New malware causing serious damages to computers, steals financial information

Researchers at BitDefender® have detected a new wave of spam attacks focused around the release of the latest Harry Potter movie. The new wave of malware downloads the Rogue Trojan and steals credit card information from computer users who attempt to watch the latest movie free online.

Users who click on the link directing them to a free broadcast of the movie are redirected to an infected website. The browser window is then minimized, and a warning message notifies the user about several computer infections and the availability of Personal Antivirus for e-threat removal purposes. By clicking either OK or Cancel, the user triggers a fake movie that plays in the restored browser window. The movie mimics an on-going scanning process that detects malware within the system. Upon completion, the user is advised to download and install the Rogue Trojan to eliminate over 500 files altered by various types of malware.

By clicking either OK or Cancel the user activates a fake Windows® Security Alert which is a simple screenshot that acts like a trigger for the rogue. Clicking anywhere within the borders of the window will initiate the malware download.

Once the installer component completes the download of Personal Antivirus, it also connects to a Microsoft® Windows® Update Thank You page to simulate that the software is from a trusted source and it is legitimate.

Personal Antivirus rogue modifies the registry settings, requests the user to buy/renew a license and downloads additional malware responsible for the fake alerts it displays. To remain undetected, it terminates the Windows Defender process.

“Internet users should be cautious of any sites promising free screenings of the latest Harry Potter movie” said Vlad Valceanu, head of BitDefender’s anti-spam research. “The only way users can prevent and protect themselves from these attacks is to have a security solution installed on their systems.”
Pertempuran pembuat virus dengan antivirus ini ibarat Tom and Jerry, setiap kali pembuat virus mengeluarkan satu varian baru, pembuat antivirus mengeluarkan cara membasmi virus tersebut dan cara mencegahnya dan sebaliknya setiap kali pembuat antivirus mengeluarkan cara untuk menghambat penyebaran virus, pembuat virus selalu menemukan cara lain untuk menyebarkannya. Hal ini juga terjadi pada penyebaran virus lokal yang karena mayoritas dibuat menggunakan Visual Basic (VB), maka banyak pengguna komputer yang menonaktifkan MSVBVM60.dll yang merupakan file yang dibutuhkan oleh semua program VB (termasuk virus) untuk dapat aktif di komputer. Tetapi lihat virus yang satu ini, sekalipun anda sudah mendhapus MSVBVM60.dll dari komputer anda dan secara teori virus VB tidak akan mampu menginfeksi komputer anda, virus ini memiliki backup MSVBVM60.dll yang ditempatkan di direktori lain sehingga tetap dapat menginfeksi komputer anda.

Ciri umum yang dapat dikenali dari virus ini adalah munculnya file duplikat disetiap folder/subfolder yang terdapat file MS.Word dengan ukuran file 68 KB dan agar penyamarannya berhasil ia akan merubah type file dari file duplikat tersebut dari “application” menjadi “Microsoft Word Document” sehingga user mengira bahwa file tersebut adalah file MS.Word sehingga tanpa curiga user akan membuka file tersebut yang tentunya akan mengaktifkan virus, sedangkan file tersebut tidak akan dapat dibuka (karena disembunyikan) sehingga user akan mengira bahwa file tersebut telah rusak. (lihat gambar 1)



Gambar 1, Contoh file duplikat yang dibuat oleh FreE_MiNe



FreE_MiNe ini dibuat dengan menggunakan program bahasa Visual Basic tanpa di kompresi dengan ukuran 68 KB, file ini mempunyai ekstensi EXE dengan type file “Application”. (lihat gambar 2)



Gambar 2, File induk FreE_MiNe



Jika file tersebut dijalankan, ia akan membuat file induk dibawah ini yang akan dijalankan secara otomatis setiap kali komputer di nyalakan/restart:



- C:\FreE_MiNe.exe (semua drive)

- C:\WINDOWS\system32\LoLOxz

o smss.exe

o msvbvm60.dll



File msvbvm60.dll yang dijalankan dari direktori C:\Windows\System32\LoLOxz\ di atas dimaksudkan sebagai backup untuk mengantisipasi kalau komputer korbannya memblok MSVBVM60.dll (MSVBVM60 = Microsoft Visual Basic Virtual Machine versi 6.0) yang merupakan syarat mutlak untuk menjalankan aplikasi Visual Basic di OS Microsoft (termasuk virus). Jadi sekalipun komputer korban berusaha mencegah infeksi virus VB dengan memblok msvbvm60.dll dari direktori C:\Windows\System32, virus ini tetap akan bisa aktif karena memiliki backup msvbvm60.dll.



Untuk memastikan agar file virus dijalankakn secara otomatis, FreE_MiNe akan membuat string pada registry berikut :



HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

- shell = explorer.exe C:\WINDOWS\system32\LoLOxz\smss.exe

- system = C:\WINDOWS\system32\LoLOxz\smss.exe

- userinit = userinit,C:\WINDOWS\system32\LoLOxz\smss.exe



Untuk mengelabui user, pada waktu yang telah ditentukan FreE_MiNe ini akan menghapus string C:\WINDOWS\system32\LoLOxz\smss.exe untuk kemudian akan membuatnya lagi sehingga user beranggapan bahwa virus ini tidak akan membuat string pada registry tersebut.



Untuk memperlancar aksinya, FreE_MiNe juga akan mencoba blok beberapa fungsi Windows tetapi virus ini hanya akan blok fungsi “Find/Search dan CMD serta Folder Option” saja.



Untuk melakukan hal tersebut ia akan membuat string pada registry berikut:



HKCU\Software\Microsoft\Windows\CurrentVersion\explorer\advanced

- HideFileExt

- ShowSuperHidden

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

- NoFind = 1

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

- DisableCMD =1



Walaupun virus ini tidak akan aktif pada mode “safe mode with command prompt” tetapi virus ini akan mencoba untuk blok akses ke mode tersebut dengan cara blok file “cmd.exe”.



Pesan dari sang pembuat virus

Pembuat virus juga akan meninggalkan pesan yang di simpan pada body virus tersebut, berikut pesan yang akan disampailan oleh sang VM



FreE_MiNe From Picture Village

Pesan dari Dunia lain

Sunyinya malam yang kian larut

Bagaikan awan putih dilangit

Menambah sesak dadaku yang menahan nafas

Nafas rindu, nafas Cinta dan nafas sepi

Tiap waktu dan tiap saat tak pernah berhenti

Seperti juga darahku yang selalu

Setia pada tubuh

Seperti juga keinginanku

yang semakin ingin ku jangkau

tetapi semua itu NIHIL

Picture Worms Vill

Messange me,, Attention Please ..

Ne Buat temen

temen New Bie TI

Tenang Ulet Ne ga berbahaya buat your PC.

Yang Penting lo ga Macem

Kalo lo mow kasar ntar q juga bisa..wee



Membuat duplikat File dan menyembunyikan MS.Word

Sebagai tujuan akhir dari petualangannya, ia akan membuat duplikat file di setiap folder/subfolder yang terdapat file MS.Word dengan ukuran file sekitar 68 KB dengan ekstensi EXE sesuai dengan nama file asli dan untuk mengelabui user ia akan menyamarkan type file dari “application” menjadi “Microsoft Word Document” sehingga user beranggapan bahwa file tersebut adalah file asli. Jika file tersebut dijalankan maka secara otomatis akan mengaktifkan dirinya sedangkan isi dari file asli tersebut tidak akan dapat di buka. Lalu kemana file aslinya apakah dihapus? Kelihatannya pembuat virus ini memang tidak beritikad merusak / menghancurkan file komputer korbannya, jadi file asli kita tidak dihapus tetapi disembunyikan di folder yang sama.



Untuk merubah type dari file duplikat tersebut ia akan merubah string pada registry berikut : (lihat gambar 3)



HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile

- [Default] = Microsoft Word Document



Gambar 3, Contoh file duplikat FreE_MiNe dan file aplikasi mempunyai kesamaan pada type file yakni Microsoft Word Document



Selain itu ia juga akan merubah string infotip dan tileinfo dari file exe pada registry berikut : (lihat gambar 4 dan 5)



HKEY_CLASSES_ROOT\exefile

- infotip = prop:FileDescription;Size

- TileInfo = prop:FileDescription;Size



HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile

- infotip = prop:FileDescription;Size

- TileInfo = prop:FileDescription;Size



Gambar 4, InfoTip dan TileInfo yang sudah diubah oleh FreE_MiNe



Gambar 5, InfoTip dan TileInfo sebelum diubah oleh FreE_MiNe



Agar ia dapat aktif secara otomatis pada saat user mengakses Drive atau Flash Disk, FreE_MiNe akan memanfaatkan fitur autorun Windows dengan membuat file autorun.inf di setiap root drive seperti drive C:\ atau D:\ serta pada Flash Disk. File autorun.inf ini berisi script untuk menjalankan file FreE_Mine.exe. (lihat gambar 6)



Gambar 6, File autorun.inf untuk menjalankan virus secara otomatis



FreE_MiNe juga akan menambahkan script @echo off pada file C:\autoexec.bat dengan tujuan supaya komputer tidak menampilkan pesan pada layar. (lihat gambar 7)



Gambar 7, Script yang sudah ditambahkan oleh FreE_MiNe



Media Penyebaran

Untuk menyebarkan dirinya FreE_MiNe memanfaatkan media Flash Disk dengan membuat file berikut:

- Autorun.inf (berisi script untuk menjalankan file FreE_MiNe.exe) secara otomatis saat user akses Flash Disk.

- FreE_MiNe.exe



Selain itu ia juga akan menyembunyikan file MS.Word disetiap folder/subfolder dan untuk mengelabui user ia akan membuat duplikat disetiap folder/subfolder yang terdapat file MS.Word sesuai dengan nama file yang disembunyikan.



Bagaimana cara membasmi FreE_MiNe



1. Nonaktifkan “System Restore” selama proses pembersihan
2. Matikan proses virus yang aktif di memori. Gunakan tools “Security task Manager” untuk mematikan proses virus tersebut. Matikan proses virus yang mempunyai icon MS.Word dengan cara : (lihat gambar 8 dan 9)



1. Pilih proses virus yang akan di matikan
2. Klik kanan pada proses tersebut
3. Pilih “Remove”
4. Pada layar “Remove”, pilih opsi “Move file to quarantine” agar file langsung di hapus.
5. Klik tombol “Ok”

Gambar 8, Mematikan proses virus dengan menggunakan “Security task Manager”



Gambar 9, Pilih opsi “Move file to quarantine” untuk menghapus virus



Security Task Manager dapat di download dari :

http://www.neuber.com/taskmanager/download.html



3. Fix registry yang sudah diubah atau dibuat oleh virus. Untuk mempercepat proses perbaikan registry ini salin script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf, jalankan file tersebut dengan cara:



1. Klik kanan repair.inf
2. Klik install



[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee



[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del



[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, userinit,0, "userinit.exe,"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, system,0, ""

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoDriveTypeAutoRun,0x00010001,255

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoDriveTypeAutoRun,0x00010001,255

HKLM, SOFTWARE\Classes\exefile,,,"Application"

HKLM, SOFTWARE\Classes\exefile,InfoTip,0,"prop:FileDescription;Company;FileVersion;Create;Size"

HKLM, SOFTWARE\Classes\exefile,TileInfo,0,"prop:FileDescription;Company;FileVersion;Create;Size"



[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableCMD



4. Cari dan hapus file induk dan file duplikat virus dengan menggunakan fungsi Find/Search. Jika fungsi ini belum aktif sebaiknya LogOff komputer terlebih dahulu. Setelah fungsi Find/Search ini aktif jangan lupa untuk menampilkan file yang tersembunyi terlebih dahulu dari Folder Options (lihat gambar 10)



Gambar 10, Menampilkan setting file yang tersembunyi dari Folder Options



kemudian cari dan hapus file yang mempunyai ciri-ciri :



1. Icon MS.Word
2. Ukuran 68 KB
3. Type File “Application”

Anda juga dapat menggunakan Norman Malware Cleaner untuk membasmi virus Freemine di komputer anda yang dapat di download secara gratis dari http://download.norman.no/public/Norman_Malware_Cleaner.exe

5. Hapus juga file “Autorun.inf” disemua drive dan file C:\msvbvm60.dll”
6. Hapus script @echo off pada file C:\Autoexec.bat, caranya:
1. Klik kanan file C:\Autoexec.bat
2. Klik menu “Edit”
3. Hapus script @echo Off
4. Klik menu “File”
5. Klik “save”



7. Tampilkan kembali file MS.Word (*.doc) yang telah disembunyikan oleh FreE_MiNe dengan menjalankan perintah attrib -s -h -r *.doc /s (hanya untuk menampilkan file MS.Word pada drive/folder yang ditentukan) atau attrib -s -h -r /s /d (untuk menampilkan semua file/folder pada drive/folder yang ditentukan) pada Dos Prompt. (lihat gambar 11)

Gambar 11, Menampilkan file MS.Word (*.doc) yang disembunyikan oleh FreE_MiNe



8. Untuk pembersihan optimal dan mencegah infeksi ulang sebaiknya install antivirus yang up-to-date dan dapat mendeteksi dan mengenali virus ini.

BACA SELENGKAPNYA(GAMBAR + LINK) DI SUMBERNYA:
http://www.vaksin.com/2009/0109/freemine/Freemine.htm
The current buzz for the last few years has been Search Engine Marketing. Everyone wants to know what it is and how to do it. Much in the same way that web design was the thing to learn in the late 90’s. Now, almost all web design agencies offer this service, and have been offering this service to their customers. There are Internet Marketing experts all over the world, but is this something that Google sees as unnatural and unethical – as it is a blatant manipulation of Google search results? This depends on the application.

If you are a spammer and your sole goal is to add duplicate content, door way pages, and other black hat content, then this will be seen by Google as bad, because it does not benefit the user in any way and just adds to the growing list of thousands of pages that are irrelevant and have no value. But if you are adding relevant and original content on a regular basis, this can be quite useful, especially if you are writing for the user in mind, as it holds a certain value and will carry more chance of being picked and displayed in the search engine results pages.

Google only cares about presenting the users with the results that they are looking for, the more relevant the result, the better. Google has numerous algorithms in place whose sole job is to sort out relevant content and display it in the index of websites held in datacenters all over the world.

Also, if the content that has been created engages the user in some sort of way then this can also earn you extra brownies points as it makes your site sticky and get users visiting more often and for longer. Google wants websites to have some sort of function and not just sit there becoming stale and obsolete. If this rule can be followed, there is very little chance of Google ever having any problems with so called “SEO’s” and they can continue to add quality to the growing number of websites that are online and being accessed as we speak.


About The Author
Nick Singh is one of the top Strategic Internet Marketers in the UK and is the Senior Search Engine Marketer at Netcallidus Ltd, that has helped Numerous Business increase their profits Online.For further information, please visit http://www.netcallidus.com/

The author invites you to visit:
http://www.netcallidus.com/
For years now Search engine marketing has taken on many forms and has evolved into what we know it today. But one thing that has stayed the same is the fact that content is still king, no matter what industry you reside in. Writing relevant original high quality content allows for Google to crawl, index, and rank your pages quicker than ever which is just what you want. So how do you go about this process?

It’s not enough just to be building links in the search engines all day long. There needs to be something else to your game, and this is where strategy comes into play. Google is essentially a library full of websites, and when you go to the library, you expect to be given the most relevant and appropriate items that the library has to offer. Websites, like books, are full of useful content in one way or another. When embarking on an SEO campaign, the element of a website that will get you noticed more than anything is your content. If you are able to create relevant content for your website, you put yourself in good stead for when trying to index and rank your pages in the search engines. These can be in the form of articles, press releases, tutorials, or any textual content that will help give your site more coverage. Once this content has been created, you can go ahead and syndicate (submit) articles and press releases, which will generate links back to the site. To speed up the process, it is advisable to ping these new pages and inform the engines about what you have created. It is also good practice to update both the html and xml sitemap to further increase the chance of crawl. A feature which is becoming more and more popular is social bookmarking where people can look at a page, and if they think it is worthwhile, will bookmark the page. Google gives points to pages that have been bookmarked, and can increase positions in the engines when this has been done.

So there is plenty to be getting on with, and a Search engine optimisers work is never really done, it just extends itself further and further.


About The Author
Nick Singh is one of the top Strategic Internet Marketers in the UK and is the Senior Search Engine Marketer at Netcallidus Ltd, that has helped Numerous Business increase their profits Online.We are a Internet Marketing Firm that can help you increase your website profile. Please visit http://www.netcallidus.com/ for further details.

The author invites you to visit:
http://www.netcallidus.com/
The same as an belong to, your highest objective is to put on the market the products and services presented by your partner merchants. If not you can execute this, you can by no means chance to achieve a important amount of money with belong to marketing programs. So how execute you boost sales? All things being equal, you strength of character need to growth your situate traffic or else you can experience other sales. By the law of averages, the other populate are aware of the products you are offering, the other products you strength of character put on the market.

At this time are a hardly any tips with the aim of can help you boost your situate traffic:

1. Optimize on behalf of the search engines. The the largest part booming sites on the internet are the the largest part visible ones. At this moment near are various ways to realize increased visibility on the internet, but the foremost method is with the aim of of search engine optimization. The details are too technical to discuss at this time, but the objective of search engine optimization (SEO) is to help your situate realize privileged rankings on the search engines. If you encompass used a search engine, you strength of character notice with the aim of slightly fussy keyword search strength of character return thousands, if not millions of results. The largest part populate strength of character not make an effort to browse through all folks results; they strength of character rather to look into the sites already displayed. Statistically speaking, the sites listed on the essential results folio strength of character reap the highest amount of traffic, putting folks sites in the sphere of a better place to achieve money.

2. Combination internet directories. While internet directories are rebuff longer the same as widely used the same as search engines, more or less populate execute application them. It is vital with the aim of you execute not overlook the the makings customers with the aim of these directories can bring to your situate. To join an internet directory, you strength of character encompass to submit your situate on behalf of endorsement, and you strength of character stay categorized accordingly.

3. Provide fresh content. Your situate have to constantly stay updated if you expect your visitors to keep future back. Your situate have to encompass positive content, the same as well the same as tools with the aim of strength of character help your target audience. Achieve your situate the same as tranquil to navigate the same as on the cards, and stay sure thing with the aim of your associations do the way with the aim of they ought to. Near is nothing with the aim of frustrates populate other than a “broken” website, and formerly your situate has been labeled the same as such, likelihood are slim with the aim of many populate strength of character require to go back.

4. Build an online unity. In the sphere of other lexis, build relationships with your the makings customers. Achieve your visitors feel reception and appreciated, and they are likely to go back. Stay interested in the sphere of solving their problems and they strength of character thank you with their venture.

Making your belong to marketing predetermine do is really not with the aim of much diverse from operating a traditional venture. The solitary way you can keep your customers is to pick up the check them real. The Japanese encompass a adage: The customer is God. The same as lingering the same as you pick up the check your customers with respect and exert effort in the sphere of tiresome to be acquainted with their needs, you strength of character unearth with the aim of they strength of character stay other than willing to help you with yours.

Belong to Marketing and Requesting Customer Support

The same as a webmaster, you are bound to run into problems. Even though you encompass spent a fine amount of instant learning the belong to marketing trade, quicker or else shortly you strength of character run into more or less challenges with the aim of you strength of character need help to resolve. Areas such the same as e-mail services, belong to marketing software, and online services are often particularly troublesome.

Unfortunately, getting help is not often tranquil, even from your labyrinth host. But near are ways to achieve the process simpler on behalf of both sides. At this time are more or less questions with the aim of you might consider or else you call your service bringer:

Who are you? This is a frequent snag. Many populate register their problems with no only if their individual in a row, such the same as their username. If not the support team knows who you are, how execute you expect them to solve your snag?

What did you say? Is the snag? Stay restricted. Identify which produce or else service is not working by the book. Keep in the sphere of mind with the aim of you are fair lone of your labyrinth host’s customers. If not you can pinpoint the snag, likelihood are pretty slim with the aim of you strength of character receive appropriate and timely help.

What did you say? Software are you using? Your labyrinth host’s support team strength of character need in a row on the software you are using. On behalf of case in point, they strength of character ask you what did you say? Type of regularity you are using in the sphere of your central processing unit. It is a well-known piece of evidence with the aim of guaranteed applications execute not do well on guaranteed systems. Stay sure thing to create slightly significant details going on for the services or else applications with the aim of you application.

As did the snag start? Identifying the instant you became aware of the snag is vital. If you encompass recently made slightly changes to your regularity and the snag appeared soon bearing in mind, it is quite likely with the aim of fussy swap is the cause. Don’t withhold in a row from the support team; each crumb of awareness is crucial to identifying the source of impenetrability.

What did you say? Encompass you tried to mess the snag? If you encompass attempted to mess the snag by hand, stay sure thing to include an explanation of your attempts in the sphere of your register. Let the support team know what did you say? You’ve already made strength of character help them save instant, and besides achieve a other accurate diagnosis of what’s wound.

Encompass you reserved it unfussy? On behalf of security purposes, more or less support systems execute not allow HTML make an exhibition of. To escape having your e-mail intercepted, it is preeminent to throw your messages in the sphere of plain text format.

Remember to stay polite. Keep in the sphere of mind with the aim of the support team is collected of soul beings – they certainly strength of character not realize if you maltreat them. By no means insult them; by no means application vulgarity. If you require your snag to stay resolved, it is better to call together your reconciliation and achievement properly. Despite what did you say? You could think, you are fair lone of their customers -- they reserve the real to discontinue their services to you each time they like.

These pointers strength of character not continuously perceive you the hasty service with the aim of you deserve, but they can certainly help.

Belong to marketing is a not easy venture sufficient with no making enemies. By taking a miniature instant to think about it things from your support team’s promontory of think about, you can drastically recover the quality of service you perceive.


About The Author
Let Simon & Shaun teach you all the untold secrets on How To Be Successful With Affiliate Marketing with the "Personal Internet Marketing Secrets Revealed" coaching and mentoring programme. Feel free to use this article but please leave all links. and author bio intact.

The author invites you to visit:
http://www.the-mentor-wealth-program.com
TOP 10 VIRUS, MARET 2009
Tiga peringkat teratas kali ini, ditempati oleh virus import, berturut-turut adalah Conficker, Recycler, dan Autoit. Conficker yang berada di urutan pertama memang memiliki kemampuan menyebar yang luar biasa, dan sampai saat ini ia masih terus bergerak untuk menginfeksi setiap komputer di seluruh dunia, termasMenghapus Format dari bidang pilihanuk Indonesia. Daftar lengkapnya sebagai berikut:

1. Conficker/Downup/Downandup/Kido

Conficker (juga disebut Downup, Downandup dan Kido) adalah worm yang muncul pada Oktober 2008. Conficker menyerang Windows dan paling banyak ditemui dalam Windows XP. Microsoft merilis patch untuk menghentikan worm ini pada tanggal 15 Oktober 2008. Heinz Heise memperkirakan Conficker telah menginfeksi 2.5 juta PC pada 15 Januari 2009, sementara The Guardian memperkirakan 3.5 juta PC terinfeksi. Pada 16 Januari 2009, worm ini telah menginfeksi hampir 9 juta PC, menjadikannya salah satu infeksi yang paling cepat menyebar dalam waktu singkat.Virus luar berteknologi canggih ini memang menyebar luar biasa. Bentuknya yang merupakan file DLL (Dynamic Link Library) membedakannya dengan kebanyakan virus lain yang berupa EXE. Kemampuan yang dimilikinya juga bisa disetarakan dengan rootkit. Serta, sifatnya ber-polymorphic membuatnya memiliki tubuh yang berubah-ubah. Pada komputer terinfeksi, user tidak akan dapat membuka situs yang “berbau” antivirius atau Microsoft update. Virus ini juga aktif menyebar di Indonesia dengan menggunakan media removable disk misalkan flash disk. Pada flash disk terinfeksi, Anda akan menemukan file autorun.inf dan direktori RECYCLER yang di dalamnya terdapat sub-direktori dengan nama misalkan S-5-3-42-2819952290-8240758988-879315005-3665, dan pada direktori inilah terdapat file virus Conficker dengan nama biasanya jwgkvsq.vmx yang sebenarnya adalah file DLL.


2. Recycle Varian

Yang menjadi ciri khas dari virus ini adalah teknik bagaimana ia menyebar. Yakni “ngumpet” dalam direktori Recycler/Recycler/Recycle Bin. Contohnya disaat
virus ini menyerang flash disk. Di flash disk korban akan terdapat
folder dengan nama Recycler yang di dalamnya terdapat folder yang
menggunakan nama alpha numeric contohnya
“S-1-5-21-1482476501-1644491937-682003330-1013″ dengan icon mirip
dengan icon Recycle Bin. Jika folder ini di-klik atau diakses dari
Explorer, file virus tidak akan nampak. Untuk melihatnya, Anda bisa
masuk ke command prompt dengan perintah “dir /a”. Ia juga diketahui menerapkan teknik code injection agar kode virus bisa “nyangkut” pada explorer.exe. Ini dilakukannya untuk mempersulit user maupun program antivirus sekalipun untuk membunuhnya.


3. Autoit varian

Hampir kebanyakan varian dari virus import berbasis script ini menggunakan icon mirip seperti folder. Virus ini memiliki kemampuan untuk melakukan auto update ke beberapa situs. Ia juga dapat memanfaatkan Yahoo! Messenger sebagai media perantara penyebarannya dengan mengirimkan pesan berisi link ke setiap contact person yang ada di Y!M korban. Jadi berhati - hatilah jika mendapat link download berbahasa asing.




4. Yuyun .vbs

Virus yang diciptakan menggunakan Visual Basic Script ini berukuran sekitar 9KB. Pada komputer terinfeksi ia akan membuat banyak sekali file duplikat di setiap folder yang ia temukan dengan nama file autorun.inf, Thumb.db, dalam kondisi ber-attribut hidden, dan sebuah shortcut dengan nama Microsoft. Jika shortcut tersebut diakses, dia memang akan menuju ke suatu folder, tapi dibalik itu virus tersebut juga akan aktif. File Thumb.db disini juga bukan merupakan file milik Windows, tapi melainkan file script virus. Pada komputer terinfeksi juga akan ditemukan sebuah file pesan virus pada direktori Temp user. Di direktori ini juga akan ditemukan file lain yakni script virus yang sudah dalam kondisi ter-decrypt. Karena perlu Anda ketahui bahwa virus ini memang hadir dalam kondisi ter-enkripsi. Selengkapnya virus ini melakukan:
1. menjalankan script virus dengan autorun.inf , yang kemudian akan menjalankannya secara otomatis waktu windows start up,dengan menulis string run di registry windows.
2. meng-copy autorun.inf hampir kesemua nama folder yang ada dengan tujuan eksekusi langsung.
3. Membuat shortcut dengan nama folder yang ada, ditambah nama microsoft dan new harry potter and… yang kesemuanya menuju ke wscript.exe untuk eksekusi file script.
4. Membuat system folder di desktop dengan nama yuyun_cantix yang bila diclick kanan hanya ada pilihan buat shortcut,dan tidak ada pilihan hapus.


5. PisangBakar

Icon yang digunakan virus ini mirip dengan aplikasi WinAmp atau file mp3. Ia dibuat menggunakan Visual Basic dengan ukuran tubuh sekitar 182KB, di-pack menggunakan UPX. Saat menginfeksi komputer, ia akan mencari file .MP3 untuk kemudian dibuat duplikatnya dengan menyerupai nama yang sama, namun dengan extension .EXE. Begitu pula saat menginfeksi flash disk, ia akan membuat sebuah folder baru dengan nama “Lagu baru” yang di dalamnya berisi file “Marley-Bird Of Paradise.Exe”. Pada root drive C: akan ditemukan file “Info Pisang Bakar.Txt” yang berisi pesan dari si pembuat virus, selain itu ada juga file “Pisang Bara.Exe”.

Cara menghilangkan virus ini adalah:

Buka program notepad:
Trus ketik tulisan ini

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON] "logws"="Using our release indicates"

Save-as, di bag "save as type" ganti ke all file, "file name" ganti dgn "pbakar.reg"
Nah, tugas kamu cuma merging file pbakar.reg. (klik kanan di filenya trus klik merge), kalo gak bisa, yah cari program registry editor yang lain trus import file pbakar.reg tadi.
Kalo udah berhasil, virusnya mati sendiri, tinggal hapus secara manual saja.

N.b: pbakar.reg sebaiknya di merging ke komputer yang pernah terkena virus pisang bakar, karena mungkin saja virusnya nyisip sama lagu-lagu yang sudah di-copy ke CD.
YANG PASTI KALO SUDAH MERGING PBAKAR.REG TADI, PISANG BAKAR SUDAH GAK MUNGKIN NONGOL DI SYSTEM. WALAU DENGAN SENGAJA DIBUKA.


6. Vires Varian/Latifah

Vires atau dikenal juga dengan nama Latifah,dibuat menggunakan visual basic, di-pack menggunakan UPX. Virus ini menyerupai icon seperti layaknya dokumen Microsoft Word. Pada komputer terinfeksi akan ada file C:\L@tif@h.html yang berisi pesan dari pembuat virus.

Berikut ini sepak terjang virus Vires/Latifah:

* Menginfeksi System

Seperti halnya yang dilakukan oleh virus virus lain, secara garis besar yang dilakukan oleh ires kali pertama adalah menyerang operating system tersebut. Pertama, dengan cara menginfeksi system Windows dengan menempatkan file induk pada direktori yang telah ditentukannya. Dan kedua menginfeksi atau memanipulasi registry Windows agar sesuai dengan keinginannya ataupun agar irus tersebut dapat selalu aktif otomatis pada saat kita memulai Windows. Kedua sektor tersebut merupakan yang sangat krusial di Windows.
Lebih jelasnya, Vires menciptakan beberapa file induk pada “\%windows%\desktop.com,”\%system32%\check.exe”, dan pada “\Documents and Settings\%username%\Start Menu\Programs\Startup\Scan.pif”. Setelah file-file induk tersebut berhasil ditanamkan, ia kemudian menginfeksi registry dengan membuat beberapa perubahan, terutama dalam hal program-program mana saja yang dijalankan pada saat startup. Yakni, ia menciptakan sebuah item baru pada registry di section HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ dengan nama item “Desktop”, lalu nilai dari item ini diarahkan ke file induk virus yang telah ia buat tadi pada “\%windows%\desktop.com”.
Namun, tidak hanya satu, ia juga membuat item untuk startup lagi pada registry di section HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ dengan nama item “Check” yang juga diarahkan kepada file induk virus yang terletak pada “\%system32\check.exe”. Sekarang, dengan melakukan penambahan atau perubahan-perubahan tersebut, virus tersebut kini dapat aktif otomatis setiap memulai Windows.
Namun, tidak sampai di situ saja. Seperti kewajiban yang dilakukan oleh irus lainnya juga, ia mencoba untuk mempertahankan kelangsungan hidupnya. Yakni, salah satunya adalah dengan menghilangkan menu Folder Options, dan mengaturnya agar tidak menampilkan file dengan attribut hidden serta tidak menampilkan extension dari file. Ini dilakukannya untuk mempersulit dan mengecoh user, agar mengira bahwa irus tersebut adalah merupakan dokumen word-nya. Karena memang agak sulit bagi orang awam untuk membedakan mana file dokumen asli dan mana yang memang virus.
Lalu, juga dengan mengubah registry Windows, beberapa tools internal Windows berhasil diblokir olehnya. Di antaranya kita tidak dapat menjalankan Registry Editor, Task Manager, dan Find.

* Penyebaran Virus

Dalam segi penyebaran, Vires masih mempercayakan pada storage media seperti misalnya melalui disket atau flash disk. Caranya, ia akan mencari tahu drive apa saja yang terdapat pada komputer itu, lalu memeriksa apakah drive tersebut sudah siap untuk diinfeksi, artinya misalnya drive yang akan diifensi adalah berupa floppy drie, ia akan memeriksa terlebih dahulu apakah pada floppy driver tersebut sudah terdapat disket di dalamnya. Jika ya, maka Vires langsung membuat duplikat dengan nama “New Microsoft Document.exe”.
Lalu tugas selanjutnya adalah mencari ke seluruh direktori yang terdapat di drie tersebut. Apabila ditemukan file dokumen dari Microsoft Word, yakni file dengan ekstensi *.doc, ia akan menyembunyikan file asli tersebut dengan memberikan attribut hidden, lalu membuat file duplikat dari Vires dengan nama yang sama dengan file dokumen aslinya.
Jadi apabila mengklik sebuah file irus yang menyamar sebagai dokumen yang Anda miliki, yang akan dilakukan oleh Vires adalah membuka dokumen aslinya yang telah ia sembunyikan tadi, jadi seolah-olah memang tidak terjadi apa-apa pada komputer Anda, padahal dengan begitu Vires akan terus menerus aktif dan siap menyebarkan diri lagi. Dan karena ukuran tubuhnya yang kecil, proses penyebarluasan virus ini terbilang sangat cepat. Pada saat dilakukan pengujian, dalam waktu sedikit saja ia dapat meng-hidden-kan seluruh dokumen Microsoft Word asli dan menggantikannya dengan tubuhnya sendiri. Inilah salah satu keuntungan untuk sang virus.

* Aksi dan Ciri

Vires ini juga akan selalu senantiasa memeriksa program-program apa saja yang sedang aktif di memory. Apabila terdapat process dengan nama file “regedit.exe”, “taskmgr.exe”, ataupun “msconfig.exe”, ia akan segera mematikan process tersebut. Tentu saja, karena ia tak ingin dirinya dihapus oleh sang user.
Walau Vires tidak melakukan tindak pengrusakan atau menghilangkan data asli Anda, namun biar bagaimanapun, kehadirannya telah mengganggu dan tentu saja akan memperlambat kerja komputer. Tak lupa Vires juga akan membuat sebuah file HTML pada root drive dari system Windows Anda yang biasanya terdapat di “C:\L@tif@h.html” yang berisi pesan dari pembuat virus.

* Pembasmian dan Pencegahan

Berikut ini cara membasmi virus ini secara manual:

Virus ini hanya seperti virus umum yg menghide document word kemudian menggandakan diri menggunakan nama yg sama dgn document yg di hide.
Langsung saja, booting kembali ke dalam safe mode(jangan lupa pencet F8 waktu booting)..
Cari file superhidden bernama check.exe di C:\Windows\System32 menggunakan total comander biar gampang,lalu hapus.
Kemudian cari juga file direct.com di directory yg sama,hapus juga. kemudian cari lagi file dekstop.exe, hapus lagi.
Masalah belum selesai, cari semua file yg terinfeksi, hapus file yg digandakan dgn extensi exe, kemudian kembalikan file yg semula yang telah di superhiden dgn mengganti atribute nya.
Ganti atributenya pake total commander pada tab file–>change attribute,kemudian buang cek list hidden dan system. klik ok dan masalah selesai.

Pencegahan: update antivirus anda setiap hari!!!


7. WSar .D

Seperti varian sebelumnya, ia masih dibuat menggunakan VB. Varian ini memiliki ukuran sekitar 108KB, murni tanpa di-pack. Karena icon yang digunakan adalah icon mirip folder, saat beraksi, ia akan mencari folder pada setiap drive yang ada di komputer korban, dan membuat duplikat dirinya dengan nama sama seperti folder asli.


8. Labunreke

Virus lokal yang satu ini akan menyembunyikan file dokumen Microsoft Word, file MP3, JPG, dan 3GP milik Anda. Selain itu pada komputer korban, ia akan mencoba membuat beberapa user account baru seperti kacian, bundrekev, dan la_kalasi. Pada saat startup juga akan menampilkan pesan seperti “Selamat, PC Anda sedang terinfeksi. Data-data loe semuanya aman koq, tapi gue sembunyiin…. ^_^“. Dan masih ada beberapa hal jail lainnya. So, hati-hati jika menemukan file executable yang mirip WinAmp atau file MP3 dengan ukuran sekitar 421KB.


9. Malingsi Varian

Virus bertubuh gemuk dengan ukuran besar, contoh pada salah satu varian memiliki ukuran 705.312 bytes. Ia dibuat menggunakan Visual Basic yang di-pack menggunakan PECompact. Sepertinya virus ini ditujukan untuk menyerang virus lain, ini terlihat dari pesan yang ada di tubuhnya. Virus ini berkembang biak dan menyebar menggunakan perantara mIRC, yang bertindak sebagai Bot.


10. FreeMine

Virus lokal ini dibuat menggunakan Visual Basic dengan ukuran file sekitar 68KB tanpa di-pack. Ciri virus ini, iconnya menyerupai Microsoft Word. Saat aktif di memory, ia akan mempertahankan kelangsungan hidupnya dengan men-terminate setiap aplikasi yang ada dalam daftar black-list di tubuhnya, seperti contohnya Process Explorer. Ia juga dapat menyebar melalui media removable disk, dan pada removable disk terinfeksi akan terdapat file autorun.inf dan Free_Mine.exe.

Sedikit prolog ttg virus LoLOxz/Free Mine
Melakukan perubahan terhadap beberapa registrasi windows
dengan meng "Hide Ekstensi file", Hide protected operating system
- Shell : explorer.exe C:\WINDOWS\system32\LoLOxz\smss.exe
- Userinit : userinit; C:\WINDOWS\system32\LoLOxz\smss.exe
- system : C:\WINDOWS\system32\LoLOxz\smss.exe.

Virus ini juga mengcopy dirinya ke setiap drive
lengkap satu paket dengan autorun.inf dan file free mine.exe.
Jika virus ini aktif dia akan menutup semua komunikasi jaringan pada komputer
korban.
Alias tidak ada koneksi sama sekali/dipenjara.

Kalau di scan pake product lokal (contoh: PCMAV) hanya disebut sebagai:
"virus suspected, tapi tidak dapat di clean,
juga tidak dapat di cure.

Memformat ulang drive/flasdisk tidak menyelesaikan masalah,
karena virus masih ada di system.


Karena ini tergolong virus baru,
jadi harus mengerjakannya secara manual dulu,
sampai anti virusnya keluar.


Cara manual :
1. Pastikan System restore off
caranya: Start - Klik kanan My Computer- Properties - System Restore -turn off
System restore.

2. Booting safe mode.
Caranya: Restart komputer tekan F8 unutk masuk ke safe mode

3. Start menu - Run - ketik “C:\Windows\system32\LoLOxz\”

4. Klik Tools - Folder option - Show hidden files and folders,
Lalu....."uncheck" di Hide extensions for known files types.
dan "uncheck" jaga di Hide protected operating system files.

5. Klik OK.

6. Akan terlihat 2 file, 1 file dengan ext dll, 1 file smss.exe (iconnya word).
Delete kedua file tersebut, lalu . . .
bersihkan juga lainnya : Free_Mine.exe, autorun.inf


Jangan lupa untuk membersihkan flash disk
yg terinfeksi dengan cara yang sama!

untuk mematikan system restore :
Untuk memperbaiki file2 yang terlanjur rusak:
Dapat menggunakan software : GAV,
pake program ini untuk scan flash disk aja,
karena scanningnya lama banget,
scan complete komputer butuh waktu berjam-jam
kalau file-nya tidak bisa kehapus bisa pakai Unlocker

UNTUK LIHAT ARTIKEL BESERTA GAMBARNYA....LIHAT...DI SUMBERNYA...
SUMBERNYA....:http://melianationo.blogspot.com/2009/04/top-10-virus-maret-2009.html
Virus of Net Worm Win32 Kido is a critical vulnerability in Microsoft Windows to attack via networks and removable storage media.The worm disables system restore, blocks access to security websites, and downloads additional malware to infected machines or computer system.Read More

How To Remove?
Download kidokiller di sini

1) Download the archive kidokiller and extract the contents into a folder on the infected PC.
2) Run file kidokiller
3) Wait until the scanning is complete.
4) Perform full scan of your computer with your Kaspersky Anti-Virus



Switches KidoKiller.exe at command prompt

-p - scan a defined folder
-f - scan hard disks

-n - scan network disks

-r - scan removable drives

-y - end program without pressing any key

-s - silent mode (without a black window)

-l - write info into a log

-v - extended log maintenance (should be entered with the -l switch)

-help - show additional information about the utility

Blog ini Pindah Alamat

Blog ini sudah pindah....silakan cek di sini....tuk blog barunya...
Maksudnya...Adminnya...yg punya Blog ini dah gak urus blog ini....Dah pindah ngurus...yang laen..di bawah ini....

Akulah

Facebook