Dengan update terbaru Norman Virus Control sudah dapat mendeteksi virus ini dengan baik (lihat gambar 1)
Gambar 1, Norman Virus Control mendeteksi virus VBS/Smalltroj. XSR
Setelah virus tersebut menginfeksi komputer ia akan membuat beberapa file induk yang diantaranya akan dijalankan setiap kali komputer dinyalakan / restart, file ini akan dibuat secara acak disetiap Drive/folder/ subfolder. Berikut beberapa file induk yang akan di buat oleh VBS/Smalltroj. XSR :
* Autorun.inf
* Dataku.vbs
* New File.vbs
* Money.vbs
* Hasil.vbs
* Readme.vbs
* C:\Windows\System. vbs
* C:\Windows\readme. vbs
* C:\Documents and Settings\%user% \My Documents\Cerita 17.txt.vbs
* C:\Documents and Settings\%user% \Application Data\Adobe.vbs
Agar file tersebut dapat dijalankan secara otomatis setiap kali komputer dinyalakan / restart ia akan membuat string pada registry berikut:
* HKCU\Software\ Microsoft\ Windows\CurrentV ersion\Run
Adobe = C:\Document and settings\%user% \Favorites\ adobe.lnk
Untuk mempertahankan dirinya, ia akan blok beberapa fungsi windows seperti:
* Registry editor
* Msconfig
* Task manager
* Cmd
* Menu Run
* Folder Options
Untuk melakukan hal tersebut ia akan membuat beberapa string pada registry berikut:
· HKEY_CURRENT_ USER\Software\ Microsoft\ Windows\CurrentV ersion\Policies\ Explorer
§ NoFileAssociate
§ NoFind
§ NoFolderOptions
§ NoRun
· HKEY_CURRENT_ USER\Software\ Microsoft\ Windows\CurrentV ersion\Policies\ System
§ DisableCMD
§ DisableRegedit
· HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\CurrentV ersion\policies\ system
§ DisableTaskmgr
· HKCU\Software\ Microsoft\ Windows\CurrentV ersion\Explorer\ Advanced
§ HideFileExt = 1
· HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\CurrentV ersion\Explorer\ Advanced\ Folder\SuperHidd en
§ CheckedValue = 2
§ DefaultValue = 2
Mengganti program maintenance komputer dengan Notepad.
Jangan kaget jika setiap kali mencoba untuk menjalankan regedit / msconfig / cmd / taskmanager bahkan saat anda mencoba untuk melakukan instalasi program / software yang akan muncul adalah program notepad, karena hal ini juga di lakukan untuk antisipasi agar dirinya susah untuk di bersihkan. Untuk melakukan hal tersebut ia akan membuat string pada registr berikut :
· HKLM\SOFTWARE\ Microsoft\ Windows NT\CurrentVersion\ Image File Execution Options\cmd. exe
§ Debugger = Notepad.exe
· HKLM\SOFTWARE\ Microsoft\ Windows NT\CurrentVersion\ Image File Execution Options\msconfig. exe
§ Debugger = Notepad.exe
· HKLM\SOFTWARE\ Microsoft\ Windows NT\CurrentVersion\ Image File Execution Options\regedit. exe
§ Debugger = Notepad.exe
· HKLM\SOFTWARE\ Microsoft\ Windows NT\CurrentVersion\ Image File Execution Options\regedt32. exe
§ Debugger = Notepad.exe
· HKLM\SOFTWARE\ Microsoft\ Windows NT\CurrentVersion\ Image File Execution Options\TaskMgr. exe
§ Debugger = Notepad.exe
· HKLM\SOFTWARE\ Microsoft\ Windows NT\CurrentVersion\ Image File Execution Options\attrib. exe
§ Debugger = Notepad.exe
· HKLM\SOFTWARE\ Microsoft\ Windows NT\CurrentVersion\ Image File Execution Options\install. exe
§ Debugger = Notepad.exe
· HKLM\SOFTWARE\ Microsoft\ Windows NT\CurrentVersion\ Image File Execution Options\setup. exe
§ Debugger = Notepad.exe
Logoff jika akses Regedit / VBS file
Dalam rangka melindungi dirinya dari pembasmian, virus ini menambahkan blok akses file INF/VBS dan Registry file sehingga jika user menjalankan file yang mempunyai ekstensi tersebut maka komputer akan langsung logoff. Untuk melakukan hal tersebut ia akan membuat string pada registry berikut:
· HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\VBSFile\ Shell\Edit\ Command
§ Default = logoff.exe
· HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\inffile\ Shell\Install\ Command
§ Default = logoff.exe
· HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\regfile\ Shell\open\ Command
§ Default = logoff.exe
· HKCR\inffile\ shell\Install\ command
§ Default = logoff.exe
· HKCR\regfile\ shell\open\ command
§ Default = logoff.exe
· HKCR\VBSFile\ Shell\Edit\ Command
§ Default = logoff.exe
Membuat file duplikat dengan ekstensi VBS
Sebagai penutup dan merupakan target utama adalah ia akan mencoba untuk menyembunyikan file MS Word (.DOC). Untuk mengelabui user ia akan membuat file duplikat sesuai dengan nama file yang disembunyikan tersebut dengan ciri-ciri (lihat gambar 2) :
* Icon MS Word
* Ukuran file 9 KB
* Ekstensi DOC.VBS (ekstensi VBS ini akan disembunyikan)
* Type file "Microsoft Word Document"
Gambar 2, File duplikat virus VBS/Smalltroj. XSR
Untuk merubah icon file / type file dan menyembunyikan ekstensi VBS ini, ia akan merubah string pada registry berikut:
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\VBSFile
o Default = Microsoft Word Document
o NeverShowExt
o FriendlyTypeName = Microsoft Word Document
* HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\VBSFile\ DefaultIcon
o Default = C:\WINDOWS\Installe r\{90110409- 6000-11D3- 8CFE-0150048383C 9}\wordicon. exe,1
Selain itu VBS/Smalltroj. XSR juga akan membuat file duplikat disetiap folder / subfolder jika di dalam folder / subfolder tersebut terdapat file yang mempunyai ekstensi XLS/ZIP/RAR/ PDF atau file gambar (file aslinya tidak akan disembunyikan) dengan ciri-ciri (lihat gambar 3) :
* Icon MS.Word
* Ukuran file 9 KB
* Ekstensi VBS (ekstensi VBS ini akan disembunyikan)
* Type file "Microsoft Word Document"
Gambar 3, File duplikat VBS/Smalltroj. XSR
Sebagai media penyebaranya ia akan menggunakan flash disk (usb) dengan membuat file berikut dengan ukuran 9 kb dan menggunakan icon MS Word.
* Autorun.inf
* Dataku.vbs
* New File.vbs
* Money.vbs
* Hasil.vbs
Serta membuat file duplikat disetiap folder/subfolder, file duplikat ini akan dibuat jika di dalam folder/subfolder tersebut terdapat file yang mempunyai ekstensi DOC/XLS/ZIP/ RAR/PDF atau file gambar.
Agar VBS/Smalltroj. XSR ini dapat aktif secara otomatis setiap kali user akses ke dalam Drive/Flash Disk, ia akan memanfaatkan file Autorun.inf dimana di dalam file tersebut akan terdapat script untuk menjalankan file virus (Dataku.vbs) , berikut script yang ada pada file Autorun.inf. (lihat gambar 4)
Gambar 4, Script AutoRun.inf VBS/Smalltroj. XSR
Cara membersihkan VBS/Smalltroj. XSR :
1. Matikan proses virus yang aktif dimemori (file wscript.exe). Untuk mempermudah dalam mematikan proses tersebut Anda dapat menggunakan tools pengganti task manager seperti Proceexp
http://download. sysinternals. com/Files/ ProcessExplorer. zip
2. Ubah kembali string INF file pada registry karena untuk menghapus sisa registry ini kita akan tetap menggunakan file repair.inf. Perubahan ini dilakukan karena virus ini akan blok akses ke file INF file registry maupun file vbs.
Untuk merubah string tersebut dapat menggunakan tools pengganti registry editor seperti RegAlizer, silahkan download di alamat
http://www.safer- networking. org/files/ regalyz.exe
Setelah program tersebut berhasil di install dan dijalankan kemudian telusuri lokasi HKEY_CLASSES_ ROOT\inffile\ shell\Install\ command dan HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\inffile\ shell\Install\ command kemudian ganti string default menjadi C:\Windows\System32 \rundll32. exe setupapi,InstallHin fSection DefaultInstall 132 %1
Catatan:
Jika komputer anda terinstall Windows NT/2000 ganti script Windows menjadi Winnt
3. Hapus sisa string registry yang dibuat virus. Untuk mempercepat proses penghapusan silahkan copy script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf. Jalankan file tersebut dengan cara:
· Klik kanan repair.inf
· Klik Install
Berikut script yang harus Anda copy:
[Version]
Signature="$ Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\ batfile\shell\ open\command, ,,"""%1"" %*"
HKLM, Software\CLASSES\ comfile\shell\ open\command, ,,"""%1"" %*"
HKLM, Software\CLASSES\ exefile\shell\ open\command, ,,"""%1"" %*"
HKLM, Software\CLASSES\ piffile\shell\ open\command, ,,"""%1"" %*"
HKLM, Software\CLASSES\ regfile\shell\ open\command, ,,"regedit. exe "%1""
HKLM, Software\CLASSES\ scrfile\shell\ open\command, ,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet00 1\Control\ SafeBoot, AlternateShell, 0, "cmd.exe"
HKLM, SYSTEM\ControlSet00 2\Control\ SafeBoot, AlternateShell, 0, "cmd.exe"
HKLM, SYSTEM\CurrentContr olSet\Control\ SafeBoot, AlternateShell, 0, "cmd.exe"
HKLM, SOFTWARE\Classes\ exefile\DefaultI con,,,"%1"
HKLM, SOFTWARE\Classes\ VBSFile,, ,"VBScript Script file"
HKLM, SOFTWARE\Classes\ VBSFile\DefaultI con,,,"C: \WIndows\ System32\ WScript.exe, 2"
HKLM, SOFTWARE\Classes\ VBSFile\Shell\ Edit\Command, ,,"C:\WIndows\ system32\ notepad.exe %1"
HKLM, SOFTWARE\Microsoft\ Windows\CurrentV ersion\Explorer\ Advanced\ Folder\SuperHidd en,UncheckedValu e,0x00010001, 1
HKLM, SOFTWARE\Microsoft\ Windows\CurrentV ersion\Explorer\ Advanced\ Folder\SuperHidd en,CheckedValue, 0x00010001, 0
HKLM, SOFTWARE\Microsoft\ Windows\CurrentV ersion\Explorer\ Advanced\ Folder\SuperHidd en,DefaultValue, 0x00010001, 0
HKLM, SOFTWARE\Classes\ VBSFile, FriendlyTypeName, 0,"@C:\Windows\ System32\ wshext.dll, -4802"
[del]
HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ Explorer, NoFolderOptions
HKCU, Software\Microsoft\ Windows\CurrentV ersion\Run, Adobe
HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ Explorer, NoDesktop
HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ Explorer, NoFileAssociate
HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ Explorer, NoFolderoptions
HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ Explorer, NoRun
HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ Explorer, NoFind
HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ System, DisableCMD
HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ System, DisableRegistryTool s
HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ System, DisableRegedit
HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ System, DisableTaskMgr
HKLM, SOFTWARE\Microsoft\ Windows\CurrentV ersion\policies\ system, DisableTaskmgr
HKLM, SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ Image File Execution Options\cmd. exe
HKLM, SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ Image File Execution Options\msconfig. exe
HKLM, SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ Image File Execution Options\regedit. exe
HKLM, SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ Image File Execution Options\regedt32. exe
HKLM, SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ Image File Execution Options\TaskMgr. exe
HKLM, SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ Image File Execution Options\attrib. exe
HKLM, SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ Image File Execution Options\install. exe, Debugger
HKLM, SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ Image File Execution Options\setup. exe, Debugger
HKLM, SOFTWARE\Classes\ VBSFile, NeverShowExt
4. Hapus file duplikat maupun file induk virus termasuk di Flash Disk dengan ciri-ciri:
· Icon VBS
· Ekstensi .DOC.VBS dan VBS
· Ukuran 9 KB
Untuk mempercepat proses pencarian dan penghapusan tersebut, Anda dapat menggunakan fungsi Search Windows dengan terlebih dahulu menampilkan file/folder yang disembunyikan (gunakan Folder Options).
Jika setelah menjalankan repair.inf tetapi Folder Option belum tampil, sebaiknya Logoff komputer terlebih dahulu setelah itu baru tampilkan file/folder yang disembunyikan, setelah semua file/folder berhasil ditampilkan kemudian cari dan hapus file virus dengan menggunakan Search Windows seperti terlihat pada gambar 5 di bawah ini:
Gambar 5, Hasil pencarian file virus
Hapus juga file AutoRun.inf disetiap Drive termasuk di Flash Disk.
5. Tampilkan file MS.Word (DOC) yang disembunyikan dengan menggunakan perintah attrib -s -h *.doc /s pada dos prompt dengan terlebih dahulu menempatkan posisi kursor dilokasi folder/drive yang akan di periksa.
6. Untuk pembersihan optimal dan mencegah infeksi ulang, silahkan scan dengan menggunakan antivirus yang up-to-date dan sudah dapat mendeteksi virus ini dengan baik.
VBS/Smalltroj. XSR 18 Desember 2007
Buka file inf (Regedit) langsung Log Off, buka MSConfig dapat Notepad
Salah satu virus yang cukup merepotkan dan saat ini sedang menyebar adalah jenis VBS/Smalltroj. XSR. Virus ini sebenarnya dibuat dengan menggunakan VBScript, suatu program sederhana tetapi mempunyai kemampuan yang patut diperhitungkan. Ukuran virus ini lumayan kecil sekitar 9 KB dan tetap mengusung icon VBS. Harap berhati-hati jika virus ini sudah mulai menginfeksi komputer maka ia akan melakukan serangkaian perubahan pada registry diantaranya akan merubah type file dari "VBScript Script file" menjadi "Microsoft Word Document" dan merubah icon "VBS" menjadi icon "MS Word", inilah salah satu rekayasa sosial yang akan digunakan oleh VBS/Smaltroj. XSR. Dilengkapi dengan kemampuan untuk membuat file duplikat disetiap folder dan subfolder, file duplikat ini akan dibuat jika di dalam folder tersebut terdapat file dengan ekstensi XLS/DOC/ZIP/ RAR/PDF atau file gambar, khusus untuk file dengan ekstensi DOC akan disembunyikan.
[get this widget]
Virus dengan ukuran 198 KB ini secara umum sebenarnya tidaklah terlalu jahat karena tidak sampai merusak data. Dia hanya menyembunyikan folder/subfolder dan akan membuat file duplikat di dalam Flash Disk. Namun menurut pantauan Vaksincom di forum tanya jawab virus resmi Vaksincom http://forum. vaksin.com, virus Tati.my.love merupakan virus yang paling banyak menyebar di Indonesia. Sebenarnya Tati sudah menyebar sejak Desember 2007, dan diperkirakan ribuan komputer di Indonesia sudah terinfeksi virus ini dan puncak penyebarannya adalah kuartal pertama tahun 2008.
Untuk mengelabui user ia akan menggunakan icon menyerupai Folder dengan ukuran 198 KB (lihat gambar 1), Norman Virus Control dengan update terakhir sudah dapat mendeteksi virus ini dengan nama Trojan:W32/Autorun. AQK. (lihat gambar 2)
Gambar 1, File induk Trojan:W32/Autorun. AQK menggunakan icon folder
Gambar 2, Norman Virus Control mendeteksi virus Tati sebagai W32/Autorun. AQK
Jika virus ini sudah menginfeksi komputer, ia akan membuat beberapa file induk dengan nama tati.exe di 2 lokasi yakni:
*
C:\Windows
*
C:\Documents and Settings\All Users\Start Menu\Programs\ Startup
Trojan:W32/Autorun. AQK juga akan membuat string pada registry berikut sehingga jika user akses ke Drive maka secara tidak langsung akan menjalankan dirinya:
*
HKEY_CURRENT_ USER\Software\ Microsoft\ Windows\CurrentV ersion\Explorer\ MountPoints2\ {9bc849ac- 6d5f-11dc- b18f-00016ccdd52 4}\Shell\ AutoRun\command
o
Default = tati.exe
*
HKEY_USERS\S- 1-5-21-527237240 -2052111302- 839522115- 1003\Software\ Microsoft\ Windows\CurrentV ersion\Explorer\ MountPoints2\ {9bc849ac- 6d5f-11dc- b18f-00016ccdd52 4}\Shell\ AutoRun\command
o
Default = tati.exe
Untuk varian awalnya W32/Autorun. AQK tidak akan melakukan blok terhadap fungsi Windows sehingga lebih mudah untuk dibersihkan.
Memalsukan diri sebagai folder
Harap berhati-hati, jika anda menemukan folder yang agak aneh (Folder dengan ekstensi SCR, Type "Screensaver" , ukuran 198 KB) di dalam flash disk sebaiknya jangan di jalankan karena W32/Autorun. AQK akan melakukan penipuan dengan membuat file duplikat di dalam flash disk tersebut disetiap folder dan subfolder. Perlu anda ketahui, Folder yang asli tidak akan memiliki ukuran (size), Type = File Folder dan tidak memiliki ekstensi. File duplikat yang dibuat akan mempunyai nama file yang sama dengan nama folder aslinya tetapi mempunyai ekstensi .SCR (screen saver) sedangkan folder asli tersebut akan disembunyikan. Perhatikan gambar dibawah 3 ini
Gambar 3, File duplikat menyerupai folder dibuat oleh W32/Autorun. AQK
Autorun.AQK juga akan membuat file Autorun.inf dan file tati.exe pada Flash Disk dengan tujuan agar virus dapat aktif secara otomatis dengan hanya mencolokkan Flash Disk tersebut ke komputer. File Autorun.inf ini berisi script untuk menjalankan file tati.exe tersebut. (lihat gambar 4)
Gambar 4, Isi file Autorun.inf yang dikopikan ke Flash Disk
Virus ini juga akan membuat sebuah file dengan nama tati.my.love. txt yang berisi ungkapan perasaan kepada sang kekasih (lihat gambar 5).
]
Gambar 5, Isi file tati.my.love. txt
Cara membersihkan Trojan:W32/Autorun. AQK
1.
Matikan "system restore" selama proses pembersihan berlangsung (jika anda menggunakan Windows XP). Disarankan untuk melakukan pembersihan virus pada Safe Mode.
2.
Matikan proses virus dengan nama tati.exe (icon Folder). Untuk mematikan proses virus tersebut silahkan gunakan tools seperti "proceexp". Tools ini dapat di download di alamat :
http://download. sysinternals. com/Files/ ProcessExplorer. zip
(lihat gambar 6)
Gambar 6, Gunakan Process Explorer untuk mematikan proses W32/Autorun. AQK
3.
Cari dan hapus file dengan nama tati.exe didirektori
*
C:\Windows
*
C:\Documents and Settings\All Users\Start Menu\Programs\ Startup
4.
Hapus file duplikat yang dibuat pada Flash Disk Anda. Untuk mempercepat proses penghapusan, Anda dapat menggunakan menu "Search Windows". Sebelum melakukan pencarian sebaiknya tampilkan terlebih dahulu file/folder yang disembunyikan. Berikut cara untuk menampilkan file/folder yang disembunyikan dan mencari file virus.
*
Buka [Windows Explorer]
*
Klik menu [Tools], kemudian klik [Folder Options]
*
Pada layar "Folder Options", klik tabulasi [View]
*
Pada folder [Hidden files and folders], hilangkan tanda centang pada opsi [Hide extensions for known file types] dan [Hide protected operating system files (recommended) ] (lihat gambar 7)
Gambar 7, Menampilkan file/folder yang disembunyikan
*
Klik tombol [Ok]
*
Untuk mencari dan menghapus file virus, buka Windows Explorer, kemudian klik kanan di lokasi Flash Disk, kemudian klik "Search..."
*
Setelah muncul layar "Search Result", pada kolom "All or part of the file name" isi dengan ekstensi *.SCR
*
Pada kolom "Look in" pastikan sudah menuju ke lokasi Flash Disk yang akan di periksa.
*
Klik menu "What size is it", kemudian pilih opsi "Specify size (in KB)
o
Pilih "at most"
o
Isi dengan ukuran "198"
*
Klik menu "More Advanced option", kemudian pilih opsi
o
Searh system folders
o
Search hidden files and folders
o
Search subfolders
*
Kemudian klik tombol "Search" untuk memulai proses pencarian
(lihat gambar 8)
Gambar 8, Mencari file duplikat W32/Autorun. AQK
*
Setelah berasil ditemukan, hapus file virus yang mempunyai ukuran 198 dengan ekstensi SCR (Screen Saver) dengan icon "Folder"
5.
Tampilkan kembali file/folder yang sudah disembunyikan oleh virus pada Flash Disk Anda dengan cara:
*
Klik [Start] menu
*
Klik [Run]
*
Pada dilaog box [Run] ketik "CMD" tanpa tanda kutip, kemudian tekan tombol [Ok].
*
Setelah muncul Dos Prompt, pindahkan kursor ke lokasi Flash Disk. Contoh jika Flash Disk anda adalah E: maka ketika perintah E: kemudian tekan tombol [Enter].
*
Setelah kursor berada di drive E (Flash Disk), ketik perintah
ATTRIB –s –h /s /d (lihat gambar 9)
Gambar 9, Mengembalikan file / folder yang disembunyikan oleh virus
6.
Untuk pembersihan optimal dan mencegah infeksi ulang, install dan scan dengan Norman Virus Control yang terupdate dan sudah mengenali virus ini dengan baik.
Trojan:W32/Autorun. AQK 16 Januari 2008
Tati My Love
Duhai Adinda tercinta ----
Perjalanan tiga hari tiga malam mengarungi samudera
-------Seumur hidup diri ini takkan lupa
Jika anda menemukan file dengan nama tati.my.love. txt pada Flash Disk atau tiba-tiba semua folder berubah mempunyai ekstensi SCR (Screen Saver) segera lakukan pengecekan terhadap komputer Anda karena kemungkinan Autorun.AQK sudah menginfeksi komputer anda.
[get this widget]
Jika kita menilik apa yang terjadi di tahun 2007, dimana virus lokal masih merajai tangga virus Indonesia, di tahun 2008 diperkirakan masih tetap akan di dominasi oleh virus lokal yang bahkan beberapa virus akan mulai mendunia karena beberapa virus lokal di tahun 2007 yang tadinya mengandalkan penyebaran melalui UFD (USB Flash Disk) sehingga penyebaran efektif hanya di Indonesia saja sudah mulai mengadopsi teknik penyebaran virus mancanegara seperti memanfaatkan email dan internet. Apa dasar kami mengatakan virus lokal masih akan tetap mendominasi ?? Dasarnya adalah karena penetrasi internet di Indonesia sampai dengan tahun 2007 masih rendah < 20 %. Bandingkan dengan negara tetangga kita yang beberapa bahkan sudah mencapai penetrasi internet > 60 %. Penetrasi yang rendah ini memiliki sisi lain dimana potensi perkembangan market internet di Indonesia masih tinggi, apalagi penduduk Indonesia yang jumlahnya sangat besar dan merupakan nomor 4 terbanyak di dunia. Jika penetrasi internet meningkat 10 % saja, maka artinya jumlah orang yang melek internet bertambah 20 juta orang. Otomatis komunitas VM (Virus Maker) akan tertambah dan hal ini memiliki korelasi langsung dengan jumlah virus lokal yang akan beredar di Indonesia. Jadi virus-virus lokal baru yang di ilhami oleh Rontokbro atau sejenis Kespo yang menghancurkan data komputer anda akan tetap bermunculan sehingga pengguna komputer sangat disarankan untuk disiplin melakukan backup atas data-data pentingnya.
Virus Messenger
Virus yang menyerang IM (Instant Messaging) akan meningkat di tahun 2008, seiring dengan tingginya penetrasi messaging ini maka para pengguna instant messaging harus berhati-hati menerima kiriman link melalui YM, "sekalipun" dari orang yang anda kenal karena sekali virus IM menginfeksi rekan anda, tanpa sepengetahuannya virus IM akan menggunakan account IM tersebut untuk menyebarkan dirinya dan biasanya hal ini dipadukan dengan phishing website yang tujuannya selain menyebarkan dirinya secara efektif juga untuk mendapatkan username dan password IM dari korbannya. Ada dua cara agar anda tidak menjadi korban dari virus IM seperti Sohanad ini, pertama tentunya instal antivirus dengan update terbaru dan memiliki kemampuan untuk melindungi anda dari serangan virus IM dimana setiap file yang dikirimkan via IM akan di scan oleh antivirus. Tetapi jangan lupa bahwa virus sekarang juga tidak kalah cerdas dimana ia tidak akan mengirimkan dirinya baik melalui lampiran email maupun IM melainkan ia hanya mengirimkan link dirinya sehingga tidak bisa di blok atau dihentikan oleh antivirus, karena itulah pengguna komputer tetap merupakan ujung tombak perlindungan komputernya sendiri dimana jika mendapatkan link yang "menarik" sebaiknya harus berhati-hati mendownload apapun dari internet dan jangan langsung dijalankan sebelum menginvestigasi atau melakukan tindakan pencegahan. Solusi kedua supaya anda tidak menjadi korban phishing yang bertujuan untuk mendapatkan username dan password anda adalah dengan cara menggunakan Sign In Seal. Cara kerja Sign In Seal adalah setiap kali anda ingin melakukan login akan mendapatkan tampilan gambar, teks atau warna yang telah anda daftarkan terlebih dahulu. Contohnya setiap kali anda login maka anda akan mendapatkan gambar foto anak anda atau foto pacar anda.
Eksploitasi celah keamanan aplikasi pihak ke tiga
Bagaimana jika anda petinju dan menghadapi musuh yang badannya lebih besar dan jelas-jelas lebih kuat dari anda. Apakah anda akan berhadapan langsung dan melakukan penyerangan frontal ? Jika anda strategis sejati, tentunya anda akan memilih taktik hit and run. Hal ini rupanya juga terjadi di dunia sekuriti dimana perkembangan perbaikan (patching) celah keamanan Operating System MS Windows yang selama ini menjadi incaran para pembuat virus makin membaik dan automatic update menyebabkan beberapa virus seblumnya yang bermunculan suskses mengeksploitasi celah keamanan ini kurang sukses di thaun 2007 karena komputer MS Windows seperti XP dan Vista pada umumnya dilindungi dengan kemampuan update patch otomatis, dimana setiap kali muncul celah keamanan, maka dalam bilangan hari patch tersebut sudah disebarkan secara otomatis. Tetapi sekali lagi pembuat virus juga manusia yang tidak bego, jika patching OS Windowsnya cepat, sekarang yang mendapatkan giliran diserang adalah aplikasi pihak ketiga yang populer dan patchingnya tidak secepat OS Windows seperti Adobe, Firefox, Open Office, Thunderbird dan Winzip. Tujuan akhir masih tetap menguasai komputer / OS Windows tetapi caranya yang berbeda. Hal ini terbukti dari serangan virus terakhir Worm Pidief yang mengeksploitasi celah keamanan Adobe Acrobat guna menyebarkan dirinya.
Spyware
Peningkatan pengakses internet secara otomatis akan meningkatkan penyebaran spyware. Mengapa ? Seperti kita ketahui hukum piramida, dimana pengakses internet awam adalah yang paling banyak dan berada di dasar piramida. Celakanya pengguna internet awam ini yang mungkin masih baru berkenalan dengan internet tentunya akan antusias sekali mengklik apapun yang bisa di klik. Dengan dasar pengetahuan dan pengalaman (jam terbang) internet yang rendah dengan mudah pengguna awam ini akan masuk perangkap pembuat spyware. Bahaya lain dari spyware adalah bagi anak-anak, karena salah satu sponsor utama dari spyware adalah situs-situs dewasa (porno) yang sekalipun spywarenya bisa dibasmi oleh antivirus atau antispyware, tetapi situs porno ini tidak termasuk malware sehingga ancaman pornografi bagi anak cukup tinggi. Jadi, jika anda mempunyai anak yang mulai anda kenalkan dengan internet, selain menggunakan antivirus yang memiliki kemampuan melindungi dari spyware. Masukkan dalam pertimbangan anda untuk mencari produk antivirus yang memiliki fitur Parental Control. Nama keren dari Parental Control adalah Web Filtering, dimana fitur ini akan mengkategorikan situs dan dapat membatasi akses pengguna tertentu pada situs-situs yang terlarang.
Spam
Spam tetap menjadi masalah besar di dunia dan Vaksincom melihat trend spammer dari Indonesia mulai meningkat (walupun saat ini masih jauh dibandingkan spammer RRC dan Amerika). Selain meningkatkan jumlah email sampah yang diterima pemilik email dan menghabiskan bandwidth, yang menjadi akibat sampingan dari SPAM adalah para pengguna email yang akan menjadi korban pertempuran antara Spammer dengan Blacklist Company. Dimana spammer akan berusaha untuk menguasai komputer yang memiliki koneksi broadband (baik menggunakan virus atau hacking) dan menggunakannya untuk menyebarkan spam. Hal ini akan mengakibatkan IP tersebut masuk ke dalam Blacklist sehingga email yang dikirimkan dari IP tersebut akan ditolak semuanya. Terlebih lagi jika anda menggunakan IP Dynamic (pengguna dial up) dimana tiap kali anda terkoneksi ke internet anda akan mendapatkan IP baru yang dipakai beramai-ramai bersama pengguna dial up lain. Jika IP tersebut sebelumnya digunakan untuk spamming, maka anda akan mengalami kesulitan mengirimkan email dari IP tersebut. Mau komplain dan membuka Blacklist IP anda juga percuma, karena setelah anda putuskan hubungan dan dial kembali, IP yang anda buka tadi akan diberikan kepada pengguna Dial up lain.
Keamanan Transaksi keuangan
Jika anda pengguna internet banking dan sadar akan sekuruti, tentunya anda sekarang menghindari internet banking dari warnet, tidak menggunakan internet banking yang hanya mengandalkan Username dan Password tanpa pengamanan tambahan TFA (Two Factor Authentication) . Salah satu pengamanan yang populer digunakan adalah pengamanan transaksi internet banking dengan Kalkulator PIN (Token) dimana kalkulator PIN tersebut menggunakan One Time Password yang hanya dapat digunakan sekali saja dan berubah setiap kali transkasi dan hanya diketahui urutannya oleh Token yang anda gunakan dan server internet banking. Tetapi sekali lagi, Security is a Process. Satu-satunya cara agar anda aman dalam bidang sekuriti adalah selalu waspada dan mengikuti perkembangan terakhir, tidak ada pengamanan yang sempurna dan menjamin aman selamanya. Meskipun secara teori pengamanan internet banking dengan token sulit ditembus, tetapi dengan kombinasi virus lokal yang mengubah Host file komputer korbannya digabungkan dengan teknik Phishing website akan mampu mengelabui pengguna internet banking dengan perlindungan Token sekalipun.
Sasaran Tembak 2008, Windows Vista
Jika sasaran tembak di tahun 2007 adalah Windows XP, maka dapat dipastikan sasaran tembak di tahun 2008 adalah Windows Vista. Menurut pengetesan di lab virus Vaksincom, banyak virus lokal yang sudah mampu menginfeksi Windows Vista dan untuk mencapai kemampuan penyebaran yang tinggi rasanya hanya masalah waktu saja. Karena itu pengguna Windows Vista disarankan untuk tidak terlena dan selalu waspada dari serangan malware di tahun 2008.
Trend Serangan Malware 2008 dan Antisipasinya 12 Februari 2008
Artikel Majalah Chip Januari 2008
Apa gunanya kita belajar Sejarah ? Apakah hanya untuk mengetahui apa yang pernah terjadi dimasa lalu, menyimpan kenangan indah jaman Majapahit dan Sriwijaya yang pernah menjadi salah satu pusat budaya dunia ? Walaupun memang terbukti saat ini budaya Indonesia diminati oleh beberapa negara tetangga :P. Tetapi rasanya percuma kalau kita belajar sejarah hanya untuk berbangga dan bilang ....... Dulu kita pernah lho menjadi pusat budaya dunia lhoooo.. !! Yang penting sekarang adalah bagaimana kita belajar dari apa yang pernah terjadi dimasa lalu, menghindari kesalahan yang pernah dilakukan demi kemajuan kita dimasa depan. Demikian pula halnya dengan evaluasi malware yang dilakukan oleh Vaksincom, tujuannya bukan untuk berbangga bahwa orang Indonesia pintar-pintar bikin virus lhooo.... atau Huebat !! ...... virusnya bisa sampai ke mancanegara. Tetapi yang lebih penting adalah bagaimana kita sebagai pengguna komputer mengetahui ancaman apa saja yang pernah mengancam dimasa lalu, bagaimana cara infeksinya dan bagaimana kita mengantisipasinya supaya tidak menjadi korban lagi dimasa depan. Khusus untuk komunitas pembuat virus, Vaksincom menghimbau untuk menyalurkan kemampuan programming anda ke hal yang positif karena dunia IT Indonesia masih membutuhkan banyak sekali programmer kreatif demi kemajuan kita bersama.
[get this widget]
Gambaran umum
Bandot / VBWorm.NTH adalah salah satu jenis virus lokal yang kemungkinan berasal dari salah satu perguruan tinggi di bilangan Jakarta. Icon yang digunakanpun masih mengunakan icon Visual Basic jadi dapat dipastikan bahwa virus ini dibuat dengan menggunakan bahasa pemrograman "sejuta umat" Visual Basic, file ini akan mempunyai ukuran sebesar 88 KB (lihat gambar 2).
Gambar 2, File virus VBWorm.NTH
Secara umum virus ini tidaklah berbahaya, ia "hanya" akan menampilkan pesan yang mengganggu, dimana pesan tersebut akan ditampilkan pada tanggal yang telah tertentukan seperti pada saat Tahun Baru, Hari Valentine, Hari Kemerdekaan Indonesia atau pada saat Natal. VBWorm.NTH juga akan menampilkan pesan default ada hardware baru yang sudah terinstal dan siap digunakan, semua pesan tersebut akan muncul pada tray menu (lihat gambar 3).
Gambar 3, Pesan yang ditampilkan oleh VBWorm.NTH
Walapun virus ini akan blok regedit/cmd dan Folder Options tetapi sebenarnya tidaklah terlalu sulit untuk mematikan proses virus tersebut. Dengan bantuan tools pihak dari ketiga seperti process explorer atau currproses Anda sudah dapat mematikan proses virus kemudian menghapus file induk virus tersebut.
Aktif pada Safe Mode dan Safe Mode with Command Prompt
Hati-hati karena virus ini akan tetap aktif pada mode "safe mode" dan "safe mode with command prompt" . Untuk menyebarkan dirinya, ia akan menggunakan Flash Disk. Jadi hati-hati jika pada Fash Disk Anda terdapat file dengan nama Kupu Malam.exe atau kupu-k~1.exe dengan ukuran 88 KB serta menggunakan icon Visual Basic sebaiknya dihapus dan lakukan pembersihan baik secara manual atau menggunakan antivirus yang up-to-date dan sudah mengenali vius ini.
Ciri-ciri file virus : (lihat gambar 4)
*
Mengunakan icon Visual Basic
*
Ukuran file 88 KB
*
Type File "Application"
*
Dibuat dengan program bahasa Visual Basic
Gambar 4, File virus VBWorm.NTH
Jika file tersebut ditampilkan secara "Tile" (View � tiles) akan muncul informasi nama salah satu Universitas Ilmu Komputer Top di Jakarta. (lihat gambar 5).
Gambar 5, nama salah satu Universitas Komputer ditampilkan pada mode Tile View
Symptom:
*
Pada saat menjalankan regedit, maka akan muncul program Windows Media Player begitupun saat menjalankan CMD/Command
*
Muncul satu shortcut jika klik kanan pada folder/drive dengan nama bandot.
*
Muncul pesan pada tray menu. Pesan ini akan berubah-ubah sesuai dengan waktu yang telah ditentukan. Biasanya pesan ini akan muncul pada tanggal-tanggal tertentu seperti:
o
14 Februari, Hari Valentine
o
25 Desember, Natal
o
1 Januari, Tahun baru
o
24 April, ulang tahun si Bandot (Ngga tahan untuk komentar : tsk..tsk..tsk. .. dasar Narsis)
o
17 Agustus Hari Kemerdekaan Indonesia
Diluar tanggal tersebut, virus ini akan memunculkan pesan bahwa terdapat Hardware yang baru terinstal dan siap digunakan (Your new hardware is installed and ready to use)
Norman Virus Control dengan update terbaru sudah dapat mengenali virus ini sebagai VBWorm.NTH (lihat gambar 6) :
Gambar 6, Norman Virus Control mendeteksi Bandot sebagai virus Worm W32/VBWorm.NTH
File yang akan dibuat
File induk VBWorm.NTH sebenarnya mudah untuk dikenali yakni akan menggunakan icon Visual Basic, pada saat virus tersebut dijalankan maka akan muncul program Windows Media Player. Hal ini dimaksudkan untuk mengelabui user sehingga user tidak menyadari VBWorm.NTH telah aktif yang kemudian akan membuat beberapa file induk yang akan dijalankan setiap kali komputer aktif (dihidupkan) . Berikut beberapa file yang akan dibuat oleh VBWorm.NTH adalah sebagai berikut :
*
C:\BACA!!!.txt
*
C:\Windows\temp\ Video~1.mpg. exe
*
C:\Windows\BandotBr obot.exe
*
C:\Windows\system32 \Exblorer. exe
*
C:\Windows\inf\ 84nd0t8r080t (hidden)
o
csrsc.exe
o
lsasc.exe
o
scvhost.exe
o
smsc.exe
*
C:\Windows\system32 \drivers\ Ble'e.exe
*
C:\WIndows\system32 \oobe\blaut. exe
*
C:\Windows\system32 \cmd.pif
*
C:\Windows\system32 \regedit. pif
Jika diperhatikan terdapat satu file TXT dengan nama BACA!!!.txt, jika file tersebut dibuka maka berisi text seperti terlihat pada gambar 7 dibawah ini :
Gambar 7, Isi file BACA!!!.txt
Registry Windows
Untuk memastikan agar dirinya dapat aktif setiap kali komputer dihidupkan, ia akan membuat beberapa string pada registry berikut:
HKEY_CURRENT_ USER\Software\ Microsoft\ Windows\CurrentV ersion\Run
- BandotOye = C:\WINDOWS\BandotBr obot.exe
- WindowsLogon = C:\WINDOWS\Inf\ 84nd0t8r080t\ scvhost.exe
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\CurrentV ersion\Run
- LocalServices = C:\WINDOWS\Inf\ 84nd0t8r080t\ lsasc.exe
- WinExblorerXX = C:\WINDOWS\system32 \Exblorer. exe
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\CurrentVersion\ Winlogon
- Shell = explorer.exe "C:\WINDOWS\ system32\ Oobe\Blaut. exe"
- userinit =
C:\WINDOWS\system32 \userinit. exe,C:\WINDOWS\ system32\ Drivers\Ble' e.exe
Aktif pada mode "safe mode" dan "safe mode command prompt"
VBWorm.NTH juga akan tetap aktif walaupun komputer booting pada mode "safe mode" atau "safe mode with comand prompt". Agar dirinya dapat aktif pada mode tersebut, ia akan membuat beberapa string pada registry berikut:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows NT\CurrentVersion\ Winlogon
- Shell = explorer.exe "C:\WINDOWS\ system32\ Oobe\Blaut. exe"
- userinit =
C:\WINDOWS\system32 \userinit. exe,C:\WINDOWS\ system32\ Drivers\Ble' e.exe
HKEY_LOCAL_MACHINE\ SYSTEM\ControlSe t001\Control\ SafeBoot
- AlternateShell = C:\WINDOWS\system32 \Oobe\Blaut. exe
HKEY_LOCAL_MACHINE\ SYSTEM\CurrentCo ntrolSet\ Control\SafeBoot
- AlternateShell = C:\WINDOWS\system32 \Oobe\Blaut. exe
Shortcut "Bandot" untuk Logoff komputer
Coba anda klik kanan pada sembarang Folder atau Drive, apa yang anda temukan ? Ternyata akan muncul satu shortcut baru dengan nama Bandot. Jika user klik shortcut tersebut maka komputer akan Logoff (lihat gambar 8).
Untuk membuat shortcut tersebut, ia akan membuat string berikut:
HKEY_LOCAL_MACHINE\ SOFTWARE\ Classes\Folder\ shell\Bandot\ command
- default = logoff
Gambar 8, VBWorm.NTH menambahkan shortcut Bandot
Blok Fungsi Windows
Untuk melancarkan askinya, ia akan mencoba untuk blok beberapa fungsi Windows seperti :
*
Regedit
*
CMD
*
Folder Option
Kusus untuk blok program REGEDIT dan CMD, Vbworm.NTH akan mengalihkan ke file virus yang sudah dibuat dengan nama REGEDIT.PIF jika menjalankan REGEDIT dan CMD.PIF jika menjalanakn CMD yang secara otomatis akan mengaktifkan dirinya serta memanggil program Windows Media Player, hal ini dimaksudkan agar user tidak mencurigai bahwa sebenarnya virus ini telah aktif kembali. (lihat gambar 9)
Gambar 9, Windows Media Player aktif ketika menjalankan Regedit dan CMD
VBWorm.NTH sebenarnya tidak sampai disable atau menghilangkan menu Folder Option tetapi akan set agar user tidak dapat menampilkan file yang tersembunyi dan tidak dapat menampilkan ekstensi file. Untuk melakukan hal tersebut ia akan membuat string pada registry berikut:
HKEY_CURRENT_ USER\Software\ Microsoft\ Windows\CurrentV ersion\Explorer\ Advanced
- Hidden = 0
- HideFileExt = 1
- ShowSuperHidden = 0
Blok virus Lokal (Kangen.A dan Riyani_Jangkaru (Tabaru)
VBWorm.NTH juga akan berusaha untuk mematikan proses virus lokal dan kali ini virus lokal yang menjadi targetnya adalah virus W32/Pesin.A dan Tabaru (Riyani_Jangkaru) dengan menjalankan perintah:
- taskkill /f /im xpshare.exe
- taskkill /f /im riyani_jangkaru. exe
- taskkill /f /im systray.exe
Pesan sang VM
Seperti yang sudah dijelaskan di atas bahwa pada tanggal-tanggal tertentu VBWorm.NTH akan menampilkan pesan pada tray menu yakni :
*
14 Februari, Hari Valentine (lihat gambar 1)
*
25 Desember, Natal (lihat gambar 10)
Gambar 10
*
1 Januari, Tahun baru (lihat gambar 11)
Gambar 11
*
24 April ulang tahun si Bandot (gambar 12)
Gambar 12, Bandot narsis
*
17 Agustus Hari Kemerdekaan Indonesia (gambar 13)
Gambar 13, Bandot sok ngajar sejarah
Diluar tanggal tersebut, virus ini akan memunculkan pesan bahwa terdapat Hardware yang baru telah terinstal dan siap digunakan (Your new hardware is installed and ready to use), lihat gambar 14
Gambar 14
Media penyebaran
Sama seperti virus lokal lainnya, untuk menyebarkan dirinya VBWorm.NTH akan menggunakan Flash Disk dengan mengkopikan dirinya dengan nama Kupu malam.exe atau kupu-k~1.exe. File ini mempunyai ukuran 88 KB dengan icon Visual Basic.
Bagaimana cara membersihkan VBWorm.NTH ?
1.
Putuskan hubungan komputer yang akan dibersihkan dari jaringan
2.
Disable "System Restore" selama proses bembersihan (jika menggunakan Windows ME/XP/Vista)
3.
Matikan proses virus yang aktif dimemori. Untuk mematikan proses virus tersebut Anda dapat menggunakan tools "Currprocess" .
Silahkan download tools Currprocess di alamat berikut:
http://www.nirsoft. net/utils/ cprocess. zip
Kemudian matikan proses virus yang mempunyai icon Visual Basic dengan nama file:
*
csrsc.exe
*
lsasc.exe
*
scvhost.exe
*
smsc.exe (lihat gambar 15)
Gambar 15, Mematikan proses virus
4.
Hapus registry yang dibuat oleh virus. Untuk mempercepat proses penghapusan salin script dibawah ini pada program "notepad" kemudian simpan dengan nama REPAIR.INF setelah itu jalankan file tersebut dengan cara
1.
Klik kanan REPAIR.INF
2.
Klik Install
[Version]
Signature="$ Chicago$"
Provider=Vaksincom Oye
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\ batfile\shell\ open\command, ,,"""%1"" %*"
HKLM, Software\CLASSES\ comfile\shell\ open\command, ,,"""%1"" %*"
HKLM, Software\CLASSES\ exefile\shell\ open\command, ,,"""%1"" %*"
HKLM, Software\CLASSES\ piffile\shell\ open\command, ,,"""%1"" %*"
HKLM, Software\CLASSES\ regfile\shell\ open\command, ,,"regedit. exe "%1""
HKLM, Software\CLASSES\ scrfile\shell\ open\command, ,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet00 1\Control\ SafeBoot, AlternateShell, 0, "cmd.exe"
HKLM, SYSTEM\ControlSet00 2\Control\ SafeBoot, AlternateShell, 0, "cmd.exe"
HKLM, SYSTEM\CurrentContr olSet\Control\ SafeBoot, AlternateShell, 0, "cmd.exe"
[del]
HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ System, DisableRegistryTool s
HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ System, DisableTaskMgr
HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ Explorer, NoFolderOptions
HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ Explorer, NOFind
HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ Explorer, NORun
HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ Explorer\ Advanced, hidden
HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ WinOldApp
HKCU, Software\Microsoft\ Windows\CurrentV ersion\Run, BandotOye
HKCU, Software\Microsoft\ Windows\CurrentV ersion\Run, WindowsLogon
HKLM, SOFTWARE\Microsoft\ Windows\CurrentV ersion\Run, LocalServices
HKLM, SOFTWARE\Microsoft\ Windows\CurrentV ersion\Run, WinExblorerXX
HKLM, SOFTWARE\Classes\ Folder\shell\ Bandot
5.
Hapus file induk virus VBWorm.NTH. Sebelum menghapus file induk tersebut sebaiknya tampilkan file yang tersembunyi karena ada beberapa file induk virus yang disembunyikan.
Untuk menampilkan file yang tersebunyi, lakukan langkah dibawah ini:
*
Buka WIndows Explorer
*
Klik menu "Tools"
*
Klik "Folder Option"
*
Kli tabulasi "View"
*
Pada kolom "Advanced settings"
o
Pilih opsi "Hidden files and folders"
o
Hilangkan centang pada "Hide extensions for known file types"
o
Hiangkan centang pada "Hide protected operating system files (Recommended) "
*
Klik "OK"
Kemudian hapus file berikut:
*
C:\BACA!!!.txt
*
C:\Windows\temp\ Video~1.mpg. exe
*
C:\Windows\BandotBr obot.exe
*
C:\Windows\system32 \Exblorer. exe
*
C:\Windows\inf\ 84nd0t8r080t (hidden)
*
csrsc.exe
*
lsasc.exe
*
scvhost.exe
*
smsc.exe
*
C:\Windows\system32 \drivers\ Ble'e.exe
*
C:\WIndows\system32 \oobe\blaut. exe
*
C:\Windows\system32 \cmd.pif
*
C:\Windows\system32 \regedit. pif
6.
Untuk pembersihan optimal dan mencegah infeksi ulang, silahkan scan dengan Norman Virus Control yang sudah dapat mendeteksi virus ini dengan baik.
VBWorm.NTH / Bandot 14 Februari 2008
Bandot Falling In Love ... Selamat Hari VALENTINE ya....
Gambar 1, Pesan Valentine yang ditampilkan virus Bandot
Para pengguna komputer, jangan Ge Er dulu jika anda menjumpai file dengan nama "Kupu Malam" pada komputer anda, apalagi jika disertai ucapan (lihat gambar 1) :
Happy Valentine's Day !
Bandot Falling in love ... Selamat hari VALENTINE ya...
Percayalah pada kami, pesan tersebut tidak dikirimkan oleh rekan / pacar anda, tetapi oleh satu virus yang ikut-ikutan memanfaatkan event Valentine untuk menyebarkan dirinya. Selain menampilkan pesan di hari Valentine, virus yang kecentilan ini juga menampilkan pesan pada tanggal 17 Agustus, 25 Desember, 1 Januari dan 24 April. Kalau 3 tanggal pertama adalah hari Kemerdekaan, Natal dan Tahun Baru. Lalu tanggal 24 April ternyata bukan hari besar biasa, melainkan hari Ulang Tahun si pembuat virus (tsk...tsk.. tsk... mengelus dada). Virus ini berusaha mengindikasikan "seolah-olah" dirinya berasal dari salah satu Universitas Komputer Top di Jakarta, tetapi kenyataan sebenarnya ... tanyakan saja pada si Bandot.
[get this widget]
Cara mempercepat kerja browser Mozilla Firefox
1. Ketik "about:config" pada address bar tekan enter. Scroll ke bawah dan cari entri berikut:
2. Rubah entri seperti berikut:
Set "network.http.pipelining" menjadi "true"
Set "network.http.proxy.pipelining" menjadi "true"
set "network.http.pipelining.maxrequests" masukkan angka 30.
3. Terakhir klik kanan mouse pada tempat kosong, pilih New-> Integer.
Beri nama "nglayout.initialpaint.delay" dan set value ke "0".
Tutup dan buka kembali firefox dan perhatikan perbedaannya
[get this widget]