SITUS KERUSAKAN TELEVISI TERLENGKAP: Edisi 19

SITUS KERUSAKAN TELEVISI TERLENGKAP: Edisi 19

W32.VBInject.MF

W32.VBInject.MF

Jangan Bunuh Saya Biarkan Saya Hidup Di Komputer Anda.
Saya Sudah Tidak Punya  Tempat Lagi Untuk Hidup. Saya Tidak Menggagu System Anda Terima Kasih.
Salam Bocah Ndeso.
Sragen L0r0471 Community

Kalau Michael Learns To Rock patah hati lantas menyanyikan lagu 25 minutes yang oleh sebagian penggemarnya lagunya di dengarkan sambil airmatanya bercucuran karena simpati sama nasibnya si Michael yang malang. (bukan nama tempat). Lain lagi pembuat virus, kalau dia patah hati, maka dia membuat virus yang terkadang membuat korbannya bercucuran airmata karena meratapi nasib datanya yang malang. Kali ini adalah pembuat virus patah hati dari Sragen (nama tempat) yang nasibnya mirip-mirip dengan Michael.

Walaupan penyebaran virus beberapa bulan ini masih di dominasi oleh virus mancanegara, tetapi bukan berarti “tangan-tangan jahil” berhenti berkreasi membuat virus, tema yang di usungpun tidak terlepas dari ciri khas yang selalu melekat pada virus lokal yakni seputar kisah asmara seperti yang dilakukan oleh salah satu virus lokal ini.

Virus ini mempunyai ukuran yang cukup besar sekitar 232 KB dengan tetap mengusung program Bahasa Visual Basic. Untuk mengelabui user ia akan menyertakan sebuah icon  dengan tipe file “Application”serta menyamarkan dirinya sebagai sebuah program permainan (GameHouse) dari “KraiSoft Entertainment”. (lihat gambar 1)

Gambar 1, File induk W32/VBInject.MF

Dengan update terbaru Norman Security Suite mendeteksi virus ini sebagai W32/VBInject.MF (lihat gambar 2) sedangkan Dr.Web antivirus mendeteksi virus ini sebagai  W32.HLLW.Autoruner.37884 (lihat gambar 3)

Gambar 2, Deteksi Norman Security Suite

Gambar3, Hasil Scan Dr.Web antivirus

Secara umum, virus ini tergolong virus jinak karena tidak melakukan perusakan terhadap data, tetapi virus ini cukup merepotkan dan menyebabkan komputer korban menjadi lambat karena ia akan mengaktifkan dirinya serta menampilkan  pesan secara otomatis pada waktu yang telah ditentukan. Sebagai bentuk pertahanan ia akan mematikan beberapa fungsi Windows yang terkenal seperri Task Manager, Regedit, System Restore ataupun Folder Options serta blok akses Safe Mode serta Safe Mode with Command Prompt. Hal yang melegakan karena virus ini tidak akan menyembunyikan atau menghapus file baik yang berada di Hard Disk maupun di Flash Disk.

File induk virus

Pada saat virus tersebut menginfeksi komputer korban, ia akan membuat beberapa file induk berikut yang akan dijalankan secara otomatis pada saat komputer diaktifkan.

Berikut beberapa file yang akan dibuat oleh virus:

• C:\Windows\system32\Windows.vbs
• C:\windows\system32\oeminfo.ini
• %Drive%:\L0r0471.doc (%Drive%, menunjukan lokasi drive)
• C:\Documents and Settings\All Users\Desktop\L0r0471.doc
• C:\Windows\System32\4n174L0r0471.exe
• %Drive%:\SexyGame.exe dan autorun.inf (%Drive%, menunjukan lokasi drive)

Registry Windows

Agar file tersebut dapat di aktifkan secara otomatis pada saat komputer di aktifkan, ia akan membuat string pada registri berikut:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• WindowsProtect = C:\Windows\System32\4n174L0r0471.exe
• WindowsUpdate = C:\Windows\System32\Windows.vbs

Blok fungsi windows

Sebagai pertahanan agar tidak mudah dibasmi oleh user, ia akan berupaya untuk blok beberapa fungsi Windows seperti Task Manager, CMD, System Restore, Folder Options, Regedit atau RUN dengan membuat beberapa string pada registry berikut:

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
• NoFind
• NoFolderOptions
• NoRun

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

o   DisableRegistryTools

o   DisableTaskMgr

• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer

o   DisableMSI

o   LimitSystemRestoreCheckpointing

• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore

o   DisableConfig

o   DisableSR

Selain menghilangkan menu “Folder Options”, ia akan mempersulit user untuk menampilkan file yang tersembunyi sehingga semakin mempersulit untuk menghapus file induk virus tersebut, untuk melakukan hal ini ia akan melakukan perubahan pada registry berikut:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
• CheckedValue = 0
• DefaultValue = 0
  

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
• CheckedValue = 1
• DefaultValue = 1

Aktif pada pada mode “Safe Mode with Command Prompt”

Pembersihan pada mode “Safe Mode atau Safe Mode with Command Prompt” bukan merupakan jaminan dapat melumpuhkan virus tersebut karena metode tersebut sudah diketahui oleh pembuat virus sehingga dapat diatasi dengan melakukan perubahan pada string registri sehingga virus akan tetap aktif walaupun komputer boot pada mode “safe mode” atau “safe mode with command prompt”

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
• AlternateShell = C:\Windows\System32\4n174L0r0471.exe

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot
• AlternateShell = C:\Windows\System32\4n174L0r0471.exe
  

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
• AlternateShell = C:\Windows\System32\4n174L0r0471.exe

Blok akses Safe mode

Tidak tanggung-tanggung, virus ini juga akan blok akses safe mode dan safe mode with command prompt dengan menghapus beberapa registri berikut                                                                                                                                           

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vgasave.sys\
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vga.sys\
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdtcp.sys\
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdpipe.sys\
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sr.sys\
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sermouse.sys\
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpwd.sys\
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpdd.sys\
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpcdd.sys\
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmio.sys\
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmboot.sys\
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys\
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vga.sys\
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys\
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sermouse.sys\
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmload.sys
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmio.sys\
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmboot.sys\

Pesan

Seperti yang kita ketahui, virus lokal sangat kental dengan masalah “asmara” yang biasanya akan disampaikan dalam bentuk pesan-pesan yang akan ditampilkan pada waktu yang telah ditentukan. Begitupun yang dilakukan W32/VBInject.MF yang akan menampilkan pesan baik pada saat komputer booting atau pada waktu yang telah ditentukan. Untuk menampilkan pesan tersebut, ia akan menjalankan file yang berada di direktori   “C:\Windows\system32\Windows.vbs”. (lihat gambar 4 dan 5)

Gambar 4,  pesan yang di tampilkan pada saat booting

Titip Salam buat RIDWAN DAN NITA.

Selamat Buat Kalian Berdua Semoga Bahagia Sepanjang Masa Bahagia Dunia Akherat.

Buat RIDWAN Jaga Dia Baik-baik Jangan Kecewakan Dia, Awas Kalau Macam-macam, Jangan Nyerah.

Buat Anita D.N. Jadilah Istri Yang Baik, Patuh Terhadap Suami, Setia, Satu Lagi NRIMO.

Buat Kalian Berdua Tidak Usah Kawatir Aku Bukan Orang Yang Suka Mengganggu Pasangan Orang Lain Tenang Saja.

Meskipun Masih Pacaran Atau Belum Ada JANUR MELENGKUNG.

Gambar 5, Pesan yang akan ditampilkan oleh W32/VBInject.MF pada waktu yang telah ditentukan

Selain menampilkan pesan di atas, ia juga akan meninggalkan jejak lain dengan menambahkan informasi pada system properties Windows [lihat gambar 6) dengan membuat file yang di simpan di direktori “C:\Windows\system32\oeminfo.ini”

 

Gambar 6, VBInject menambahkan informasi pada “system properties” Windows

Mengenang Tragedi Palang Sepor.

Selamat Buat Kalian Berdua Jadilah.

Yang Terbaik Semoga Bahagia Dunia Akherat.

Banyak Rejeki Banyak Anak Amin

Sragen, 21 Juli 2008

Good Luck !

Selain itu, ia juga akan membuat pesan yang akan di tuangkan pada sebuah file yang akan di simpan di beberapa tempat “%Drive%:\L0r0471.doc & C:\Documents and Settings\All Users\Desktop\L0r0471.doc (%Drive% menunjukan lokasi Drive) (lihat gambar 7)

 

Gambar 7, Pesan L0r0471 yang dituangkan dalam sebuah file

Media Penyebaran

Untuk menyebarkan dirinya, ia akan mengggunakan media flash disk (UFD) atau removable disk dengan membuat 2 buah file dengan nama file “SexyGame.exe” dan Autorun.inf. File Autorun ini sendiri digunakan untuk mengaktifkan file “SexyGame.exe” secara otomastis pada saat user mengakses “flash disk”. (lihat gambar 8)

Gambar 8, Isi script pada file Autorun.inf

Cara membasmi W32/VBinject.MF

1. Putuskan komputer yang akan dibersihkan dari jaringan
2. Matikan proses virus yang aktif di memori yang mempunyai nama “GameHouse” dengan menggunakan tools “Security Task Manager” (lihat Gambar 9). Silahkan download tools tersebut di alamat  http://www.neuber.com/taskmanager/

Gambar 9, mematikan proses virus dengan menggunakan Security Task Manager

3. Perbaiki registri Windows yang sudah diubah oleh virus. Untuk mempermudah proses perbaikan silahkan salin script di bawah  ini pada program “notepad” kemudian simpan dengan nama REPAIR.INF.

Install file tersebut dengan cara : Klik kanan [REPAIR.INF] kemudian klik [Install]

Berikut script yang harus di copy

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0x00010001,0

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, CheckedValue,0x00010001,0

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, DefaultValue,0x00010001,1

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoRun

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, WindowsProtect

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, WindowsUpdate

HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, DisableMSI

HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, LimitSystemRestoreCheckpointing

HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore

4. Agar komputer dapat booting safe mode dan safe mode command prompt kembali, salin script  di bawah ini pada program “notepad” kemudian simpan dengan nama FIXSafeMode.reg. Jalankan file tersebut dengan cara klik ganda (klik 2x)  file [FIXSafeMode.reg]

Berikut script yang harus di salin

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]

"AlternateShell"="cmd.exe"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmio.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmload.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sermouse.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]

@="FSFilter System Recovery"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vga.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmboot.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmio.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpcdd.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpdd.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpwd.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sermouse.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sr.sys]

@="FSFilter System Recovery"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdpipe.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdtcp.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vga.sys]

@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vgasave.sys]

@="Driver"

5. Hapus file virus. Untuk mempermudah penghapusan, sebelum menghapus file virus sebaiknya tampilkan file yang tersembunyi terlebih dahulu dengan cara:

a.       Windows XP

·         Buka [Windows Explorer]

·         Klik menu [Tools]

·         Klik [Folder Options]

·         Klik tabulasi [View]

·         Check list pada opsi [Show hidden files and folders]

·         Hilangkan tanda check list pada opsi [Hide protected operating system files (Recommended)]

·         Klik [Apply | OK]

b.       Windows 7

·         Buka [Windows Explorer]

·         Klik [Organize]

·         Klik [Folder and search options]

·         Pada layar “Folder  Options”, klik tabulasi [View]

·         Check list opsi [Show hidden files, folders and drives]

·         Hilangkan tanda check list pada opsi [Hide protected operating system files (Recommended)]

·         Klik [Apply | OK] (lihat gambar 10)

                                                Gambar 10, menampilkan file yang tersembunyi

Kemudian hapus file berikut:

·         C:\Windows\System32\Windows.vbs

·         C:\windows\System32\oeminfo.ini

·         %Drive%:\L0r0471.doc (%Drive%, menunjukan lokasi  Drive)

·         C:\Documents and Settings\All Users\Desktop\L0r0471.doc

·         C:\Windows\System32\4n174L0r0471.exe

·         C:\SexyGame.exe dan Autorun.inf

Hapus juga file [SexyGame.exe] dan [Autorun.inf] pada Removble media (Flash Disk).

6. Untuk pembersihan optimal scan dengan antivirus yang sudah terupdate dan mengenali virus ini dengan baik.

Anda juga dapat mendownload tools Norman Malware Cleaner dari antivirus Norman (http://www.norman.com/support/support_tools/malware_cleaner/) atau Dr.Web CureIt! (http://www.freedrweb.com/cureit/?lng=en)

Evaluasi Virus 2010 dan Trend 2011

Evaluasi Virus 2010 dan Trend 2011

Stuxnet tidak hanya mengancam SCADA, Rogue Antivirus dan kebangkitan virus lokal

Membaca berita mengenai Stuxnet yang ramai dibicarakan ibarat membaca novel karangan Ian Fleming, karena diinformasikan disana bahwa Stuxnet diciptakan sedemikian rupa guna mencuri informasi dan mengacaukan instalasi nuklir Iran. Dan karena kisahnya ibarat novel 007 yang tidak terjadi pada orang awam, hal ini membuat pengguna komputer tidak sadar kalau Stuxnet juga mengancam komputer dan jaringan komputer perusahaannya ..... sekalipun tidak menggunakan SCADA.

Kabar buruknya, Indonesia yang juga menjadi korban terbesar Stuxnet sesudah Iran. Hal yang juga menjadi pertanyaan, kok Stuxnet bisa menyebar disini ? Salah satu sebabnya adalah karena faktor penyebaran Stuxnet yang mengandalkan UFD (USB Flash Disk) untuk menyebarkan dirinya. Seperti kita ketahui, Indonesia adalah pelopor virus lokal yang memanfaatkan UFD sebagai faktor penyebaran utamanya dan pengguna UFD di Indonesia sangat diyakini merupakan salah satu yang terbesar di dunia. Tetapi ada satu hal yang tidak di informasikan dengan baik kepada pengguna komputer, selama ini yang menjadi fokus adalah bagaimana Stuxnet mengacaukan program SCADA buatan Siemens yang selain digunakan diinstalasi pendukung nuklir Iran juga digunakan di perusahaan besar yang bergerak di bidang Gas dan Minyak. Tetapi dampak Stuxnet terhadap pengguna komputer non SCADA jarang sekali di bahas. Padahal secara nyata, Stuxnet yang berhasil menginfeksi jaringan komputer non SCADA akan memberikan dampak yang tidak kalah dashyat dibandingkan virus lain seperti :

·         Mematikan Print Sharing sehingga aktivitas printer yang di share di jaringan menjadi terganggu.

·         Menyebabkan harddisk (yang berapapun besarnya) menjadi penuh / Low Disk Space.

·          Banyak aplikasi internal perusahaan tidak bisa berjalan.

·         Komputer menjadi hang / lambat.

·         Koneksi jaringan terputus.

Awal tahun 2010, selain Conficker dan Sality, virus yang masih wara wiri dan perlu dikhawatirkan adalah antivirus palsu, Rogue Antivirus atau Fake Antivirus. Antivirus palsu ini sangat membandel dan selalu mengeluarkan varian terbaru untuk menginfeksi korbannya karena ada keuntungan finansial yang didapatkan oleh pembuat antivirus palsu ini dari korbannya yang umumnya awam dan dengan lugu takut atas pesan palsu adanya virus pada komputernya dan mengikuti saran dari program antivirus palsu ini untuk membeli antivirus palsu dan memasukkan nomor kartu kredit ke situs penjualan antivirus palsu. Hebatnya adalah tampilan antivirus palsu ini sangat meyakinkan dan dalam beberapa tampilan sangat meyakinkan baik tampilan situs maupun tampilan interface (tatap mukanya) tidak kalah dengan antivirus asli sehingga korbannya mudah percaya. Aksi antivirus palsu berjalan sepanjang tahun dimana pada awal tahun memanfaatkan Zbot yang ditengarai menjadi kendaraan menyebarkan Zeus botnet yang menggemparkan dunia internet karena dicurigai digunakan oleh pemerintah China memata-matai Google. Untuk informasi Zbot dilahkan lihat di http://vaksin.com/2010/0210/basmi%20zbot/basmi%20zbot.html. Lalu di akhir kuartal 1 2010, antivirus palsu melalui virus yang bernama W32/Oficla.FA memanfaatkan nama Facebook menyebarkan dirinya melalui email guna mengelabui korbannyahttp://vaksin.com/2010/0410/oficla/oficla.html. Lalu di akhir kuartal 3 2010, lagi-lagi antivirus palsu mengeluarkan jurus baru dimana jika selama ini tampilannya hanya mengeluarkan tampilan ancaman yang sangat mengganggu tentang banyaknya virus jahat yang menginfeksi komputer. Di akhir kuartal 3 2010 antivirus palsu mengeluarkan tampilan baru seakan-akan komputer korban mendapatkan serangan (dan terinfeksi) dari virus jaringan sepeti Conficker lengkap dengan lokasi file di komputer yang bersankutan, lalu tampilan ini disempurnakan lagi seakan-akan komputer korban terdeteksi mengirimkan email bervirus dalam jumlah besar.

Mei 2010, Candid Camera Prank, virus pertama yang berhasil menyebar melalui Facebook dan secara otomatis menyebarkan diri antar akun Facebook. Kalau selama ini virus-virus lain hanya memanfaatkan nama Facebook atau melakukan phishing atas situs Facebook guna mencuri kredensial, maka kali ini benar-benar ada aplikasi yang memanfaatkan API (Application Programming Interface) Facebook dan tampil seakan-akan sebagai aplikasi Facebook yang tidak berbahaya. Kenyataannya, jika pengguna Facebook meng”allow” aplikasi tersebut, otomatis semua kontaknya akan dikirimi pesan palsu seakan-akan ada gambar nakal (candid camera) yang menarik untuk dilihat dan bila di klik akan mengaktifkan aplikasi tersebut di akun Facebook yang lain dan menyebarkan dirinya ke seluruh kontak akun tersebut. Karena menyebar melalui Facebook, virus ini tidak terikat oleh platform tertentu. Asalkan anda memiliki akun Facebook, mau akses dari OS apapun, Windows, Linux, Mac atau smartphone, virus ini akan dapat menyebar melalui akun Facebook anda.http://vaksin.com/2010/0510/Candid%20Camera%20Prank/Candid%20Camera%20Prank.htm. Pada akhir Oktober 2010, pembuat malware jahat dengan metode yang sangat mirip menggunakan issue Mc Donalds berpengawet guna memancing korbannya mengaktifkan aplikasi HD Video guna melihat film kentang McDonalds berpengawet yang sebenarnya mengandung kode jahat mengirimkan Event Invitation berisi video McDonalds tersebut ke seluruh kontaknya. Event Invitation digunakan oleh pembuat malware ini karena rupanya administrator Facebook sangat tanggap dan memblok automatic posting oleh apps Facebook pada “Candid Camera Prank”. Mungkin karena merasa thema video McDonalds dirasa kurang menarik, maka pembuat malware merubah jurusnya dengan menggunakan dua senjata klasik guna menarik korban sebanyak-banyaknya, sex dan selebriti. Kali ini yang menjadi thema adalah Lindsay Lohan Sex Video (lihat gambar 1)

Gambar 1, Lindsay Lohan Sex Video yang dijanjikan oleh malware di Facebook

Virus lokal pada semester pertama mengalami penurunan signifikan, dan hanya lightmoon dan autorun saja yang terdeteksi, sisanya di dominasi oleh virus mancanegara. Diselingin oleh satu virus yang memanfaatkan nama Lunamaya yang sedang populer waktu itu (karena kasus video porno yang sempat melambungkan nama Peterporn menjadi trending Topics nomor satu di Twitter mengalahkan Iphone 4 nya Steve Jobs) untuk menyebarkan dirinya.http://vaksin.com/2010/0610/lunamaya/lunamaya.htm

30 Juli 2010 Stuxnet mulai terdeteksi disebarkan di Indonesia. Virus yang menggemparkan karena ditengarai digunakan sebagai sarana mata-mata oleh negara-negara maju untuk mencuri data rahasia dari negara musuhnya ini dan Indonesia termasuk paling banyak menjadi korban Stuxnet (nomor 2 sesudah Iran). Mungkin kalau pemerintah Indonesia mengembangkan senjata nuklir juga akan ribut2 terhadap serangan Stuxnet ini yang beraksi mencuri data secara spesifik ini. Tetapi “untungnya” Indonesia tidak mengembangkan senjata nuklir ...... wong petugas perbatasannya yang sedang menjalankan tugas menangkap pencuri ikan saja malah di tangkap oleh polisi negara tetangganya saja dan pemerintahnya masih tenang-tenang saja dan memilih jalan damai.

1 September 2010 virus pertama karya anak bangsa yang menyebar melalui Facebook chat dan mungkin belajar dari Lunamaya, kali ini bintang yang dijadikan korbannya adalah Krissdayanti dan Mulan Jameela.

Pada kuartal ke empat virus lokal mulai bangkit lagi, kali ini mengendarai kapal cepat bernama Shortcut, virus lokal merajalela dan mengalahkan antivirus buatan lokal yang mulai kesulitan mendeteksi varian shortcut dan membasminya dengan tuntas.

Selain virus-virus yang disebutkan di atas, beberapa virus yang terdeteksi paling banyak menginfeksi komputer-komputer di Indonesia pada tahun 2010 adalah :

·         Virut, virus yang ini termasuk ke dalam virus yang sekali menginfeksi komptuer akan sangat sulit dibasmihttp://www.vaksin.com/2009/0909/virut/virut.htm

·         Conficker, meskipun tidak menjadi virusn omor satu di tahun 2010 tetapi masih tetapi banyak terdeteksi di komputer-komputer korporat.

·         Sality, http://www.vaksin.com/2009/0309/Sality/sality.html bersama dengan Virut dan conficker menjadi virus yang paling susah dibasmi di tahun 2010 dan paling banyak menginfeksi komputer korporat di Indonesia.

Antivirus Palsu / Rogue Antivirus.

Ibu dari segala malware di tahun 2010 adalah Antivirus  palsu alias Fake Antivirus / Scareware atau Rogue Antivirus. Antivirus palsu sebenarnya adalah malware (spyware) yang jika berhasil menginfeksi komputer korbannya akan menakut-nakuti korbannya dengan pesan yang sangat menakutkan seakan-akan komputernya terinfeksi oleh virus-virus jahat yang mencancam sistem dan data komputer yang bersangkutan. Jika korbannya “belum takut” maka varian teranyar yang ditemukan pada semester ke 2 tahun 2010 bahkan melengkapi informasi palsu seakan-akan banyak email mengandung virus yang terdeteksi di komputer tersebut. Jika korbannya masih tetap belum takut juga ia akan mengeluarkan pesan setiap beberapa menit sekali seakan-akan ada serangan virus Conficker dari jaringan. Bagi pengguna komputer awam tentunya langsung ketakutan dan memutuskan untuk membeli antivirus palsu ini. (lihat gambar 2)

Gambar 2, Peringatan palsu yang ditampilkan Rogue Antivirus untuk mengelabuui korbannya

Sekali korbannya memutuskan membeli antivirus yang ditawarkan, selain harus membayar antivirus palsu tersebut, data kartu kredit yang digunakan untuk membeli antivirus palsu ini yang akan digunakan untuk kegiatan Fraud. Selain itu, ibarat kata pepatah sudah jatuh ditimpa tangga komputer yang di instal antivirus palsu ini akan makin dalam terjerumus menjadi korban antivirus palsu ini karena sebenarnya di komputernya tidak pernah ada virus yang diinformasikan oleh antivirus palsu ini, malahan antivirus palsu ini menginstalkan spyware dan rootkit ke komputer korban. Antivirus palsu ini sangat aktif mengembangkan variannya dan hampir mustahil mengidentifikasi satu per satu karena ia akan selalu memanfaatkan metode baru menyebarkan dirinya. Hal ini terbukti dengan virus Oficla yang memanfaatkan nama Facebook untuk menyebarkan antivirus palsu dan virus Zbot yang ditengarai sebagai cikal bakal adanya Zeus botnet. Asal tahu saja, Zbot adalah salah satu varian antivirus palsu. Karena itu tidak salah kalau tahun 2010 dikatakan sebagai tahun antivirus palsu dan antivirus palsu / rogue antivirus dinobatkan sebagai Root of All Malware 2010.

Facebook

Kalau film The Social Network yang berkisah tentang pencipta Facebook menjadi film nomor satu, maka tidak heran jika para pengguna Facebook yang berjumlah 500 juta orang ini menjadi target yang menggiurkan bagi para penjahat cyber.

Phishing yang mengalami peningkatan paling banyak selama tahun 2010 adalah phishing untuk mencuri password pengguna Facebook. Hal ini terbukti dari kasus phishing yang tadinya mengincar pengguna internet banking guna mendapatkan keuntungan finansial. Tetapi seiring dengan meningkatnya metoda pengamanan pada internet banking dan nilai ekonomis akun Facebook yang mulai terlihat seperti token game Zinga dan kemudahan menyebarkan kode jahat melalui Facebook yang “dianggap” terpercaya (mana mungkin temanmu mencelakakan kamu dan siapapun akan dengan senanghati akan menerima dan menjalankan kiriman dari temannya). Khusus pengguna smartphone harap ekstra hati-hati jika mendapatkan link yang mengarahkan anda melakukan login pada akun facebook anda, sangat sulit mengidentifikasi keabsahan situs phishing karena keterbatasan ukuran layar maka alamat lengkap situs yang dituju tidak ditampilkan sehingga sulit melakukan pengecekan keabsahan situs dengan melihat alamatnya. Celakanya, hal ini diperparah dengan populernya layanan penyingkat url, salah satu yang paling populer adalah bit.ly, jangankan anda pengguna smartphone. Pengguna komputer sekalipun tidak akan dapat melihat alamat situs yang sebenarnya jika pembuatnya memanfaatkan layanan penyingkat URL seperti bit.ly. Selain akun Facebook, diluar akun transaksi finansial seperti Paypal dan online banking, akun lain yang rentan menjadi korban phishing adalah akun Yahoo dan MSN.

Virus Lokal

Virus lokal pada awal tahun 2010 terlihat kedodoran menghadapi serangan dari antivirus, baik antivirus buatan lokal maupun antivirus mancanegara dan penyebarannya mengalami penurunan yang signifikan. Tetapi memasuki kuartal ke tiga terlihat penyebarannya mengalami peningkatan dan kemampuannya menghindari pemindaian antivirus lokal dan mancanegara makin mengalami peningkatan. Hal ini terlihat dari penyebaran virus teranyar yang masuk ke laboratorium Vaksincom sampai dengan bulan September tahun 2010 yang mengadopsi penyebaran virus Shortcut yang secara de facto termasuk ke dalam virus yang paling banyak menyebar di kuartal ke 3 tahun 2010. Kelihatannya penyebaran virus lokal memanfaatkan metode yang sama akan banyak berkembang karena kemampuan virus Shortcut menduplikasikan dirinya dan hebatnya, walaupun dihasilkan oleh virus yang sama, duplikasinya sangat sulit terdeteksi oleh program antivirus lain. Kecuali beberapa program antivirus yang memiliki kemampuan heuristic yang mumpuni.

W32/Rontokbro.GOL

Yitnoss.B

By: X84YN

-- Yitnoss #YD Yitnosoft --

Masih ingat dengan virus Rontokbro, virus lokal yang menjadi inspirasi bagi munculnya virus-virus lokal saat ini dan mampu memberikan nuansa baru bagi perkembangan virus dan antivirus di nusantara bahkan sampai  bermunculan pendekar-pendekar VB yang mencoba untuk membuat penangkal virus tersebut.

Walaupun namanya mulai surut ia tetap menjadi inspirasi tersendiri bagi para pembuat virus lokal saat ini, walaupun virus lokal saat ini mempunyai daya serang yang berbeda-beda tetapi ada sebagian taktik atau ciri khas yang biasa digunakan oleh virus Rontokbro seperti melumpuhkan fungsi Windows, membuat file duplikat sampai aktif pada mode “safe mode” atau “safe mode with command prompt”.

Kini setelah lama tenggelam, Rontokbro muncul dengan trik yang sedikit berbeda dari sebelumnya tetapi akan tetap melakukan perubahan walupun tidak seganas varian sebelumnya, rupanya ia mencoba untuk menggunakan teknik lain agar tidak mudah dicurigai oleh user.

                                                                                                                         

Made in VB

Sama seperti varian sebelumnya, virus ini dibuat dengan menggunakan program Visual Basic dengan ukuran sekitar 118 KB. Kali ini ia tidak menggunakan icon “Folder” untuk mengelabui user karena saat ini user sudah mengetahui kelemahan tersebut, kali ini ia akan menyamarkan dirinya dengan menggunakan icon aplikasi sehingga tidak mengundang kecurigaan user, sebagai pendukung ia akan menggunakan type file sebagai “Application” (lihat gambar 1)

Gambar 1, Contoh file virus W32/Rontokbro.GOL

Dengan update terbaru Norman Security Suite mendeteksi file tersebut sebagai W32/Rontokbro.GOL (lihat gambar 2)

Gambar 2, Hasil deteksi Norman Security Suite

File induk W32/Rontokbro.GOL

Pada saat user menjalankan file yang sudah terinfeksi maka akan menampilkan jendela Windows Explorer kemudian akan membuat beberapa file induk yang akan di aktifkan secara otomatis pada saat komputer dinyalakan. Agar tidak dicurigai oleh user untuk setiap file induk yang dbuat akan mempunyai nama yang sama dengan nama file system Windows seperti [smss.exe, winlogon.exe, services.msc atau lsass.exe] tetapi jika anda jeli maka dengan mudah akan diketahui bahwa sebenarnya file tersebut merupakan file virus hanya dengan melihat lokasi penyimpanan file tersebut, berikut beberapa file yang akan dibuat oleh W32/Rontokbro.GOL (lihat gambar 3)

Gambar 3, W32/Rontokbro.GOL membuka Windows Explorer pada saat menjalankan file virus

• C:\Documents and settings\%user%\Local Settings\Application Data

-          Winlogon.exe

-          services.exe

-          lsass.exe

-          smss.exe

-          inetinfo.exe

-          Diah84.Yitn.oss.txt

-          csrss.exe

• C:\Windows\Inf\Yitnoss.exe
• C:\Documents and settings\%user%\Start Menu\Programs\Startup\YITNO.pif
• C:\Documents and Settings\%user%\Templates\B.Yitnoss.com

Agar file tersebut dapat dijalankan secara otomatis, ia akan membuat beberapa string pada registry berikut

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

-          X84-YitnoDiah = "C:\Documents and Settings\%user%\Local Settings\Application Data\smss.exe"

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

-          Diah-YitnosX84 = "C:\WINDOWS\INF\Yitnoss.exe"

Melumpuhkan fungsi skeuriti Windows

Untuk mempertahankan dirinya, ia akan melumpuhkan beberapa fungsi Windows seperti Task Manager, Regedit atau Folder Options dengan tujuan untuk mempersulit user melumpuhkan dirinya, selain itu komputer akan restart secara otomatis setiap kali user menjalankan tools, file atau folder yang mempunyai nama tertentu (biasanya berhubungan dengan security). Berikut beberapa string yang akan dibuat oleh virus untuk melumpuhkan beberapa fungsi Windows tersebut:

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

-          NoFolderOptions

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

-          DisableMD

-          DisableRegistryTools

Aksi lain yang digunakan oleh virus ini adalah merubah isi dari file Autoexec.bat dengan menambahkan string PAUSE (lihat gambar 4)

Gambar 4, W32/Rontokbro.GOL merubah file Autoexec.bat

Manipulasi Folder

Salah satu aksi yang dilakukan oleh W32/Rontokbro.GOL adalah membuat file duplikat disetiap folder dan subfolder, file duplikat ini akan mempunyai nama yang sama dengan folder atau subfolder target, anda  tidak perlu khawatir karena virus ini hanya akan membuat file duplikat  di Removable Disk termasuk Flash Disk saja, dengan ciri-ciri : (lihat gambar 5)

-          Menggunakan icon Aplikasi

-          Type file “Application”

-          Ukuran file 118 KB

Gambar 5, File  duplikat W32/Rontokbro.GOL

Koleksi alamat email

Sama seperti yang dilakukan oleh versi sebelumnya, ia akan mengambil semua alamat email yang didapatkan di komputer target, alamat ini akan disimpan di sebuah folder berikut dalam bentuk file dengan ekstensi INI

C:\Documents and settings\%user%\Local Settings\Application Data\Loc.Mail.Bron.Tok (lihat gambar 6)

Gambar 6, Aktivitas pengumpulan alamat email oleh Rontokbro

Virus ini juga akan membuat direktori lain pada direktori

C:\Documents and settings\%user%\Local Settings\Application Data

-          84-DiahLove-Yitn-oss

-          Yitn.oss-3-27

-          Yitn.oss-3-31

Media penyebaran

Sebagai upaya untuk menyebarkan dirinya, ia akan memanfaatkan removable disk termasuk Flash Disk dengan membuat sebuah file dengan nama DATA %user%.exe (%user% ini merupakan nama account user saat login Windows) serta membuat file duplikat di setiap folder dan subfolder dengan nama yang sama dengan folder/subfolder tersebut.

Cara mengatasi W32/Rontokbro.GOL

1.    Disable "System Restore" (Windows XP/Vista/Windows 7) selama proses pembersihan dilakukan

2.    Matikan  proses yang aktif di memory, Norman Security Suite Pro yang dilengkapi dengan fitur Advanced System Reporter yang dirancang khusus untuk mengetahui dan monitoring proses yang aktif di memori serta mempunyai kemampuan untuk mematikan proses virus sekaligus menghapus registry startup dari virus tersebut menjadi salah satu tools alternatif yang dapat digunakan untuk mengganti tools Task Manager  yang diblok oleh W32/Rontokbro.GOL.

Berikut langkah untuk mematikan proses virus yang aktif di memori dengan menggunakan Advanced System Reporter (lihat gambar 7)

-          Pada aplikasi Advanced System Reporter, klik tabulasi “Other”

-          Klik kanan pada file virus [lsass.exe, services.exe dan winlogon.exe atau file lain] yang berada di direktori “C:\Documents and settings\%user%\Local Settings\Application Data”

-          Klik “Terminate Process”

-          Klik “Yes”

Gambar 7, Norman Advance System Reporter

            Untuk menghapus registry autostart yang dibuat oleh virus, lakukan langkah berikut

-          Klik tabulasi “Autostart”

-          Klik kanan file virus [smss.exe dan Yitnoss.exe] atau file lain yang berada didirektori “C:\Documents and settings\%user%\Local Settings\Application Data”

-          Klik “Terminate Process” jika proses tersebut masih aktif

-          Kemudian klik “Remove Autorun” untuk menghapus registry autostart yang telah dibuat oleh virus (lihat gambar 8)

Gambar 8, Gunakan Advance System Reporter untuk menghapus proses virus

3.    Pulihkan registri yang sudah diubah oleh virus, untuk mempercepat proses pemulihan silahkan salin script berikut pada program notepad kemudian simpan dengan nama REPAIR.INF, Install file tersebut dengan cara [Klik kanan REPAIR.INF | Install]

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, X84-YitnoDiah

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Diah-YitnosX84

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableCMD

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

4.    Hapus file induk dan file duplikat yang dibuat oleh virus dengan menggunakan fungsi Search Windows  di semua Drive termasuk Removable Disk [Flash Disk] (lihat gambar 9)

Gambar 9, Gunakan fasilitas Search Windows untuk mencari dan menghapus file virus secara manual jika antivirus anda tidak mengenali virus ini.

Kemudian hapus file berikut:

• C:\Documents and settings\%user%\Local Settings\Application Data

-          Winlogon.exe

-          services.exe

-          lsass.exe

-          smss.exe

-          inetinfo.exe

-          Diah84.Yitn.oss.txt

-          csrss.exe

• C:\Windows\Inf\Yitnoss.exe
• C:\Documents and settings\%user%\Start Menu\Programs\Startup\YITNO.pif
• C:\Documents and Settings\%user%\Templates\B.Yitnoss.com

Hapus juga file/folder berikut:

C:\Documents and settings\%user%\Local Settings\Application Data

-          84-DiahLove-Yitn-oss

-          Yitn.oss-3-27

-          Yitn.oss-3-31

-          Diah84.Yitn.oss.txt

5.    Untuk pebersihan optimal silahkan install dan scan dengan antivirus yang up-to-date,  anda juga dapat menggunakan tools Norman Malware Cleaner, silahkan download di alamat berikut:

Http://www.norman.com/support/support_tools/58732/en