iWTua tua keladi, makin tua makin jadi. Mungkin itu pepatah yang secara umum sering dikatakan orang. Semakin bertambah usia seseorang, maka semakin matang dalam bertindak dalam menjalani kehidupan.
Mungkin begitu pula terhadap perkembangan spyware/trojan yang satu ini. Siapa tidak kenal “antivirus palsu”, yang sejak tahun 2008 sudah banyak menyebar ke seantero jagat dunia dengan berbagai macam variasi yang ada. Dan kali ini kami kembali mendapatkan virus serupa yang telah menyebar dan mampu menginfeksi komputer korban dan sekali lagi mampu membodohi pengguna komputer.
Dengan tampilan dan modus yang baru mirip antivirus dari Microsoft yaitu : Windows Defender/Microsoft Forefront/Security Essential, trojan/spyware ini mencoba beraksi dengan sangat meyakinkan.
Dengan update terbaru, Dr.Web Antivirus mendeteksi sebagai varian Trojan.Fakealert.18565. (lihat gambar 1)
Gambar 1, Dr.Web mendeteksi sebagai Trojan.Fakealert.18565
Aksi Virus
Beberapa aksi yang di-lakukan oleh trojan/spyware tersebut yaitu :
ü Scan komputer dan memberikan informasi palsu bahwa program antivirus ini mendeteksi adanya virus/trojan/rootkit. Berharap dapat membodohi user bahwa di komputer terdapat banyak virus dan harus segera dibersihkan. (lihat gambar 2)
Gambar 2, Virus melakukan scan dan deteksi palsu
ü Guna lebih meyakinkan korbannya, Fakealert akan memberikan informasi bahwa ia mendeteksi adanya koneksi, remote dan transfer data ke komputer lain (palsu). Seolah-olah komputer sedang melakukan transfer data atau koneksi ke komputer lain yang tidak dikenal. (lihat gambar 3)
Gambar 3, Virus menginformasikan bahwa ada koneksi dan transfer data.
ü Sering muncul pesan peringatan adanya spyware pada komputer terus menerus tiap beberapa menit. Hal ini agar dapat merepotkan dan mengganggu pengguna karena pesan muncul secara terus menerus. (lihat gambar 4)
Gambar 4, Pesan adanya spyware pada komputer
ü Muncul peringatan pesan bahwa komputer sedang di-serang. Sengaja memberitahukan seolah system komputer di-serang. Jika di-klik pada “Remove All”, akan menuju halaman web pembuat antivirus palsu. (lihat gambar 5)
Gambar 5, Pesan bahwa komputer sedang di-serang
ü Muncul pesan serangan worm (Mass-mailing worm). Memberitahukan bahwa e-mail anda telah penuh karena mendapat serangan worm. (lihat gambar 6)
Gambar 6, Pesan adanya serangan worm
ü Kalau korbannya masih belum takut, muncul juga pesan kehilangan data. Memberitahukan anda bahwa anda akan kehilangan data seperti kartu kredit, telpon dan lain-lain. (lihat gambar 7)
Gambar 7, Pesan seolah kehilangan data
ü Kalau korbannya cukup kuat “imannya” :p akan muncul lagi pesan Windows Error. Memberitahukan bahwa ada file system yang error atau crash. (lihat gambar 8)
Gambar 8, Pesan error yang muncul seolah system crash.
ü Kalau korbannya jengkel dan memutuskan untuk menguninstal antivirus palsu ini, pertahanan sudah disiapkan. Antivirus palsu ini akan sangat sulit di uninstal oleh pemakai komputer yang cukup fasih sekalipun. Mirip seperti antivirus “beneran” yang profesional ia akan meminta key dahulu sebelum di-uninstall. Jika di-klik tombol “Get Uninstall Key” akan muncul halaman web palsu pembuat antivirus palsu. (lihat gambar 9)
Gambar 9, Tidak bisa di un-install karena meminta key.
ü Muncul pesan promosi/jualan. Seolah memberikan solusi dari hal-hal yang terjadi pada komputer anda. Jika di-klik pada tombol “BUY”, maka akan muncul halaman web palsu pembuat antivirus palsu.
Gambar 10, Pesan solusi yang ditawarkan.
ü Muncul halaman web pembuat antivirus palsu. Dengan meminta anda untuk membeli dengan harga tertentu agar mendapat perlindungan antivirus, padahal palsu. (lihat gambar 11)
Gambar 11, Halaman web antivirus palsu
File Virus
File-file yang dibuat oleh virus yaitu :
ü File utama, file yang aktif dan menginfeksi komputer :
C:\Documents and Settings\%user%\exe.exe
C:\Documents and Settings\%user%\Application Data\Desktop Security\Desktop Security 2010.exe
C:\Documents and Settings\%user%\Application Data\Desktop Security\SecurityCenter.exe
C:\Documents and Settings\%user%\Application Data\Desktop Security\SecurityHelper.exe
ü File palsu, file yang di-download agar dapat terdeteksi sebagai virus, yaitu :
C:\Document and Setting\%user%\Local Settings\Temp\gdx_ae09.exe
C:\Document and Setting\%user%\Local Settings\Temp\rtfme.exe
C:\Document and Setting\%user%\Local Settings\Temp\hvipws9.exe
C:\Document and Setting\%user%\Local Settings\Temp\wdo9rm.exe
C:\Document and Setting\%user%\Local Settings\Temp\timem.exe
C:\Document and Setting\%user%\Local Settings\Temp\hardwh.exe
C:\Document and Setting\%user%\Local Settings\Temp\puzpup.exe
C:\Document and Setting\%user%\Local Settings\Temp\wwwsssgen.exe
C:\Document and Setting\%user%\Local Settings\Temp\protector2.exe
Registri Virus
Virus hanya membuat beberapa registry dalam system anda, dan tujuan virus tersebut agar aktif secara otomatis ketika komputer anda dinyalakan.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
Desktop Security 2010 = C:\Document and settings\%user%\Application Data\Desktop security\Desktop Security 2010.exe
Exe.exe = C:\Document and setting\%user%\exe.exe
Pembersihan Virus
- Putuskan koneksi jaringan.
- Matikan system restore.
- Download dan jalankan Dr.Web CureIt, lakukan scan system. Anda dapat men-download pada link berikut : (lihat gambar 12)
Gambar 12, Dr.Web CureIt proses scan pada system
· Klik 2x file yang telah anda download, hingga muncul pesan komputer yang sedang berjalan pada mode EPM (Enhanced Protection Mode), dan klik [OK].
· Klik [OK] jika muncul notifikasi untuk menjalankan, kemudian klik [START] pada menu yang ditampilkan dan klik “Yes” pada notifikasi Start scan now ?. Maka Dr.Web akan melakukan proses scanning pada komputer anda dan akan memunculkan pesan jika terdapat virus, klik [Move]. Biarkan hingga selesai.
· Restart komputer, jika diperlukan.
- Perbaiki Registri yang telah di-rubah oleh virus. Salin script dibawah ini dengan menggunakan notepad.
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKCR, .exe,,,”exefile”
HKCR, .txt,,,”txtfile”
HKCR, .reg,,,”regfile”
HKCR, .vbs,,,”VBSFile”
HKCR, exefile,,,”Application”
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Desktop Security 2010
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Exe.exe
Gunakan notepad, simpan dengan nama “Repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).
Jalankan “repair.inf” dengan klik kanan, kemudian pilih install.
- Hapus file temporary dan temporary internet file agar virus tidak mencoba aktif kembali. Gunakan tools agar dapat dengan mudah menghapus file temporary. Anda dapat mendownload tools tersebut pada link berikut (lihat gambar 13)
Gambar 13, Hapus temporary file dengan ATF Cleaner
Scan ulang dengan menggunakan antivirus yang sudah ter-update dan mampu mendeteksi varian virus ini.
No comments:
Post a Comment