Selasa, Juli 28, 2009 | 
Diposting oleh
Romario
TOP 10 VIRUS, MARET 2009
Tiga peringkat teratas kali ini, ditempati oleh virus import, berturut-turut adalah Conficker, Recycler, dan Autoit. Conficker yang berada di urutan pertama memang memiliki kemampuan menyebar yang luar biasa, dan sampai saat ini ia masih terus bergerak untuk menginfeksi setiap komputer di seluruh dunia, termasMenghapus Format dari bidang pilihanuk Indonesia. Daftar lengkapnya sebagai berikut:
1. Conficker/Downup/Downandup/Kido
Conficker (juga disebut Downup, Downandup dan Kido) adalah worm yang muncul pada Oktober 2008. Conficker menyerang Windows dan paling banyak ditemui dalam Windows XP. Microsoft merilis patch untuk menghentikan worm ini pada tanggal 15 Oktober 2008. Heinz Heise memperkirakan Conficker telah menginfeksi 2.5 juta PC pada 15 Januari 2009, sementara The Guardian memperkirakan 3.5 juta PC terinfeksi. Pada 16 Januari 2009, worm ini telah menginfeksi hampir 9 juta PC, menjadikannya salah satu infeksi yang paling cepat menyebar dalam waktu singkat.Virus luar berteknologi canggih ini memang menyebar luar biasa. Bentuknya yang merupakan file DLL (Dynamic Link Library) membedakannya dengan kebanyakan virus lain yang berupa EXE. Kemampuan yang dimilikinya juga bisa disetarakan dengan rootkit. Serta, sifatnya ber-polymorphic membuatnya memiliki tubuh yang berubah-ubah. Pada komputer terinfeksi, user tidak akan dapat membuka situs yang “berbau” antivirius atau Microsoft update. Virus ini juga aktif menyebar di Indonesia dengan menggunakan media removable disk misalkan flash disk. Pada flash disk terinfeksi, Anda akan menemukan file autorun.inf dan direktori RECYCLER yang di dalamnya terdapat sub-direktori dengan nama misalkan S-5-3-42-2819952290-8240758988-879315005-3665, dan pada direktori inilah terdapat file virus Conficker dengan nama biasanya jwgkvsq.vmx yang sebenarnya adalah file DLL.
2. Recycle Varian
Yang menjadi ciri khas dari virus ini adalah teknik bagaimana ia menyebar. Yakni “ngumpet” dalam direktori Recycler/Recycler/Recycle Bin. Contohnya disaat
virus ini menyerang flash disk. Di flash disk korban akan terdapat
folder dengan nama Recycler yang di dalamnya terdapat folder yang
menggunakan nama alpha numeric contohnya
“S-1-5-21-1482476501-1644491937-682003330-1013″ dengan icon mirip
dengan icon Recycle Bin. Jika folder ini di-klik atau diakses dari
Explorer, file virus tidak akan nampak. Untuk melihatnya, Anda bisa
masuk ke command prompt dengan perintah “dir /a”. Ia juga diketahui menerapkan teknik code injection agar kode virus bisa “nyangkut” pada explorer.exe. Ini dilakukannya untuk mempersulit user maupun program antivirus sekalipun untuk membunuhnya.
3. Autoit varian
Hampir kebanyakan varian dari virus import berbasis script ini menggunakan icon mirip seperti folder. Virus ini memiliki kemampuan untuk melakukan auto update ke beberapa situs. Ia juga dapat memanfaatkan Yahoo! Messenger sebagai media perantara penyebarannya dengan mengirimkan pesan berisi link ke setiap contact person yang ada di Y!M korban. Jadi berhati - hatilah jika mendapat link download berbahasa asing.
4. Yuyun .vbs
Virus yang diciptakan menggunakan Visual Basic Script ini berukuran sekitar 9KB. Pada komputer terinfeksi ia akan membuat banyak sekali file duplikat di setiap folder yang ia temukan dengan nama file autorun.inf, Thumb.db, dalam kondisi ber-attribut hidden, dan sebuah shortcut dengan nama Microsoft. Jika shortcut tersebut diakses, dia memang akan menuju ke suatu folder, tapi dibalik itu virus tersebut juga akan aktif. File Thumb.db disini juga bukan merupakan file milik Windows, tapi melainkan file script virus. Pada komputer terinfeksi juga akan ditemukan sebuah file pesan virus pada direktori Temp user. Di direktori ini juga akan ditemukan file lain yakni script virus yang sudah dalam kondisi ter-decrypt. Karena perlu Anda ketahui bahwa virus ini memang hadir dalam kondisi ter-enkripsi. Selengkapnya virus ini melakukan:
1. menjalankan script virus dengan autorun.inf , yang kemudian akan menjalankannya secara otomatis waktu windows start up,dengan menulis string run di registry windows.
2. meng-copy autorun.inf hampir kesemua nama folder yang ada dengan tujuan eksekusi langsung.
3. Membuat shortcut dengan nama folder yang ada, ditambah nama microsoft dan new harry potter and… yang kesemuanya menuju ke wscript.exe untuk eksekusi file script.
4. Membuat system folder di desktop dengan nama yuyun_cantix yang bila diclick kanan hanya ada pilihan buat shortcut,dan tidak ada pilihan hapus.
5. PisangBakar
Icon yang digunakan virus ini mirip dengan aplikasi WinAmp atau file mp3. Ia dibuat menggunakan Visual Basic dengan ukuran tubuh sekitar 182KB, di-pack menggunakan UPX. Saat menginfeksi komputer, ia akan mencari file .MP3 untuk kemudian dibuat duplikatnya dengan menyerupai nama yang sama, namun dengan extension .EXE. Begitu pula saat menginfeksi flash disk, ia akan membuat sebuah folder baru dengan nama “Lagu baru” yang di dalamnya berisi file “Marley-Bird Of Paradise.Exe”. Pada root drive C: akan ditemukan file “Info Pisang Bakar.Txt” yang berisi pesan dari si pembuat virus, selain itu ada juga file “Pisang Bara.Exe”.
Cara menghilangkan virus ini adalah:
Buka program notepad:
Trus ketik tulisan ini
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON] "logws"="Using our release indicates"
Save-as, di bag "save as type" ganti ke all file, "file name" ganti dgn "pbakar.reg"
Nah, tugas kamu cuma merging file pbakar.reg. (klik kanan di filenya trus klik merge), kalo gak bisa, yah cari program registry editor yang lain trus import file pbakar.reg tadi.
Kalo udah berhasil, virusnya mati sendiri, tinggal hapus secara manual saja.
N.b: pbakar.reg sebaiknya di merging ke komputer yang pernah terkena virus pisang bakar, karena mungkin saja virusnya nyisip sama lagu-lagu yang sudah di-copy ke CD.
YANG PASTI KALO SUDAH MERGING PBAKAR.REG TADI, PISANG BAKAR SUDAH GAK MUNGKIN NONGOL DI SYSTEM. WALAU DENGAN SENGAJA DIBUKA.
6. Vires Varian/Latifah
Vires atau dikenal juga dengan nama Latifah,dibuat menggunakan visual basic, di-pack menggunakan UPX. Virus ini menyerupai icon seperti layaknya dokumen Microsoft Word. Pada komputer terinfeksi akan ada file C:\L@tif@h.html yang berisi pesan dari pembuat virus.
Berikut ini sepak terjang virus Vires/Latifah:
* Menginfeksi System
Seperti halnya yang dilakukan oleh virus virus lain, secara garis besar yang dilakukan oleh ires kali pertama adalah menyerang operating system tersebut. Pertama, dengan cara menginfeksi system Windows dengan menempatkan file induk pada direktori yang telah ditentukannya. Dan kedua menginfeksi atau memanipulasi registry Windows agar sesuai dengan keinginannya ataupun agar irus tersebut dapat selalu aktif otomatis pada saat kita memulai Windows. Kedua sektor tersebut merupakan yang sangat krusial di Windows.
Lebih jelasnya, Vires menciptakan beberapa file induk pada “\%windows%\desktop.com,”\%system32%\check.exe”, dan pada “\Documents and Settings\%username%\Start Menu\Programs\Startup\Scan.pif”. Setelah file-file induk tersebut berhasil ditanamkan, ia kemudian menginfeksi registry dengan membuat beberapa perubahan, terutama dalam hal program-program mana saja yang dijalankan pada saat startup. Yakni, ia menciptakan sebuah item baru pada registry di section HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ dengan nama item “Desktop”, lalu nilai dari item ini diarahkan ke file induk virus yang telah ia buat tadi pada “\%windows%\desktop.com”.
Namun, tidak hanya satu, ia juga membuat item untuk startup lagi pada registry di section HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ dengan nama item “Check” yang juga diarahkan kepada file induk virus yang terletak pada “\%system32\check.exe”. Sekarang, dengan melakukan penambahan atau perubahan-perubahan tersebut, virus tersebut kini dapat aktif otomatis setiap memulai Windows.
Namun, tidak sampai di situ saja. Seperti kewajiban yang dilakukan oleh irus lainnya juga, ia mencoba untuk mempertahankan kelangsungan hidupnya. Yakni, salah satunya adalah dengan menghilangkan menu Folder Options, dan mengaturnya agar tidak menampilkan file dengan attribut hidden serta tidak menampilkan extension dari file. Ini dilakukannya untuk mempersulit dan mengecoh user, agar mengira bahwa irus tersebut adalah merupakan dokumen word-nya. Karena memang agak sulit bagi orang awam untuk membedakan mana file dokumen asli dan mana yang memang virus.
Lalu, juga dengan mengubah registry Windows, beberapa tools internal Windows berhasil diblokir olehnya. Di antaranya kita tidak dapat menjalankan Registry Editor, Task Manager, dan Find.
* Penyebaran Virus
Dalam segi penyebaran, Vires masih mempercayakan pada storage media seperti misalnya melalui disket atau flash disk. Caranya, ia akan mencari tahu drive apa saja yang terdapat pada komputer itu, lalu memeriksa apakah drive tersebut sudah siap untuk diinfeksi, artinya misalnya drive yang akan diifensi adalah berupa floppy drie, ia akan memeriksa terlebih dahulu apakah pada floppy driver tersebut sudah terdapat disket di dalamnya. Jika ya, maka Vires langsung membuat duplikat dengan nama “New Microsoft Document.exe”.
Lalu tugas selanjutnya adalah mencari ke seluruh direktori yang terdapat di drie tersebut. Apabila ditemukan file dokumen dari Microsoft Word, yakni file dengan ekstensi *.doc, ia akan menyembunyikan file asli tersebut dengan memberikan attribut hidden, lalu membuat file duplikat dari Vires dengan nama yang sama dengan file dokumen aslinya.
Jadi apabila mengklik sebuah file irus yang menyamar sebagai dokumen yang Anda miliki, yang akan dilakukan oleh Vires adalah membuka dokumen aslinya yang telah ia sembunyikan tadi, jadi seolah-olah memang tidak terjadi apa-apa pada komputer Anda, padahal dengan begitu Vires akan terus menerus aktif dan siap menyebarkan diri lagi. Dan karena ukuran tubuhnya yang kecil, proses penyebarluasan virus ini terbilang sangat cepat. Pada saat dilakukan pengujian, dalam waktu sedikit saja ia dapat meng-hidden-kan seluruh dokumen Microsoft Word asli dan menggantikannya dengan tubuhnya sendiri. Inilah salah satu keuntungan untuk sang virus.
* Aksi dan Ciri
Vires ini juga akan selalu senantiasa memeriksa program-program apa saja yang sedang aktif di memory. Apabila terdapat process dengan nama file “regedit.exe”, “taskmgr.exe”, ataupun “msconfig.exe”, ia akan segera mematikan process tersebut. Tentu saja, karena ia tak ingin dirinya dihapus oleh sang user.
Walau Vires tidak melakukan tindak pengrusakan atau menghilangkan data asli Anda, namun biar bagaimanapun, kehadirannya telah mengganggu dan tentu saja akan memperlambat kerja komputer. Tak lupa Vires juga akan membuat sebuah file HTML pada root drive dari system Windows Anda yang biasanya terdapat di “C:\L@tif@h.html” yang berisi pesan dari pembuat virus.
* Pembasmian dan Pencegahan
Berikut ini cara membasmi virus ini secara manual:
Virus ini hanya seperti virus umum yg menghide document word kemudian menggandakan diri menggunakan nama yg sama dgn document yg di hide.
Langsung saja, booting kembali ke dalam safe mode(jangan lupa pencet F8 waktu booting)..
Cari file superhidden bernama check.exe di C:\Windows\System32 menggunakan total comander biar gampang,lalu hapus.
Kemudian cari juga file direct.com di directory yg sama,hapus juga. kemudian cari lagi file dekstop.exe, hapus lagi.
Masalah belum selesai, cari semua file yg terinfeksi, hapus file yg digandakan dgn extensi exe, kemudian kembalikan file yg semula yang telah di superhiden dgn mengganti atribute nya.
Ganti atributenya pake total commander pada tab file–>change attribute,kemudian buang cek list hidden dan system. klik ok dan masalah selesai.
Pencegahan: update antivirus anda setiap hari!!!
7. WSar .D
Seperti varian sebelumnya, ia masih dibuat menggunakan VB. Varian ini memiliki ukuran sekitar 108KB, murni tanpa di-pack. Karena icon yang digunakan adalah icon mirip folder, saat beraksi, ia akan mencari folder pada setiap drive yang ada di komputer korban, dan membuat duplikat dirinya dengan nama sama seperti folder asli.
8. Labunreke
Virus lokal yang satu ini akan menyembunyikan file dokumen Microsoft Word, file MP3, JPG, dan 3GP milik Anda. Selain itu pada komputer korban, ia akan mencoba membuat beberapa user account baru seperti kacian, bundrekev, dan la_kalasi. Pada saat startup juga akan menampilkan pesan seperti “Selamat, PC Anda sedang terinfeksi. Data-data loe semuanya aman koq, tapi gue sembunyiin…. ^_^“. Dan masih ada beberapa hal jail lainnya. So, hati-hati jika menemukan file executable yang mirip WinAmp atau file MP3 dengan ukuran sekitar 421KB.
9. Malingsi Varian
Virus bertubuh gemuk dengan ukuran besar, contoh pada salah satu varian memiliki ukuran 705.312 bytes. Ia dibuat menggunakan Visual Basic yang di-pack menggunakan PECompact. Sepertinya virus ini ditujukan untuk menyerang virus lain, ini terlihat dari pesan yang ada di tubuhnya. Virus ini berkembang biak dan menyebar menggunakan perantara mIRC, yang bertindak sebagai Bot.
10. FreeMine
Virus lokal ini dibuat menggunakan Visual Basic dengan ukuran file sekitar 68KB tanpa di-pack. Ciri virus ini, iconnya menyerupai Microsoft Word. Saat aktif di memory, ia akan mempertahankan kelangsungan hidupnya dengan men-terminate setiap aplikasi yang ada dalam daftar black-list di tubuhnya, seperti contohnya Process Explorer. Ia juga dapat menyebar melalui media removable disk, dan pada removable disk terinfeksi akan terdapat file autorun.inf dan Free_Mine.exe.
Sedikit prolog ttg virus LoLOxz/Free Mine
Melakukan perubahan terhadap beberapa registrasi windows
dengan meng "Hide Ekstensi file", Hide protected operating system
- Shell : explorer.exe C:\WINDOWS\system32\LoLOxz\smss.exe
- Userinit : userinit; C:\WINDOWS\system32\LoLOxz\smss.exe
- system : C:\WINDOWS\system32\LoLOxz\smss.exe.
Virus ini juga mengcopy dirinya ke setiap drive
lengkap satu paket dengan autorun.inf dan file free mine.exe.
Jika virus ini aktif dia akan menutup semua komunikasi jaringan pada komputer
korban.
Alias tidak ada koneksi sama sekali/dipenjara.
Kalau di scan pake product lokal (contoh: PCMAV) hanya disebut sebagai:
"virus suspected, tapi tidak dapat di clean,
juga tidak dapat di cure.
Memformat ulang drive/flasdisk tidak menyelesaikan masalah,
karena virus masih ada di system.
Karena ini tergolong virus baru,
jadi harus mengerjakannya secara manual dulu,
sampai anti virusnya keluar.
Cara manual :
1. Pastikan System restore off
caranya: Start - Klik kanan My Computer- Properties - System Restore -turn off
System restore.
2. Booting safe mode.
Caranya: Restart komputer tekan F8 unutk masuk ke safe mode
3. Start menu - Run - ketik “C:\Windows\system32\LoLOxz\”
4. Klik Tools - Folder option - Show hidden files and folders,
Lalu....."uncheck" di Hide extensions for known files types.
dan "uncheck" jaga di Hide protected operating system files.
5. Klik OK.
6. Akan terlihat 2 file, 1 file dengan ext dll, 1 file smss.exe (iconnya word).
Delete kedua file tersebut, lalu . . .
bersihkan juga lainnya : Free_Mine.exe, autorun.inf
Jangan lupa untuk membersihkan flash disk
yg terinfeksi dengan cara yang sama!
untuk mematikan system restore :
Untuk memperbaiki file2 yang terlanjur rusak:
Dapat menggunakan software : GAV,
pake program ini untuk scan flash disk aja,
karena scanningnya lama banget,
scan complete komputer butuh waktu berjam-jam
kalau file-nya tidak bisa kehapus bisa pakai Unlocker
UNTUK LIHAT ARTIKEL BESERTA GAMBARNYA....LIHAT...DI SUMBERNYA...
SUMBERNYA....:http://melianationo.blogspot.com/2009/04/top-10-virus-maret-2009.html
Tiga peringkat teratas kali ini, ditempati oleh virus import, berturut-turut adalah Conficker, Recycler, dan Autoit. Conficker yang berada di urutan pertama memang memiliki kemampuan menyebar yang luar biasa, dan sampai saat ini ia masih terus bergerak untuk menginfeksi setiap komputer di seluruh dunia, termasMenghapus Format dari bidang pilihanuk Indonesia. Daftar lengkapnya sebagai berikut:
1. Conficker/Downup/Downandup/Kido
Conficker (juga disebut Downup, Downandup dan Kido) adalah worm yang muncul pada Oktober 2008. Conficker menyerang Windows dan paling banyak ditemui dalam Windows XP. Microsoft merilis patch untuk menghentikan worm ini pada tanggal 15 Oktober 2008. Heinz Heise memperkirakan Conficker telah menginfeksi 2.5 juta PC pada 15 Januari 2009, sementara The Guardian memperkirakan 3.5 juta PC terinfeksi. Pada 16 Januari 2009, worm ini telah menginfeksi hampir 9 juta PC, menjadikannya salah satu infeksi yang paling cepat menyebar dalam waktu singkat.Virus luar berteknologi canggih ini memang menyebar luar biasa. Bentuknya yang merupakan file DLL (Dynamic Link Library) membedakannya dengan kebanyakan virus lain yang berupa EXE. Kemampuan yang dimilikinya juga bisa disetarakan dengan rootkit. Serta, sifatnya ber-polymorphic membuatnya memiliki tubuh yang berubah-ubah. Pada komputer terinfeksi, user tidak akan dapat membuka situs yang “berbau” antivirius atau Microsoft update. Virus ini juga aktif menyebar di Indonesia dengan menggunakan media removable disk misalkan flash disk. Pada flash disk terinfeksi, Anda akan menemukan file autorun.inf dan direktori RECYCLER yang di dalamnya terdapat sub-direktori dengan nama misalkan S-5-3-42-2819952290-8240758988-879315005-3665, dan pada direktori inilah terdapat file virus Conficker dengan nama biasanya jwgkvsq.vmx yang sebenarnya adalah file DLL.
2. Recycle Varian
Yang menjadi ciri khas dari virus ini adalah teknik bagaimana ia menyebar. Yakni “ngumpet” dalam direktori Recycler/Recycler/Recycle Bin. Contohnya disaat
virus ini menyerang flash disk. Di flash disk korban akan terdapat
folder dengan nama Recycler yang di dalamnya terdapat folder yang
menggunakan nama alpha numeric contohnya
“S-1-5-21-1482476501-1644491937-682003330-1013″ dengan icon mirip
dengan icon Recycle Bin. Jika folder ini di-klik atau diakses dari
Explorer, file virus tidak akan nampak. Untuk melihatnya, Anda bisa
masuk ke command prompt dengan perintah “dir /a”. Ia juga diketahui menerapkan teknik code injection agar kode virus bisa “nyangkut” pada explorer.exe. Ini dilakukannya untuk mempersulit user maupun program antivirus sekalipun untuk membunuhnya.
3. Autoit varian
Hampir kebanyakan varian dari virus import berbasis script ini menggunakan icon mirip seperti folder. Virus ini memiliki kemampuan untuk melakukan auto update ke beberapa situs. Ia juga dapat memanfaatkan Yahoo! Messenger sebagai media perantara penyebarannya dengan mengirimkan pesan berisi link ke setiap contact person yang ada di Y!M korban. Jadi berhati - hatilah jika mendapat link download berbahasa asing.
4. Yuyun .vbs
Virus yang diciptakan menggunakan Visual Basic Script ini berukuran sekitar 9KB. Pada komputer terinfeksi ia akan membuat banyak sekali file duplikat di setiap folder yang ia temukan dengan nama file autorun.inf, Thumb.db, dalam kondisi ber-attribut hidden, dan sebuah shortcut dengan nama Microsoft. Jika shortcut tersebut diakses, dia memang akan menuju ke suatu folder, tapi dibalik itu virus tersebut juga akan aktif. File Thumb.db disini juga bukan merupakan file milik Windows, tapi melainkan file script virus. Pada komputer terinfeksi juga akan ditemukan sebuah file pesan virus pada direktori Temp user. Di direktori ini juga akan ditemukan file lain yakni script virus yang sudah dalam kondisi ter-decrypt. Karena perlu Anda ketahui bahwa virus ini memang hadir dalam kondisi ter-enkripsi. Selengkapnya virus ini melakukan:
1. menjalankan script virus dengan autorun.inf , yang kemudian akan menjalankannya secara otomatis waktu windows start up,dengan menulis string run di registry windows.
2. meng-copy autorun.inf hampir kesemua nama folder yang ada dengan tujuan eksekusi langsung.
3. Membuat shortcut dengan nama folder yang ada, ditambah nama microsoft dan new harry potter and… yang kesemuanya menuju ke wscript.exe untuk eksekusi file script.
4. Membuat system folder di desktop dengan nama yuyun_cantix yang bila diclick kanan hanya ada pilihan buat shortcut,dan tidak ada pilihan hapus.
5. PisangBakar
Icon yang digunakan virus ini mirip dengan aplikasi WinAmp atau file mp3. Ia dibuat menggunakan Visual Basic dengan ukuran tubuh sekitar 182KB, di-pack menggunakan UPX. Saat menginfeksi komputer, ia akan mencari file .MP3 untuk kemudian dibuat duplikatnya dengan menyerupai nama yang sama, namun dengan extension .EXE. Begitu pula saat menginfeksi flash disk, ia akan membuat sebuah folder baru dengan nama “Lagu baru” yang di dalamnya berisi file “Marley-Bird Of Paradise.Exe”. Pada root drive C: akan ditemukan file “Info Pisang Bakar.Txt” yang berisi pesan dari si pembuat virus, selain itu ada juga file “Pisang Bara.Exe”.
Cara menghilangkan virus ini adalah:
Buka program notepad:
Trus ketik tulisan ini
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON] "logws"="Using our release indicates"
Save-as, di bag "save as type" ganti ke all file, "file name" ganti dgn "pbakar.reg"
Nah, tugas kamu cuma merging file pbakar.reg. (klik kanan di filenya trus klik merge), kalo gak bisa, yah cari program registry editor yang lain trus import file pbakar.reg tadi.
Kalo udah berhasil, virusnya mati sendiri, tinggal hapus secara manual saja.
N.b: pbakar.reg sebaiknya di merging ke komputer yang pernah terkena virus pisang bakar, karena mungkin saja virusnya nyisip sama lagu-lagu yang sudah di-copy ke CD.
YANG PASTI KALO SUDAH MERGING PBAKAR.REG TADI, PISANG BAKAR SUDAH GAK MUNGKIN NONGOL DI SYSTEM. WALAU DENGAN SENGAJA DIBUKA.
6. Vires Varian/Latifah
Vires atau dikenal juga dengan nama Latifah,dibuat menggunakan visual basic, di-pack menggunakan UPX. Virus ini menyerupai icon seperti layaknya dokumen Microsoft Word. Pada komputer terinfeksi akan ada file C:\L@tif@h.html yang berisi pesan dari pembuat virus.
Berikut ini sepak terjang virus Vires/Latifah:
* Menginfeksi System
Seperti halnya yang dilakukan oleh virus virus lain, secara garis besar yang dilakukan oleh ires kali pertama adalah menyerang operating system tersebut. Pertama, dengan cara menginfeksi system Windows dengan menempatkan file induk pada direktori yang telah ditentukannya. Dan kedua menginfeksi atau memanipulasi registry Windows agar sesuai dengan keinginannya ataupun agar irus tersebut dapat selalu aktif otomatis pada saat kita memulai Windows. Kedua sektor tersebut merupakan yang sangat krusial di Windows.
Lebih jelasnya, Vires menciptakan beberapa file induk pada “\%windows%\desktop.com,”\%system32%\check.exe”, dan pada “\Documents and Settings\%username%\Start Menu\Programs\Startup\Scan.pif”. Setelah file-file induk tersebut berhasil ditanamkan, ia kemudian menginfeksi registry dengan membuat beberapa perubahan, terutama dalam hal program-program mana saja yang dijalankan pada saat startup. Yakni, ia menciptakan sebuah item baru pada registry di section HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ dengan nama item “Desktop”, lalu nilai dari item ini diarahkan ke file induk virus yang telah ia buat tadi pada “\%windows%\desktop.com”.
Namun, tidak hanya satu, ia juga membuat item untuk startup lagi pada registry di section HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ dengan nama item “Check” yang juga diarahkan kepada file induk virus yang terletak pada “\%system32\check.exe”. Sekarang, dengan melakukan penambahan atau perubahan-perubahan tersebut, virus tersebut kini dapat aktif otomatis setiap memulai Windows.
Namun, tidak sampai di situ saja. Seperti kewajiban yang dilakukan oleh irus lainnya juga, ia mencoba untuk mempertahankan kelangsungan hidupnya. Yakni, salah satunya adalah dengan menghilangkan menu Folder Options, dan mengaturnya agar tidak menampilkan file dengan attribut hidden serta tidak menampilkan extension dari file. Ini dilakukannya untuk mempersulit dan mengecoh user, agar mengira bahwa irus tersebut adalah merupakan dokumen word-nya. Karena memang agak sulit bagi orang awam untuk membedakan mana file dokumen asli dan mana yang memang virus.
Lalu, juga dengan mengubah registry Windows, beberapa tools internal Windows berhasil diblokir olehnya. Di antaranya kita tidak dapat menjalankan Registry Editor, Task Manager, dan Find.
* Penyebaran Virus
Dalam segi penyebaran, Vires masih mempercayakan pada storage media seperti misalnya melalui disket atau flash disk. Caranya, ia akan mencari tahu drive apa saja yang terdapat pada komputer itu, lalu memeriksa apakah drive tersebut sudah siap untuk diinfeksi, artinya misalnya drive yang akan diifensi adalah berupa floppy drie, ia akan memeriksa terlebih dahulu apakah pada floppy driver tersebut sudah terdapat disket di dalamnya. Jika ya, maka Vires langsung membuat duplikat dengan nama “New Microsoft Document.exe”.
Lalu tugas selanjutnya adalah mencari ke seluruh direktori yang terdapat di drie tersebut. Apabila ditemukan file dokumen dari Microsoft Word, yakni file dengan ekstensi *.doc, ia akan menyembunyikan file asli tersebut dengan memberikan attribut hidden, lalu membuat file duplikat dari Vires dengan nama yang sama dengan file dokumen aslinya.
Jadi apabila mengklik sebuah file irus yang menyamar sebagai dokumen yang Anda miliki, yang akan dilakukan oleh Vires adalah membuka dokumen aslinya yang telah ia sembunyikan tadi, jadi seolah-olah memang tidak terjadi apa-apa pada komputer Anda, padahal dengan begitu Vires akan terus menerus aktif dan siap menyebarkan diri lagi. Dan karena ukuran tubuhnya yang kecil, proses penyebarluasan virus ini terbilang sangat cepat. Pada saat dilakukan pengujian, dalam waktu sedikit saja ia dapat meng-hidden-kan seluruh dokumen Microsoft Word asli dan menggantikannya dengan tubuhnya sendiri. Inilah salah satu keuntungan untuk sang virus.
* Aksi dan Ciri
Vires ini juga akan selalu senantiasa memeriksa program-program apa saja yang sedang aktif di memory. Apabila terdapat process dengan nama file “regedit.exe”, “taskmgr.exe”, ataupun “msconfig.exe”, ia akan segera mematikan process tersebut. Tentu saja, karena ia tak ingin dirinya dihapus oleh sang user.
Walau Vires tidak melakukan tindak pengrusakan atau menghilangkan data asli Anda, namun biar bagaimanapun, kehadirannya telah mengganggu dan tentu saja akan memperlambat kerja komputer. Tak lupa Vires juga akan membuat sebuah file HTML pada root drive dari system Windows Anda yang biasanya terdapat di “C:\L@tif@h.html” yang berisi pesan dari pembuat virus.
* Pembasmian dan Pencegahan
Berikut ini cara membasmi virus ini secara manual:
Virus ini hanya seperti virus umum yg menghide document word kemudian menggandakan diri menggunakan nama yg sama dgn document yg di hide.
Langsung saja, booting kembali ke dalam safe mode(jangan lupa pencet F8 waktu booting)..
Cari file superhidden bernama check.exe di C:\Windows\System32 menggunakan total comander biar gampang,lalu hapus.
Kemudian cari juga file direct.com di directory yg sama,hapus juga. kemudian cari lagi file dekstop.exe, hapus lagi.
Masalah belum selesai, cari semua file yg terinfeksi, hapus file yg digandakan dgn extensi exe, kemudian kembalikan file yg semula yang telah di superhiden dgn mengganti atribute nya.
Ganti atributenya pake total commander pada tab file–>change attribute,kemudian buang cek list hidden dan system. klik ok dan masalah selesai.
Pencegahan: update antivirus anda setiap hari!!!
7. WSar .D
Seperti varian sebelumnya, ia masih dibuat menggunakan VB. Varian ini memiliki ukuran sekitar 108KB, murni tanpa di-pack. Karena icon yang digunakan adalah icon mirip folder, saat beraksi, ia akan mencari folder pada setiap drive yang ada di komputer korban, dan membuat duplikat dirinya dengan nama sama seperti folder asli.
8. Labunreke
Virus lokal yang satu ini akan menyembunyikan file dokumen Microsoft Word, file MP3, JPG, dan 3GP milik Anda. Selain itu pada komputer korban, ia akan mencoba membuat beberapa user account baru seperti kacian, bundrekev, dan la_kalasi. Pada saat startup juga akan menampilkan pesan seperti “Selamat, PC Anda sedang terinfeksi. Data-data loe semuanya aman koq, tapi gue sembunyiin…. ^_^“. Dan masih ada beberapa hal jail lainnya. So, hati-hati jika menemukan file executable yang mirip WinAmp atau file MP3 dengan ukuran sekitar 421KB.
9. Malingsi Varian
Virus bertubuh gemuk dengan ukuran besar, contoh pada salah satu varian memiliki ukuran 705.312 bytes. Ia dibuat menggunakan Visual Basic yang di-pack menggunakan PECompact. Sepertinya virus ini ditujukan untuk menyerang virus lain, ini terlihat dari pesan yang ada di tubuhnya. Virus ini berkembang biak dan menyebar menggunakan perantara mIRC, yang bertindak sebagai Bot.
10. FreeMine
Virus lokal ini dibuat menggunakan Visual Basic dengan ukuran file sekitar 68KB tanpa di-pack. Ciri virus ini, iconnya menyerupai Microsoft Word. Saat aktif di memory, ia akan mempertahankan kelangsungan hidupnya dengan men-terminate setiap aplikasi yang ada dalam daftar black-list di tubuhnya, seperti contohnya Process Explorer. Ia juga dapat menyebar melalui media removable disk, dan pada removable disk terinfeksi akan terdapat file autorun.inf dan Free_Mine.exe.
Sedikit prolog ttg virus LoLOxz/Free Mine
Melakukan perubahan terhadap beberapa registrasi windows
dengan meng "Hide Ekstensi file", Hide protected operating system
- Shell : explorer.exe C:\WINDOWS\system32\LoLOxz\smss.exe
- Userinit : userinit; C:\WINDOWS\system32\LoLOxz\smss.exe
- system : C:\WINDOWS\system32\LoLOxz\smss.exe.
Virus ini juga mengcopy dirinya ke setiap drive
lengkap satu paket dengan autorun.inf dan file free mine.exe.
Jika virus ini aktif dia akan menutup semua komunikasi jaringan pada komputer
korban.
Alias tidak ada koneksi sama sekali/dipenjara.
Kalau di scan pake product lokal (contoh: PCMAV) hanya disebut sebagai:
"virus suspected, tapi tidak dapat di clean,
juga tidak dapat di cure.
Memformat ulang drive/flasdisk tidak menyelesaikan masalah,
karena virus masih ada di system.
Karena ini tergolong virus baru,
jadi harus mengerjakannya secara manual dulu,
sampai anti virusnya keluar.
Cara manual :
1. Pastikan System restore off
caranya: Start - Klik kanan My Computer- Properties - System Restore -turn off
System restore.
2. Booting safe mode.
Caranya: Restart komputer tekan F8 unutk masuk ke safe mode
3. Start menu - Run - ketik “C:\Windows\system32\LoLOxz\”
4. Klik Tools - Folder option - Show hidden files and folders,
Lalu....."uncheck" di Hide extensions for known files types.
dan "uncheck" jaga di Hide protected operating system files.
5. Klik OK.
6. Akan terlihat 2 file, 1 file dengan ext dll, 1 file smss.exe (iconnya word).
Delete kedua file tersebut, lalu . . .
bersihkan juga lainnya : Free_Mine.exe, autorun.inf
Jangan lupa untuk membersihkan flash disk
yg terinfeksi dengan cara yang sama!
untuk mematikan system restore :
Untuk memperbaiki file2 yang terlanjur rusak:
Dapat menggunakan software : GAV,
pake program ini untuk scan flash disk aja,
karena scanningnya lama banget,
scan complete komputer butuh waktu berjam-jam
kalau file-nya tidak bisa kehapus bisa pakai Unlocker
UNTUK LIHAT ARTIKEL BESERTA GAMBARNYA....LIHAT...DI SUMBERNYA...
SUMBERNYA....:http://melianationo.blogspot.com/2009/04/top-10-virus-maret-2009.html
Label:
Langganan:
Posting Komentar (Atom)
0 komentar:
Posting Komentar