Feeds:
Posts
Comments

Antivirus Terbaik Tengah tahun 2009 versi PC Security Labs

Kategori Antivirus | 13,765 views | 80 Comments

PCSL Total Protection Test 2009

Cukup lama saya tidak menulis tentang perkembangan Test antivirus terbaik di tahun 2009 ini. Belum lama ini, salah satu lembaga Independen pengetest Antivirus (PC security Labs ) kembali mengeluarkan hasil test terbarunya yang menyertakan 23 produk Antivirus/Security.

Pada PCSL Total Protection Test 2009 ini, beberapa vendor antivirus (security) baru ikut bergabung. Bagaimana Hasilnya ?

Test pada tengah tahun 2009 ini diramaikan dengan bergabungnya beberapa vendor antivirus baru yaitu : Sunbelt, Micro World, Tall Emu dan Sophos. Juga ada tambahan 5 produk lagi, tetapi masih melakukan test secara internal.

PCSL Total Protection Test bertujuan mengetes secara komprehensif kemampuan pertahanan Antivirus dari berbagai virus, worm, trojan dan malware security lainnya. Test mencakup tiga bagian : Static Test, Dymanic Test dan False Positive Test (test kesalahan deteksi).

Secara Keseluruhan, ada 23 produk berbeda yang ikut dalam test. Semua produk di update terakhir tanggal 22 Juli 2009. Malware yang digunakan berjumlah 3132 dan juga sejumlah file aman (bersih) yang cukup banyak untuk mengetest kesalahan deteksi (false positive).

malware-list-pcsl

Hasil selengkapnya adalah sebagai berikut. Berikut adalah hasil total deteksi produk dari sample malware sejumlah 3132 baik dengan Static Test dan Dynamic Test.

# Nama Produk Vendor Static Dynamic Total %
1 Online-Armor ++ Tall Emu 3129 3 3132 100
2 a-squared Anti-Malware 4.5 Emsisoft 3129 2 3131 99.97
3 Panda Internet Security 2010 Panda 3128 2 3130 99.94
4 Avira Premium Security Suite 9 Avira 3127 1 3129 99.90
5 IKARUS virus utilities T3 IKARUS 3126 1 3127 99.84
6 G DATA Internet Security 2010 GDATA 3118 3 3121 99.65
7 TrustPort PC Security 2009 Trust Port 3109 11 3120 99.62
8 Kaspersky Internet Security 2010 Kaspersky 3028 91 3119 99.58
9 Jiangmin Antivirus KV2009 Jiangmin 2899 212 3111 99.33
10 Sophos Anti-Virus Sophos 3041 69 3110 99.30
11 BitDefender Total Security 2009 BitDefender 3011 73 3084 98.47
12 Twister Anti-TrojanVirus Fileseclab 2687 395 3082 98.40
13 Trend Micro Internet Security 2009 Trend Micro 3005 70 3075 98.18
14 F-Secure Internet Security 2009 F-Secure 2957 106 3063 97.80
15 Quick Heal Total Security 2009 Quick Heal 2972 85 3057 97.61
16 eScan Internet Security Suite Micro World 2992 31 3023 96.52
17 VIPRE Antivirus+Antispyware Sunbelt 2952 56 3008 96.04
18 VBA32 Antivirus VBA32 2952 34 2986 95.34
19 ArcaVir 2009 Internet Security ArcaBit 2872 70 2942 93.93
20 Kingsoft Internet Security 2009 Kingsoft 2632 189 2821 90.07
21 Dr.Web® Security Space Dr.Web 2682 102 2784 88.89
22 Simple Antivirus v2.1 Finport 1508 187 1695 54.12
23 Spy Emergency 2009 NETGATE 1251 439 1690 53.96

Berikut Hasil total score, dengan mempertimbangkan nilai kesalahan deteksi ( False Positive).

# Nama Produk Total Deteksi Kesalahan (FP) Total Score
1 Kaspersky Internet Security 2010 3119 0 99.58
2 IKARUS virus utilities T3 3127 1 99.54
3 Online-Armor ++ 3132 2 99.52
4 a-squared Anti-Malware 4.5 3131 2 99.49
5 Panda Internet Security 2010 3130 2 99.46
6 Avira Premium Security Suite 9 3129 3 99.30
7 G DATA Internet Security 2010 3121 3 99.05
8 Jiangmin Antivirus KV2009 3111 2 98.85
9 Sophos Anti-Virus 3110 7 98.39
10 TrustPort PC Security 2009 3120 19 98.32
11 Twister Anti-TrojanVirus 3082 1 98.10
12 BitDefender Total Security 2009 3084 3 97.87
13 F-Secure Internet Security 2009 3063 0 97.80
14 Quick Heal Total Security 2009 3057 1 97.30
15 Trend Micro Internet Security 2009 3075 8 97.23
16 eScan Internet Security Suite 3023 3 95.92
17 VIPRE Antivirus+Antispyware 3008 6 95.20
18 VBA32 Antivirus 2986 7 94.44
19 ArcaVir 2009 Internet Security 2942 7 93.03
20 Kingsoft Internet Security 2009 2821 0 90.07
21 Dr.Web® Security Space 2784 3 88.29
22 Spy Emergency 2009 1690 1 53.66
23 Simple Antivirus v2.1 1695 5 53.34

Dari Total Score, terlihat Kaspersky Internet Security 2010 unggul tipis dari beberapa produk lainnya, hal ini terutama ditunjang oleh tidak adanya kesalahan deteksi dari Kaspersky. Score yang lebih dari 95 di beri penghargaan Excellent ( 5 bintang) oleh PCSL.

Untuk data selengkapnya, silahkan download report dalam bentuk PDF PCSL Total Protection Test 2009 July (2.3 MB)

Advertisements

Top 10 Malware Indonesia Agustus 2009.

Alman dan Mbah Surip sama-sama suka yang FULL

Bulan Agustus selain diwarnai oleh aksi saling menyerang antara hacker Malaysia dengan Indonesia (disinyalir) netter Malaysia mengubah syair lagu Indonesia Raya dengan syair yang melecehkan dan langsung dibalas kontan oleh (disinyalir) hacker Indonesia dengan menghadiahi deface pada 116 situs Malaysia (termasuk situs Departemen Pendidikan dan Departemen Pariwisata Malaysia) sebagai hadiah Ulang Tahun Kemerdekaan Malaysia tanggal 31 Agustus 2009.

Kalau di kancah hacker sibuk berperang mengubah teks lagu dan tampilan situs, maka di kancah pervirusan tidak terjadi perubahan berarti dimana 3 besar masih tetap dipegang oleh malware yang sama. Hanya saja terjadi perpindahan posisi dimana OnlineGames pada bulan Agustus mencatat peringkat tertinggi, diikuti oleh Alman yang jika di pikir-pikir memiliki kemiripan dengan Mbah Surip dan pada peringkat 3 tercatat Conficker yang sekali menyerang membuat admin keleyengan. Pendatang baru di Top 10 yang perlu diwaspadai adalah Virut di peringkat 8 yang dapat dikatakan sebagai virus Top 10 yang paling membuat pusing karena kemampuannya melumpuhkan driver, download malware lain dan membuat komputer yang di infeksinya mengirimkan hujan spam. Melihat tingginya infeksi Alman, Onlinegames dan Virut yang sangat memusingkan (artikel membasmi Conficker sudah banyak sekali di bahas di situs Vaksincom), maka Vaksincom memutuskan untuk membuat artikel analisa lengkap Alman, OnlineGames dan Virut yang jika sudah selesai dibuat bisa anda dapatkan pada majalah komputer terkemuka dan portal internet terbesar di Indonesia. Pada gambar 1 dibawah ini anda bisa melihat Top 10 Malware Indonesia bulan Agustus 2009.

Statistik Virus Indonesia Agustus 2009

Gambar 1, Top 10 Malware Indonesia Agustus 2009

OnlineGames (Peringkat 1, 29.350 infeksi; 35,44 %)

Secara umum, beberapa varian trojan OnlineGames hanya digunakan untuk mencuri informasi account pemain game online yang kemudian akan dikirimkan ke link URL (Uniform Resources Locator) terenkripsi yang dituju oleh trojan tsb. Untuk W32/OnlineGames.JGEV ini bukan hanya informasi account game online, tetapi beberapa account lain yang juga ikut dicuri. Pada beberapa varian trojan sebelumnya hanya mengincar beberapa game online seperti World of Warcraft (WOW), Perfect World dan Cabal Online.  Trojan ini juga mencari beberapa account yang tercatat pada script file trojan tsb yaitu :

Trojan menggunakan aktifitas keylogging yang tujuan awalnya untuk mendapatkan username dan password dari game online.

OnlineGames menyebar melalui :

Posting pada forum umum, kemudian memberikan link file untuk didownload.

Link untuk mendownload flash player, padahal yang didownload dan dijalankan adalah trojan. (biasanya dengan pop-up tertentu).

Posting link pada forum game sebagai FAQ (Frequently Asked Question) dari game tsb, ataupun dengan memberikan pertanyaan tentang beberapa hal pada game yang disertakan link, hingga yang membuat link tentang adanya patch terbaru pada game tertentu.

Mengirim e-mail yang disertakan link ataupun attachment tertentu.

File sharing pada jaringan, biasanya berbentuk file executable/application.

Menurut pantauan NNP (Norman Network Protector) yang dipasang di Datautama, varian-varian OnlineGames terbukti menduduki peringkat pertama sebagai malware yang paling banyak dihentikan pada bulan Agustus 2009. (lihat gambar 2)

Gambar 2, Norman Network Protector yang dipasang di NAP Datautama menunjukkan bahwa OnlineGames merupakan salah satu virus yang paling banyak didownload (dan dihentikan) pada bulan Agustus 2009.

Artikel mengenai malware OnlineGames dan cara pembasmiannya bisa anda dapatkan di majalah InfoKomputer.

Alman (Peringkat 2, 28.275 infeksi; 34,15 %)

Alman memiliki kesamaan dengan Mbah Surip, yaitu sama-sama suka yang Full. Kalau Mbah Surip suka bilang “I Love You Full”, maka Alman suka folder yang di sharing Full :p dan menginjeksi file .exe.

Jika sebelumnya kita disibukkan dengan penyebaran virus lokal sehingga terlena dengan virus racikan mancanegara, kini tengah santer menyebar virus yang dapat menginjeksi semua file yang mempunyai ekstensi EXE. Virus ini dapat menyebar dengan cepat melalui jaringan dengan memanfaatkan folder yang mempunyai share “Full” dan memanfaatkan “Default Share” [C$/D$/ADMIN$] selain itu virus ini juga akan menyebar dengan memanfaatkan Flash Disk dengan menginjeksi semua file EXE yang ada dan membuat file [boot.exe] dan [autorun.inf] yang berfungsi agar dirinya dapat aktif secara otomatis setiap kali user mengakses Flash Disk. Agar tidak diketahui user kedua file ini akan di sembunyikan.

Agar virus ini susah di hapus ia akan menyemarkan dirinya sebagai sebuah service yang akan menginfeksi sebuah file library [.dll] dari file [explorer.exe] serta memantau koneksi internet yang kemudian akan mengunduh malware lainnya dari alamat yang telah ditentukan dan secara otomatis akan menjalankan file tersebut. Virus ini dibuat dengan menggunakan program bahasa “Microsoft Visual C ++ 6.0”. Jika anda tidak sabar ingin mendapatkan artikel mengenai virus Alman, segera buru Majalah Chip.

Virut (Peringkat 8, 535 infeksi; 0,65 %)

Walaupun berada di peringkat 8, anda jangan memandang enteng virus yang satu ini. Jangankan administrator biasa, Vaksinis (teknisi Vaksincom) yang tiap hari berkutat dengan virus dan makanan sehari-harinya (selain nasi) adalah melakukan kunjungan onsite membasmi virus ke pelanggan-pelanggan korporat Vaksincom di seluruh Indonesia kalau kebagian tugas mengunjungi pelanggan yang terinfeksi Virut saja langsung deg-degan, bukan karena ada yang ditaksir atau karena kantor yang dikunjungi karyawannya cantik-cantik, tetapi kalau komputer sudah terinfeksi Virut itu artinya sudah hampir pasti akan bikin lembur. Lihat saja aksinya. Setelah berhasil menginfeksi, dia akan langsung mendelete hostnya.

Virut akan menginfeksi semua file exe tak terkecuali file-file OS Windows dan sangking banyaknya file yang di infeksi dan sangking rumitnya masalah yang ditimbulkan, beberapa vendor antivirus bahkan menyarankan langkah Pasopati alias format dan install ulang Windows jika anda terinfeksi Virut.

Selain itu, ibarat preman Tanah Abang yang sekali menguasai satu wilayah akan mengundang teman-temannya, Virut juga akan mendownload belasan virus, spyware baru dari puluihan situs di internet sehingga sekali terinfeksi Virut, cleaner yang dibutuhkan bukan hanya cleaner Virut, tetapi cleaner semua virus dan malware.

Kalau anda mengira sudah cukup menderita, anda salah, Virut juga melakukan replace terhadap file TCPIP.sys dan NDIS.sys yang memberikan akibat anda tidak akan bisa terkoneksi ke jaringan jika anda menghapus file host Virut.

Canggihnya lagi, Virut tidak mengubah tanggal asli file, sehingga anda tidak bisa mendeteksi file yang di infeksinya dengan melihat “Date Modified” atau tanggal terakhir file di rubah di Windows Explorer. Tetapi terjadi perubahan ukuran file yang di infeksinya menjadi bertambah sekitar 22 KB. Namun untuk mengetahui hal ini, anda harus membandingkan file yang sama di komputer anda dengan komputer lain.

Artikel Virut sedang di test di Laboratorium virus Vaksincom dan akan siap pada minggu kedua bulan September 2009.

Top 10 Malware Indonesia Agustus 2009

Setelah Alman, Conficker masih menunjukkan taringnya dan tetap menempati peringkat sebagai virus Elite di Indonesia dan menempati peringkat 3 (18.376; 22,19 %) sebagai virus yang paling banyak menyebar di Indonesia. Peringkat 4 ditempati oleh SmallTroj (1.867; 2,25 %) disusul oleh virus lokal Autorun di peringkat 5 (1.325 insiden; 1,60 %). Spyware Agent menempati peringkat 6 (866 insiden; 1.05 %) dan dua pendatang baru di Top 10 Malware adalah Kashu (866 insiden; 0,71 %) diikuti oleh Virut di peringkat 8 (535 insiden; 0,65 %). Posisi 9 dan 10 dikuasai oleh virus lokal Lightmoon (488 insiden; 0,59 %) dan VBTroj (457 insiden; 0,55 %). Untuk selengkapnya silahkan lihat tabel 1 di bawah ini :

No.

Malware

Jumlah

%

1

OnLineGames 29,350

35.44%

2

Alman 28,275

34.15%

3

Conficker 18,376

22.19%

4

Smalltroj 1,867

2.25%

5

Autorun 1,325

1.60%

6

Agent 866

1.05%

7

Kashu 584

0.71%

8

Virut 535

0.65%

9

Lightmoon 488

0.59%

10

VBTroj 457

0.55%

11

Lainnya 683

0.82%

Total 82,806

100.00%

Tabel 1, Top 10 virus Indonesia 2009.

Salam,

Aa Tan

info@vaksin.com

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

Ph : 021 3456850

Fx : 021 3456851

W32/Virut.DG

Ini dia biang keladinya banjir SPAM

Kalau anda ingin tahu virus apa yang paling memusingkan vendor antivirus di tahun 2009 ini, jawabannya bukan Conficker atau Alman. Conficker boleh menjadi virus yang paling di takuti oleh administrator jaringan tetapi saat ini sudah banyak sekali tools yang disediakan oleh vendor-vendor antivirus bisa membersihkan dan membasmi Conficker dengan tuntas dan bisa dipastikan Conficker sudah memasuki masa “purna bakti” 😛 karena patch terhadap RPC Dcom III yang secara efektif menghentikan penyebaran virus ini sudah di implementasikan secara meluas di kalangan pengguna komputer. Lain ceritanya dengan virus yang bernama Virut, ia tidak mengandalkan eksploitasi celah keamanan untuk menyebarkan dirinya sehingga tidak ada patch yang dapat menangkalnya (hal inilah yang menyebabkan penyebarannya tidak secepat Conficker) tetapi jangan anda pandang enteng virus ini, karena Virut termasuk virus yang paling ditakuti oleh vendor antivirus. Hal ini terbukti dari kehebatannya dimana sampai saat ini tidak ada tools yang mampu mendeteksi dan membasmi virus ini dengan tuntas. Adapun aksi Virut juga bisa membuat jantung administrator copot seperti :

  1. Mendisable Windows File Protection yang tujuannya sangat “mulia” (untuk Virut) karena ia ingin menginfeksi seluruh file sistem OS Windows.
  2. Menyebarkan dirinya melalui halaman web. HTML, ASP, PHP.
  3. Menginfeksi Host file Windows, sehingga ia memiliki kontrol penuh terhadap koneksi internet komputer yang di infeksinya.
  4. Melakukan kontak remote ke IRC server.
  5. Menjadikan komputer korbannya server zombie untuk mendownload update virus dan perintah lain seperti mendownload master email spam dan menyebarkan ke alamat-alamat yang telah ditentukan.
  6. Mendownload virus dan spyware lain untuk di infeksikan ke komputer.
  7. Menjadikan komputer korbannya sebagai server spam dengan memanfaatkan IP publik yang dimiliki router komputer sehingga mengakibatkan IP tersebut di ban dan di blacklist.
  8. Mematikan Firewall.
  9. Disable share folder supaya sulit dibersihkan secara remote.
  10. Inject network driver sehingga jika hostnya dibersihkan akan menyebabkan kelumpuhan akses komputer ke jaringan.

Menurut pengamatan Vaksincom saat ini sangat sulit ditemukan program cleaner untuk membersihkan Virut dengan tuntas dan jika terdeteksipun, kerusakan / infeksi yang diakibatkan oleh Virut ini sangat meluas sehingga banyak korban yang memilih melakukan jurus Pasopati, alias format. Dalam artikel ini, Vaksincom akan menjelaskan secara detail aksi virus dan bagaimana cara membasminya.

Bagi anda para pengguna crack/keygen pada software aplikasi maupun game, sebaiknya harap berhati-hati dikarenakan banyak beberapa program tersebut terindikasi mengandung virus. Jika pada beberapa bulan terakhir ini penyebaran virus yang mampu menginfeksi program executable di dominasi oleh virus Alman maupun Sality, kini juga terdapat virus yang memiliki berbagai macam varian yang mampu menginfeksi file executable yaitu “Virut”. Berbeda denga Sality atau Alman, virus Virut mampu menginfeksi seluruh file system Windows maupun seluruh file executable yang ada pada komputer anda. Dengan kemampuan infeksi tersebut yang dilengkapi teknik enkripsi dalam menginfeksi file, sangat sulit untuk antivirus mampu melakukan proses pembersihan/clean file secara tepat. Bahkan masih banyak antivirus yang hanya mampu menghapus file atau mengkarantina file, sehingga file yang terinfeksi virus (termasuk file system Windows) menjadi rusak dan akibat secara umum file tersebut tidak bisa dijalankan dan bahkan menyebabkan Windows tidak berjalan secara normal. Hal ini yang kadang ditemui pada beberapa forum, milis maupun artikel beberapa vendor yang memberikan solusi alternatif untuk di repair Windows ataupun jalan terakhir format/install ulang.

Norman mendeteksi salah satu varian virus ini sebagai W32/Virut.DG. Norman mendeteksi dan menghapus file virus, serta mampu membersihkan file yang sudah terinfeksi virus. (lihat gambar 1)

Gambar 1, Norman mendeteksi salah satu varian yaitu W32/Virut.DG

Karakteristik Virut…

Virut merupakan salah satu varian virus yang memiliki kemampuan menginfeksi file executable dalam hal ini EXE dan SCR. Virut merupakan salah satu virus yang muncul sejak tahun 2007 bersamaan dengan munculnya virus Alman dan Sality, hanya saja saat itu penyebarannya tidak terlalu populer dibandingkan Alman. Di tahun 2009 ini pun, penyebaran Virut bersamaan dengan serangan varian Sality yang menyebar banyak dan mendominasi serangan virus mancanegara di Indonesia. Berbeda dengan Sality dan varian awal Virut sebelumnya, Virut saat ini memiliki berbagai metode yang digunakan baik untuk menginfeksi file maupun untuk melakukan penyebaran virus.

Saat ini, varian Virut tidak hanya menginfeksi file executable (exe dan scr) tetapi juga menginfeksi file web (asp, php, htm) serta host file dan driver. Selain itu, jika anda terhubung internet virut akan menghubungi remote server (IRC server) dan melakukan koneksi ke beberapa alamat server zombie untuk mendownload sekumpulan malware (virus, trojan, spyware). Dengan terhubung pada beberapa alamat server zombie tersebut, Virut juga mendapatkan akses data IP atau komputer yang akan dijadikan sasaran serangan selanjutnya yaitu SPAM. Dalam hal ini, seandainya komputer kita sudah terinfeksi oleh Virut, tentunya komputer kita sudah menjadi zombie untuk melakukan serangan SPAM sekaligus mengirim virus kepada komputer lain. Pada beberapa varian, virut mendownload spyware, menggunakan iklan dan popup dengan konten pornografi dan perjudian (casino) maupun iklan komersial lain yang tentunya  membuat anda tidak nyaman saat hendak browsing maupun surfing.

Metode Penyebaran…

Banyak cara yang coba dilakukan untuk menginfeksi komputer korban. Beberapa hal yang dilakukan yaitu sebagai berikut :

–          Infeksi pada crack/keygen yang ada pada situs-situs crack. Ini merupakan salah satu cara efektif yang dilakukan pembuat virus.

–          Link-link atau pop-up untuk mendownload file, baik pada situs ataupun pada forum. Teknologi drive by download yang digunakan untk menginfeksi komputer anda. Harap berhati-hati saat anda mengakses web-web yang tidak dikenal.

–          Mengirim e-mail yang disertakan link ataupun attachment tertentu (SPAM). Perhatikan email anda danjangan hiraukan email-email yang memiliki konten tidak jelas.

–          File sharing (terutama program executable) pada jaringan. Pada beberapa developer program aplikasi, memilki cara agar program dapat jalan pada jaringan perusahan adalah dengan digunakannya sharing file khususnya sharing full. Hal ini justru menyebabkan serangan virus baik Alman, Sality bahkan Virut dapat leluasa menginfeksi file. Virut menjadikan ini sebagai sasaran utama penyebaran pada perusahaan ataupun pada jaringan korporat. Karena itu Vaksincom menghimbau kepada para pengembang software untuk memasukkan masalah sekuriti sebagai salah satu faktor yang penting dalam membangun software anda. Salah satunya adalah hindari penggunaan sharing FULL tanpa password karena akan memicu penyebaran virus dan akan mengakibatkan masalah pada aplikasi anda dan jaringan perusahaan yang menggunakan aplikasi anda.

–          Penggunaan removable drive seperti USB, Card Reader, dan media tulis lainnya. Bagi anda yang biasa menyimpan file executable harap di perhatikan dan di cek selalu untuk menghindari infeksi file pada komputer.

Disable Windows File Protection

Saat pertama kali dijalankan, W32/Virut.DG akan berusaha menginjeksi file Winlogon.exe pada proses system. Dengan menginjeksi file tersebut, virus telah mendisable Windows File Protection (System File Checker). Hal ini dilakukan dengan mengubah/patch file sfc.dll dan sfc_os.dll. Hal ini dilakukan agar mampu menginfeksi seluruh file system Windows dan mempermudah infeksi seluruh file executable (exe dan scr) pada komputer tersebut. (lihat gambar 2)

Gambar 2, Fitur Windows File Protection yang didisable oleh Virut

Infeksi File Executable

Sama seperti halnya Sality dan Alman, Virut mampu menginfeksi file dalam hal ini file executable yang di infeksi adalah :

–          .EXE dengan type file “Application

–          .SCR dengan type file “Screen Saver

File executable yang telah terinfeksi virus akan bertambah sebesar 22 kb.

Infeksi File Web

Selain menginfeksi file executable, virus juga menginfeksi beberapa file web atau HTML yaitu yang memiliki extention berikut :

–          .HTM

–          .ASP

–          .PHP

Dengan menyisipkan string link alamat server download virus sebelum tag penutup body. (lihat gambar 3)

Gambar 3, Menyisipkan script link download virus sebelum tag penutup body.

Infeksi File Hosts

Untuk mempermudah aksinya mendownload sekumpulan malware dan tetap terkoneksi pada remote server, virus menambahkan script pada header host file. Hal yang sama dilakukan seperti saat menginfeksi file HTML (dengan menambahkan script pada file HTML). (lihat gambar 4)

Gambar 4, Hosts yang telah diubah dan ditambahkan link remote server virus.

Remote Server (IRC Server)…

Saat terkoneksi internet, virus melakukan kontak ke remote server/IRC (Internet Relay Chat) menggunakan port 65520. Beberapa IP yang digunakan yaitu :

–          91.212.220.156:65520

–          91.121.221.157:65520

Beberapa IP tersebut memiliki domain sebagai berikut : (lihat gambar 5)

–          dns2.zief.pl

–          nss2.ircgalaxy.pl

–          proxim.ircgalaxy.pl

–          proxima.ircgalaxy.pl

–          sys.zief.pl

–          gidromash.cn

–          core.ircgalaxy.pl

–          jl.chura.pl

Gambar 5, Virus melakukan koneksi dengan remote server melalui port 65520

Zombie Server (Download Server)…

Setelah melakukan kontak, akan dilanjutkan dengan melakukan koneksi pada beberapa server zombie dengan berbagai port untuk mendownload sekumpulan malware. Beberapa IP tersebut diantaranya yaitu :

–          211.95.79.170:80 (HTTP)

–          65.54.82.160

–          218.61.7.9

–          64.4.20.174

–          216.32.90.186

–          dll

–          59.30.90.84:3128 (Proxy)

–          77.93.21.45

–          76.31.92.235

–          123.236.125.64

–          93.114.249.122

–          dll

–          217.11.54.126:3954 (AD Replication RPC)

–          dll

–          66.90.104.13:443 (HTTPS)

–          211.95.79.170

–          216.32.90.186

–          dll

Disalah satu server zombie tersebutlah , virus mendapatkan data IP atau komputer yang akan mendapatkan serangan SPAM. (lihat gambar 6)

Gambar 6, Virus melakukan koneksi pada salah satu server zombie untuk mendapatkan data.

W32/Autorun.AEEQ Virus Lebaran

“Selamat Hari Raya Iedul Fitri Mohon Maaf Lahir dan Bathin
Kamu Adalah Manusia terkutuk di dunia!
Laksana Anjing Kelaparan Memangsa Sesamanya
Memuja Harta dan Maksiat Berkedok Muslimin
Pantas teman2mu memanggilmu Anjing!!!…
:: Istigfar Nak, Istigfar!! ::”

Autorun.AEEQ 16 September 2009

Selamat Hari Raya Iedul Fitri Mohon Maaf Lahir dan Bathin

Kamu Adalah Manusia terkutuk di dunia!

Laksana Anjing Kelaparan Memangsa Sesamanya

Memuja Harta dan Maksiat Berkedok Muslimin

Pantas teman2mu memanggilmu Anjing!!!…

:: Istigfar Nak, Istigfar!! ::

Di penghujung bulan suci Ramadhan, siap-siap mendapatkan THR bukan saja dari tempat Anda bekerja tetapi THR ini juga akan diberikan oleh sang pembuat virus berupa bingkisan istimewa berupa kumpulan program jahat yang bernama virus. Khusus kali ini THR yang diberikan sangat istimewa yang tidak akan merusak data. THR ini berisi pesan sosial dari sang pembuat virus dan ucapan Selamat Iedul Fitri Mohon Maaf Lahir dan bathin walaupun pesan ini terkesan di sampaikan secara sembunyi-sembunyi.

Ciri-Ciri

Ciri-ciri yang dapat diketahui dari virus ini tidak lah terlalu sulit, hal ini dapat dilihat dari beberapa jejak yang akan ditinggal kan seperti:

§  Munculnya tray menu pada taskbar dengan nama “CoolTrayIcon Service” yang berisi pesan ucapan Selamat Idul Fitri, pesan ini akan muncul jika user melakukan klik kanan pada tray menu  tersebut, seperti yang terlihat pada gambar dibawah ini (lihat gambar 1)

Gambar 1, Pesan yang ditinggalkan oleh virus expplorer

§  Merubah icon selain drive System dengan icon MS. Word 2007 dan munculnya pesan dari pembuat virus saat user mengakses drive tersebut (lihat gambar 2 dan 3)

Gambar 2, Virus merubah icon Drive dengan icon MS.Word 2007

Gambar 3, Pesan yang ditampilkan saat  mengakses drive

Dengan  menggunakan update tarbaru, Norman Security Suite berhasil mendeteksi sebagai virus Autorun.AEEQ (lihat gambar 4)

Gambar 4, Hasil deteksi Norman Security Suite

File induk

Virus ini dibuat dengan menggunakan program bahasa Borland Delphi dengan ukuran file sekitar 767 KB, untuk mengelabui user ia akan merubah icon tersebut menggunakan icon Explorer dan untuk lebih meyakinkan lagi disetiap file induk yang dibuat akan mempunyai nama yang menyerupai file system Windows seperti shstat.exe, hkcmd.exe, ctfmon.exe, acpictl.exe. (lihat gambar 5)

Gambar 5, File induk virus

Virus ini akan aktif secara otomatis saat user mengakses drive/flash disk yang telah terinfeksi dengan bantuan file [autorun.inf]. Setalah virus tersebut akitf ia akan membuat beberapa file yang di simpan di lokasi yang berbeda dan akan menyamarkan dirinya sebagai sebuah Service Windows dengan nama [Microsoft ACPI Driver Extension] yang akan menjalankan sebuah file yang berada di direktori [C:\WINDOWS\system32\acpictl.exe]. Agar  file tersebut tidak  mudah di hapus, ia akan menyembunyikan file tersebut. Berikut beberapa file yang akan dibuat oleh virus:

  • C:\Windows\system32\config\shstat.exe
  • C:\Windows\system32\dllcache\hkcmd.exe
  • C:\WIndows\system32\oob\ctfmon.exe
  • C:\WIndows\system32\acpictl.exe
  • C:\Autorun.inf [semua drive]
  • C:\Explorer.exe [semua drive]

Membuat Services untuk melindungi dirinya

Agar virus ini dapat di aktifkan secara otomatis setiap komputer dinyalakan, ia akan membuat sebuat services pada registry berikut:

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ACPIService
    • DisplayName = Microsoft ACPI Driver Extension
    • ImagePath  = “C:\WINDOWS\system32\acpictl.exe” /svc /host0
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ACPIService
    • DisplayName = Microsoft ACPI Driver Extension
    • ImagePath  = “C:\WINDOWS\system32\acpictl.exe” /svc /host0
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ACPIService
    • DisplayName = Microsoft ACPI Driver Extension
    • ImagePath  = “C:\WINDOWS\system32\acpictl.exe” /svc /host0

Service tersebut akan mengaktifkan beberapa file induk lain nya untuk mempersulit proses pembersihan. (lihat gambar 6)

Gambar 6, Sebuah service yang akan dibuat oleh virus

Jejak sang petualang

Virus ini tergolong baik karena tidak akan melakukan blok terhadap fungsi Windows seperti Task Manager/Regedit/Msconfig/Folder Options atau tools security lainnya, tetapi hal ini justru akan mempermudah dalam penyebarannya karena dengan demikian user tidak curiga bahwa komputer tersebut sebenarnya telah terinfeksi virus apalagi virus ini tidak melakukan perubahan pada file/data serta  tidak menggunakan icon yang mencurigakan yang biasa dilakukan oleh kebanyakan virus lokal.

Walaupun demikian ia akan tetap melakukan beberapa perubahan berikut yang justru akan mengundang kecurigaan user:

  • Mengganti icon selain drive system [contoh: D:\, E:\ dll] dengan icon MS.Word 2007 (lihat gambar 2)
  • Menampilkan pesan jika user mengeksekusi/mengakses drive yang sudah di ubah tersebut (lihat gambar 3)
  • Menambahkan satu tray dengan nama “CoolTrayIcon Service” dengan pesan “Selamat Hari Raya Iedul Fitri Mohon Maaf Lahir dan Bathin” (lihat gambar 1)

Aktif Otomatis

Agar dirinya dapat aktif secara otomatis saat user mengakses suatu drive, ia akan memanfaatkan celah autorun Windows dengan membuat sebuah file [autorun.inf] dan sebuah file dengan nama [explorer.exe]. kedua file ini akan dibuat disemua root drive termasuk flash disk sehingga dapat dikatakan untuk menyebarkan dirinya ia akan memanfaatkan Flash Disk dengan membuat 2 file tersebut. (lihat gambar 7)

Gambar 7, Script yang terdapat pada file autorun.inf

Selamat Iedul Fitri Mohon Maaf Lahir dan Bathin

Sebagai penutup Virus ini akan menyisipkan sebuah pesan yang disampaikan kepada semua user yang telah menjadi korban dengan ucapan “Selamat Iedul Fitri Mohon Maaf Lahir dan bathin, Apakah pesan ini diucapkan tulus dari mereka (pembuat virus), hanya Tuhan dan dia yang tahu tapi kita sebagai manusia yang lemah dihadapan Nya sudah sepantasnya untuk dapat memaafkan semua kesalahan yang ada baik yang sengaja atau tidak disengaja sehingga dengan perginua bulan Ramadhan dan datangnya Hari Raya Idul Fitri kita SEMUA dapat kembali suci seperti bayi yang baru terlahir kembali tanpa ada dendam dan permusuhan di antara kita semua.

Seluruh Staf PT. Vaksincom juga mengucapkan selamat Hari Raya Idul Fitri Mohon Maaf Lahir dan Bathin, semoga kami dapat memberikan informasi yang bermanfaat bagi semua.

Cara mengatasi virus Autorun.AEEQ

  1. Putuskan komputer yang akan di bersihkan dari jaringan selama proses pembersihan.
  2. Nonaktifkan [System Restore] selama proses pembersihan agar pembersihan dapat dilakukan dengan optimal.
  3. Matikan proses virus yang aktif di memori dengan menggunakan tools pengganti Task Manager seperti tools “Security Task Manager”. Kemudian blok proses yang mempunyai icon Explorer [shstat.exe, ctfmon.exe, hkcmd, acpictl.exe] (lihat gambar 8)

Silahkan download tools tersebut di alamat berikut:

http://www.neuber.com/taskmanager/download.html

Gambar 8, Terminate proses virus

Matikan juga service [Microsoft ACPI Driver Extension] pada service Windows dengan cara : (lihat gambar 10)

·         Klik [Start]

·         Klik [Run]

·         Pada dialog box [RUN] ketik [SERVICES.MSC]

·         Klik kanan pada nama service [Microsoft ACPI Driver Extension], kemudian pilih [Properties]

Gambar 10, Matikan Microsoft ACPI Driver Extension

·         Pada kolom [Startup Type] pilih “Disabled” (lihat gambar 11)

·         Klik tombol [STOP]

Gambar 11, Pilih STOP mada [Startup tpe]

·         Klik tombol [Apply]

·         Klik tombol [OK]

  1. Hapus  string yang dibuat oleh virus dan disable autorun Windows agar virus tidak aktif kembali, silahkan salin script dibawah ini pada program notepad kemudian simpan dengan nama [repair.inf], jalankan file tersebut dengan cara

·         Klik kanan REPAIR.INF File

·         Klik Install

[Version]

Signature=”$Chicago$”

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\comfile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\exefile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\piffile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”

HKLM, Software\CLASSES\scrfile\shell\open\command,,,”””%1″” %*”

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1

HKLM, SYSTEM\CurrentControlSet\Services\lanmanserver\parameters, AutoShareWks,0x00010001,0

HKLM, SYSTEM\CurrentControlSet\Services\lanmanserver\parameters, AutoShareServer,0x00010001,0

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255

[del]

HKLM, SYSTEM\ControlSet001\Services\ACPIService

HKLM, SYSTEM\ControlSet002\Services\ACPIService

HKLM, SYSTEM\CurrentControlSet\Services\ACPIService

  1. Hapua file yang dibuat oleh virus dengan terlebih dahulu menampilkan file yang tersembunyi agar mudah dalam mencari file virus tersebut, dengan cara : (lihat gambar 12)

·         Buka Windows Explorer

·         Klik [Tools]

·         Klik [Folder Options]

·         Klik tabulasi [View]

·         Pilih opsi “Show hidden files and folders”

·         Uncheck opsi “Hide protected operating system (recomennded)”

Gambar 12, Menampilkan file yang tersembunyi

Kemudian hapus file berikut:

·         C:\Explorer.exe [di semua drive]

·         C:\Autorun.inf  [di semua drive]

·         C:\Windows\system32\config\shstat.exe

·         C:\Windows\system32\dllcache\hkcmd.exe

·         C:\WIndows\system32\oob\ctfmon.exe

·         C:\WIndows\system32\acpictl.exe

  1. Untuk pembersihan optimal dan mencegah infeksi ulang, scan dengan menggunakan antivirus yang up-to-date

Salam,

Aj Tau

info@vaksin.com

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

Ph : 021 345 6850

Fx : 021 345 685

W32/Sality.AE

Virus nomor 1 di Indonesia, injeksi file exe/com/scr

Kalau Conficker dapat dikatakan sebagai worm nomor satu di Indonesia, maka predikat virus yang paling merepotkan dan paling banyak ditemui Vaksincom di Indonesia pantas di sandang oleh Sality. Virus yang disinyalir berasal dari Taiwan / Cina ini secara meyakinkan menempati ranking pertama dalam infeksi virus yang diterima oleh Vaksincom bersama-sama dengan Conficker.

Memang menyebalkan jika semua program kita ikut dimakan oleh virus [di infeksi], disamping sulit dalam memberantas virusnya terkadang juga file yang sudah di injeksi tersebut tidak dapat digunakan alias rusak setelah di scan dan dibersihkan oleh antivirus, alhasil harus reinstall semua program yang error atau download ulang file yang sudah di injenksi tersebut.

Salah satu virus yang akan menginjeksi file exe/com/scr ini adalah W32/Sality.AE (lihat gambar 1)

Gambar 1, Norman Security Suite dapat mendeteksi Sality.AE dengan baik

Ukuran file yang sudah terinfeksi W32/Sality.AE akan bertambah besar beberapa KB dan file yang sudah terinfeksi W32/Sality.AE ini masih dapat di jalankan seperti biasa. Biasanya virus ini akan mencoba untuk blok program antivirus atau removal tools saat dijalankan serta mencoba untuk blok task manager atau “registry editor” Windows. Untuk mempermudah dalam proses penyebarannya selain memanfaatkan “File Sharing” dan “Default Share” virus ini juga akan memanfaatkan media Flash Disk dengan cara membuat file acak yang mempunyai ekstensi exe/com/scr/pif serta menambahkan file autorun.inf yang memungkinkan virus dapat aktif secara otomatis setiap kali user mengakses Flash Disk.

Untuk blok task manager atau Registry tools, W32/Sality.AE ini akan membuat string pada registry berikut:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system

  • DisableRegistryTools

  • DisableTaskMgr

Pada saat file yang terinfeksi W32/Sality.AE, ia akan mendekrip dirinya dan mencoba untuk kopi beberapa file *.dll (acak) file DLL kemudian akan menginjeksi file lain yang aktif di memori serta file lain yang terdapat di komputer dan jaringan (file sharing) serta menginfeksi file *.exe yang terdapat dalam list registry berikut sehingga memungkinkan virus dapat aktif secara otomatis setiap kali komputer dinyalakan.

  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache

Berikut beberapa contoh file *.dll yang akan di drop oleh W32/Sality.AE.

  • C:\Windows\system32\syslib32.dll

  • C:\Windows\system32\oledsp32.dll

  • C:\Windows\system32\olemdb32.dll

  • C:\Windows\system32\wcimgr32.dll

  • C:\Windows\system32\wmimgr32.dll

Selain membuat file DLL, sality juga akan membuat file *.sys [acak] di direktori “C:\Windows\system32\drivers” [contoh: kmionn.sys]

Blok Antivirus dan software security

Seperti yang sudah dijelaskan di atas bahwa untuk mempermudah proses penyebaran ia juga akan mencoba untuk mematikan proses yang berhubungan dengan program security khususnya antivirus dengan cara mematikan proses yang mempunyai nama dibawah ini:

ALG

InoRPC

aswUpdSv

InoRT

avast! Antivirus

InoTask

avast! Mail Scanner

ISSVC

avast! Web Scanner

KPF4

AVP

LavasoftFirewall

BackWeb Plug-in – 4476822

LIVESRV

bdss

McAfeeFramework

BGLiveSvc

McShield

BlackICE

McTaskManager

CAISafe

navapsvc

ccEvtMgr

NOD32krn

ccProxy

NPFMntor

ccSetMgr

NSCService

F-Prot Antivirus Update Monitor

Outpost Firewall main module

fsbwsys

OutpostFirewall

FSDFWD

PAVFIRES

F-Secure Gatekeeper Handler Starter

PAVFNSVR

fshttps

PavProt

FSMA

PavPrSrv

PAVSRV

Symantec Core LC

PcCtlCom

Tmntsrv

PersonalFirewal

TmPfw

PREVSRV

tmproxy

ProtoPort Firewall service

UmxAgent

PSIMSVC

UmxCfg

RapApp

UmxLU

SmcService

UmxPol

SNDSrvc

vsmon

SPBBCSvc

VSSERV

WebrootDesktopFirewallDataService

WebrootFirewall

XCOMM

Selain mematikan proses antivirus di atas, ia juga akan berupaya untuk blok agar user tidak dapat mengakses web dari beberapa antivirus berikut:

  • Cureit

  • Drweb

  • Onlinescan

  • Spywareinfo

  • Ewido

  • Virusscan

  • Windowsecurity

  • Spywareguide

  • Bitdefender

  • Panda software

  • Agnmitum

  • Virustotal

  • Sophos

  • Trend Micro

  • Etrust.com

  • Symantec

  • McAfee

  • F-Secure

  • Eset.com

  • Kaspersky

W32/Sality.AE juga akan mencoba untuk merubah regisrty berikut:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Setting\”GlobalUserOffline” = “0”

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\”EnableLUA” = “0”

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xxx [xxx adalah acak, contoh : abp470n5]

  • HKEY_CURRENT_USER\Software\[USER NAME]914

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMI_MFC_TPSHOKER_80

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPFILTERDRIVER

Selain itu ia juga akan mencoba untuk merubah beberapa string registry Windows Firewall berikut dengan menambahkan value dari 0 menjadi 1:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center

  • AntiVirusDisableNotify

  • AntiVirusOverride

  • FirewallDisableNotify

  • FirewallOverride

  • UacDisableNotify

  • UpdatesDisableNotify

dan membuat key “SVC” serta string berikut dengan value 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc

  • AntiVirusDisableNotify

  • AntiVirusOverride

  • FirewallDisableNotify

  • FirewallOverride

  • UacDisableNotify

  • UpdatesDisableNotify

Tak cuma itu W32/s\Sality.AE juga akan menghapus key “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ALG”.

ALG atau Application Layer Gateway Service adalah services yang memberikan support untuk plug-in protokol aplikasi dan meng-enable konektivitas jaringan / protokol. Service ini boleh saja dimatikan. Dampaknya adalah program seperti MSN Messenger dan Windows Messenger tidak akan berfungsi. Service ini bisa dijalankan, tetapi hanya jika menggunakan firewall, baik firewall bawaan Windows atau firewall lain. Jika tidak komputer yang terinfeksi virus ini akan mengalami celah keamanan yang serius.

Blok akses “safe mode”

Dalam rangka “mempertahankan” dirinya, W32/Sality.AE juga akan mencoba untuk blok akses ke mode “safe mode” sehingga user tidak dapat booting pada mode “safe mode” dengan menghapus key yang berada di lokasi di bawah ini :

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot

  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

Injeksi file exe/com/scr

Tujuan utama dari virus ini adalah mencoba untuk menginjeksi program instalasi dan file yang mempunyai ekstensi exe/com/scr yang ada di drive C – Y terutama file hasil instalasi (file yang berada di direktori C:\Program Files) dan file-file portable (file yang langsung dapat dijalankan tanpa perlu instal), ia juga akan menginfeksi file yang mempunyai ekstensi “.exe” yang terdapat dalam list registry berikut sehingga memungkinkan virus dapat aktif secara otomatis setiap kali komputer dinyalakan.

  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache

File yang berhasil di injeksi biasanya ukurannya akan bertambah sekitar 68 – 80 KB dari ukuran semula. Program yang telah terinfeksi ini akan tetap dapat di jalankan seperti biasa sehingga user tidak curiga bahwa file tersebut sebenarnya telah di infeksi oleh W32/Sality.AE. Salah satu kecanggihan Sality adalah kemampuannya menginjeksi file tumpangannya sehingga ukuran file bervirus tidak seragam, jelas lebih sulit diidentifikasi dibandingkan virus lain yang menggantikan file yang ada sehingga ukuran filenya akan sama besar.

Harap berhati-hati, tidak semua program antivirus dapat membersihkan file yang sudah terinfeksi W32/Sality.AE, bisa-bisa file tersebut akan rusak setelah di scan dan di bersihkan oleh antivirus tersebut.

Tidak mau kalah dengan virus mancanegara lain, untuk memperlancar aksinya ia akan mencoba untuk melakukan koneksi ke sejumlah alamat web yang sudah ditentukan dengan tujuan untuk memanggil/mendownload trojan/virus lainnya yang di sinyalir merupakan varian dari versi sebelumnya yang memungkinkan virus ini dapat mengupdate dirinya.

[http://]pedmeo222nb.info

[http://]pzrk.ru

[http://]technican.w.interia.pl

[http://]www.kjwre9fqwieluoi.info

[http://]bpowqbvcfds677.info

[http://]bmakemegood24.com

[http://]bperfectchoice1.com

[http://]bcash-ddt.net

[http://]bddr-cash.net

[http://]btrn-cash.net

[http://]bmoney-frn.net

[http://]bclr-cash.net

[http://]bxxxl-cash.net

[http://]balsfhkewo7i487fksd.info

[http://]buynvf96.info

[http://]89.119.67.154/tes[xxx]

[http://]oceaninfo.co.kr/picas[xxx]

[http://]kukutrustnet777.info/home[xxx]

[http://]kukutrustnet888.info/home[xxx]

[http://]kukutrustnet987.info/home[xxx]

[http://]kukutrustnet777.info

[http://]www.kjwre9fqwieluoi.info

[http://]kjwre77638dfqwieuoi.info

http://mattfoll.eu.interia.pl/%5Bsensor%5D

http://st1.dist.su.lt/l%5Bsensor%5D

http://lpbmx.ru/%5Bsensor%5D

http://bjerm.mass.hc.ru/%5Bsensor%5D

http://SOSiTE_AVERI_SOSiTEEE.%5Bsensor%5D

Mengeksploitasi Default Share dan Full Sharing

W32/Sality.AE akan menyebar dengan cepat melalui jaringan dengan memanfaatkkan default share windows atau share folder yang mempunyai akses full dengan cara menginfeksi file yang mempunyai ekstensi exe/com/scr. Karena itu, Vaksincom menyarankan pengguna komputer untuk menonaktifkan Default Share (C$, D$ .. dst) dan hindari Full Sharing folder anda di jaringan.

Selain menyebar dengan menggunakan jaringan, ia juga akan memanfaatkan flash disk yakni dengan cara kopi dirinya dengan nama file acak dengan ekstensi exe/cmd/pif serta membuat file autorun.inf agar dirinya dapat aktif secara otomatis tanpa harus menjalankan file yang sudah terinfeksi virus, selain itu ia juga akan menginfeksi file yang mempunyai ekstensi exe/com/scr yang terdapat dalam flash disk tersebut.

Selain itu Sality.AE juga akan menambahkan string [MCIDRV_VER] dan DEVICEMB=xxx, dimana xxx menunjukan karakter acak ke dalam file C:\Windows\system.ini. (lihat gambar 2 dan 3)

Gambar 2, File system.ini sebelum di ubah oleh W32/Sality.AE

Gambar 3, File system.ini setelah di ubah oleh W32/Sality.AE

Cara membersihkan W32/Sality.AE

  1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan dan internet

  2. Matikan System Restore selama proses pembersihan berlangsung.

  3. Matikan Autorun dan Default Share. Silahkan download file berikut kemudian jalankan dengan cara:

    • Klik kanan repair.inf

    • Klik install

http://www.4shared.com/file/82762498/f5dc1edd/repair.html?dirPwdVerified=feea1d94

  1. Matikan program aplikasi yang aktif di memori agar proses pembersihan lebih cepat terutama program yang ada dalam daftar startup.

  2. Sebaiknya scan dengan menggunakan removal tools dengan terlebih dahulu merubah ekstensi dari removal tools tersebut dengan ekstensi lain [contoh: CMD] agar tidak di infeksi ulang oleh W32/Sality.AE. Dalam contoh di bawah, nama file “Norman_Malware_Cleaner.exe” di rename menjadi “Norman_Malware_Cleaner.cmd” supaya tidak di infeksi Sality. (lihat gambar 4)

Rename Norman Malware Cleaner
Gambar 4, File “Norman_Malware_Cleaner.exe” yang telah di rename ekstensinya menjadi “Norman_Malware_Cleaner.cmd”, kotak biru

Selalu gunakan Norman Malware Cleaner terbaru untuk membersihkan dan membasmi virus baru. Download Norman Malware Cleaner terbaru dari “

http://download.norman.no/public/Norman_Malware_Cleaner.exe

Gambar 5, Gunakan Norman Malware Cleaner untuk mendeteksi dan membasmi Sality.

Catatan:

  • Agar removal tersebut tidak terinfeksi oleh W32/Sality.AE, Sebaiknya ubah ekstensi dari removal tools tersebut menjadi ekstensi lain [contohnya: CMD] (lihat gambar 4 di atas)

  • Sality.AE ini akan mencoba untuk menginfeksi file yang mempunyai ekstensi EXE dan SCR serta COM, file yang sudah berulang kali di infeksi oleh virus ini terkadang akan mengalami kerusakan jika dibersihkan oleh program antivirus, oleh karena itu jika terdapat program yang error setelah di scan oleh antivirus sebaiknya install ulang program tersebut.

PENTING !!!

Harap Backup data penting anda sebelum melakukan pembersihan virus. PT. Vaksincom tidak bertanggung jawab atas kerugian yang diakibatkan oleh proses pembersihan virus ini baik langsung maupun tidak langsung !!!

  1. Agar komputer yang sudah terinfeksi W32/Sality.AE dapat booting “safe mode”, silahkan restore registry yang sudah di ubah oleh virus.

Silahkan download file berikut kemudian jalankan sesuai OS yang terinfeksi W32/Sality.AE tersebut.

http://www.4shared.com/file/82761423/934fb170/_2__Sality.htmldirPwdVerified=feea1d94

  1. Fix registry lain yang di ubah oleh virus, silahkan download tools berikut kemudian jalankan file tersebut dengan cara:

    • Klik kanan repair.inf

    • Klik install

http://www.4shared.com/file/82874724/f485f1dd/repair.html?dirPwdVerified=3b1f2fa9

  1. Restart komputer dan scan ulang dengan menggunakan removal tools untuk memastikan komputer telah bersih dari virus.

  2. Untuk pembersihan optimal dan mencegah infeksi ulang sebaiknya install dan scan dengan antivirus yang dapat mendeteksi Sality dengan baik.

Salam,

Aj Tau

info@vaksin.com

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

Ph : 021 345 6850

Fx : 021 345 6851

SEJARAH DAN MASA DEPAN VIRUS KOMPUTER

Oleh Wim Permana

1. Apa itu virus ?

Virus komputer adalah sebuah program kecil yang bisa menggandakan dirinya sendiri dalam media penyimpanan suatu komputer. Formalnya adalah sebagai berikut :
“A program that can infect other programs by modifying them to include a slighty altered copy of itself. A virus can spread throughout a computer sistem or network using the authorization of every user using it to infect their programs. Every programs that gets infected can also act as a virus that infection grows (Fred Cohen).

Virus juga mampu, baik secara langsung ataupun tak langsung, menginfeksi, mengkopi maupun menyebarkan program file yang bisa dieksekusi maupun program yang ada di sektor dalam sebuah media penyimpanan (Hardisk, Disket, CD-R). Virus juga bisa menginfeksi file yang tidak bisa dieksekusi (file data) dengan menggunakan macros (program sederhana yang biasanya digunakan untuk melakukan suatu perintah). Intinya adalah kemampuan untuk menempel dan menulari suatu program. Virus bukanlah sesuatu yang terjadi karena kecelakaan ataupun kelemahan perangkat komputer karena pada hakikatnya, semua virus merupakan hasil rancangan intelegensi manusia setelah melalui beberapa percobaan terlebih dahulu layaknya eksperimen-eksperimen ilmiah di dalam bidang-bidang lainnya. It’s all about alghoritm …..

2. Perbedaan virus, worm, dan trojan horse

Selain virus dalam artian seperti disebut diatas, kita juga mengenal program yang disebut Trojan horse (Kuda Troya). Trojan horse sebenarnya bukanlah sebuah virus dalam artian sesungguhnya, karena program ini tidak memiliki kemampuan untuk menggandakan dirinya ke program lain. Namun demikian, program ini tidak kalah berbahaya jika dibandingkan dengan program virus komputer.

Trojan horse umumnya dikemas dalam bentuk sebuah program yang menarik. Namun dibalik ‘pesona’ software tersebut, tersembunyi fungsi lain untuk melakukan perusakan. Pengguna komputer yang mendapatkan file ini umumnya akan terpancing untuk menjalankannya. Akibatnya tentu fatal, karena dengan demikian si pengguna telah menjalankan rutin-rutin perusak yang dapat mendatangkan malapetaka pada sistem komputernya.

Trojan pertama muncul pada tahun 1986 dalam bentuk program shareware yang dikenal dengan nama PC-Write. Oleh karena itu, user harus memastikan shareware atau freeware-nya bebas dari trojan dengan cara memasang sejenis firewall atau antivirus ke dalam sistem komputer anda.

Sumber malapetaka lain yang mirip dengan virus, namun tidak bisa dikategorikan sebagai virus, adalah worm. Worm adalah program yang dapat menduplikasi diri tanpa menginfeksi program-program lainnya. Worm biasa menyebar melalui pertukaran data antar hardisk, disket, maupun e-mail. Penyebaran melalui e-mail biasanya berupa sebuah attachment yang kecil. Pengguna yang tertarik akan menjalankan program tersebut. Selanjutnya, tanpa basa-basi, si program akan langsung melakukan aksinya. Worm akan menggandakan diri dengan mengirimkan file-nya secara otomatis melalui attachment ke setiap alamat yang ada dalam address book pada mail manager korban.

Umumnya worm tidak bersifat merusak, namun demikian selain mengakibatkan kejengkelan di pihak korban, serangan worm dapat sangat berbahaya bagi mailserver. Berjangkitnya worm menyebabkan beban kerja mailserver melonjak drastis hingga dapat mempengaruhi performanya.

Dan tidak hanya untuk mailserver, bahkan komputer pribadi kita pun bisa dikebiri karenanya. Hal ini terjadi karena worm mampu menduplikasikan dirinya sendiri di dalam memori komputer dalam jumlah yang sangat banyak. Sekarang bayangkan jika worm menduplikasi dirinya secara serentak, ‘bakal lemot deh komputer’.
Worm umumnya berbentuk file executable (berekstensi .EXE datau .SCR), yang terlampir (attach) pada e-mail. Namun demikian, ada beberapa jenis worm yang berbentuk script yang ditulis dalam bahasa Visual Basic (VBScript). Sasaran serangan worm jenis ini terutama adalah perangkat lunak e-mail Microsoft Outlook Express, tapi bukan berarti aplikasi yang lain sudah pasti kebal dengan semua jenis worm.

Sama seperti trojan yang tidak dapat diperbaiki (kecuali oleh pembuatnya sendiri yang tahu source code-nya), untuk mengatasi serangan worm diperlukan antivirus yang dapat menghapusnya langsung dari komputer.

3. Sejarah virus dan malware lainnya

Meskipun banyak pihak yang bersepakat bahwa worm dan trojan tidak dapat dikategorikan sebagai virus, namun dalam sejarahnya, penyampaian riwayat perjalanan virus akan selalu disertai oleh cerita-cerita tentang kemunculan dan aksi-aksi dari malware lainnya, yaitu worm dan trojan. Hal ini memang tidak dapat dihindari karena kedua ‘makhluk’ tersebut lahir sebagai imbas dari kemampuan virus sendiri.

1981 : Virus Pertama di komputer (nenek moyang virus)

Pada tahun 1981, program yang bernama Elk Cloner muncul di komputer Apple II. Program ini (pada tahun ini istilah computer virus belum ditemukan) menampilkan enam baris kalimat di monitor komputer seperti berikut :

It will get on your disk
It will infiltrate your chips
Yes it’s Cloner!
It will stick to you like glue
It will modify ram too
Send in the cloner!

1983 : Dokumentasi computer virus pertama kali

Pada tahun 1983, ujicoba dokumentasi virus pertama kali dilakukan oleh Fred Cohen. Cohen adalah seorang mahasiswa S3 sekaligus peneliti yang secara teoretis dan dengan berbagai eksperimen ilmiahnya mampu memberikan pengertian dan pemahaman kepada dunia bahwa akan ada ‘makhluk baru’ di sekitar kita yang sangat potensial menjadi ‘pengacau’ di dalam perkembangan abad komputer dan telekomunikasi.

1986 : Virus pertama di PC

‘The Brain’ adalah nama untuk virus yang pertama kali diketahui menjangkiti PC. Virus ini dibuat oleh dua orang bersaudara asal Pakistan, Basit and Amjad, pada tahun 1986. Virus ini menjangkiti disket yang dimasukkan pada PC bersistem operasi MS-DOS. Seiap disket yang sudah terinfeksi akan memiliki volume label : “ © Brain ”. ‘The Brain’ juga kerap disebut sebagai virus stealth komputer yang pertama karena virus ini mampu menguasai tabel interrupt pada DOS (Interrupt interceptor). Virus ini berkemampuan untuk mengendalikan instruksi-instruksi level DOS dan biasanya mereka tersembunyi sesuai namanya baik secara penuh ataupun ukurannya.

1987 : Virus menyerang ekstensi *.COM

Tahun ini merupakan tahunnya virus file. Varian ini secara khusus menyerang semua file yang berekstensi *.COM. File yang umum diserang adalah command.com dengan subyek penyerang bernama virus Lehigh. Selain menyerang *.COM, virus pada masa itu juga telah mampu menyerang file .*EXE, seperti virus Suriv-02. Selain virus, worm juga tidak mau ketinggalan menyemarakkan serbuan virus ke sistem komputer ketika itu. Tercatat dalam sejarah bahwa pada tahun ini muncul istilah “The IBM Christmas Worm” sebagai imbas dari banyaknya mainframe milik IBM yang terserang worm.

1988 : Virus untuk Macintosh, worm buat ARPANET, antivirus untuk ‘the brain’, dan …….. menjadi selebritis

Pada tahun ini macintosh mulai terjangkit oleh virus yang bernama MacMag dan The Scores. Itu masih termasuk kabar baik. Kabar buruknya adalah rontoknya 6000 komputer yang berada dalam jaringan ARPANET karena ulah ‘seekor’ worm karya Robert Morris (usianya baru 23 tahun ketika itu). Worm-nya bekerja dengan cara menduplikasikan dirinya sendiri lalu mengendap di dalam memori komputer. Lucunya, worm tersebut ia buat hanya karena ingin membunuh rasa bosan. Akhirnya, penjara menjadi rumahnya selama 3 tahun plus denda sebesar $ 10.000,00. Kabar buruk lainnya adalah lahirnya ‘Jerussalem’ dan ‘Cascade’. Virus Jerussalem hanya aktif/hidup pada tanggal 13 hari jum’at (Friday The 13th) dan menginfeksi dua ekstensi sekaligus, yaitu .*EXE dan .*COM. Hebatnya, semua komputer yang terinfeksi akan kehilangan program-program mereka jika dijalankan pada tanggal tersebut. Sementara cascade yang ditemukan oleh orang Jerman merupakan virus pertama yang terenkripsi (encrypted virus) sehingga tidak dapat diubah atau dihilangkan untuk zaman itu. Kecuali oleh orang yang mengetahui kode enkripsi-balik (decode) tentunya. Contohnya si pembuat virus itu sendiri.

Sejarah kembali terjadi, antivirus pertama akhirnya muncul. Antivirus ini didisain untuk mendeteksi sekaligus menghapus virus ‘The Brain’ yang menjangkiti disket. Plus kemampuan untuk mengimunisasi (memberi kekebalan) kepada disket agar tidak dapat dihinggapi oleh ‘The Brain’. Ini berarti, secara teknis komputer, algoritma sang antivirus merupakan algoritma yang dapat merusak jalannya algoritma sang virus .
Banyaknya kejadian besar yang disebabkan oleh virus komputer pada tahun ini membuatnya beranjak populer dan mulai mengisi halaman-halaman media terkenal seperti Business Week, Newsweek, Fortune, PC Magazine dan Time. That’s cool …

1989 : Trojan AIDS dan Dark Avenger

Trojan AIDS menyebar sebagai program yang dapat menahan data informasi AIDS (Acquired Immuno Deficiency Syndrome) di dalam komputer yang dijangkitinya. Mungkin berguna jika berada di hardisk para dokter maupun praktisi kesehatan, tapi lain masalahnya dengan matematikus maupun praktisi perbankan.
Pada bulan september tanggal 17, Washington Post melaporkan tentang sebuah virus yang mereka sebut dengan bahasa jurnalisnya : “virus yang hidup dan menghancurkan pada tanggal 13 hari jum’at telah kabur”. Virus ini bekerja layaknya Jerussalem, namanya adalah DataCrime. Model penyerangan gaya baru diperkenalkan oleh virus Dark Avenger. Virus ini dirancang untuk menghancurkan sistem komputer secara perlahan-lahan. Jadi, pada awalnya pengguna tidak akan menyadari bahwa komputer mereka terserang virus, hingga tiba saat waktunya komputer akan berjalan semakin lambat, lambat, dan lambat.

Pada bulan oktober di Israel muncul virus yang disebut Frodo. Virus ini merupakan virus yang diprogram untuk merusak harddisk (harddrive) yang berjalan pada tanggal 22 September atau setelahnya pada tahun berapapun.

1990 : Virus Exchange, Buku tentang virus, dan gebyar antivirus

Dari Bulgaria muncul sebuah virus yang dapat menukar kode dan mengubah tujuannya sendiri, namanya adalah virus exchange (VX) BBS. Mark Ludwig mencatatkan diri sebagai penulis yang menerbitkan buku tentang virus. IBM, McAfee, Digital Dispatch, dan Iris mengeluarkan antivirus. Arena baru dalam bisnis TI, pembuatan program (toolkit) antivirus. Pada tahun ini varian virus yang beredar makin banyak dan hebat. Salah satunya adalah virus kombinasi yang kemampuannya tidak hanya sekadar bersembunyi (stealth virus), tapi juga mampu melakukan pengubahan sendiri strukturnya untuk mengecoh program antivirus (polymorphic virus) dan menginfeksi dua jenis ekstensi populer, yaitu .*EXE dan .*COM sekaligus menginfeksi boot sector.

1991 : Symantec merilis antivirus dan Tequilla

Tidak mau ketinggalan dengan vendor-vendor besar yang telah membuat antivirus, akhirnya Symantec merilis antivirusnya yang diberi label Norton Antivirus. Produk yang sampai hari ini terus merajai pasar antivirus dunia. Kejutan pada tahun ini adalah ketika Tequilla ditemukan. Virus ini memiliki tiga kesaktian sekaligus, yaitu bisa bersembunyi (stealth), bisa polymorphic dan multipartite.

1992 : Toolkit pembuat virus

The Dark Avenger Mutation Enginge (DAME) menjadi toolkit pembuat virus pertama yang dapat mengubah virus biasa menjadi virus polymorphic. Selain DAME lahir juga VCL (Virus Creation laboratory) yang menjadi perangkat pembuat virus pertama. Pada bulan Maret virus Michaelangelo muncul, berita-berita yang disebarkan oleh media mengenai virus ini membuat penjualan antivirus meningkat tajam. Statistik mencatat bahwa sudah ada sekitar 1300 virus pada tahun ini. Berarti meningkat 420% sejak bulan Desember 1990.

1993 : Virus yang baik dan Satan Bug

Cruncher sering dianggap sebagai virus yang baik karena ia mengkompres setiap file yang diinfeksinya. Jadi, ia dianggap juga sebagai penyelamat kapasitas storage. Sementara itu, di lain tempat sebuah kejutan besar terjadi. Sang pembuat virus The Satan Bug yang penangkapannya dilakukan oleh FBI menggunakan bantuan para vendor antivirus ternyata hanyalah seorang anak kecil.

1994 : Good Times yang membuat bad times ; Hoax pertama

Good Times adalah virus yang disebarkan melalui e-mail dengan subject seperti namanya sendiri. Dalam isi pesannya ia menyebutkan bahwa hanya dengan membaca atau melihat pesan bersubject “good times” pada komputer maka isi hardisk dari komputer tersebut akan lenyap dan bahkan merusak processor. Setelah diuji dengan cermat, ternyata isi pesan tersebut hanyalah berita bohong (hoax) saja. Good times sejatinya hanyalah virus yang mereplikasikan dirinya laiknya virus-virus lain.

1995 : Windows 95 dan virus Macro pertama

Munculnya windows 95 banyak membuat vendor antivirus khawatir kalau nantinya produk mereka bakal tidak berfungsi lagi dan tidak ada yang membeli. Namun, virus macro pertama muncul, namanya Concept. Virus ini memang tidak menyerang DOS namun menyerang aplikasi word processor paling terkenal saat itu, yaitu MS-Word. Vendor antivirus bak mendapat buah simalakama, satu sisi mereka senang, sisi lain mereka tidak. Karena musuh mereka bertambah lagi.

1996 : virus untuk windows 95, linux, dan Excel

Setahun setelah kemunculannya, Concept semakin populer diseantero dunia. Ms Excel akhirnya juga kebagian virus dengan adanya Laroux. Tidak ketinggalan, virus Boza dan Staog menjadi virus pertama buat Windows 95 dan open source OS ; Linux. Setelah diusut ternyata pembuat Boza dan Staog adalah satu kelompok yang sama.

1998 : Virus Java, Back Orifice, dan Solar Sunrise

Strange Brew adalah virus yang menyerang file java untuk yang pertama kalinya, tapi daya rusaknya tidak terlalu ‘membanggakan’. Pada tahun ini trojan yang melegenda hingga sekarang, Back Orifice, merupakan tool kendali jarak jauh (remote administration) yang mengizinkan seseorang mengambil ahli komputer orang lain via jaringan, baik jaringan lokal maupun jaringan internet. Virus macro untuk Access mulai muncul tahun ini juga. Salah satu kejadian yang paling menggemparkan pada tahun ini adalah ketika dua orang remaja asal California berhasil menyusup dan mengendalikan sistem komputer milik Departemen pertahanan USA, kantor-kantor pemerintahan, dan lembaga-lembaga swasta publik. Kecelakaan ini populer dengan istilah ‘Solar Sunrise’ karena OS yang banyak dipakai oleh komputer yang terserang tersebut adalah Sun Solaris. Selain itu, tahun ini juga merupakan tahun kemunculan Chernobyl, sebuah virus yang merusak sistem penyimpanan hardisk dan mampu mengacaukan sistem. Di Cina saja, kerugian mencapai 120 juta dollar AS. Untungnya, virus ini hanya menyerang OS Windows dan tidak menyerang OS macam Unix dan Novell Netware. Jika saja kedua OS belakangan juga terinfeksi maka kerugian yang terjadi bisa lebih besar karena Unix dan Netware banyak digunakan di sektor perbankan, pemerintahan, sekuritas, penerbangan, dan telekomunikasi.

1999 : Please welcome …… Melissa

Tahun ini benar-benar menjadi milik Melissa, virus macro yang memanfaatkan MS Word, Outlook Express dan jaringan internet dalam persebarannya. Melissa menjadi virus yang menyebar paling cepat dibanding virus-virus sebelumnya dan tentu saja menjadi katalis penjualan antivirus di seluruh dunia.
Bubble Boy muncul dan menjadi virus pertama yang tidak bergantung pada user untuk melakukan aksinya. Jadi, ketika seorang penerima attachment Bubble Boy ini membuka program mail manager-nya seperti Ms Outlook, maka sang virus tidak harus menunggu untuk dibuka dahulu file attachment-nya. Virus Corner muncul melengkapi deretan malware yang gemar menjangkiti prodik-produk Microsoft. Kali ini yang menjadi sasaran adalah Ms Project.
Tristate menjadi virus pertama yang mampu menginfeksi tiga varian Ms Office sekaligus, yaitu Ms Word, Excel, dan Power point.

2000 : waktunya katakan cinta dengan ‘I Love You’

Seorang pemuda Filipina diketahui sebagai pembuat virus ‘I Love You’. Modus kerja virus ini menyerupai Melissa tetapi lebih canggih dan lebih menghancurkan dibanding Melissa sendiri. Jika Melissa hanya mengambil 50 daftar e-mail yang ada di komputer yang terjangkiti kemudian mengirimkannya kepada komputer lain melalui internet, maka I Love You tidak hanya mengambil 50, tetapi semua. Hebatnya lagi, semua informasi tentang e-mail yang diambil dari adress book komputer tersebut, seperti username dan password akan dikirimkan ke alamat sang penulis virus. Plus kemampuan menghapus file-file yang berekstensi *.MP3, *.MP2, dan *.JPG.

2001 : Kournikova, Code Red, dan Nimda

Virus ‘Anna Kournikova’ yang menggunakan gambar petenis muda bersinar dari Rusia sebagai umpannya bekerja dengan cara mengirimkan dirinya sendiri ke e-mail yang ada di Adress Book Ms Outlook. Munculnya virus ini membuat para analis security khawatir bahwa jangan-jangan di luar sana para pembuat virus tidak perlu lagi harus bersusah payah untuk memikirkan algoritma yang rumit dalam proses pembuatan virus dikarenakan oleh tersedianya tool-tool pembuatan virus yang mudah didapat di internet.
Code Red membuat dunia heboh ketika daya (resource) semua komputer yang berhasil dijangkitinya dapat ia gunakan untuk membuat jatuhnya sistem pada website gedung putih (White House). Kerugian yang dihasilkan oleh virus ini di USA mencapai sekitar $ 2 Milyar. Padahal, komputer yang diserang oleh virus tersebut hanyalah komputer yang menggunakan windows 2000 server dan windows NT sebagai OS-nya.

Tepat sehari setelah kejadian penghancuran gedung WTC pada 11 September 2001 muncullah Nimda. Virus ini dianggap sebagai salah satu virus yang paling pintar di dalam riwayat sejarah virus karena ia memiliki lima jenis cara/metode untuk menginfeksi sistem dan mereplikasi dirinya sendiri.

Pada tahun ini sang penulis virus Melissa, David L. Smith (33 tahun), akhirnya berhasil ditangkap dan dimasukkan ke penjara federal Amerika Serikat selama 20 tahun.

2002 : worm Klez dan para superstar

Klez, worm ganas yang menyebar melalui internet. Uniknya, setelah dia mengirimkan kopi dari dirinya sendiri kepada semua korbannya, yaitu semua e-mail yang berada dalam folder Ms Outlook, Klez kemudian membuat hidden Copy dari file asli yang dijangkitinya. Selain itu, worm populer ini juga mampu menonaktifkan beberapa produk antivirus yang sudah terinstall terlebih dahulu di komputer korban.
Melanjutkan sukses virus ‘Anna kournikova’ yang mampu menghebohkan dunia maya sebelumnya, hadirlah kemudian beberapa virus yang menggunakan nama selebritis hollywood sebagai ‘detonator’-nya. Selebritis tersebut antara lain, Britney Spears, Shakira, dan Jennifer Lopez.

2003 : Slammer dan Sobig, lagi-lagi cacing, worm…

worm ‘Slammer’ sejatinya merupakan worm yang relatif ramah dan biasa-biasa saja. Namun, daya serangnya (penyebarannya) dan kecepatan duplikasinya (setiap 8,5 detik terjadi replikasi) benar-benar mampu mengguncang dunia. Dalam waktu 10 menit sejak kemunculannya, ia mampu menginfeksi 75.000 komputer. worm ini mengakibatkan kerusakan yang signifikan pada dunia bisnis, diantaranya adalah melumpuhnya mesin-mesin cash milik bank sehingga tidak bisa online dan tertundanya beberapa penerbangan yang pengurusan tiketnya dikerjakan oleh komputer yang telah terinfeksi.
Dan ternyata, Sobig juga worm. worm ini tercatat sebagai ‘cacing’ yang disukai oleh para spammer. Mengapa ? Karena Sobig dapat menjadikan setiap komputer yang ia jangkiti menjadi titik relay (tongkat estafet) bagi para spammer utnuk menyebarkan replika Sobig secara massal kepada korban yang akan dituju.

2004 : MyDoom, Netsky, Bagle, dan Sasser … whoever win, we are lose !

MyDoom alias Novarg dikenal sebagai virus yang menyebar paling cepat dalam sejarah dunia virus, mengungguli Melissa yang populer pada tahun 1999. virus ini menyebar melalui e-mail dan software file sharing. Ia memikat calon korban dengan cara memberitahukan kepada mereka bahwa salah satu e-mail yang telah mereka kirimkan sebelumnya telah gagal terkirim. Hal ini merupakan sebuah trik cerdik nan sederhana untuk mengelabui para korban. Motif sesungguhnya dari virus ini adalah sebagai alat bagi para hacker untuk melancarkan serangan DoS (Denial of Service) kepada server komputer SCO Inc. (Santa Cruz Operation), dan berhasil. Setelah serangan DoS terjadi, yaitu pada tanggal 1 September 2004, situs perusahaan yang dibenci kalangan open source ini sempat offline beberapa hari. Saking seriusnya, SCO rela memberikan reward sebesar $ 250.000,00 bagi mereka yang mampu memberitahukan siapa dibalik pembuatan virus ini.

Sven Jaschan, remaja sekolah menengah asal Jerman mengaku menulis Sasser. worm ini tidak menyebabkan kerusakan teknis pada komputer, hanya saja ia mampu mengakibatkan beberapa komputer yang diinfeksinya menjadi lambat dan me-reboot dirinya sendiri tanpa dikehendaki oleh sang user. Tercatat, beberapa perusahaan besar menjadi korban worm ini. Seperti maskapai penerbangan kebanggaan Inggris, British Airways, Britain’s Coast Guard, RailCorp Australia, dan bahkan dua rumah sakit di Swedia gagal meng-online-kan 5000 komputer mereka karena worm ini. Ketika ditanya oleh polisi Jerman mengenai motif dibalik pembuatan worm ini, Jaschan menjawab bahwa Sasser ditulis untuk menghadapi para Spammer yang berada di balik pembuatan Baggle dan MyDoom.

Netsky ditulis oleh Jaschan untuk menghadapi serangan spammer yang menggunakan Bagle dan MyDoom. Jadi ketika Bagle dan myDoom sedang mengeset aksinya untuk menjadikan setiap komputer yang diinfeksinya sebagai tempat pembuangan bulk mail, Netsky akan melakukan sebaliknya.
Sejarah besar terjadi pada bulan Juni tahun ini ketika virus ponsel pertama, Cabir, muncul menjadi calon momok yang menakutkan bagi para pengguna ponsel yang berbasis OS Symbian berkemampuan Bluetooth. Disusul oleh Duts yang menyerang Pocket PC dan PDA.

4. Masa Depan Virus Komputer

Beberapa tahun dari sekarang sebenarnya sudah dapat dipastikan bahwa akan semakin banyak virus-virus baru lahir. Entah itu yang ganas, biasa, atau ‘ramah’. Sementara itu, semua pakar sepakat bahwa virus-virus komputer yang lama atau klasik tidak akan mengalami kematian, hal ini wajar dan memang sangat sesuai dengan sifat-sifat virus biologis pada kenyataannya. Patut diingat oleh semua pengguna komputer di atas planet bumi bahwa tidak akan ada istilah ‘mati’ untuk program komputer, dan virus komputer itu pun sejatinya merupakan sebuah program komputer yang akan ‘hidup’ atau bergerak sesuai dengan kode penyusun (source code) yang telah dibuat oleh sang penciptanya. Jadi, jika sebuah virus berada pada lingkungan yang ‘benar’ maka otomatis dia akan melaksanakan alghoritma jahatnya tanpa pilih kasih. Maklum, virus tidak diciptakan untuk bertoleransi. Namun para pengguna komputer juga jangan menjadi ‘virusphobia’, yang sangat ketakutan, sehingga takut memegang komputer sekali pun. Tak ada penyakit yang tidak ada obatnya, dalam artian, jika kita terus melakukan update antivirus kita secara teratur maka tidak ada yang patut dirisaukan secara berlebih-lebihan.

Virus di SmartPhone

Bila kita mencoba melihat jauh ke depan ke dalam gelombang kemajuan TI (Teknologi Informasi) maka akan semakin jelaslah bahwa komputer itu tidak hanya desktop atau laptop yang sudah umum kita temui. TabletPC, Ponsel, atau PDA yang terlihat kompak dengan genggaman tangan pun sejatinya sudah pantas jika disebut sebagai komputer. Khususnya untuk produk-produk keluaran terbaru yang telah diinjeksi dengan varian sistem operasi macam Symbian OS atau Ms Windows Mobile untuk ponsel, atau Palm OS dan Ms Windows PocketPC untuk PDA.

Berdasarkan fakta di atas, kita dapat mengambil kesimpulan bahwa suatu hari gadget-gadget tersebut pasti akan dijangkiti oleh virus. Dan terbukti, benar! Untuk SmartPhone, setelah Cabir hadir dan menyebar dengan bantuan Bluetooth yang terinfeksi, menyusullah dua malware terbaru, yaitu Mosquito dan Skull Trojan. Mosquito merupakan sebuah game yang bekerja di Symbian, lucunya selain dapat menghibur penggunanya ia juga secara diam-diam mengirimkan pesan (sms) ke nomor-nomor tertentu yang bersifat layanan (service) berbayar, sehingga menyebabkan lenyapnya pulsa ponsel tersebut. Lain halnya dengan Skull Trojan, program shareware yang di download dari salah satu situs internet ini dapat mengakibatkan tidak berfungsinya aplikasi-aplikasi yang berjalan pada smartphone anda plus jejak yang manis dengan mengganti icon-icon program aplikasi tersebut dengan icon-icon bergambar tengkorak. Satu-satunya kebaikan yang ditinggalkan oleh Trojan ini adalah ketika ia masih mengizinkan anda untuk berhallo-hallo ria, tapi itu saja, cukup itu saja.

Gambaran di atas benar-benar tidak bisa dianggap remeh. Terlebih di era mobile seperti ini, di mana kelancaran suatu aktivitas sudah menjadi sangat tergantung dengan keberadaan gadget tersebut. Sebut saja mobile banking, aktivitas yang mengandung uang secara lambat laun akan dimanfaatkan oleh para pembuat virus untuk menciptakan varian yang tidak hanya merusak sistem ponsel tersebut tetapi juga mampu mengirimkan data-data tertentu yang sifatnya rahasia kepada sang pembuat virus. Nomor telepon dalam phonebook misalnya. Wah, sebaiknya kita harus hati-hati mulai saat ini juga.

Antivirus untuk Smartphone

Pada quartal 4 (Q4) tahun 2004 kemarin, Nokia mulai melengkapi produknya dengan dukungan antivirus dari vendor besar, yaitu F-Secure. Adapun tipe yang dimaksud adalah Nokia 6670 dan Nokia 7710. Sementara F-Secure sendiri dengan bangga menyatakan bahwa antivirus mereka dirancang untuk dapat bekerja secara real-time dan otomatis melalui mekanisme sms yang telah dipatenkan. Selain Nokia, layanan antivirus dari F-Secure juga digunakan oleh Elisa, salah satu operator seluler yang menawarkan jasa antivirusnya melalui jaringan nirkabel kepada pelanggannya.
Spamming

Pengguna komputer di Indonesia mungkin tidak akan mempercayai bila 70% virus di dunia adalah virus-virus yang disebarkan dengan teknik spamming. Ini wajar, karena tingkat penetrasi internet Indonesia sangat kecil bila dibandingkan dengan negara-negara seperti Amerika Serikat, China, dan negara-negara Eropa Barat. Walhasil, kebanyakan virus yang populer di Indonesia adalah virus-virus yang menyerang floppy disk, meskipun pada awal penyebarannya juga menggunakan internet. Sebut saja Pesin yang berasal dari palembang, ibukota Propinsi Sumatera Selatan. Lain ceritanya dengan negara-negara besar tersebut, di sana virus-virus yang populer diantaranya Netsky, MyDoom, Baggle, Sasser, beserta semua variannya.

5. Motivasi para pembuat virus

Menurut Bapak Antonius Alfons Tanujaya, Direktur PT Vaksin.com, ada beberapa hal yang menjadi tujuan para pembuat virus ketika menyebarkan karyanya. Pertama, aktualisasi diri. Penulis virus jenis ini umumnya memiliki kemampuan programming yang cukup tinggi, ia menginginkan agar seluruh dunia tahu bahwa dirinya pintar. Kedua, iseng (script kiddie). Tipikal ini membuat virus dengan bantuan aplikasi-aplikasi pembuat virus yang banyak tersedia di internet. Ketiga, ingin pamer. Keempat, promosi. Virus yang ditulis oleh tipe keempat ini selain membuat kerusakan pada sistem juga bertujuan untuk mempromosikan sesuatu yang ingin di jual oleh penulisnya. Contohnya adalah penulis C Brain yang mempromosikan toko komputer milik penulisnya di Pakistan.

Selain motivasi di atas, ada beberapa motivasi lain yang sangat merisaukan pengguna komputer, antara lain ; penulis virus yang menciptakan virusnya untuk mengirimkan data-data komputer yang diserangnya demi kepentingan jahatnya, penulis virus yang ingin menyampaikan pesan-pesan tertentu atau isi hatinya kepada dunia, misalnya virus pesin, dsb.

Tips Mengatasi Virus Golden Ghost

Akhir – akhir ini dunia internet local dikejutkan oleh munculnya virus varian terbaru, yaitu golden ghost.

Bagi kamu yang terinfeksi virus ini harus hati – hati karena akan merubah default page browser internet explore kamu ke situs http://www.pl*yb*y.com ( disensor agar aman 🙂 )

Saat ini virus local memang berkembang dengan sangat pesat. Virus local sekarang tidak saja hanya membuat file duplikat, menginfeksi data (ms office) dan menyembunyikan file. Namun sudah bisa pula menginfeksi file executable ( exe ). Dan penyebarannya tidak saja hanya melalui flashdisk, namun sudah mampu menginfeksi melalui email, bahkan bisa melalui media chatting seperti IRC dsb.

virus Golden Ghost dibuat dengan menggunakan Visual Basic dan dikompres menggunakan UPX. Virus ini mempunyai ukuran 1,312 mb dan memakai icon Windows media player untuk mengelabui user.

Berkut ini ciri – ciri jika kamu terinfeksi virus golden ghost :

1. muncul pesan error “16 bit MS-DOS subsystem” saat komputer dinyalakan dan muncul juga setiap beberapa menit.

2. Mengubah nama pemilik menjadi “GoldenGhost”

3. Mengubah organisasi pemilik menjadi “GoldenGost.Inc”

4. Saat booting windows muncul menu tambahan “GoldenGhost Was Here”

5. Home page internet explorer berubah menjadi http://www.pl*yb*y.com

6. Saat booting muncul menu GoldenGhost was here dan kalau dipilih komputer akan restart.

7. Setiap kali user copy paste isi text file, maka akan berubah menjadi text desahan “oohhh…aughhhh…yessss..babbby…!!!”

8. Virus akan mencoba menghapus semua file berekxtensi *.mov, *.wmv, *.3gp, *.avi, *.mpg, *.mpeg yang ada pada flash disk.

Penyebaran virus ini tergolong canggih karena mampu menyebar melalui media chat IRC dan berusaha untuk join ke sejumlah channel seperti surabaya, Jakarta, Medan, malang, Bandung, Jogja, Solo, Semarang dengan terlebih dahulu melakukan koneksi ke salah satu server sebagai berikut :
punch.va.us.dal.net, rumble.fl.us.dal.net, mozilla.se.eu.dal.net, swiftco.wa.us.dal.net, haarlem.nl.eu.undernet.org, plasa.id.allnetwork.org.

setelah terkoneksi, Golden Ghost akan mengirimkan pesan2 antara lain :
nick, free picture indonesia s*x, duble click url
nick, ada info baru neh, marshanda, agnes monica, dian sastro, bunga C dah berani b*gil, untuk liat fotonya, double click url
artis indonesia nude, double click url
nick, indo artis majalah pl*yb*y, double click URL
nick, mau liat artis majalah pl*yb*y indo, nick indonesia fr*e p*rn, double click url
ce bangsa indo, double click

jadi jika kamu chatting dan menemukan pesan2 tersebut, itu bukanlah rejeki, melainkan petaka 🙂

namun bagaimana mengatasinya jika sudah terlanjur dapet “rejeki” melalui chatting tersebut?

ternyata update terbaru norman virus control sudah dapat mengatasinya. bahkan juga sudah dapat memperbaiki file yang diinjeksi oleh virus golden ghost.
Untuk mendapatkannya, kamu bisa download disini :
Download antivirus norman
Download Removal tool

Semoga membantu