Apakah komputer anda pernah terinfeksi Spyware, sekilas memasuki situs Anti Spyware (lavasoft) disana dilihat perkembangan spyware sudah semakin luas di 2008 ini, lavasoft mendetect beberapa varian spyware seperti
* W32/Elkern.C
* TR/Crypt.CFI.Gen
* Worm/Mytob.AT
* Worm/Mytob.U
* Worm/Mytob.AP
Jika anda mendeteksi ancaman dari file seperti diatas bisa mencoba menggunakan anti Ad-Ware buatan lavasoft bisa diambil disitusnya www.lavasoft.com
Saran Untuk menghilangkan Virus Di Windows XP
Beberapa tahun belakangan banyak bermunculan virus-virus yang mulai merepotkan masyarakat pengguna komputer. Kalau dahulu pengguna internet saja yang dipusingkan oleh virus karena penyebarannya yang masih terbatas melalui email dan jaringan. Seiring perkembangan teknologi maka perangkat mobile teknologi informasi juga berkembang. Saat ini hampir tiap pengguna komputer pasti memiliki flash disk yang merupakan media penyimpanan data yang sangat portable dan mudah digunakan karena sifatnya seperti disket namun dengan kapasitas besar dan tidak mudah rusak. Namun kepopuleran flash disk di pengguna komputer memancing para pembuat virus untuk membuat virus yang menyebar melalui media penyimpanan ini. Hal ini membuat para pengguna yang kurang paham komputer terkadang tertipu karena menjalankan virus yang disangkanya adalah file lain seperti file dokumen Microsoft Word, Folder, atau bentuk file lainnya. Padahal yang sedang dibuka adalah program virus yang memiliki icon sama dengan file-file tersebut.
Tidak perlu membahas terlalu panjang sejarah kemunculan virus ini, namun buat pengguna yang sudah terkena virus maka sebenarnya langkah pembasmian virus-virus tersebut hampir sama. Biasanya masyarakat umum yang tidak memiliki akses internet di komputernya akan lebih mudah terkena virus karena antivirus yang tidak up to date sehingga antivirus miliknya tidak mengenali virus-virus baru. Ada beberapa cara menghilangkan virus dari komputer anda bila sudah terlanjur terinfeksi virus ini. Teknik-teknik berikut dibahas pada sistem operasi Windows XP karena OS inilah yang paling umum terinfeksi dan paling banyak digunakan. Berikut adalah teknik teknik tersebut:
Menghapus dengan antivirus di komputer lain
Dengan melepaskan hardisk komputer yang telah terinfeksi virus kemudian dipasangkan ke komputer lain yang memilki antivirus yang terbaru atau setidaknya mampu mengenali virus di sistem yang telah terinfeksi. Lakukan full scanning pada hardisk sistem yang terinfeksi dan hapus semua virus yang ditemukan. Setelah selesai hardisk tersebut sudah dapat dipasang kembali dikomputer dan jalankan sistem seperti biasa. Lakukan pemeriksaan kembali apakah komputer masih menunjukkan gejala yang sama saat terkena virus. Cara ini ampuh membersihkan virus sepanjang antivirus di komputer lain tersebut dapat mengenali dan menghapus virus di hardisk yang terinfeksi. Namun virus masih meninggalkan jejak berupa autorun atau startup yang tidak berfungsi. Jejak ini terkadang memunculkan pesan error yang tidak berbahaya namun mungkin sedikit mengganggu.
Menghapus dengan sistem operasi lain
Pada laptop atau komputer yang tidak dapat dilepas harddisknya maka cara lain adalah menjalankan sistem operasi lain yang tidak terinfeksi virus dan melakukan full scan terhadap seluruh harddisk. Biasanya ada beberpa pengguna yang menggunakan dual OS seperti Linux dan Windows atau Windows XP dan Windows Vista dsb. Selain itu bisa juga menggunakan LiveCD atau OS Portable seperti Knoopix dan Windows PE ( Windows yang telah diminimazed dan dapat dibooting dari media penyimpanan portable seperti flash disk atau CD.) lalu lakukan full scanning dengan antivirus terbaru. Efektifnya sama dengan menghapus virus dengan antivirus di komputer lain contoh diatas. Virus terkadang masih meninggalkan jejak tidak berbahaya.
Menghapus secara manual
Bila anda kesulitan melakukan hal diatas masih ada cara lain yaitu dengan cara manual. Langkah-langkah tersebut adalah:
1. Matikan process yang dijalankan oleh virus. Virus yang aktif pasti memiliki process yang berjalan pada sistem. Process ini biasanya memantau aktifitas sistem dan melakukan aksinya bila ada kejadian tertentu yang dikenali virus tersebut. Contohnya pada saat kita memasang flash disk, process virus akan mengenali aksi tersebut dan menginfeksi flash disk dengan virus yang sama. Proses ini harusnya bisa dilihat dari task manager yang bisa diaktifkan dengan tombol Ctrl + Alt + Del namun terkadang virus akan memblokir aksi ini dengan melakukan log off, menutup window Task Manager, atau restart sistem. Cara lain adalah menggunakan tool lain untuk melihat dan mematikan proses virus. Saya biasa menggunakan Process Explorer dari http://www.sysinternals.com/ . Dengan tool ini anda bisa mematikan process yang dianggap virus. Pada saat mematikan proses milik virus perlu diperhatikan terkadang proses milik virus terdiri atas lebih dari 1 proses yang saling memantau. Bila 1 proses dimatikan maka proses tsb akan dihidupkan lagi dengan proses lainnya. Karena itu mematikan process virus harus dengan cepat sebelum proses yang dimatikan dihidupkan lagi oleh proses lainnya. Kenali terlebih dahulu proses yang dianggap virus lalu matikan semuanya dengan cepat. Biasanya virus menyamar menyerupai proses windows tapi tentu ada bedanya seperti IExplorer.exe yang meniru Explorer.exe. Berikut adalah proses windows yang bisa dijadikan referensi proses yang dikategorikan aman:
C:\WINDOWS\system32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\Explorer.exe
Selain process explorer anda bisa menggunakan tools lainnya yang mungkin lebih mudah dan bisa menghapus process sekaligus. Contoh lain adalah HijackFree. Anda bisa mencari di google tools sejenis.
2. Setelah proses mematikan virus berhasil lakukan pengembalian nilai default parameter sistem yang digunakan virus untuk mengaktifkan dirinya dan memblokir usaha menghapus dirinya. Parameter tersebut berada pada registry windows yang bisa di reset dengan nilai defaultnya. Simpan file berikut dengan nama apa saja dengan extention file .reg. Kemudian eksekusi file tersebut dengan mengklik 2 kali. Bila ada konfirmasi anda bisa menjawab Yes/Ok. Berikut file registry tersebut:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000000
"SuperHidden"=dword:00000000
"ShowSuperHidden"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot]
"AlternateShell"="Cmd.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot]
"AlternateShell"="Cmd.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"="Cmd.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
[HKEY_CLASSES_ROOT\regfile\shell\open\command]
@="regedit.exe \"%1\""
[HKEY_CLASSES_ROOT\scrfile\shell\open\command]
@="\"%1\" %*"
[HKEY_CLASSES_ROOT\piffile\shell\open\command]
@="\"%1\" %*"
[HKEY_CLASSES_ROOT\comfile\shell\open\command]
@="\"%1\" %*"
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
File registry diatas akan membuka blokir regedit, mencegah virus mencangkokkan dirinya pada sistem, dan reset parameter lain untuk mencegah virus jalan lagi.
3. Setelah proses virus dimatikan dan parameter sistem di reset. Cegah virus aktif kembali dengan menghapus entry virus pada autorun dan startup Windows. Bisa menggunakan tool bawaan windows MSConfig atau mengedit langsung pada registry dengan Regedit. Untuk lebih mudahnya gunakan tools pihak ketiga seperti autoruns dari http://www.sysinternals.com untuk menghapus entry autorun dan startup milik virus tsb. Jangan lupa periksa folder StartUp pada menu Start Menu -> Programs -> Startup dan pastikan tidak ada entry virus tsb.
4. Download antivirus terbaru dan lakukan full scanning pada sistem agar antivirus memeriksa keseluruhan sistem dan menghapus semua virus yang ditemukan. Saya menyarankan avira yang bisa didownload dari http://www.free-av.com karena sifatnya free dan scanner virus yang sama tangguhnya dengan antivirus komersil seperti Symantec atau Kaspersky.
5. Sebelum restart pastikan anda tidak melewatkan virus baik dari proces atau autorun dan startup sistem. Karena bila tidak maka pada saat restart maka sistem akan kembali seperti pada saat terinfeksi virus dan sia-sia semua langkah yang anda lakukan sebelumnya.
6. Setelah restart periksa kembali komputer anda dan perhatikan apakah gejala yang muncul pada saat komputer terinfeksi masih ada atau tidak. Bila ada maka anda terlewat beberpa autorun virus atau reset parameter sistem diatas tidak berhasil. Lakukan langkah diatas dan periksa lebih cermat tiap langkah anda sebelum melakukan restart sistem.
Itulah langkah-langkah penghapusan virus pada sistem Windows XP. Untuk mencegah virus datang kembali sebaiknya anda rajin update antivirus atau memasang aplikasi pencegah seperti WinPooch atau Comodo Firewall yang akan memperingatkan pengguna bila ada program lain yang akan memodifikasi sistem. Jadi walaupun virus tersebut tidak dikenali akan tetapi sebelum masuk maka pengguna akan diperingatkan oleh aplikasi pencegah. Bila anda mengenali program yang hendak mengakses sistem anda maka anda bisa mengijinkan akses tersebut namun bila tidak sebaiknya tolak dan blokir akses tersebut karena ada kemungkinan program tersebut adalah virus.
Berhati-hati pada saat membuka flash disk. Jangan membuka flash disk dengan klik 2 kali. Buka dengan klik kanan lalu pilih menu Open agar fitur autoplay pada flash disk tidak menjalankan virus secara ototmatis. Jangan lupa perhatikan file yang anda buka. Walaupun iconnya sama perhatikan bahwa file yang anda buka buka tipe application atau program. Pastikan file word adalah betul-betul word dan folder betul-betul folder bisa dengan melihat detail atau properties dari file tsb. Semoga artikel ini membantu dan mencegah anda terinfeksi virus komputer.
Source: http://www.thinkrooms.com
Tidak perlu membahas terlalu panjang sejarah kemunculan virus ini, namun buat pengguna yang sudah terkena virus maka sebenarnya langkah pembasmian virus-virus tersebut hampir sama. Biasanya masyarakat umum yang tidak memiliki akses internet di komputernya akan lebih mudah terkena virus karena antivirus yang tidak up to date sehingga antivirus miliknya tidak mengenali virus-virus baru. Ada beberapa cara menghilangkan virus dari komputer anda bila sudah terlanjur terinfeksi virus ini. Teknik-teknik berikut dibahas pada sistem operasi Windows XP karena OS inilah yang paling umum terinfeksi dan paling banyak digunakan. Berikut adalah teknik teknik tersebut:
Menghapus dengan antivirus di komputer lain
Dengan melepaskan hardisk komputer yang telah terinfeksi virus kemudian dipasangkan ke komputer lain yang memilki antivirus yang terbaru atau setidaknya mampu mengenali virus di sistem yang telah terinfeksi. Lakukan full scanning pada hardisk sistem yang terinfeksi dan hapus semua virus yang ditemukan. Setelah selesai hardisk tersebut sudah dapat dipasang kembali dikomputer dan jalankan sistem seperti biasa. Lakukan pemeriksaan kembali apakah komputer masih menunjukkan gejala yang sama saat terkena virus. Cara ini ampuh membersihkan virus sepanjang antivirus di komputer lain tersebut dapat mengenali dan menghapus virus di hardisk yang terinfeksi. Namun virus masih meninggalkan jejak berupa autorun atau startup yang tidak berfungsi. Jejak ini terkadang memunculkan pesan error yang tidak berbahaya namun mungkin sedikit mengganggu.
Menghapus dengan sistem operasi lain
Pada laptop atau komputer yang tidak dapat dilepas harddisknya maka cara lain adalah menjalankan sistem operasi lain yang tidak terinfeksi virus dan melakukan full scan terhadap seluruh harddisk. Biasanya ada beberpa pengguna yang menggunakan dual OS seperti Linux dan Windows atau Windows XP dan Windows Vista dsb. Selain itu bisa juga menggunakan LiveCD atau OS Portable seperti Knoopix dan Windows PE ( Windows yang telah diminimazed dan dapat dibooting dari media penyimpanan portable seperti flash disk atau CD.) lalu lakukan full scanning dengan antivirus terbaru. Efektifnya sama dengan menghapus virus dengan antivirus di komputer lain contoh diatas. Virus terkadang masih meninggalkan jejak tidak berbahaya.
Menghapus secara manual
Bila anda kesulitan melakukan hal diatas masih ada cara lain yaitu dengan cara manual. Langkah-langkah tersebut adalah:
1. Matikan process yang dijalankan oleh virus. Virus yang aktif pasti memiliki process yang berjalan pada sistem. Process ini biasanya memantau aktifitas sistem dan melakukan aksinya bila ada kejadian tertentu yang dikenali virus tersebut. Contohnya pada saat kita memasang flash disk, process virus akan mengenali aksi tersebut dan menginfeksi flash disk dengan virus yang sama. Proses ini harusnya bisa dilihat dari task manager yang bisa diaktifkan dengan tombol Ctrl + Alt + Del namun terkadang virus akan memblokir aksi ini dengan melakukan log off, menutup window Task Manager, atau restart sistem. Cara lain adalah menggunakan tool lain untuk melihat dan mematikan proses virus. Saya biasa menggunakan Process Explorer dari http://www.sysinternals.com/ . Dengan tool ini anda bisa mematikan process yang dianggap virus. Pada saat mematikan proses milik virus perlu diperhatikan terkadang proses milik virus terdiri atas lebih dari 1 proses yang saling memantau. Bila 1 proses dimatikan maka proses tsb akan dihidupkan lagi dengan proses lainnya. Karena itu mematikan process virus harus dengan cepat sebelum proses yang dimatikan dihidupkan lagi oleh proses lainnya. Kenali terlebih dahulu proses yang dianggap virus lalu matikan semuanya dengan cepat. Biasanya virus menyamar menyerupai proses windows tapi tentu ada bedanya seperti IExplorer.exe yang meniru Explorer.exe. Berikut adalah proses windows yang bisa dijadikan referensi proses yang dikategorikan aman:
C:\WINDOWS\system32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\Explorer.exe
Selain process explorer anda bisa menggunakan tools lainnya yang mungkin lebih mudah dan bisa menghapus process sekaligus. Contoh lain adalah HijackFree. Anda bisa mencari di google tools sejenis.
2. Setelah proses mematikan virus berhasil lakukan pengembalian nilai default parameter sistem yang digunakan virus untuk mengaktifkan dirinya dan memblokir usaha menghapus dirinya. Parameter tersebut berada pada registry windows yang bisa di reset dengan nilai defaultnya. Simpan file berikut dengan nama apa saja dengan extention file .reg. Kemudian eksekusi file tersebut dengan mengklik 2 kali. Bila ada konfirmasi anda bisa menjawab Yes/Ok. Berikut file registry tersebut:
Windows Registry Editor Version 5.00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"Hidden"=dword:00000000
"SuperHidden"=dword:00000000
"ShowSuperHidden"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot]
"AlternateShell"="Cmd.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot]
"AlternateShell"="Cmd.exe"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
"AlternateShell"="Cmd.exe"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe"
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
[HKEY_CLASSES_ROOT\regfile\shell\open\command]
@="regedit.exe \"%1\""
[HKEY_CLASSES_ROOT\scrfile\shell\open\command]
@="\"%1\" %*"
[HKEY_CLASSES_ROOT\piffile\shell\open\command]
@="\"%1\" %*"
[HKEY_CLASSES_ROOT\comfile\shell\open\command]
@="\"%1\" %*"
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
File registry diatas akan membuka blokir regedit, mencegah virus mencangkokkan dirinya pada sistem, dan reset parameter lain untuk mencegah virus jalan lagi.
3. Setelah proses virus dimatikan dan parameter sistem di reset. Cegah virus aktif kembali dengan menghapus entry virus pada autorun dan startup Windows. Bisa menggunakan tool bawaan windows MSConfig atau mengedit langsung pada registry dengan Regedit. Untuk lebih mudahnya gunakan tools pihak ketiga seperti autoruns dari http://www.sysinternals.com untuk menghapus entry autorun dan startup milik virus tsb. Jangan lupa periksa folder StartUp pada menu Start Menu -> Programs -> Startup dan pastikan tidak ada entry virus tsb.
4. Download antivirus terbaru dan lakukan full scanning pada sistem agar antivirus memeriksa keseluruhan sistem dan menghapus semua virus yang ditemukan. Saya menyarankan avira yang bisa didownload dari http://www.free-av.com karena sifatnya free dan scanner virus yang sama tangguhnya dengan antivirus komersil seperti Symantec atau Kaspersky.
5. Sebelum restart pastikan anda tidak melewatkan virus baik dari proces atau autorun dan startup sistem. Karena bila tidak maka pada saat restart maka sistem akan kembali seperti pada saat terinfeksi virus dan sia-sia semua langkah yang anda lakukan sebelumnya.
6. Setelah restart periksa kembali komputer anda dan perhatikan apakah gejala yang muncul pada saat komputer terinfeksi masih ada atau tidak. Bila ada maka anda terlewat beberpa autorun virus atau reset parameter sistem diatas tidak berhasil. Lakukan langkah diatas dan periksa lebih cermat tiap langkah anda sebelum melakukan restart sistem.
Itulah langkah-langkah penghapusan virus pada sistem Windows XP. Untuk mencegah virus datang kembali sebaiknya anda rajin update antivirus atau memasang aplikasi pencegah seperti WinPooch atau Comodo Firewall yang akan memperingatkan pengguna bila ada program lain yang akan memodifikasi sistem. Jadi walaupun virus tersebut tidak dikenali akan tetapi sebelum masuk maka pengguna akan diperingatkan oleh aplikasi pencegah. Bila anda mengenali program yang hendak mengakses sistem anda maka anda bisa mengijinkan akses tersebut namun bila tidak sebaiknya tolak dan blokir akses tersebut karena ada kemungkinan program tersebut adalah virus.
Berhati-hati pada saat membuka flash disk. Jangan membuka flash disk dengan klik 2 kali. Buka dengan klik kanan lalu pilih menu Open agar fitur autoplay pada flash disk tidak menjalankan virus secara ototmatis. Jangan lupa perhatikan file yang anda buka. Walaupun iconnya sama perhatikan bahwa file yang anda buka buka tipe application atau program. Pastikan file word adalah betul-betul word dan folder betul-betul folder bisa dengan melihat detail atau properties dari file tsb. Semoga artikel ini membantu dan mencegah anda terinfeksi virus komputer.
Source: http://www.thinkrooms.com
Trojan:W32/VBTroj.NYH (^_^)NITA_WORM was here
Saat ini penyebaran virus mancanegara mulai menggeser keberadaan virus lokal, dimulai dengan kasus virus arp spoofing yang akan memalsukan Mac Address gateway dalam LAN serta dapat melakukan update secara otomatis guna memperbaharui dirinya kemudian dilanjutkan dengan spyware yang menyamarkan sebagai antivirus atau anti spyware seperti Antivirus XP 2008 atau Antivirus XP 2009 serta XP Antispayware dan masih banyak varian lainnya. Lalu terakhir Vaksincom menerima banyak laporan komputer yang mengalami masalah Generic Host Process (GHP) Error yang disinyalir merupakan serangan terhadap port RPC Dcom, Vaksincom mengirimkan artikel “Napak Tilas RPC Dcom” yang dapat anda temukan pada edisi terbaru PC Plus yang akan terbit minggu depan.
Maraknya penyebaran virus mancanegara bukan indikasi menurunnya pembuat virus lokal, karena dalam kenyataannya kuantitas pembuat virus lokal tidak mengalami penurunan dan malahan menurut virus statistik virus yang diterima oleh Vaksincom rata-rata setiap bulan ditemukan 100 virus lokal baru.
Informasi Lengkap : http://vaksin.com/2008/1108/nita_worm/NITA_WORM.html
Maraknya penyebaran virus mancanegara bukan indikasi menurunnya pembuat virus lokal, karena dalam kenyataannya kuantitas pembuat virus lokal tidak mengalami penurunan dan malahan menurut virus statistik virus yang diterima oleh Vaksincom rata-rata setiap bulan ditemukan 100 virus lokal baru.
Informasi Lengkap : http://vaksin.com/2008/1108/nita_worm/NITA_WORM.html
Virus Pengenkripsi Data W32/Agent.EQXC
Rupanya virus lokal di Indonesia mirip dengan dunia fashion dan para pembuat virus ternyata selalu mengikuti trend. Jika pada masa keemasan Rontokbro hampir semua virus mengandung payload memblok Registry Editor (regedit), Task Manager, MS Config dan Command Prompt. Lalu trend bergeser ke virus yang tetap aktif di Safe Mode dan Safe Mode with Command Prompt, bahkan Vaksincom pernah menemuan virus yang mampu memblok akses ke harddisk sekalipun di akses menggunakan Mini PE.
Beberapa virus diketahui mulai memblok akses ke Secpol (Security Policy), tetapi apakah payload yang paling ditakuti pengguna komputer dan ternyata menjadi trend pembuat virus akhir-akhir ini ?
Apakah aksi menghancurkan komputer seperti format atau delete file ? Aksi autoinfect melalui autorun Flash Disk ? Aksi blok fungsi komputer seperti regedit, Task Manager, MS Config, Command Prompt, Secpol (Security Policy) atau blok aplikasi sekuriti dan antivirus ?
Jawabannya cukup mengejutkan, aksi yang paling ditakuti pengguna komputer bukan hal di atas tetapi aksi virus “mengejai” file MS Office komputer korbannya. Hal ini terbukti dari thread di http://forum.vaksin.com dimana pertanyaan yang paling sering muncul dan paling sering di lihat adalah pertanyaan sekitar bagaimana mengembalikan file MS office, terutama MS Word dan beberapa MS Excel yang tidak bisa dibuka lagi karena dirusak oleh virus.
Menurut pengamatan Vaksincom, cukup banyak virus yang “mengerjai” file MS Office seperti virus Tunggul Kawung atau dikenal dengan nama resmi W32/Gultung yang merubah semua file MS Word korbannya menjadi file Ujian Negara Agama. Lalu si notorius Kespo yang mengenkripsi header file .dbf, MS Sql dan MS Office sehingga menjadi tidak bisa dibuka. Pengikut Kespo yang melakukan aksi serupa adalah virus W32/Delf.ZFA atau lebih dikenal dengan nama virus Zulanick selain mengincar file MS Word dan Excel juga mengincar file MP3. Terakhir dan malahan menurut pengamatan Vaksincom sangat mengkhawatirkan adalah virus terbaru yang sedang menyebar di Indonesia dengan metode “Silent Operation” karena tidak aktif sebagai proses Windows dan hanya aktif jika file MS word yang di injeksinya dibuka, ialah W32/Agent.EQXC yang juga mengenkripsi semua file MS Word dan sampai saat ini tidak ada satu vendor antiviruspun yang mampu mendekripsi kembali file korban virus ini dan satu-satunya cara yang dilakukan oleh vendor antivirus adalah menghapus atau mengkarantina file yang di enkripsi tersebut. Apakah benar file-file yang di”permak” oleh virus-virus yang disebutkan di atas benar-benar tidak bisa dikembalikan atau masih ada solusinya ? Penulis tidak ingin memberikan angin surga, meskipun secara teori file yang di enkripsi dapat dikembalikan ke asalnya “jika” kita mengetahui key enkripsi tetapi pada banyak kasus kunci enkripsi tidak berhasil ditemukan dan cara menyelamatkan data harus dilakukan secara manual atau malah tidak bisa diselamatkan.
Virus-virus lokal yang menginjeksi dan mengenkripsi data
Kespo
Kalau Rontokbro merupakan pionir virus lokal Indonesia, maka Kespo virus yang menjadi pionir enkripsi data komputer korbannya. Kespo termasuk dalam jajaran virus elit dan dibuat menggunakan bahasa Delphi. Ia memiliki ciri khas mengenkripsi header file sekaligus menginfeksi file MS Office (MS Word dan Excel) dan database seperti MDF, DBF dan LDF (Visual Foxpro dan MS SQL). Varian awal Kespo berhasil menginfeksi file MS Office tetapi gagal menginfeksi file database. Tetapi celakanya, pembuat Kespo ini belajar dari kesalahannya dan mengeluarkan varian baru yang berhasil mengenkrip dan menginjeksi file-file database sehingga membuat korbannya kelimpungan. Tahap awal Kespo “hanya” berhasil menginjeksi database DBF dan dengan bersusah payah berhasil di recovery dengan teknik recovery DBF, tetapi varian berikutnya yang kembali berhasil menginjeksi file MS SQL tidak memberikan banyak pilihan recovery karena rumitnya struktur MS SQL sendiri sehingga satu-satunya cara untuk mengembalikan database yang terenkripsi adalah dengan input ulang semua data. Secara teori, jika kunci enkripsi Kespo berhasil diketahui, database yang terenkripsi mungkin dapat dikembalikan tetapi metode enkripsi Kespo sampai saat ini tidak diketahui. Karena itu para administrator database harus selalu berhati-hati dan melakukan backup atas databasenya dengan baik dan benar.
Gultung
Gultung / Tunggul Kawung adalah virus yang mempunyai karakteristik seperti Kespo, tetapi aksinya terhadap file MS Word dan Excel lebih ganas dibandingkan Kespo.
Virus ini juga mampu menggunakan rekayasa sosial yang canggih. Seperti apa rekayasa sosial yang digunakan oleh virus ini? Virus ini mempunyai aksi yang lebih jahat dibandingkan Kespo, yakni dengan mengganti / replace dokumen yang terinfeksi untuk kemudian mengganti dengan file virus tersebut plus kode jahatnya. Dengan cara ini kemungkinan kecil dokumen yang sudah terinfeksi dapat diselamatkan. File yang sudah terinfeksi tersebut akan mempunyai icon Folder atau kamera (tergantung dari variannya) dengan ekstensi EXE. Lalu dalam rangka mengelabui korbannya lebih jauh lagi, virus ini juga akan membuat file duplikat lainnya dengan ukuran file yang sama seperti file duplikat yang mempunyai ekstensi EXE tetapi dengan icon MS Word dengan attribut HIDDEN (disembunyikan) dan mempunyai ekstensi DOC dan type file “Microsoft Word Documents”. User yang berhasil mengakses hidden file palsu tersebut beranggapan bahwa file mereka masih ada. Jika file file tersebut dibuka maka akan muncul pesan error seolah-olah file tersebut rusak, jika diteliti lebih jauh ternyata file hidden tersebut TETAP file virus dan jika kita ganti ekstensinya maka icon yang menyertai virus tersebut akan berubah menjadi Folder atau kamera yang jika dijalankan maka akan mengaktifkan virus tersebut.
Zulanick
Terdeteksi oleh Norman dengan nama W32/Delf.ZFA dan dibuat menggunakan Delphi ini ternyata memiliki payload (bom waktu) dimana pada saat yang terlah ditentukan semua file yang ditemuinya akan dipermak dan dirubah menjadi ekstensi.BMP (Bitmap). Kabar baiknya, pembuat virus ini tidak sejahat pembuat virus Kamasutra dan masih menyisakan peluang bagi korbannya untuk mengembalikan data yang telah dirubah itu.
W32/Agent.EQXC
Virus terakhir dalam gerombolan si berat ini dideteksi Norman sebagai W32/Agent.EQXC. Virus lokal yang sedang mengganas ini lagi-lagi memiliki keunikan tersendiri dan Vaksincom memprediksi virus ini akan termasuk virus yang “panjang umur”.
Mengapa ?
Virus ini tidak seperti virus lain yang aktif dalam proses Windows, baik menyaru sebagai proses Windows atau menamakan dirinya mirip dengan nama proses Windows. Pada virus konvensional yang aktif sebagai proses Windows, kunci utama mematikan virus adalah menemukan proses virus dan mematikannya. Jika proses virus sudah dimatikan, maka virus tidak akan aktif lagi dan proses pembersihan virus akan dapat dilakukan dengan mudah. Tetapi Agent.EQXC tidak aktif sebagai proses Windows dan hanya aktif jika file MS Word yang di injeksinya dibuka, dimana ia akan langsung mencari file MS Word lain dan mengenkripsi file tersebut sedemikian rupa sehingga setiap kali file tersebut dibuka, proses virus juga langsung berjalan. Jika anda ingin membasmi virus ini, sama saja dengan menghapus file berharga anda.
Beberapa program antivirus dapat mendeteksi virus ini tetapi yang menjadi masalah adalah karena virus menyatu dengan file MS Word, maka seluruh file MS Word yang telah terinfeksi akan langsung di delete atau di karantina oleh antivirus dan sampai saat ini tidak ada satupun antivirus yang mampu memisahkan file yang terinfeksi dari virus karena rupanya file MS Word asli juga ikut di enkripsi dan key enkripsi tersebut sampai saat ini masih belum berhasil dipecahkan.
Bagaimana cara mengatasi file yang telah dienkripsi
Khusus untuk pembaca Chip, anda dapat menemui tools untuk mengembalikan data-data yang telah dirubah oleh virus Kespo dan Zulanick pada CD / DVD Chip yang dibuat oleh programmer-programmer Indonesia yang perduli dengan korban virus ini seperti Adil Makmur, Ahlul dan Yayat. Untuk virus Tunggul Kawung / Gultung dan Agent.EQXC dengan berat hati Vaksincom menginformasikan bahwa saat ini belum ada tools yang dapat mengembalikan file yang telah dirubah oleh kedua virus ini. Khusus untuk virus Agent.EQXC ada teknik khusus yang dapat menyelamatkan data MS Word anda namun harus dilakukan secara manual. Pertama, nonaktifkan dulu program antivirus anda, jangan scan / bersihkan data MS word yang terinfeksi dengan antivirus karena akan dihapus atau di karantina oleh antivirus. Setelah itu buka file yang terinfeksi lalu safe sebagai format RTF (Rich Text File). Jika anda memiliki ratusan / ribuan file MS Word ...... artinya anda harus olahraga jari membuka dan merename semua file tersebut ecara manual. Ibarat orang positive thinking, masih untung filenya tidak dihancurkan :).
Source information : http://vaksin.com/2008/1108/virus%20enkripsi%20data/Gerombolan%20Si%20Berat%20Pengenkripsi%20Data%20Komputer.htm
Beberapa virus diketahui mulai memblok akses ke Secpol (Security Policy), tetapi apakah payload yang paling ditakuti pengguna komputer dan ternyata menjadi trend pembuat virus akhir-akhir ini ?
Apakah aksi menghancurkan komputer seperti format atau delete file ? Aksi autoinfect melalui autorun Flash Disk ? Aksi blok fungsi komputer seperti regedit, Task Manager, MS Config, Command Prompt, Secpol (Security Policy) atau blok aplikasi sekuriti dan antivirus ?
Jawabannya cukup mengejutkan, aksi yang paling ditakuti pengguna komputer bukan hal di atas tetapi aksi virus “mengejai” file MS Office komputer korbannya. Hal ini terbukti dari thread di http://forum.vaksin.com dimana pertanyaan yang paling sering muncul dan paling sering di lihat adalah pertanyaan sekitar bagaimana mengembalikan file MS office, terutama MS Word dan beberapa MS Excel yang tidak bisa dibuka lagi karena dirusak oleh virus.
Menurut pengamatan Vaksincom, cukup banyak virus yang “mengerjai” file MS Office seperti virus Tunggul Kawung atau dikenal dengan nama resmi W32/Gultung yang merubah semua file MS Word korbannya menjadi file Ujian Negara Agama. Lalu si notorius Kespo yang mengenkripsi header file .dbf, MS Sql dan MS Office sehingga menjadi tidak bisa dibuka. Pengikut Kespo yang melakukan aksi serupa adalah virus W32/Delf.ZFA atau lebih dikenal dengan nama virus Zulanick selain mengincar file MS Word dan Excel juga mengincar file MP3. Terakhir dan malahan menurut pengamatan Vaksincom sangat mengkhawatirkan adalah virus terbaru yang sedang menyebar di Indonesia dengan metode “Silent Operation” karena tidak aktif sebagai proses Windows dan hanya aktif jika file MS word yang di injeksinya dibuka, ialah W32/Agent.EQXC yang juga mengenkripsi semua file MS Word dan sampai saat ini tidak ada satu vendor antiviruspun yang mampu mendekripsi kembali file korban virus ini dan satu-satunya cara yang dilakukan oleh vendor antivirus adalah menghapus atau mengkarantina file yang di enkripsi tersebut. Apakah benar file-file yang di”permak” oleh virus-virus yang disebutkan di atas benar-benar tidak bisa dikembalikan atau masih ada solusinya ? Penulis tidak ingin memberikan angin surga, meskipun secara teori file yang di enkripsi dapat dikembalikan ke asalnya “jika” kita mengetahui key enkripsi tetapi pada banyak kasus kunci enkripsi tidak berhasil ditemukan dan cara menyelamatkan data harus dilakukan secara manual atau malah tidak bisa diselamatkan.
Virus-virus lokal yang menginjeksi dan mengenkripsi data
Kespo
Kalau Rontokbro merupakan pionir virus lokal Indonesia, maka Kespo virus yang menjadi pionir enkripsi data komputer korbannya. Kespo termasuk dalam jajaran virus elit dan dibuat menggunakan bahasa Delphi. Ia memiliki ciri khas mengenkripsi header file sekaligus menginfeksi file MS Office (MS Word dan Excel) dan database seperti MDF, DBF dan LDF (Visual Foxpro dan MS SQL). Varian awal Kespo berhasil menginfeksi file MS Office tetapi gagal menginfeksi file database. Tetapi celakanya, pembuat Kespo ini belajar dari kesalahannya dan mengeluarkan varian baru yang berhasil mengenkrip dan menginjeksi file-file database sehingga membuat korbannya kelimpungan. Tahap awal Kespo “hanya” berhasil menginjeksi database DBF dan dengan bersusah payah berhasil di recovery dengan teknik recovery DBF, tetapi varian berikutnya yang kembali berhasil menginjeksi file MS SQL tidak memberikan banyak pilihan recovery karena rumitnya struktur MS SQL sendiri sehingga satu-satunya cara untuk mengembalikan database yang terenkripsi adalah dengan input ulang semua data. Secara teori, jika kunci enkripsi Kespo berhasil diketahui, database yang terenkripsi mungkin dapat dikembalikan tetapi metode enkripsi Kespo sampai saat ini tidak diketahui. Karena itu para administrator database harus selalu berhati-hati dan melakukan backup atas databasenya dengan baik dan benar.
Gultung
Gultung / Tunggul Kawung adalah virus yang mempunyai karakteristik seperti Kespo, tetapi aksinya terhadap file MS Word dan Excel lebih ganas dibandingkan Kespo.
Virus ini juga mampu menggunakan rekayasa sosial yang canggih. Seperti apa rekayasa sosial yang digunakan oleh virus ini? Virus ini mempunyai aksi yang lebih jahat dibandingkan Kespo, yakni dengan mengganti / replace dokumen yang terinfeksi untuk kemudian mengganti dengan file virus tersebut plus kode jahatnya. Dengan cara ini kemungkinan kecil dokumen yang sudah terinfeksi dapat diselamatkan. File yang sudah terinfeksi tersebut akan mempunyai icon Folder atau kamera (tergantung dari variannya) dengan ekstensi EXE. Lalu dalam rangka mengelabui korbannya lebih jauh lagi, virus ini juga akan membuat file duplikat lainnya dengan ukuran file yang sama seperti file duplikat yang mempunyai ekstensi EXE tetapi dengan icon MS Word dengan attribut HIDDEN (disembunyikan) dan mempunyai ekstensi DOC dan type file “Microsoft Word Documents”. User yang berhasil mengakses hidden file palsu tersebut beranggapan bahwa file mereka masih ada. Jika file file tersebut dibuka maka akan muncul pesan error seolah-olah file tersebut rusak, jika diteliti lebih jauh ternyata file hidden tersebut TETAP file virus dan jika kita ganti ekstensinya maka icon yang menyertai virus tersebut akan berubah menjadi Folder atau kamera yang jika dijalankan maka akan mengaktifkan virus tersebut.
Zulanick
Terdeteksi oleh Norman dengan nama W32/Delf.ZFA dan dibuat menggunakan Delphi ini ternyata memiliki payload (bom waktu) dimana pada saat yang terlah ditentukan semua file yang ditemuinya akan dipermak dan dirubah menjadi ekstensi.BMP (Bitmap). Kabar baiknya, pembuat virus ini tidak sejahat pembuat virus Kamasutra dan masih menyisakan peluang bagi korbannya untuk mengembalikan data yang telah dirubah itu.
W32/Agent.EQXC
Virus terakhir dalam gerombolan si berat ini dideteksi Norman sebagai W32/Agent.EQXC. Virus lokal yang sedang mengganas ini lagi-lagi memiliki keunikan tersendiri dan Vaksincom memprediksi virus ini akan termasuk virus yang “panjang umur”.
Mengapa ?
Virus ini tidak seperti virus lain yang aktif dalam proses Windows, baik menyaru sebagai proses Windows atau menamakan dirinya mirip dengan nama proses Windows. Pada virus konvensional yang aktif sebagai proses Windows, kunci utama mematikan virus adalah menemukan proses virus dan mematikannya. Jika proses virus sudah dimatikan, maka virus tidak akan aktif lagi dan proses pembersihan virus akan dapat dilakukan dengan mudah. Tetapi Agent.EQXC tidak aktif sebagai proses Windows dan hanya aktif jika file MS Word yang di injeksinya dibuka, dimana ia akan langsung mencari file MS Word lain dan mengenkripsi file tersebut sedemikian rupa sehingga setiap kali file tersebut dibuka, proses virus juga langsung berjalan. Jika anda ingin membasmi virus ini, sama saja dengan menghapus file berharga anda.
Beberapa program antivirus dapat mendeteksi virus ini tetapi yang menjadi masalah adalah karena virus menyatu dengan file MS Word, maka seluruh file MS Word yang telah terinfeksi akan langsung di delete atau di karantina oleh antivirus dan sampai saat ini tidak ada satupun antivirus yang mampu memisahkan file yang terinfeksi dari virus karena rupanya file MS Word asli juga ikut di enkripsi dan key enkripsi tersebut sampai saat ini masih belum berhasil dipecahkan.
Bagaimana cara mengatasi file yang telah dienkripsi
Khusus untuk pembaca Chip, anda dapat menemui tools untuk mengembalikan data-data yang telah dirubah oleh virus Kespo dan Zulanick pada CD / DVD Chip yang dibuat oleh programmer-programmer Indonesia yang perduli dengan korban virus ini seperti Adil Makmur, Ahlul dan Yayat. Untuk virus Tunggul Kawung / Gultung dan Agent.EQXC dengan berat hati Vaksincom menginformasikan bahwa saat ini belum ada tools yang dapat mengembalikan file yang telah dirubah oleh kedua virus ini. Khusus untuk virus Agent.EQXC ada teknik khusus yang dapat menyelamatkan data MS Word anda namun harus dilakukan secara manual. Pertama, nonaktifkan dulu program antivirus anda, jangan scan / bersihkan data MS word yang terinfeksi dengan antivirus karena akan dihapus atau di karantina oleh antivirus. Setelah itu buka file yang terinfeksi lalu safe sebagai format RTF (Rich Text File). Jika anda memiliki ratusan / ribuan file MS Word ...... artinya anda harus olahraga jari membuka dan merename semua file tersebut ecara manual. Ibarat orang positive thinking, masih untung filenya tidak dihancurkan :).
Source information : http://vaksin.com/2008/1108/virus%20enkripsi%20data/Gerombolan%20Si%20Berat%20Pengenkripsi%20Data%20Komputer.htm
W32/Sasan.A alias Virus JengKol
Bagaimana menghilangkan bau habis makan Pete ? Seperti anda ketahui, jika makan pete di ibaratkan merokok, maka yang menjadi korban paling parah adalah “perokok pasif” alias yang tidak makan pete tetapi dapat baunya saja. Ada lagi saran yang tidak kalah “maut” nya, kalau mau menghilangkan bau pete...... caranya ?
Makan Jengkol :P. Ini ibarat mengusir pak Ogah pakai jasa preman. Sebenarnya ada cara yang efektif untuk menghilangkan bau pete, benar manjur dan bukan pakai jengkol atau parfum CK. Caranya adalah menkonsumsi tablet vitamin B Kompleks. :) (Trims untuk JSer atas informasinya).
Tetapi vitamin B Kompleks hanya bermanfaat untuk menghadapi masalah yang timbul karena Jengkol / Pete beneran, kalau JeNGKol yang satu ini harus di hilangkan pakai Norman Security Suite.
Setelah sebelumnya digencarkan oleh virus arp spoofing dan virus Anjelina Jolie (Agent.GPKB) dengan dampak yang cukup besar khususnya untuk kalangan corporate.
Sampai saat ini kemunculan virus lokal masih terus berlanjut seperti tak mau surut di makan waktu selama masih ada komputer dan perangkatnya mereka (red.virus marker) tidak akan berhenti berkreasi untuk meluangkan sedikit bahkan banyak waktu untuk membuat program yang bernama virus.
Salah satu hasil kreasi yang ada saat ini adalah virus dengan nama JeNGKol. Untuk mengelabui user JeNGKol akan menggunakan icon Extractor yang di dalamnya terdapat file VBS dengan ukuran 14 KB dengan nama file JeNGKol.vbs
Info selanjutnya dan cara pembasmian virus ini bisa mengikuti source http://vaksin.com/2008/1108/jengkol/jengkol.html
Makan Jengkol :P. Ini ibarat mengusir pak Ogah pakai jasa preman. Sebenarnya ada cara yang efektif untuk menghilangkan bau pete, benar manjur dan bukan pakai jengkol atau parfum CK. Caranya adalah menkonsumsi tablet vitamin B Kompleks. :) (Trims untuk JSer atas informasinya).
Tetapi vitamin B Kompleks hanya bermanfaat untuk menghadapi masalah yang timbul karena Jengkol / Pete beneran, kalau JeNGKol yang satu ini harus di hilangkan pakai Norman Security Suite.
Setelah sebelumnya digencarkan oleh virus arp spoofing dan virus Anjelina Jolie (Agent.GPKB) dengan dampak yang cukup besar khususnya untuk kalangan corporate.
Sampai saat ini kemunculan virus lokal masih terus berlanjut seperti tak mau surut di makan waktu selama masih ada komputer dan perangkatnya mereka (red.virus marker) tidak akan berhenti berkreasi untuk meluangkan sedikit bahkan banyak waktu untuk membuat program yang bernama virus.
Salah satu hasil kreasi yang ada saat ini adalah virus dengan nama JeNGKol. Untuk mengelabui user JeNGKol akan menggunakan icon Extractor yang di dalamnya terdapat file VBS dengan ukuran 14 KB dengan nama file JeNGKol.vbs
Info selanjutnya dan cara pembasmian virus ini bisa mengikuti source http://vaksin.com/2008/1108/jengkol/jengkol.html
Trojan.Brisv.A!inf Removal Tool
This tool is designed to remove the infections of Trojan.Brisv.A!inf.
Important:
* If you are on a network or have a full-time connection to the Internet, such as a DSL or cable modem, disconnect the computer from the network and Internet. Disable or password-protect file sharing, or set the shared files to Read Only, before reconnecting the computers to the network or to the Internet. Because this worm spreads by using shared folders on networked computers, to ensure that the worm does not reinfect the computer after it has been removed, Symantec suggests sharing with Read Only access or by using password protection.
For instructions on how to do this, refer to your Windows documentation, or the document: How to configure shared Windows folders for maximum network protection.
* If you are removing an infection from a network, first make sure that all the shares are disabled or set to Read Only.
* This tool is not designed to run on Novell NetWare servers. To remove this threat from a NetWare server, first make sure that you have the current virus definitions, and then run a full system scan with the Symantec antivirus product.
Download Removal Tool [Here]
Source: www.symantec.com
Important:
* If you are on a network or have a full-time connection to the Internet, such as a DSL or cable modem, disconnect the computer from the network and Internet. Disable or password-protect file sharing, or set the shared files to Read Only, before reconnecting the computers to the network or to the Internet. Because this worm spreads by using shared folders on networked computers, to ensure that the worm does not reinfect the computer after it has been removed, Symantec suggests sharing with Read Only access or by using password protection.
For instructions on how to do this, refer to your Windows documentation, or the document: How to configure shared Windows folders for maximum network protection.
* If you are removing an infection from a network, first make sure that all the shares are disabled or set to Read Only.
* This tool is not designed to run on Novell NetWare servers. To remove this threat from a NetWare server, first make sure that you have the current virus definitions, and then run a full system scan with the Symantec antivirus product.
Download Removal Tool [Here]
Source: www.symantec.com
Anti Virus XP Palsu | Hati-Hati Spyware
Jika anda menanyakan, virus apa yang merajai dunia dan Indonesia pada paruh tahun ke dua 2008. Jangan terkejut jika jawabannya adalah kuda hitam Antivirus Gadungan yang banyak disebut dengan istilah Rogue Scanner, Advance Antivirus atau Scamware. Jika anda bingung apa yang Vaksincom bicarakan, bahasa yang lebih membumi dan membuat pengguna komputer sadar adalah Antivirus XP 2008, Antivirus XP 2009, IE Defender, Internet Antivirus, SpyHeal, SpySheriff yang kalau diteruskan daftarnya akan cukup membuat pegal baik mengetik maupun membacanya. (lihat contoh Antivirus XP di gambar 1).
Jumlah Antivirus Gadungan saat ini yang terdeteksi adalah 304 antivirus gadungan. Data yang dikumpulkan statistik virus Vaksincom didukung data statistik Norman Network Protector (NNP) yang di instal di beberapa ISP mengkonfirmasikan hal ini. Dapat dipastikan ribuan komputer di Indonesia yang terkoneksi ke internet terinfeksi virus ini dan celakanya virus ini memiliki genetik Spyware dan memiliki kemampuan mengupdate dirinya sendiri, sehingga untuk membersihkannya membutuhkan perjuangan berat dan beberapa user yang kesal memilih jurus Pasopati (format :P).
Antivirus Gadungan ini memiliki banyak cara menyebarkan dirinya, menurut pengamatan Vaksincom metode ini selalu diperbaharui setiap kali ditemukan cara efektif mengatasinya.
Untuk menanggulanginya ikuti url berikut http://vaksin.com/2008/1008/AntivirusXP/antivirusxp.html
Source: www.vaksin.com
Jumlah Antivirus Gadungan saat ini yang terdeteksi adalah 304 antivirus gadungan. Data yang dikumpulkan statistik virus Vaksincom didukung data statistik Norman Network Protector (NNP) yang di instal di beberapa ISP mengkonfirmasikan hal ini. Dapat dipastikan ribuan komputer di Indonesia yang terkoneksi ke internet terinfeksi virus ini dan celakanya virus ini memiliki genetik Spyware dan memiliki kemampuan mengupdate dirinya sendiri, sehingga untuk membersihkannya membutuhkan perjuangan berat dan beberapa user yang kesal memilih jurus Pasopati (format :P).
Antivirus Gadungan ini memiliki banyak cara menyebarkan dirinya, menurut pengamatan Vaksincom metode ini selalu diperbaharui setiap kali ditemukan cara efektif mengatasinya.
Untuk menanggulanginya ikuti url berikut http://vaksin.com/2008/1008/AntivirusXP/antivirusxp.html
Source: www.vaksin.com
Virus ARP Spoofing
Masih ingatkah anda pada artikel virus “Agent.FUVR” atau yang biasa dikenal sebagai virus “arp spoofing”, dimana virus ini mampu menggemparkan kalangan pengguna internet Indonesia. Bukan hanya pengguna komputer biasa yang menjadi korban, tetapi justru sangat merepotkan bagi pengguna korporat/jaringan yang tidak memiliki team yang memiliki pengalaman perlindungan antivirus korporat.
Melengkapi aksi Antivirus Palsu / Rogue Antivirus XP 2008 dan gerombolannya, antivirus/antispyware palsu kian marak, maka virus “arp spoofing” part II ini tidak mau kalah dan ikut menjalankan aksinya. Dan kali ini dengan kemampuan yang lebih baik dari ARP terdahulu, ibaratnya Son Go Ku (Dragon Ball) sudah mencapai level 3 (Super Sanya :P). ARP Spoofing bagian dua ini memiliki ciri khas dimana file penyebarannya memiliki nama Gameeeeeee.vbs dan Gameeeeeee.pif (dua-duanya bernama game dengan jumlah huruf "e" 7 buah).
Untuk virus dengan tahap level pertama tentu-nya anda sudah familiar dengan nama “Agent.FUVR”, virus yang menggunakan nama MicroSoft (MicroSoft.bat, MicroSoft.vbs dan MicroSoft.pif) sebagai file virus yang berlokasi pada root drive C:\, dengan menggunakan file ThunderAdvise.dll (lokasi pada C:\WINDOWS\Downloaded Program Files) sebagai media update melalui internet & Jview.dll (lokasi pada C:\WINDOWS\AppPatch) sebagai media penyebaran melalui jaringan (anda dapat melihat artikel virus ini pada http://vaksin.com/2008/0608/microsoft/microsoft.html).
Kemudian pada tahap level kedua, virus ini menggunakan file virus wmsetup.dll dan QQ_Update.cab yang berlokasi pada C:\WINDOWS\Temp, dengan menggunakan file ThunderAdvise.dll (lokasi pada C:\WINDOWS\Downloaded Program Files) sebagai media update melalui internet & DesktopWin.dll (lokasi pada C:\WINDOWS\AppPatch) sebagai media penyebaran melalui jaringan.
Selanjutnya, yang saat ini makin marak menyebar pada pengguna internet sudah memasuki tahap level 3, dengan menggunakan file virus Gameeeeeee.vbs & Gameeeeeee.pif yang berlokasi pada C:\Documents and Settings\%user%\Local Settings\Temporary Internet Files, dan file system.exe (lokasi pada C:\WINDOWS\system32) serta file HBKernel32.sys (lokasi pada C:\WINDOWS/system32/drivers). Selain itu masih menggunakan file ThunderAdvise.dll (lokasi pada C:\WINDOWS\Downloaded Program Files) sebagai media update melalui internet & Update.dll (lokasi pada C:\WINDOWS) sebagai media penyebaran melalui jaringan.
Source: http://vaksin.com/2008/1108/arp%20spoofing2/arp%20spoofing2.html
Melengkapi aksi Antivirus Palsu / Rogue Antivirus XP 2008 dan gerombolannya, antivirus/antispyware palsu kian marak, maka virus “arp spoofing” part II ini tidak mau kalah dan ikut menjalankan aksinya. Dan kali ini dengan kemampuan yang lebih baik dari ARP terdahulu, ibaratnya Son Go Ku (Dragon Ball) sudah mencapai level 3 (Super Sanya :P). ARP Spoofing bagian dua ini memiliki ciri khas dimana file penyebarannya memiliki nama Gameeeeeee.vbs dan Gameeeeeee.pif (dua-duanya bernama game dengan jumlah huruf "e" 7 buah).
Untuk virus dengan tahap level pertama tentu-nya anda sudah familiar dengan nama “Agent.FUVR”, virus yang menggunakan nama MicroSoft (MicroSoft.bat, MicroSoft.vbs dan MicroSoft.pif) sebagai file virus yang berlokasi pada root drive C:\, dengan menggunakan file ThunderAdvise.dll (lokasi pada C:\WINDOWS\Downloaded Program Files) sebagai media update melalui internet & Jview.dll (lokasi pada C:\WINDOWS\AppPatch) sebagai media penyebaran melalui jaringan (anda dapat melihat artikel virus ini pada http://vaksin.com/2008/0608/microsoft/microsoft.html).
Kemudian pada tahap level kedua, virus ini menggunakan file virus wmsetup.dll dan QQ_Update.cab yang berlokasi pada C:\WINDOWS\Temp, dengan menggunakan file ThunderAdvise.dll (lokasi pada C:\WINDOWS\Downloaded Program Files) sebagai media update melalui internet & DesktopWin.dll (lokasi pada C:\WINDOWS\AppPatch) sebagai media penyebaran melalui jaringan.
Selanjutnya, yang saat ini makin marak menyebar pada pengguna internet sudah memasuki tahap level 3, dengan menggunakan file virus Gameeeeeee.vbs & Gameeeeeee.pif yang berlokasi pada C:\Documents and Settings\%user%\Local Settings\Temporary Internet Files, dan file system.exe (lokasi pada C:\WINDOWS\system32) serta file HBKernel32.sys (lokasi pada C:\WINDOWS/system32/drivers). Selain itu masih menggunakan file ThunderAdvise.dll (lokasi pada C:\WINDOWS\Downloaded Program Files) sebagai media update melalui internet & Update.dll (lokasi pada C:\WINDOWS) sebagai media penyebaran melalui jaringan.
Source: http://vaksin.com/2008/1108/arp%20spoofing2/arp%20spoofing2.html
Fujack, Viking Virus
Viking adalah sosok virus mancanegara yang sangat ditakuti administrator jaringan karena sekali berhasil menginfeksi satu komputer dalam jaringan akan langsung menyebar dan melumpuhkan seluruh komputer yang terhubung ke intranet, bahkan dalam banyak kasus mampu menembus pertahanan komputer dengan antivirus yang terupdate sekalipun karena kemampuannya polymorphic di dukung oleh kemampuan mengupdate dirinya melalui internet dengan sangat cepat sehingga dapat mengelabui antivirus yang telah mendeteksinya. Ditambah dengan ciri khas infeksinya dengan menginjeksi file executable dan mengeksploitasi celah keamanan IPC $ dalam rangka menyebarkan dirinya ke komputer lain di jaringan membuatnya tidak tertahankan sekali berhasil menginfeksi satu saja komputer di jaringan, dalam waktu singkat seluruh komputer di jaringan akan berhasil dikuasainya. Apakah ini sudah cukup ? Ada satu metode infeksi yang belum dimiliki Viking, penyebaran via external drive yang marak digunakan oleh virus Indonesia sehingga secara tidak langsung penyebaran Viking kurang efektif pada komputer-komputer yang tidak terhubung ke intranet / internet. Tetapi pembuat virus juga manusia, mereka belajar dari pengalaman masa lalu sehingga ia mengeluarkan virus baru dengan kemampuan tambahan menyebar melalui external drive (UFD (USB Flash Drive), External HDD, Memory Card dan lainnya)). Ibarat kata Gita Gutawa, inilah salah satu virus yang masuk kategori Sempurna.
Virus yang dikenal dengan nama W32/Fujack ini karena “bibitnya” adalah pembuat Viking, maka virus ini tidak kalah sakti dengan Viking. Dengan beberapa kesamaan seperti kemampuan polymorphic dan update diri ke internet, eksploitasi celah keamanan dan kemampuan penyebaran di jaringan yang sangat efektif. Bedanya, Fujack tidak mengeksploitasi celah keamanan IPC $ (kemungkinan karena IPC $ ini sangat efektif jika korbannya adalah Windows 2000 dan penggunanya sekarang makin berkurang), sebagai “gantinya” virus baru ini dibekali dengan kemampuan melakukan dictionary attack pada account administrator dan folder yang di password dimana hampir dapat dipastikan default password setting windows dan password lemah akan dapat ditembus oleh virus ini. Selain itu, apakah karena di “ilhami” oleh virus lokal buatan Indonesia, virus baru dengan nama Fujack ini juga memiliki kemampuan penyebaran melalui External Disk dan hebatnya ia akan menambahkan Autorun.inf pada external drive yang akan menjalankan virus yang dikopikan pada drive tersebut.
Source: http://vaksin.com/2008/1108/fujack/fujack.htm
Virus yang dikenal dengan nama W32/Fujack ini karena “bibitnya” adalah pembuat Viking, maka virus ini tidak kalah sakti dengan Viking. Dengan beberapa kesamaan seperti kemampuan polymorphic dan update diri ke internet, eksploitasi celah keamanan dan kemampuan penyebaran di jaringan yang sangat efektif. Bedanya, Fujack tidak mengeksploitasi celah keamanan IPC $ (kemungkinan karena IPC $ ini sangat efektif jika korbannya adalah Windows 2000 dan penggunanya sekarang makin berkurang), sebagai “gantinya” virus baru ini dibekali dengan kemampuan melakukan dictionary attack pada account administrator dan folder yang di password dimana hampir dapat dipastikan default password setting windows dan password lemah akan dapat ditembus oleh virus ini. Selain itu, apakah karena di “ilhami” oleh virus lokal buatan Indonesia, virus baru dengan nama Fujack ini juga memiliki kemampuan penyebaran melalui External Disk dan hebatnya ia akan menambahkan Autorun.inf pada external drive yang akan menjalankan virus yang dikopikan pada drive tersebut.
Source: http://vaksin.com/2008/1108/fujack/fujack.htm
Subscribe to:
Posts (Atom)