggunakan antivirus yang sudah terupdate atau dengan menggunakan removal tools di atas.

Sumber: www.vaksin.com

Virus yang membuat korbannya beli harddisk baru

Kalau ditanya, virus apa yang bisa menandingi “petasan hijau” alias tabung gas 3 kg yang sering meleduk dan memakan korban jiwa yang banyak sekali dalam beberapa bulan terakhir ini. Jawabannya adalah satu virus yang bernama Stuxnet. Mungkin pembaca tidak terlalu mengerti kalau dibilang Stuxnet, tetapi kalau di bilang Winsta, kemungkinan besar para administrator IT pernah mendengar tentang hal ini, walaupun tidak sampai mengalami luka bakar tetapi setidaknya pernah lembur gara-gara virus Winsta ini. Lalu apa hebatnya si Winsta ini ? Salah satu sebabnya adalah aksinya yang spektakuler menggelembungkan ukuran dirinya (tidak sampai meleduk :p) sehingga harddisk sebesar apapun kapasitasnya akan penuh sehingga pengguna komputer kebingungan, kok harddisknya penuh yah. Dan hebatnya lagi, proses Stuxnet ini menggunakan file dll sehingga di load sebagai driver yang sah dari Realtek. Sehingga proses mendeteksi dan membasmi virus ini menjadi cukup sulit … lha… harus menonaktifkan driver. Menurut pantauan Vaksincom, Indonesia termasuk negara dengan infeksi Winsta terbesar, sehingga para pengguna komputer yang “mendadak” mendapatkan message “Low Disk Space” janga buru-buru beli harddisk dulu, tetapi periksa dulu apakah komputer anda terinfeksi virus Winsta atau tidak.

Bagi pengguna komputer, harddisk merupakan media penyimpan yang sangat penting. Dengan kelebihan-nya pada kecepatan akses dan kapasitas yang sangat besar, tentunya dia menjadi media utama menjalankan OS dan menyimpan data digital yang saat ini makin membengkak ukurannya, dari data penting perusahaan seperti data base pelanggan, data email, desain, foto, koleksi lagu dan koleksi video.

Sebagai salah satu perangkat komputer yang sangat penting, harddisk merupakan favorit bagi semua kalangan. Bagi administrator IT, kalangan multi-media, programmer dan pengguna awam, harddisk yang sangat besar dapat digunakan sebagai tempat berbagi pakai data/dokumen pekerjaan atau program aplikasi, juga digunakan sebagai backup pekerjaan dari user itu sendiri serta media penyimpan utama seperti gambar, foto, video dan musik.

FILE VIRUS

Bagi anda pengguna internet, sebaiknya cukup waspada jika mengunjungi alamat website yang mengindikasi konten porno atau pengguna yang mengunduh software crack, karena bisa saja ternyata file tersebut justru memiliki script trojan “Stuxnet”.

Jika anda sudah terlanjur menjalankan file tersebut, maka “Stuxnet” telah berhasil menginfeksi komputer, dan akan membuat beberapa file sebagai berikut :

ü C:\WINDOWS\system32\winsta.exe

ü C:\WINDOWS\system32\drivers\mrxcls.sys

ü C:\WINDOWS\system32\drivers\mrxnet.sys

File “winsta.exe” yang dibuat akan membengkak sebesar sisa ruang harddisk yang ada, sehingga menyebabkan harddisk menjadi penuh (biasa-nya drive C atau system dari OS). Sedangkan file mrxcls.sys dan mrxnet.sys merupakan file aktif yang digunakan untuk menginfeksi komputer dan perangkat lain yang terkoneksi (seperti USB Flash/removable drive).

Winsta.exe sendiri sebenarnya adalah file asli Windows yang berguna. WinStation Monitor, yaitu salah satu tools dari Microsoft yang digunakan pada Windows 2000 untuk melakukan monitoring Terminal Service pada sesi client. Lokasi file tersebut juga seharusnya berada pada C:\Program Files\Resources\winsta.exe. Keterangan lebih lanjut pada artikel berikut :

http://support.microsoft.com/kb/320190

GEJALA & EFEK VIRUS

Beberapa gejala dan efek yang terjadi jika anda terinfeksi trojan “Stuxnet” adalah sebagai berikut :

- Harddisk komputer-komputer di jaringan kompak mendadak penuh dan mendapatkan peringatan “Low Disk Space”. File winsta.exe yang bertambah besar menyesuaikan sisa ruang harddisk yang anda miliki (drive C atau system OS). (lihat gambar 1)

Gambar 1 . File Winsta bertambah besar, menyesuaikan sisa ruang harddisk yang ada

- Karena sisa ruang harddisk yang kosong, tentunya akan menimbulkan notifikasi dari system windows yang menginformasikan bahwa sisa ruang harddisk anda sudah kosong. (lihat gambar 2)

Gambar 2, Peringatan Low Disk Space yang disebabkan oleh membengkaknya Winsta sehingga menghabiskan sisa ruang harddisk.

- Karena ruang harddisk yang sudah kosong, maka anda tidak bisa menyimpan data atau menjalankan program tertentu yang membutuhkan sisa ruang harddisk / menggunakan cache.

- Komputer akan terasa hang/lambat dan bahkan jika anda terkoneksi jaringan akan terputus, hal ini dikarenakan “Stuxnet” yang menginfeksi komputer dan menginjeksi file system. Beberapa file system windows yang menjadi korban infeksi adalah :

1. Svchost : file yang berhubungan dengan koneksi jaringan, dengan menginfeksi file ini maka jaringan akan terputus.

2. Lsass : membuat komputer hang dan lambat serta restart sendiri, dilakukan dengan menginfeksi file ini.

3. Spoolsv : tidak bisa mencetak data lewat printer, hal ini dilakukan dengan menginfeksi file ini.

METODE PENYEBARAN VIRUS

Trojan “Stuxnet” memanfaatkan dengan baik penggunaan usb atau pun share jaringan yang full akses. Trojan akan melakukan infeksi komputer secara otomatis, karena dengan membuat 2 file yang akan ter-eksekusi dengan baik yaitu :

Ø ~WTR[angka_acak].tmp

Ø ~WTR[angka_acak].tmp

MODIFIKASI REGISTRY WINDOWS

Beberapa modifikasi registry yang dilakukan oleh virus “bekol” antara lain sebagai berikut :

- Menambah Registry

o HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls

o HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet

o HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxNet

o HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxCls

o HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXCLS

o HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXNET

o HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MRXCLS

o HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MRXNET

PEMBERSIHAN VIRUS

Langkah-langkah yang harus dilakukan untuk melakukan pembersihan virus “bekol” adalah sebagai berikut :

- Bersihkan virus dengan menggunakan removal tools Dr.Web CureIt. Anda dapat mendownload pada link berikut : (lihat gambar 3)

http://www.freedrweb.com/download+cureit/

Gambar 3, Gunakan Dr Web Cureit untuk mendeteksi dan membasmi Stuxnet

- Perbaiki registri windows yang sudah di modifikasi oleh virus dengan langkah sebagai berikut :

o Salin script dibawah ini menggunakan wordpad. Klik menu [Start]  [All Programs]  [Accessoris]  [Wordpad].

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0×00010001,1

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden,0×00010001,1

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt,0×00010001,0

HKLM, SOFTWARE\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

[del]

HKLM, SYSTEM\CurrentControlSet\Services\MRxCls

HKLM, SYSTEM\CurrentControlSet\Services\MRxNet

HKLM, SYSTEM\ControlSet001\Services\MRxCls

HKLM, SYSTEM\ControlSet002\Services\MRxNet

HKLM, SYSTEM\CurrentControlSet\Services\Enum\Root\LEGACY_MRXClS

HKLM, SYSTEM\CurrentControlSet\Services\Enum\Root\LEGACY_MRXNET

HKLM, SYSTEM\ControlSet001\Services\Enum\Root\LEGACY_MRXClS

HKLM, SYSTEM\ControlSet002\Services\Enum\Root\LEGACY_MRXNET

Simpan file dengan nama “repair.inf”. Gunakan pilihan Save as type menjadi Text Document agar tidak terjadi kesalahan.

Klik kanan file “repair.inf” kemudian pilih “Install”. Restart komputer.

- Bersihkan temporary file, hal ini agar dapat mencegah sisa trojan yang mencoba aktif kembali. Gunakan tools seperti “ATF Cleaner” atau gunakan fitur windows yaitu “Disk Clean-Up”.

Solusi Darurat mengatasi Winsta :

Untuk mencegah agar tidak kembali menginfeksi, anda dapat menggunakan script berikut :

@echo off

del /f c:\windows\system32\winsta.exe

rem rd c:\windows\system32\winsta.exe

md c:\windows\system32\winsta.exe

del /f c:\windows\system32\drivers\mrxnet.sys

rem rd c:\windows\system32\drivers\mrxnet.sys

md c:\windows\system32\drivers\mrxnet.sys

del /f c:\windows\system32\drivers\mrxcls.sys

rem rd c:\windows\system32\drivers\mrxcls.sys

md c:\windows\system32\drivers\mrxcls.sys

attrib +r +h +s c:\windows\system32\winsta.exe

attrib +r +h +s c:\windows\system32\drivers\mrxnet.sys

attrib +r +h +s c:\windows\system32\drivers\mrxnet.sys

Simpan file dengan nama “winsta.bat”. Gunakan pilihan Save as type menjadi Text Document agar tidak terjadi kesalahan.

Klik 2x file tersebut.

- Untuk pembersihan yang optimal dan mencegah infeksi ulang, scan kembali menggunakan antivirus yang ter-update dan mengenali virus ini dengan baik.

Sumber: www.vaksin.com

Salam kangen untuk Abang-abangku di Moncong Burung Abepura – Jayapura

KOHOIN A
Salam untuk sahabat-sahabatku di Pangkalan Naiboya
Jago, Snts, Glnk, Wnts dan lain-lain
Untuk yang punya komputer:
Hebat, file ini bisa ada di komputer anda, padahal saya tidak pernah
sengaja untuk menyebarkan file ini, ini semua karena ada yang
mencuri lagu-lagu dalam komputerku, dan dia tidak tahu bahwa
diantara lagu-lagu itu ada tersisip sebuah program yang mungkin bisa dianggap virus
Tapi tentu saja ini bukan virus! ini hanya program
dan program ini dibuat saat saya belajar tentang pemrograman, jadi jika anda sampai pusing
karena program ini, dan anda menganggap program ini adalah virus, anda salah !
karena program ini dibuat oleh seseorang yang masih pemula!
by Anak Smoensa T’Buan!

Perkembangan IT cepat atau lambat merambah seluruh Indonesia. Indonesia bagian Timur sekalipun yang dari sisi pembangunan agak tertinggal dari daerah lainnya, rupanya pelan tapi pasti mulai tersentuh oleh teknologi informasi. Terbukti dengan beredarnya virus iseng yang memalsukan diri sebagai file MP3.

Bagi Anda yang gemar mengkoleksi lagu-lagu terutama dalam format Winamp (mp3) sebaiknya mulai berhati-hati karena saat ini sedang menyebar virus yang akan memanfaatkan icon dari file winamp tersebut untuk mengelabui user dan disinyalir berasal dari Sorong. Virus ini akan blok program winamp serta program pengolah kata seperti MS Word, ia juga akan blok file instalasi yang mempunyai nama file setup.exe, berikut beberapa ciri-ciri umum yang dapat ditemui pada virus ini :

• Mucul file dengan nama Kohoin.txt di setiap drive, file ini berisi pesan dari sang pembuat virus kepada pengguna komputer yang telah terinfeksi
• Muncul pesan dibawah ini saat komputer pertama kali dihidupkan (lihat gambar 1)

Gambar 1, Pesan saat komputer pertama kali dinyalakan

• Tidak dapat menjalankan program utility Windows seperti msconfig, winamp, file instalasi yang mempunyai nama file setup.exe serta file pengolah kata MS Word, dengan memunculkan pesan error pada saat menjalankan file tersebut (lihat gambar 2)

Gambar 2, Pesan error saat menjalankan file yang di blok oleh virus

• Berusaha menjalankan file “Mixers.exe” setiap kali komputer dinyalakan. (lihat gambar 3)

Gambar 3, Virus berusaha menjalankan file dengan nama “Mixers.exe” saat komputer dihidupkan

File induk Virus

Gurita (eh salah) .. Virus ini dibuat dengan menggunakan program Visual Basic dengan ukuran file skitar 68 KB. Agar mudah mengelabui user dan mudah menyebar, ia akan memanfaatkan program pemutar musik winamp dengan menggunakan icon Winamp pada file yang menyertai virus tersebut dengan type file sebagai aplikasi. (lihat gambar 4)

Gambar 4, File induk virus

Dengan update terbaru Norman Security Suite dan Norman Security Siite PRO mendeteksi virus ini sebagai W32/Smallworm.GQK. (lihat gambar 5)

Gambar 5, Norman Security Suite medeteksi virus ini sebagai W32/Smallworm.GQK

Pada saat virus ini di aktifkan ia akan menampilkan pesan error seperti terlihat ada gambar 6 dibawah, kemudain ia akan membuat beberapa file induk yang akan dijalankan pada saat komputer dinyalakan diantaranya:

• C:\Sisboot.exe
• C:\Windows\Dell.bat
• C:\Windows\Mixers.exe
• C:\Windows\systems.ini
• C:\Windows\sys.exe
• C:\Windows\xpsys.exe
• C:\Windows\system32\xpsys.exe
• C:\Documents and user\%user%\Local settings\Temp\xpsys.exe

Gambar 6, Pesan error saat menjalanan file virus

Agar file tersebut dapat dijalankan secara otomatis pada saat komputer dinyalakan, ia akan membuat string ada beberapa registry berikut

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

- Fonts System = C:\WINDOWS\Sys.Exe

- WinConfig = C:\WINDOWS\Mixers.Exe

- Windows System0 = C:\Sisboot.Exe

- Windows System1 = E:\Sisboot.Exe

- Xpfrm = C:\WINDOWS\system32\xpsys.exe

- Xpfrx = C:\Document and Settings\%user%\Local Settings\Temp\xpsys.exe

- XpSys = C:\WINDOWS\xpsys.exe

• HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows

- load = C:\Windows\Dell.bat

File Dell.bat ini berisi perintah lain untuk merubah nama file C:\Windows\Systems.ini menjadi C:\Windows\Mixers.exe

Sebagai benteng pertahanan, ia akan melakukan blok terhadap beberapa fungsi utility Windows seperti Task Manager, MSConfig dengan memunculkan pesan error seperti terlihat pada gambar 2 di atas.

Untuk melakukan hal tersebut, ia akan membuat string berikut:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

- NoFolderOptions

- NoTaskMgr

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun

- 1 = msconfig.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

- DisableRegistryTools

- DisabletaskMgr

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

- DisallowRun

- NoFolderOptions

Blok program MS Word dan Wimamp

Selain blok fungsi Windows di atas ia juga akan melakukan blok terhadap program pengolah kata Microsoft Word (MS Word) atau pada saat user menjalankan file pemutar musik (Winamp) atau saat menjalankan file MP3, untuk melakukan hal tersebut ia akan membuat string pada registry berikut :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun

- 1 = Winamp.exe

- 3 = Winword.exe

Pesan pembuat virus

Untuk mengabadikan dirinya, ia akan meninggalkan beberapa jejak dengan menampilkan pesan-pesan baik yang akan ditampilkan pada saat kompter booting atau dalam bentuk file dengan membua file kohoin.txt di setiap drive. (lihat gambar 1)

Untuk menampilkan pesan di atas ia akan membuat perubahan pada string registry berikut :

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
  • legalnoticecaption = Pesan dari Novi Montegarza
  • legalnoticetext = Salam kangen untuk Abang-abangku di Moncong Burung Abepura – Jayapura (lihat gambar 7)

Gambar 7, Pesan yang akan dituangkan dalanm bentuk file dengan nama Kohonin.txt

Media penyebaran

Untuk mempermudah penyebarannya, ia akan memanfaatkan media removable disk termasuk flash disk dengan membut file (acak) di setiap drive seperti anima bintang.exe, Kutak bisa.exe, Ungu-Demi waktu.exe, Once Dealova.Exe atau cenderawasih.exe, file ini mempunyai ukuran 68KB dengan menggunakan icon Winamp dengan tujuan untuk mengelabui user.

Cara mengatasi W32/Smallworm.GQK dengan Norman Security Suite PRO

Dalam artikel ini, Vaksincom memberikan satu trik baru membersihkan virus menggunakan fitur “Intrusion Guard” yang mampu mencegah injeksi file virus dan fitur “Advance System Reporter” yang memiliki fungsi dasar seperti Process Manager tetapi dengan fitur yang jauh lebih lengkap. Anda dapat mendownload Norman Security Suite Pro di http://www.norman.com/downloads/special/nss80, untuk mendapatkan Kode Lisensi NSS Pro Gratis untuk 30 hari silahkan isi form di http://www.norman.com/downloads/trial_registrations/58627/?utm_source=pressrelease&utm_medium=try_link&utm_campaign=nsspro. Anda juga dapat menggunakan tools selain Intrusion Guard seperti Security Task Manager untuk menghentikan proses virus yang aktif.

1. Nonaktifkan “System Restore” selama proses pembersihan
2. Matikan proses virus yang sedang aktif di memori. Norman Security Suite PRO dengan fitur Intrusion Guard mempunyai kemampuan untuk memonitoring setiap file yang aktif dimemori serta mempunyai kemampuan untuk mematikan setiap proses yang kita inginkan sekaligus menghapus registri startup dari proses tersebut (jika ditemukan).

Untuk memanggil fitur ini, lakukan langkah bereikut

1. • Pada layar utama Norman Security Suite PRO, klik pada menu “Intrusion Guard”
   • Klik “Advanced System Reporter” (lihat gambar

Gambar 8, Menu utama Norman Security Suite Pro

1. • Klik “Go to View”, pada menu “Processes” (lihat gambar 9)

Gambar 9, Klik “Go to view” untuk melihat proses virus

1. • Klik pada tabulasi “Auto Start”, klik kanan proses virus dengan icon “Winamp”, kemudian klik menu “Terminate Process” untuk menghentikan proses file tersebut dan “Remove Autorun untuk menghapus string Autorun dari file tersebut agar tidak aktif kembali pada saat komputer di restart. Cek juga pada tabulasi “Other, matikan file proses dengan icon Winamp. (lihat gambar 10)

Gambar 10, Mematikan proses virus dengan menggunaakn Norman Intrusion Guard

1. Repair registry, untuk memperludah proses penghapusan silahkan copy script dibawah ini kemudian simpan dengan mama repiar.inf, install file tersebut dengan cara: Klik kanan REPAIR.INF | Klik INSTALL

[Version]

Signature=”$Chicago$”

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”

HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”

HKCU, Software\Microsoft\Windows NT\CurrentVersion\Windows, load, 0,”"

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr

HKLM, Software\Microsoft\Windows\CurrentVersion\Run, Microsoft System Info

HKCU, Software\Microsoft\Internet Explorer\Main, Window Title

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, DisallowRun

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisallowRun

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisabletaskMgr

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoFolderOptions

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoTaskMgr

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system, legalnoticecaption

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system, legalnoticetext

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Fonts System

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, WinConfig

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Windows System0

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Windows System1

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Xpfrm

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Xpfrx

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, XpSys

1. Hapus file induk, Untuk mempercepat proses penghapusan, silahkan salin script dibawah ini kemudian simpan dengan nama sembarang (contoh: DelVirus.bat), jalankan file tersebut dengan cara Klik 2x pada file yang tersebut.

—- awal code —-

cd\

attrib -s -h -r sisboot.exe

Del Anima-bintang.exe /f

Del Kohoin.txt /f

Del sisboot.exe /f

CD\

CD Windows

attrib -s -h -r Dell.bat /f

attrib -s -h -r Mixers.exe /f

attrib -s -h -r systems.ini /f

attrib -s -h -r sys.exe /f

attrib -s -h -r xpsys.exe /f

Del Dell.bat /f

Del Mixers.exe /f

Del systems.ini /f

Del sys.exe /f

del xpsys.exe /f

CD\

CD Documents and Settings\%username%\local settings\temp

attrib -s -h -r xpsys.exe

del xpsys.exe /f

cd\

msg %username% /time:30 /w /v “Hapus string copy C:\WINDOWS\systems.ini C:\WINDOWS\Mixers.Exe”, pada file C:\AUTOEXEC.BAT

notepad.exe c:\autoexec.bat

msg %username% /time:30 /w /v “Proses penghapusan file induk virus telah selesai dilakukan, silahkan scan ulang dengan antivirus yang up-to-date”

—- akhir code —-

1. Untuk pembersihan optimal dan mencegah infeksi ulang, scan dengan antivirus yang terupdate dan sudah dapat mendeteksi dan membasmi virus ini dengan baik.

Sumber www.vaksin.com

Suspicious_Gen2.LBTU

Kalau anda tanya mania bola, nama siapa yang paling sering dibicarakan dalam dua minggu terakhir ini. Jawabannya kemungkinan besar adalah Messi, Torres, atau Kaka. Tetapi jika anda tanya ke masyarakat umum, termasuk anak kecil, kira-kira nama siapa yang paling sering menjadi pembicaraan dalam 2 minggu terakhir ini ? Jawabannya bisa bervariasi, tetapi kemungkinan besar akan muncul nama Ariel, Luna Maya dan Cut Tari.

Hal ini tidak terlepas dari peran media massa baik media cetak, televisi dan internet ramai memberitakan beredarnya video porno yang (katanya) mirip artis seperti Ariel, Luna Maya dan Cut Tari. Bahkan saking ramainya hingga menjadi pembicaraan hangat tidak hanya di Indonesia tetapi juga di luar negeri. Tentunya hal ini di pengaruhi oleh trend penggunaan media jejaring sosial seperti Facebook dan Twitter, sehingga sangat mudah sekali menyebar dan kadang menjadi sebuah pembicaraan yang populer. Ditengah trend pemberitaan video porno yang dapat dikatakan cukup masif dimana banyak media berlomba-lomba memberitakan hal ini sehingga menimbulkan rasa ingin tahu dan penasaran seperti apa sih video yang dihebohkan dan menjadi buah bibir dimana-mana sehingga masyarakat umum (termasuk anak dibawah umur L) berlomba-lomba mencari dan mendownload video porno tersebut.

Rupanya hal ini juga dapat menjadi inspirasi bagi pembuat virus untuk menyebarkan virus dengan memanfaatkan situasi yang ada. Untuk hal itu pengguna komputer dan internet agar tetap ber-hati hati terhadap serangan virus yang membonceng topik video porno ini. Salah satu virus lokal yang juga ikut memanfaatkan trend video porno mirip artis baru baru ini telah terdeteksi oleh Vaksincom dengan kiriman file bernama “Luna Maya”. Virus ini terdeteksi oleh Norman Security Suite sebagai varian trojan : Suspicious_Gen2.LBTU. (lihat gambar 1)

Gambar 1 . Norman Security Suite mendeteksi virus “Luna Maya” sebagai Suspicious_Gen2.LBTU.

GEJALA & EFEK VIRUS

Jika anda termasuk penggemar artis “Luna Maya” atau anda mencari video hot artis “Luna Maya”, harap waspada jika anda menerima kiriman file atau mendownload file dan bermaksud menjalankan-nya atau membuka-nya. (lihat gambar 2)

Gambar 2 .File virus yang membonceng issue video porno “Luna Maya.

Jika anda sudah terlanjur menjalankan file virus tersebut, maka virus akan langsung beraksi dengan menimbulkan gejala sebagai berikut :

- Memunculkan pop-up pemberitahuan kepada user yang telah menjalankan file virus. (lihat gambar 3)

Gambar 3 .Pop-up setelah anda menjalankan file virus.

- Membuat drive CD/DVD-ROM selalu terbuka, meskipun sudah anda tutup kembali tetapi akan terbuka lagi.

- Menu “Start” Windows yang bergerak bolak balik ke-kanan dan ke-kiri. Hal ini digunakan untuk mempersulit user mengklik tombol “Start” (lihat gambar 4).

Gambar 4 . Menu “Start” Windows bergerak ke-kanan dan ke-kiri.

- Merubah fungsi klik pada “mouse” yaitu fungsi klik kiri menjadi klik kanan, dan sebaliknya serta memanipulasi key pada keyboard. Hal ini digunakan untuk mempersulit user menjalankan atau meng-eksekusi file.

- Menyembunyikan dan mematikan fungsi Windows, seperti Task Manager dan Run. (lihat gambar 5)

Gambar 5 . Fungsi Windows yang di blok oleh virus.

- Membuat komputer menjadi lambat atau hang secara mendadak.

- Menyembunyikan notifikasi jam/waktu yang ada pada taskbar. (lihat gambar 6)

Gambar 6 . Fungsi jam/waktu yang disembunyikan oleh virus.

- Membuat komputer menjadi mati atau shutdown secara tiba-tiba atau mendadak.

- Membuat USB flash atau removable drive anda menjadi tidak terbaca. Virus melakukan dengan menjalankan file virus “nt.bat” yang berisi script untuk melakukan format drive. (lihat gambar 7).

Gambar 7. Drive USB menjadi tidak terbaca karena aksi virus.

- Mematikan atau menutup beberapa aplikasi/program Windows seperti Notepad, Windows Media Player dan Internet Explorer.

FILE VIRUS

Virus “Luna Maya” merupakan virus lokal yang dibuat menggunakan bahasa Visual Basic. Ciri-ciri virus “Luna Maya” yaitu sebagai berikut :

- Memiliki ukuran 37 kb

- Memiliki type file “application” dan ber-ektensi “exe”.

- Menggunakan icon MS Word. (lihat gambar

Gambar 8 . File virus “Luna Maya”.

Jika virus berhasil menginfeksi komputer, maka akan membuat beberapa file virus sebagai berikut :

ü C:\nt.bat

ü C:\WINDOWS\system32\Amoumain.exe

ü Love.exe (pada semua root drive)

File virus yaitu “Love.exe” akan terdapat pada setiap root drive termasuk pada mapping drive atau removable drive. Sedangkan file “nt.bat” merupakan script virus untuk melakukan format drive. (lihat gambar 9)

Gambar 9. Isi script file “nt.bat”..

METODE PENYEBARAN VIRUS

Tidak jauh berbeda dengan varian virus lokal lainnya, virus “Luna Maya” juga otomatis dapat menginfeksi UFD / USB Flashdisk atau removable disk, virus akan membuat file virus dengan nama “Love.exe” baik penggunaan usb atau pun share jaringan yang full akses. (lihat gambar 10)

Gambar 10. File virus menginfeksi flash/removable.

MODIFIKASI REGISTRY WINDOWS

Tidak banyak yang dilakukan oleh virus dalam perubahan pada registry. Beberapa modifikasi registry yang dilakukan oleh virus “Luna Maya” antara lain sebagai berikut :

- Menambah Registry

o Start-up

ü HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Shell = Explorer.exe C:\WINDOWS\system32\Amoumain.exe

o Blok Fungsi Windows

ü HKEY_ CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system

DisableTaskMgr = 1

ü HKEY_ CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer

NoRun = 1

PEMBERSIHAN VIRUS

Langkah-langkah yang harus dilakukan untuk melakukan pembersihan virus ini adalah sebagai berikut :

- Lakukan pembersihan virus pada mode “safe mode”. Untuk masuk pada mode “safe mode”, tekan tombol F8 pada keyboard saat komputer dinyalakan. (lihat gambar 11)

Gambar 11 . Masuk windows melalui mode safe mode.

Pada menu Windows Advanced Options, anda dapat memilih mode “safe mode” atau dapat juga mode “safe mode with networking” dan “command prompt”. Agar lebih mudah pilih saja mode “safe mode”.

Biarkan windows berjalan hingga muncul jendela konfirmasi penggunaan “safe mode”. (lihat gambar 12)

Gambar 12. Konfirmasi penggunaan mode safe mode.

Klik pilihan “Yes”, untuk menggunakan mode “safe mode” pada jendela konfirmasi tersebut.

- Matikan proses virus yang aktif pada memory. Gunakan tools pengganti Task Manager dalam hal ini gunakan CurProcess. Download tools CurrProcess pada link berikut ini : (lihat gambar 13)

http://www.nirsoft.net/utils/cprocess.zip

Gambar 13. Matikan proses virus dengan CurrProcess.

Jalankan CurrProcess, kemudian cari file virus “Amoumain.exe”. Klik kiri file virus, kemudian pilih “Kill Selected Processes”. Jika file virus sudah hilang, maka tutup jendela CurrProcess.

- Perbaiki registry windows yang sudah di modifikasi oleh virus dengan langkah sebagai berikut :

o Salin script dibawah ini menggunakan wordpad. Klik menu [Start] à [All Programs] à [Accessoris] à [Wordpad].

[Version]

Signature=”$Chicago$”

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0×00010001,1

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden,0×00010001,1

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt,0×00010001,0

HKLM, SOFTWARE\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”

HKLM, SOFTWARE\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”

HKLM, SOFTWARE\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”

HKLM, SOFTWARE\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”

HKLM, SOFTWARE\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\system, DisableTaskMgr

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\explorer, NoRun

o Simpan file dengan nama “repair.inf”. Gunakan pilihan Save as type menjadi Text Document agar tidak terjadi kesalahan.

o Klik kanan file “repair.inf” kemudian pilih “Install”.

- Hapus file virus “Luna Maya” dengan ciri-ciri sebagai berikut :

ü Memiliki type file “Application”

ü Memiliki ukuran file “37 kb”

ü Memiliki icon file MS Word

Catatan :

o Untuk mempermudah pencarian sebaiknya gunakan fungsi Search Windows dengan menggunakan filter file *.exe dan *.inf dan berukuran 37 kb.

o Hapus file virus yang biasanya mempunyai date modified yang sama.

o Pastikan hapus file virus utama seperti : Amoumain.exe, Luna Maya.exe, Love.exe, dan nt.bat (lihat gambar 14)

Gambar 14. Hapus file virus melalui fitur search windows.

o Log-off komputer, kemudian log-in kembali.

- Untuk pembersihan yang optimal dan mencegah infeksi ulang, scan kembali menggunakan antivirus yang ter-update dan mengenali virus ini dengan baik.

- Untuk USB flash atau removable drive yang sudah di rusak atau format oleh virus, sebaiknya gunakan software recovery untuk mengembalikan data yang hilang.

Sumber www.vaksin.com

Jangan sampai ketinggalan oleh saingan Anda. Untuk itulah kami menyediakan layanan khusus yang sesuai kebutuhan para seller pemula maupun profesional yang ingin memilikiBlog Online Shop.

WordPress+Online Shop

Gratis!!!

Daftar sekarang juga!!!

Steve Jobs dipecat gara-gara film porno ?

Geger video aksi dewasa artis terkenal dalam 2 minggu terakhir ini benar-benar memberikan dampak luar biasa bagi dunia internet Indonesia. Andai saja yang diumbar bukan konten dewasa, rasanya artis tersebut patut mendapatkan penghargaan dari ISP karena meningkatkan popularitas akses internet dengan luar biasa. Bahkan karena popularitas artis tersebut yang berhasil menjadi Trending Topics (topik yang paling banyak dibicarakan) nomor 1 di Twitter, mengalahkan Iphone 4, beredar guyonan kalau Cupertino (markas besar Apple) mempertimbangkan untuk mengganti Steve Jobs karena kerjanya tahunan membuat Iphone 4 dikalahkan oleh satu video berdurasi 8 menit :p.

Rupanya virus juga tidak mau kalah, Vaksincom kembali menerima laporan tentang satu virus yang menggiring korbannya mengkases situs porno yang sedang marak menyebar saat ini, laporan yang kami terima virus ini cukup banyak beredar di Sulawesi Utara.

Apa yang membuat virus ini begitu heboh ?

Dilihat secara sepintas sebenarnya virus ini tidak lah terlalu ganas seperti kebanyakan virus lokal yang menyebar, aksi yang dilakukanpun tidak terlalu banyak, lalu apa yang membuat virus ini begitu heboh ? Silahkan lanjutkan pada artikel di bawah ini.

Ciri umum

• Virus ini ditulis menggunakan program Visual basic Script (VBS) dengan ukuran file sebesar 4 KB (lihat gambar 1) yang akan menggunakan icon . File induk tersebut akan di enkripsi agar isi script tidak mudah di ketahui oleh user (lihat gambar 2). Komputer yang telah terinfeksi virus ini akan mengakses media flash disk terus menerus, hal ini di tandai dengan lampu indikator flash disk yang selalu menyala walaupun pengguna komputer tidak mengakses flash disk tersebut.

Gambar 1, File induk VBS/Autorun.BM

Gambar 2, File virus yang di enkripsi

• Ciri lain yang dapat dilihat adalah munculnya sebuah file di setiap drive dengan nama “Lady Atenean Scandal.vbs” serta akan menampilkan situs porno saat mengakses internet explorer.

Dengan update terbaru Norman Security Suite mengenali virus ini sebagai VBS/Autorun.BM (lihat gambar 3)

Gambar 3, Hasil scan Norman Malware Cleaner

Agar virus ini dapat aktif, ia memerlukan file pendukung yakni “C:\Windows\System32\WSCRIPT.exe” yang yang merupakan file asli Windows. Pada saat user menjalankan file virus tersebut ia akan membuat file induk berikut:

• C:\WINDOWS\SysInfo.vbs
• “…\Recycled\info.vbs”.

Agar file tersebut dapat aktif secara otomatis pada saat computer tersebut dihidupkan, ia akan membuat string pada registri berikut :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

- Microsoft System Info = wscript.exe “C:\WINDOWS\SysInfo.vbs”

Untuk mempertahankan dirinya ia akan memblok beberapa fungsi Windows seperti Folder Options, Registry Tools maupun Task Manager (gambar 4, 5 dan 6) dengan membuat string pada registri berikut:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

- NoFolderOptions = 1

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

- DisableTaskMgr =

- DisableRegistryTools =1

Gambar 4, Akses Registry Editor yang diblok oleh virus

Gambar 5, Akses ke Task Manager yang diblok oleh virus

Gambar 6, Folder Options yang di blok oleh virus

Menyebarkan situs Perusak moral

VBS/Autorun.BM mempunyai tugas khusus, bukan menyembunyikan file atau menghapus file saja, tetapi ia akan membuat para orang tua jantungan. Bagaimana tidak, jika merokok saja dilarang oleh para orang tua yang sayang anaknya, virus ini malahan menampilkan situs saingan YouTube, tetapi yang ini berkategori “Lampu Merah” (lihat gambar 7) alias porno setiap kali komputer korbannya mengakses internet. PERHATIAN !!! Jika anda dibawah umur dan belum waktunya untuk mengkases situs dewasa, harap hindari situs-situs dewasa.

Untuk melakukan hal tersebut, ia akan merubah string berikut :

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

- Search page = http://www.r**tube.com/

- Start page = http://www.r**tube.com/

- Window Title = Sowar? PagSureOy!!! Guba gyud nang PC nimo!

Gambar 7, Halaman IE yang diubah oleh VBS/Autorun.BM

Untuk memperlancar aksi nya ia akan membuat sebuah file yang cukup “menggoda” agar user tertarik untuk menjalankan file tersebut, file ini akan dibuat di setiap Drive dengan nama “Lady Atenean Scandal.vbs”.

Media penyebaran

Untuk memperluas penyebarannya, ia akan memanfaatkan media flash disk dengan membuat file “autorun.inf” dan file “Lady Atenean Scandal.vbs”. Agar dirinya dapat aktif secara otomatis pada saat user akses Drive atau flash disk, ia akan memanfaatkan fitur Autorun windows dengan membuat file autorun.inf di setiap drive termasuk di flash disk, file autorun.inf ini mempunyai tugas utama untuk menjalankan file “…\Recycled\info.vbs” saat user mengakses Drive / flash disk, seperti terlihat pada gambar 8 dibawah ini

Gambar 8, Script Autorun.inf memungkinkan virus dapat aktif saat user akses drive/flash disk

Cara mengatasi VBS/Autorun.BM

1. Nonaktifkan “System Restore” selama proses pembersihan
2. Matikan proses virus dengan nama WSCRIPT.EXE dengan menggunakan tools pengganti registry editor seperti “process explorer”, silahkan download di alamat berikut (lihat gambar 9)

http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

Gambar 9, Mematikan proses virus dengan tools Process Explorer

1. Untuk antisipasi agar virus tersebut tidak aktif kembali selama proses pembersihan, silahkan ubah nama file WSCRIPT.exe menjadi WSCRIPT_OLD.exe yang berada di direktori “C:\Windows\System32”
2. Benarkan registri yang sudah di ubah oleh virus. Untuk membantu proses perbaikan, silahkan salin script dibawah ini pada program notepad kemudian simpan dengan nama REPAIR.INF. Install file tersebut dengan cara :

1. • Klik kanan REPAIR.INF
   • Klik INSTALL

[Version]

Signature=”$Chicago$”

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”

HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”

HKCU, Software\Microsoft\Internet Explorer\Main, start page,0, “about:blank”

HKCU, Software\Microsoft\Internet Explorer\Main, Search Page,0, “about:blank”

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0×000000ff,255

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0×000000ff,255

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr

HKLM, Software\Microsoft\Windows\CurrentVersion\Run, Microsoft System Info

HKCU, Software\Microsoft\Internet Explorer\Main, Window Title

1. Hapus file virus yang dibuat oleh VBS/Autorun.BM dibawah ini, sebelum menghapus file tersebut tampilkan semua file yang tersembunyi dengan merubah pada setting Folder Options seperti terlihat pada gambar dibawah ini, jika menu Folder Options tidak muncul sebaiknya Anda Log Off komputer terlebih dahulu (lihat gambar 10)

Gambar 10, Menampilkan file yang tersembunyi

Kemudian hapus file berikut:

1. • Autorun.inf (semua drive)
   • Lady Atenean Scandal.vbs (semua drive)
   • C:\WINDOWS\SysInfo.vbs
   • …\Recycled\info.vbs

1. Empty file yang ada di Recycle Bin [Klik kanan Recycle Bin | klik Empty Recycle Bin]

1. Untuk pembersihan secara optimal, silahkan scan dengan antivirus yang up-to-date atau dengan menggunakan removal tools. Silahkan download Norman Malware Cleaner di alamat berikut (lihat gambar 3 di atas)

http://www.norman.com/support/support_tools/58732/en

1. Setelah komputer bersih dari virus, ubah kembali file :

“C:\Windows\System32\WSCRIPT_OLD.exe”

menjadi

“C:\Windows\System32\WSCRIPT.exe”

TIPS:

Untuk menghindari agar virus ini tidak kembali menginfeksi komputer, Anda dapat mencoba cara di bawah ini:

1) Install antivirus yang dapat mendeteksi virus ini.

2) Blok akses Flash Disk (agar user tidak dapat menjalankan file aplikasi yang ada di flash disk) dan blok akses file yang sudah terinfeksi virus VBS/Autorun.BM dengan menggunakan fitur “Security Policy”. Fitur ini hanya tersedia pada Windows XP Proffesional, Windows Server 2003, Windows Vista dan Windows 7, berikut cara-caranya :

a. Blok akses file aplikasi pada Dive / Flash Disk, langkah ini dilakukan agar user tidak dapat menjalankan file aplikasi (file yang mempunyai ekstensi exe, com, scr, bat, lnk, vbs, inf) (lihat gambar 11)

ü Klik menu [Start]

ü Klik [Run]

ü Ketik [secpol.msc]

ü Pada layar “Local Security Policy”, klik “Software restriction policies”

ü Klik kanan pada “software restriction policies” dan pilih “Create new policies”

ü Kemudian klik kanan di “Additional Rule”, dan pilih “New Path Rule.”

Gambar 11, Membuat rule untuk blok ekseksi aplikasi pada Drive

ü Pada Kolom “Path”, isi dengan lokasi drive yang di inginkan. Karena kebanyakan malware menular dari flash disk, sebaiknya ketik drive di mana flash disk berada. Misalnya, jika flash disk ada di drive G maka ketik G:\ (lihat gambar 12)

Gambar 12, Lokasi drive yang akan di monitoring

ü Pada kolom “Security Level” pilih “Disallowed”

ü Klik tombol “Apply”

ü Klik tombol “Ok”

b. Blok akses file virus VBS/Autorun.BM

ü Klik kanan pada menu “Additional Rule”, dan pilih “New Hash Rule.” (lihat gambar 13)

Gambar 13, Membuat rule untuk blok file virus

ü Pada kolom “File hash”, klik tombol “Browse” dan pilih file yang akan diblok. Pada kolom “file information” akan terisi informasi dari file tersebut secara otomatis. (lihat gambar 14)

Gambar 14, Menentukan file yang akan di blok

ü Pada kolom Security Level pilih “Disallowed”

ü Pada kolom “description” isi deskripsu dari nama file tersebut (bebas),

ü Pilih “OK”

ü Restart komputer.

Catatan:

Pada saat user menjalankan file yang sudah di add tersebut maka akan mucul pesan peringatan berikut : (lihat gambar 15)

Gambar 15, Pesan peringatan saat menjalankan file aplikasi

Suber www.vaksin.com

Buy Norman

Download Trial

Single / Home User

• NSS Pro 8.02 (32 bit)
• NSS Pro 8.02 (64 bit)
• Norman Malware Cleaner (Gratis)

this without doubt the sexiest video ever

Candid Camera Prank ! [HQ]

Bulan Mei 2010 dapat menjadi bulan bersejarah dalam dunia pervirusan dimana tercatat virus baru yang menyebar melalui Application (Apps) Facebook mulai menyebar. Varian pertama dengan mengusung judul “Optical Illision [HQ]” ditemukan menyebar pada tanggal 2 Mei 2010 dengan alamat Application http://apps.facebook.com/hghh_rtrt/ telah dinonaktifkan oleh Facebook. Dalam bilangan minggu, keluar varian kedua yang lebih canggih dan sampai artikel ini dibuat aplikasi Facebook tersebut menyebar dengan kecepatan luar biasa. Menurut pengamatan Vaksincom, varian kedua dengan thema “[Nama Anda], this is without doubt the sexiest video ever :p :p :p” mulai disebarkan pada hari Sabtu pagi 15 Mei 2010 dan dalam waktu 48 jam telah memakan korban belasan ribu pengguna Facebook. Aplikasi ini perlu diwaspadai karena kemampuannya mengeksploitasi sistem pengamanan Apps Facebook dimana tidak seperti Apps Facebook lainnya yang “hanya” terinstal jika pemilik account FB memberikan persetujuan [Allow], sebapiknya aplikasi ini akan memaksakan dirinya terinstal pada account FB anda sekalipun anda TIDAK PERNAH memberikan persetujuan instal aplikasi dan cukup dengan melakukan klik pada link yang diberikan, maka account FB anda sudah diambil alih oleh aplikasi ini dan ia akan mulai melakukan posting link ke kontak-kontak FB anda yang lain. Karena yang di eksploitasi adalah kerentanan pada Apps Facebook, maka ancaman eksploitasi account Facebook ini tidak terbatas pada OS Windows saja. Vaksincom menyarankan semua pemilik account Facebook untuk berhati-hati dan jangan pernah mengklik link pada gambar dan pesan seperti pada gambar 1 dibawah ini.

Gambar 1, Candid Camera Prank! [HQ]

Mencatut nama Winamp

Jika anda mengklik link yang diberikan, baik pada gambar kecil maupun link yang diberikan tanpa anda sadari secara otomatis aplikasi jahat ini akan menginstalkan dirinya secara ilegal sebagai aplikasi pada Facebook anda. Jika aplikasi Facebook yang sah seperti Birthday Reminder, Mafia Wars dn lainnya sebelum melakukan instalasi akan meminta izin anda terlebih dahulu, sebaliknya aplikasi ini secara diam-diam akan langsung terinstal dengna tujuan supaya ia bisa mengirimkan dirinya secara otomatis ke kontak Facebook anda dengan menggunakan nama anda. Hebatnya lagi, aplikasi jahat ini mencatut nama aplikasi Winamp sehingga pengguna komputer yang cukup mahir sekalipun tentunya tidak akan mencurigai Winamp sebagai aplikasi jahat dan akan mempercayainya. Tetapi akal-akalan yang dilakukan pembuat aplikasi ini adalah menggunakan nama aplikasi “Winamp on Facebook” dan bukan menggunakan nama “Winamp” (lihat gambar 2)

Gambar 2, Nama aplikasi adalah “Winamp on Facebook” supaya dikira korbannya aplikasi pemutar musik “Winamp” milik Nullsoft

Jika anda mengklik link yang diberikan, maka aplikasi yang tadinya belum terinstal (lihat gambar 3)

Gambar 3, Aplikasi “Winamp on Facebook” belum terinstal

Akan secara diam-diam menginstalkan dirinya sebagai aplikasi yang sah pada account Facebook anda (lihat gambar 4)

Gambar 4, Aplikasi “Winamp on Facebook” secara diam-diam menginstalkan dirinya pada account Facebook anda.

Jika hal ini terjadi dan tidak anda sadari, maka kontak-kontak Facebook anda akan mendapatkan kiriman pesan dari account Facebook anda seperti pada gambar 1 di atas. Dan jika kontak Facebook anda mengklik link yang diberikan, hal yang sama akan berulang kembali dimana seluruh kontaknya akan dikirimi pesan “Candid Camera Prank [HQ]”

Menurut pengamatan Vaksincom, pada beberapa kasus dimana program Winamp terinstal, klik pada link akan menyebabkan download file “vlcplayer.exe” yang sebenarnya akan mengaktifkan pengiriman pesan palsu tersebut.

Jika kita telaah lebih jauh pembuat aplikasi jahat ini, kelihatannya memang aplikasi ini sengaja dirancang untuk tujuan negatif dimana developer aplikasi ini memasang foto dengan nama “Kiley Hodge” dan menurut pengamatan Vaksincom, page developer tersebut penuh dengan segala macam sumpah serapah korban aksi jahat ini. (lihat gambar 5 dan 6)

Gambar 5, Profil pembuat aplikasi “Winamp on Facebook”

Gambar 6, Pesan-pesan korban “Winamp on Facebook” yang marah

Apa yang harus dilakukan jika anda menjadi korban “Winamp on Facebook” (WoF)

Pertama-tama, sebelum anda menjadi korban aksi jahat ini, tentunya lebih baik kalau anda tidak menjadi korban dulu. Satu-satunya cara adalah JANGAN MENGKLIK link yang diberikan. Walaupun secara hukum tindakan menginstal aplikasi tanpa persetujuan pemilik komputer adalah ilegal, tetapi terbukti aplikasi WoF ini melakukan hal ini. Anda juga bisa melakukan bloking terhadap aplikasi ini sehingga tidak akan bisa di instal pada account Facebook anda, tetapi harap ingat bahwa bloking dapat kita lakukan “hanya” pada aplikasi jahat yang telah kita ketahui sampai hari ini. Jika dikemudian hari muncul aplikasi jahat dengan alamt baru, anda harus melakukan bloking kembali. Karena itu, cara paling baik melindungi diri anda adalah JANGAN MENGKLIK link yang diberikan, sekalipun link tersebut tidak mengarahkan pada situs yang aneh. Dalam kasus WoF ini, link yang diberikan adalah link resmi Facebook dan bukan link palsu (forging). Tetapi yang diakali adalah script aplikasi yang membypass autentikasi yang seharusnya dilakukan tetapi tidak dilakukan.

Jika anda sudah menjadi korban aplikasi ini, ada dua pilihan. Pertama, anda dapat melakukan uninstal aplikasi dengan cara :

1. Login pada account Facebook anda http://www.facebook.com

2. Pada bagian kanan atas layar klik [Account] lalu pilih [Application Settings] anda akan mendapatkan layar “Application Settings – Recently Used”

3. Arahkan mouse anda pada tanda silang [X] di aplikasi yang bernama “Winamp” (lihat gambar 7)

Gambar 7, Klik tanda silang pada aplikasi Winamp gadungan untuk uninstal aksi jahat ini

4. Anda akan mendapatkan kotak dialog konfirmasi “Remove Winamp” (lihat gambar 8 )

Gambar 8, Kotak konfirmasi Remove Winamp

Klik pada tombol [Remove] dan [Refresh] pada browser anda dan pastikan aplikasi “Winamp” sudah hilang dari Application Settings.

Sumber www.vaksin.com

Buy Norman Virus Control

Worm:W32/Palevo.BQZ

Virus maut via YM bisa mem”bailout” komputer anda

Aplikasi messenger seperti Yahoo Messenger, MSN Messenger dan Skype saat ini dapat dikatakan sebagai salah satu aplikasi favorit para pembuat virus menyebarkan dirinya secara realtime dan dapat dikatakan posisinya menggantikan email yang dulunya menjadi agen favorit penyebaran virus. Salah satu sebabnya adalah karena penyebaran file virus melalui messeger saat ini relatif kurang diperhatikan oleh vendor antivirus, berbeda dengan mailserver yang sepertinya antivirus untuk mailserver sudah menjadi salah satu kewajiban administrator mailserver. Dalam 1 minggu terakhir ini, Vaksincom mendapatkan gelombang laporan serangan virus yang menyebarkan diri memanfaatkan messenger seperti Skype dan Yahoo Messenger. Dimana virus pertama yang akan dibahas dalam artikel ini adalah Worm: W32/Palevo.BQZ yang mengeksploitasi MySpace.

Facebook, Twitter dan Myspace merupakan salah satu contoh situs jaring sosial yang memungkinkan anggotanya dapat melakukan komunikasi di dunia maya dan mempermudah berbagi informasi, hal ini menjadi salah satu celah dan daya tarik tersendiri yang dapat dimanfaatkan oleh virus untuk menyebarkan dirinya. Salah satu cara yang digunakan adalah dengan mengirimkan sebuah link atau file yang “mempunyai” hubungan dengan situs jaringan sosial tersebut sehingga menarik user untuk menjalankan file tersebut, hal ini sudah dibuktikan oleh virus Bredolab (virus Facebook) yang akan mengirimkan sebuah link untuk mendownload file yang seolah-olah dikirimkan oleh administrator pengelola situs facebook, penyebaran ini semakin sukses dengan memanfaatkan aplikasi media chating (YM) untuk mengirimkan dirinya ke semua alamat ID yang terdapat pada aplikasi YM di komputer yang telah terinfeksi.

Untuk informasi lebih jelas mengenai virus W32/Bredolab, silahkan klik link berikut

http://vaksin.com/2009/1109/facebook/facebook.html

http://vaksin.com/2010/0210/basmi%20zbot/basmi%20zbot.html

http://vaksin.com/2009/1109/facebook-zbot/facebook-zbot.html

Setelah para pengguna facebook yang menjadi korban akibat virus bredolab , kini gililran para penguna Myspace yang akan menjadi target serangan virus, walaupun pengguna myspace tidak sebanyak pengguna facebook tetapi hal ini akan tetap dimanfaatkan oleh virus untuk menjaring korban.

Sama seperti yang terjadi pada kasus virus Bredolab, virus ini juga akan memanfaatkan aplikasi yahoo messager (YM) untuk menyebarkan dirinya ke semua alamat ID berupa link untuk download sebuah file yang telah ditentukan [contoh: IM87654.JPG-www.myspace.com.exe atau IM25394.JPG-www.myspace.com.exe]. Untuk menarik perhatian user, ia akan menggunakan icon image [gambar] seperti terlihat pada gambar 1 di bawah ini.

Gambar 1, File induk virus

Dengan update terbaru Norman Security Suite mendeteksi virus ini sebagai W32/Palevo.BQZ (lihat gambar 2)

Gambar 2, Hasil deteksi Norman Security Suite

Pada saat file yang telah terinfeksi W32/Palevo.BQZ dijalankan, ia akan menjalankan perintah “explorer.exe http//browseusers.myspace.com/Browse/Browse.aspx” untuk menampilkan sebuah halaman web myspace, hal ini dilakukan sebagai upaya agar aksi nya tidak dicurigai oleh user, agar aktivitas virus tersebut tidak diblok oleh Windows Firewall ia akan mendaftarkan dirinya dengan membuat rule firewall dengan menjalankan perintah netsh firewall add allowedprogram 1.exe 1 ENABLE. (lihat gambar 3, 4 dan 5)

Gambar 3, Web MySpace.com yang akan ditampilkan untuk mengelabui user

Gambar 4, Proses Virus W32/Palevo.BQZ saat di aktifkan

Gambar 5, W32/Palevo.BQZ mendaftarkan diri pada rule Windows Firewall

File induk W32/Palevo.BQZ

Pada saat menginfeksi komputer target ia akan membuat beberapa file induk yang akan di jalankan secara otomatis pada saat komputer dinyalakan

• C:\WINDOWS\infocard.exe
• C:\Windows\mds.sys
• C:\Windows\mdt.sys
• C:\WINDOWS\winbrd.jpg
• C:\Documents and Settings\%user%\winbrd.jpg

Registry Windows

Agar file tersebut dapat di aktifkan secara otomatis ia akan membuat string pada registry berikut:

• HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run
  • Firewall Administrating = C:\WINDOWS\infocard.exe

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • Firewall Administrating = C:\WINDOWS\infocard.exe

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  • Firewall Administrating = C:\WINDOWS\infocard.exe

Agar proses virus tersebut tidak diblok oleh Windows Firewall, ia akan mendaftarkan rule pada Firewall Windows dengan membuat string pada registry berikut : (lihat gambar 6 dan 7)

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
  • %Drive%\IM87654.JPG-www.myspace.com\IM87654.JPG-www.myspace.com.exe = C:\WINDOWS\infocard.exe:*:Enabled:Firewall Administrating

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
  • %Drive%\IM87654.JPG-www.myspace.com\IM87654.JPG-www.myspace.com.exe = C:\WINDOWS\infocard.exe:*:Enabled:Firewall Administrating

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
  • %Drive%\IM87654.JPG-www.myspace.com\IM87654.JPG-www.myspace.com.exe = C:\WINDOWS\infocard.exe:*:Enabled:Firewall Administrating

Gambar 6, Perubahan pada Windows Firewall yang dilakukan virus

Gambar 7, Rule W32/Palevo.BQZ pada Windows Firewall

Disable Windows Automatic Update

Virus ini juga akan disable service Windows update dengan merubah string pada registry berikut : (lihat gambar

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\wuauserv
  • Start = 0×00000004 (4)

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\wuauserv
  • Start = 0×00000004 (4)

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\wuauserv
  • Start = 0×00000004 (4)

Gambar 8, W32/Palevo.BQZ Disable Windows Update

W32/Palevo.BQZ akan mencoba untuk melakukan koneksi ke beberapa alamat ip server yang sudah ditentukan dengan menggunakan port 2345 dengan tujuan untuk download file yang telah ditentukan. (lihat gambar 9)

Gambar 9, Palevo akan berusaha melakukan koneksi ke internet untuk mengupdate dirinya

Media penyebaran

Saat ini media chating khususnya yahoo Messager (YM) sudah menjadi “primadona” bagi virus untuk menyebarkan dirinya hal ini dilakukan untuk mempercepat proses penyebarannya, karena saat ini “hampir” semua pengguna komputer menggunakan alamat YM. Untuk menyebarkan dirinya, W32/Palevo.BQZ juga akan akan memanfaatkan media chanting seperti YM dengan mengirimkan sebuah file yang sudah terinfeksi virus ke semua alamat ID yang terdapat pada aplikasi YM di komputer korban berupa sebuah link untuk download file virus yang telah ditentukan (nama file acak) contohnya: nama file IM87654.JPG-www.myspace.com.exe atau IM25394.JPG-www.myspace.com dengan ukuran sekitar 102 KB atau 109 KB. Berikut contoh pesan yang akan dikirim oleh W32/Palevo.BQZ. (lihat gambar 10)

Gambar 10, Contoh pesan yang akan dikirimkan oleh W32/Palevo.BQZ

Cara membersihkan Myspace

1. Putuskan komputer dari koneksi internet dan intranet

2. Nonaktifkan “System Restore” selama proses pembersihan dilakukan

3. Matikan proses virus yang aktif dimemori, anda dapat menggunakan fiur Advanced System Reporter yang terdapat pada Norman Security Suite Pro yang, fitur ini dirancang khusus untuk mengetahui dan monitoring proses yang aktif di memori serta mempunyai kemampuan untuk mematikan proses virus sekaligus menghapus registry startup dari virus tersebut

Berikut langkah untuk mematikan proses virus yang aktif di memori dengan menggunakan Advanced System Reporter

- Pada aplikasi Advanced System Reporter, klik tabulasi “Other”

- Klik kanan pada proses INFOCARD.EXE

- Klik “Terminate Process”

- Klik “Yes”

Untuk menghapus registry autostart yang dibuat oleh virus, lakukan langkah berikut

- Klik tabulasi “Autostart”

- Klik kanan file virus INFOCARD.EXE

- Klik “Terminate Process” jika proses tersebut masih aktif

- Kemudian klik “Remove Autorun” untuk menghapus registry autostart yang telah dibuat oleh virus (lihat gambar 11)

Gambar 11, Gunakan Advance system Reporter dari Noeman untuk menghentikan proses virus yang disembunyikan

4. Blok file virus dengan menggunakan “Software Restriction Policy” agar virus tidak dapat aktif kembali. Sementara fitur ini baru terdapat pada Windows XP Professional, Vista dan Windows 7, Windows Server 2003, Windows Server 2008.

• Klik tombol “Start”
• Klik “Run”
• Ketik SECPOL.MSC kemudian klik tombol “OK”
• Pada layar “Local Security Settings”, klik kanan pada menu “Software Restriction Policies”
• Klik “Create New Policies” Kemudian akan muncul 2 menu lain yakni “Security levels” dan “Additional rules” (lihat gambar 12)

Gambar 12, Optimalkan Secpol untuk menghadang virus

• Klik kanan pada menu “Additional Rules”, kemudain klik “New Hash Rule….”
• Pada kolom “File hash”, klik tombol “Browse” kemudian arahkan ke direktori dimana file virus tersebut berada [contoh: C:\Windows\IINFOCARD.EXE], kemudian klik “Open”
• Klik tombol “Apply”
• Klik tombol “OK”

5. Pulihkan registry yang sudah diubah oleh virus, untuk mempercepat proses pemulihan silahkan salin script berikut pada program notepad kemudian simpan dengan nama REPAIR.INF, Install file tersebut dengan cara [Klik kanan REPAIR.INF | Install]

[Version]

Signature=”$Chicago$”

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”

HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”

HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Firewall Administrating

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Firewall Administrating

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run, Firewall Administrating

Hapus manual registry yang berada lokasi berikut:

· HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List

o %virus%= C:\WINDOWS\infocard.exe:*:Enabled:Firewall Administrating

Catatan: %virus%, adalah lokasi file virus pertama kali di jalankan

6. Hapus file induk yang dibuat oleh virus

· C:\WINDOWS\infocard.exe

· C:\windows\mds.sys

· C:\windows\mdt.sys

· C:\WINDOWS\winbrd.jpg

· C:\Documents and Settings\%user%\winbrd.jpg

7. Hapus temporary internet file dan file temporary Windows, untuk mempercepaat proses penghapusan anda dapat menggunakan fitur Norman Privacy Tools yang terdapat pada Norman Security Suite PRO. Berikut cara untuk menghapus file temporary internet file dan file temporary Windows dengan menggunakan Norman Privacy Tools (lihat gambar 13)

a. Pada menu utama Norman Security Suite, klik menu “Privacy Tools”

b. Checklist opsi user profile yang digunakan

c. Checklist web browser yang digunakan

d. Klik tombol “Delete history now”, untuk memulai proses penghapusan

Gambar 13, Gunakan Norman Privacy Tools untuk menghapus file temporary Windows

8. Untuk pebersihan optimal silahkan install dan scan dengan antivirus yang up-to-date, anda juga dapat menggunakan tools Norman Malware Cleaner, silahkan download di alamat http://www.norman.com/support/support_tools/58732/en (lihat gambar 14)

Gambar 14, Gunakan Norman Malware Cleaner untuk memastikan Palevo terbasmi dengan tuntas.

Sumber www.vaksin.com

Buy Norman Virus Control