Karakteristik Virus

• Nama file: (acak)
• Ukuran: 56.0 KB
• Dibuat menggunakan: Visual Basic 6.0

Aksi Virus

Virus ini tidak terlalu banyak ulah seperti kebanyakan virus, dia hanya menggandakan diri pada komputer dengan meletakkan salinannya pada :

• C:\Documents and Settings\[nama administrator komputer]\[namaacakvirus.exe]

 dan Membuat atau memodifikasi dua nilai registry yaitu pada :

• [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  C:\Documents and Settings\[nama administrator komputer]\[namaacakvirus.exe]
• SuperHidden

Dan menyebarkan diri pada Flashdisk atau Folder Sharing jika komputer tersambung ke jaringan, dan ini file yang disisipkan/sebarkannya itu :

• Berisi satu file autorun.inf yang isinya :

[aUToRUn]

aCTion=Open folder to view files

shElLEXEcuTE=[namaacakvirus.exe]

IcOn=%SysteMrOot%\sYstEM32\sHeLL32.dLl,4

USeAuTOplAy=1

• Enam file Shortcut yang bertugas menjalankan virus dengan nama :

[namaacakvirus.scr]

• Satu file exe virus yang nantinya akan dieksekusi oleh autorun.inf :

[namaacakvirus.exe]

• Satu file scr virus yang nantinya akan dieksekusi oleh Shortcut :

[namaacakvirus.scr]

 Pembersihan

Jalankan Smadav. Jika Smadav belum mendeteksi virus ini, gunakan fitur “One-Virus By-User” dari Smadav dengan memilih tab “Tools”, lalu  “One-Virus By-User”, lalu “Browse Other …” dan tentukan lokasi virusnya seperti yang sudah kita bahas di atas tadi. Nah, tinggal scan deh komputernya, maka Smadav akan menyapu bersih virus ini, dengan catatan walaupun masih belum resmi masuk database pengenalan virus pada Smadav, Smadav tetap bisa memusnahkan virus ini dengan fitur “One-Virus By-User” tadi.

Salam bebas virus.

Karakteristik Virus

• Ukuran sekitar : 104 Kb

• Ikon : sebuah Installer atau SETUP

• Dibuat : Menggunakan Visual Basic 6

Aksi Virus

Apa yang terjadi jika user tak sengaja telah menjalankan virus?, virus akan langsung aktif di memory dan menampilkan sebuah pesan seperti dibawah ini secara terus menerus.

Beberapa pesan lain nya yang akan ditampilkanya antara lain :

• Love Is Knife, Love is Devil, Love is Terroris, Love is NAFSU

• Dumpuing Is Available Aftermy attack success, be carefull with your system

• Kanciang, IM HERE NOW, Your Computer Has Being Attack By GGLLTTHH

• Fuck, IM HERE NOW, Your Computer Has Being Attack By My pion.

Virus juga telah membuat file induknya di system dengan nama acak dengan karakter “Δ” di awal namanya

• C:\WINDOWS\system32\drivers\Δrdpdrj.exe

• C:\WINDOWS\system32\drivers\Δ(acak)rdpdrj.sys

• C:\WINDOWS\system32\drivers\Δ(acak).exe

• C:\WINDOWS\system32\drivers\Δ(acak).sys

• C:\WINDOWS\system32\Δ(acak).exe

• C:\WINDOWS\system32\Δ(acak).sys

• C:\WINDOWS\Δ(acak).exe

Di setiap drive dapat kita temukan duplikat virus ini, dengan nama yang juga acak dan karakter “Δ” di awal namanya.

Flashdisk menjadi target utama virus ini untuk menyebar, virus memperbanyak dirinya dengan nama yang juga acak, dan virus akan terus menggandakan dirinya sampai flashdisk yang di infeksi penuh.  Coba bayangkan jika virus di diemin dalam waktu cukup lama, bisa-bisa virus beranak pinak sampe ratusan, ribuan, bahkan puluhan ribu virus di flashdisk anda, mengerikan bukan?

Tak hanya Flashdisk saja yang jadi bulan-bulanan virus, Registry di bagian seperti gambar diatas juga jadi bulan-bulanan virus, bisa anda lihat sendiri virus membuat banyak startup dengan jumlah yang tak terhitung banyaknya,  akibatnya apabila user merestart / menghidupkan ulang komputernya, virus dengan ribuan proses akan aktif dan membuat komputer menjadi hang akibat dari banyaknya proses virus yang berjalan.

Beberapa aksi lainya, virus mendisable beberapa fungsi tools windows yang dianggapnya cukup membahayakan kehidupan virus, tools tersebut antara lain :

• Disable Task Manager

• Disable Klik kanan Desktop

• Disable Klik kanan Explorer

• Disable Screen Saver

• Disable Control Panel

• Disable Registry Tool

• Disable Folder Option

• Disable Run

• Disable Shutdown

• Disable LogOff

• Disable Search

• Disable System Restore

• Disable MSI installer

• Disable Recent Document

Pembersihan

Segera lakukan pembersihan sebelum virus bertambah banyak di komputer anda Pilih FULL SCAN pada Auto Checking, dan berikan tanda centang pada Deep (Over 1500 Registry Value). Untuk membersihkan virus secara menyeluruh dan memperbaiki registry yang telah dirusak olehnya.

Tunggu hingga proses scanning selesai, jika sudah klik tombol OK pada pesan yang muncul, kemudian klik tombol Bersihkan

Karakteristik Virus

Nama : LIA I LOVE YOU.exe
Ukuran : 52.0 KB
Icon : Bola Dunia
Compiled by : Visual Basic 6.0

Aksi Virus

Seperti kebanyakan virus lainnya, virus ini memodifikasi pengaturan pada Resgistry, menghilangkan Folder Options, dan sebagainya. Mari ikuti saja sampai selesai, tidak panjang kok.

Folder Options memang dianggap berbahaya bagi kelangsungan hidup virus, maka virus ini menonaktifkan fungsi Folder Option.

Penyebaran, virus ini menggandakan dirinya pada root direktori disk aktif seperti terlihat pada gambar, virus menggandakan diri ke C:\ dengan nama “LIA I LOVE YOU.exe”.

Agar virus jalan saat komputer menyala, virus ini menggandakan diri ke “Startup” dengan nama “LIA I LOVE YOU.exe”, dan juga membuat starter ‘Run’ pada Regisrty.

Registry yang dimodifikasi virus:

Perbedaan penggandaan diri dan starternya yaitu pada penamaan file, karena file virus starternya menggunakan nama “LIA I LOVE YOU.exe”, sedangkan penggandaan biasanya menggunakan nama folder yang akan ia masukkan dirinya kedalamnya.

Tuntaskan dengan Smadav
Mari kita sikat saja virusnya menggunakan Smadav!

Sesudah!

Salam bebas virus.

Bayangkan apa jadinya jika mahasiswa semester akhir (S1) kehilangan dokumen (.doc) bahan skripsinya, sedangkan bahan tersebut sudah tinggal cetak saja maka skripsinya selesai, namun terancam gagal S1 karena virus ini, sungguh sangat menyebalkan, bukan?

Karakteristik Virus

Virus ini hanya memiliki ukuran sekitar 8 KB, dengan eksternsi .vbe. Dari icon memang terlihat seperti virus VBS (.vbs) biasa, tetapi karena ini berekstensi .vbe (VBScript Encoded Script File) maka virus ini berbeda dengan virus .vbs pada umumnya, virus ini terenkrip sehingga souce codenya tidak bisa terbaca dengan mudah.

Untuk mempelajari teknik ini, bisa Anda ke rumahnya langsung di => http://www.vbs2exe.com/encrypt-vbs.html

Untuk mengetahui berbagai macam ekstensi, missal ekstensi .vbe ini tadi di => http://dotwhat.net/vbe/22/

Ini, lihat script atau source codenya, tidak karuan, bukan? Hal ini karena source code program ini terenkripsi, hal ini dilakukan agar virus ini tidak mudah dianalisa oleh Malware Analyst seperti kami.

Penyebaran

Virus ini menyebar ke setiap root dari drive yang ada dengan nama “alice.alc” dengan menggunakan “autorun.inf” sebagai pemicunya.

Menggandakan Diri

Seperti kebiasaan virus pada umumnya, virus ini juga mengandakan diri pada komputer yang berhasil ia infeksi, bertempat di :

• C:\WINDOWS\system32\drivers\alice.sys
• C:\Documents and Settings\[nama user]\Local Settings\Temp\alice.sys

Menyamar sebagai file Driver, yang padahal sebenarnya adalah file VBE.

Aksi Virus

Tak puas menyebar dan menggandakan diri, virus ini pun memanipulasi data yang ada seperti :

• .doc
• .docx
• .htm
• .html

dan menggantinya menjadi dirinya.

Pada file .doc, virus ini akan menyembunyikan file yang sebenarnya dan ia menyamar atau menggandakan dirinya menjadi file .doc tadi yang padahal sebenarnya adalah file .vbe

Sedangkan pada file .htm maupun .html, virus ini akan memodif file asli (.htm atau .html tadi) menjadi ekstensi .hta, dan menyisipkan perintah VBScript didalamnya. Ingat, ia memodif file asli, mengubah ekstensi menjadi .hta, menyisipkan perintah VBScript dibawah dari code HTML asal, berbeda dengan file .doc tadi yang ia sembunyikan dan dia buat samarannya.

Registry

Virus ini juga memanipulasi registry agar user tidak bisa melihat ekstensi file yang ada, menghilangkan Folder Option, menghilangkan Run, memblok Task Manager, Registry Editor, System Restore, dan sebagainya.

Oh iya, virus ini juga mengubah nama komputer menjadi ALICE.

Bersihkan dengan Smadav rev. 8.8.4

Dengan Smadav rev. 8.8.4, kita teidak perlu lagi takut kehilangan dokumen kita karena ulah jahil si Alice ini tadi. Karena Smadav akan membunuh virus ini sampai keakarnya, memperbaiki kerusakan pada registry, dan mampu memunculkan kembali file dokumen yang sebelumnya telah disembunyikan oleh virus tadi.

Silakan download Smadav di www.smadav.net

Sebelum :

Sesudah :

Penyempurnaan Auto-Scan Flashdisk :
- Jika Smadav Rev. 8.7 tidak ada indikator Progress Bar pada Auto-Scan Flashdisk, maka Smadav Rev. 8.8 ini sudah disempurnakan dengan indikator Progress Bar tersebut layaknya Scanning secara manual. Bukan hanya terjadi penyempurnaan indikator saja, tetapi keakuratan dalam Scanning mode Auto-Scan Flashdisk ini juga telah diperbaiki dari revisi sebelumnya.

Progress bar

Progress bar complete

Penambahan 2 Setting Baru :
- Quick/Full Scan Flashdisk yang berfungsi untuk melakukan scanning dengan cepat dan menyeluruh (baik itu root flashdisk maupun sub folder dari flashdisk). Disini Anda bisa menentukan sendiri dengan mencentang untuk mengaktifkan fitur ini, maupun tidak mencentang untuk tidak mengaktifkan fitur ini.
- Konfirmasi Smad-Lock untuk proteksi flashdisk yang berfungsi agar setiap flashdisk yang tertancap ke port USB akan langsung dilakukan Lock oleh fitur Smad-Lock. Disini Anda bisa

Untuk membersihkan virus ini secara maksimal gunakan SmadAV versi terbaru, Antivirus SmadAV bisa anda dapatkan secara geratis di www.smadav.net . SmadAV dapat mengenali virus ini sebagai “VBS.VirusCode” dan “Yuyun.Shortcut”

• Jalankan SmadAV pada TAB Scanner beri centang pada Computer Drive untuk membersihkan virus diseluruh drive yang anda punya. Lalu tekan tombol SCAN >> untuk memulai proses scanning. Tunggu hingga proses scanning selesai 100%, jika sudah selesai tekan tombol FIX ALL

Daftar file virus yang terdeteksi

Tampilan proses scanning telah selesai

Karakteristik Virus

Virus VBS ini hadir dengan ektensi berbeda dari kebanyakan virus VBS lainya yakni dengan menggunakan ektensi “.db” dan “.lnk” [shortcut], virus menyamarkan dirinya sebagai shortcut dan file “Thumbs.db” untuk mengelabui korbanya. Teknik yang ia gunakan yakni menyamarkan dirinya sebagai folder dengan memanfaatkan shortcut yang ia buat agar nantinya virus dapat tereksekusi saat korbannya mengakses file shortcut samaran folder tersebut.

Ciri file virus :

• Berektensi “.db” menyamar sebagai file “Thumb.db”
• Dan file shortcut berektensi “.lnk” yang digunakan virus untuk menyamarkan dirinya sebagai folder

File-file virus yang dibuat diseluruh folder

File-file virus tersebut dapat kita temui diseluruh folder yang ada dikomputer terinfeksi oleh virus ini, virus ini akan menyembunyikan seluruh folder-folder yang ditemuinya di setiap drive yang ada dikomputer korbanya yakni dengan cara membuat shortcut samaran yang  mirip dengan nama folder yang ia sembunyikan, file-file yang ia buat antara lain file induk virus “Thumb.db”, “Autorun.inf”, shortcut virus “Microsoft”, “New Harry Potter and…” dan shortcut yang ia buat mirip dengan nama folder yang ia sembunyikan.

Kita dapat melihat perbedaan antara file dan folder asli dengan file dan folder palsu yang dibuat oleh virus.

Dari gambar diatas kita dapat melihat perbedan dengan jelas mana file dan folder asli milik system dengan file dan folder palsu yang dibuat oleh virus.

Ciri-ciri File dan folder asli

• Folder tidak terdapat tanda panah di icon nya dan type nya adalah folder
• File Thumbs asli mempunyai nama lengkap Thumbs.db

Ciri-ciri file dan folder palsu buatan virus

• Folder memiliki tanda panah di icon nya dan typenya adalah Shortcut
• File Thumbs yang dibuat oleh virus namanya “Thumb.db”

Selain itu juga terdapat file Autorun.inf yang dibuat oleh virus agar dirinya dapat aktif secara otomatis saat korbanya mengakses drive. Isi autorun nya seperti gambar dibawah ini

File Autorun.inf yang dibuat oleh virus

Aksi Virus

Saat pertama kali shortcut virus dijalankan, virus memeriksa keberadaan folder yang disembunyikan apakah folder yang disembunyikan ada atau tidak, jika ada virus akan membuka folder yang disembunyikan dan jika tidak ditemukan maka virus akan membuat folder baru mirip dengan nama shortcut yang dijalankan lalu membuka folder tersebut dengan menggunakan explorer. Jadi seolah olah shortcut virus yang dijalankan sama seperti membuka folder biasa.

Kemudian virus membaca tubuhnya dan mendeksrip kode aslinya dan membuat beberapa file ke direktori Temp. File file yang dibuatnya antara lain Auto.exe [Script Autorun.inf virus], v.doc [Pesan virus] dan file Yuyun.Q [File kosong] :

• C:\Documents and Settings\user\Local Settings\Temp\auto.exe
• C:\Documents and Settings\user\Local Settings\Temp\v.doc
• C:\Documents and Settings\user\Local Settings\Temp\Yuyun.Q

File induk Virus

Pada direktori My Documents virus membuat file induknya dengan nama “database.mdb”, yang akan ia jadikan file induk aslinya. Sebenarnya file ini merupakan file VBS [Visual Basic Script] yang dirubah ektensinya menjadi .mdb agar mirip sepertti file dartabase. File induk ini akan dijalakan setiap computer dihidupkan.

• C:\Documents and Settings\user\My Documents\database.mdb

Selain itu ia juga mencoba membuat file induk virus dengan memnafaatkan system NTFS yakni dengan membuat file ADS agar file induk ini tersembunyi dan tidak dapat dilihat

• C:\WINDOWS\:Microsoft Office Update for Windows XP.sys

Menyebarkan diri ke seluruh drive dan folder

Virus akan mencari keberadaan folder disetiap drive, jika ia menemukanya virus akan mensembunyikan folder asli lalu membuat shortcut mirip dengan folder yang disembunyikan, dan membuat  beberapa file virus lainya di direktori yang sama. File-file yang ia buat diseluruh drive dan folder antara lain :

• Thumb.db
• Microsoft.lnk
• Autorun.inf
• %Folder%.lnk <Sesuai dengan nama foder yang disembunyikan>

File shortcut yang dibuatnya berisi perintah yang akan menjalankan file induk “Thumb,db”

• C:\WINDOWS\system32\wscript.exe //e:VBScript thumb.db “%NamaFolder%”

Menginfeksi Direktori CD Burning

Virus berusaha menginfeksi direktori CD Burning yang berada di “C:\Documents and Settings\user\Local Settings\Application Data\Microsoft\CD Burning”  dengan membuat file “Autorun.inf” dan “Thumb.db”

• C:\Documents and Settings\user\Local Settings\Application Data\Microsoft\CD Burning\Autorun.inf
• C:\Documents and Settings\user\Local Settings\Application Data\Microsoft\CD Burning\Thumb.db

Menyebar melalui jaringan – Infeksi NetHood

Virus ini juga bisa menyebar melalui jaringan yakni dengan mencari folder yang di share dijaringan pada directori NetHood “C:\Documents and Settings\user\NetHood”, jika virus menemukanya ia akan menyembunyikan semua folder yang didapat kemudian membuat shortcut dengan nama yang sama dengan folder yang ia sembunyikan.

Pesan Virus

Di folder Temp “C:\Documents and Settings\user\Local Settings\Temp\” kita dapat menemukan sebuah pesan yang dibuat oleh virus, pesan itu berupa file text dengan nama “v.doc”

• C:\Documents and Settings\user\Local Settings\Temp\v.doc

Registry yang di infeksi

Virus ini tidak banyak melakukan perubahan didalam registry, virus hanya membuat startup, menghapus beberapa value dan mendisable registry tool [regedit], sedangkan tols seperti Task Manager, Folder Options, CMD, dan Msconfig tidak diblok oleh virus.

• HKEY_CLASSES_ROOT\CLSID\{11111111-2222-3333-4444-555555555555}\ = “Yuyun_Cantix”
• HKEY_CLASSES_ROOT\CLSID\{11111111-2222-3333-4444-555555555555}\DefaultIcon\”= “shell32.dll,48”
• HKEY_CLASSES_ROOT\CLSID\{11111111-2222-3333-4444 555555555555}\ShellFolder\Attributes = 0
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Desktop\NameSpace\{11111111-2222-3333-4444-555555555555}\ = “”
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistrytools = 1

Menghapus Value “IsShortcut” agar tanda panah pada icon shortcut tidak ditampilkan

• HKEY_CLASSES_ROOT\lnkfile\IsShortcut

Membuat Autorun di registry agar virus dapat aktif secara otomatis saat computer dihidupkan

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Explorer = “Wscript.exe //e:VBScript C:\Documents and Settings\user\My Documents\database.mdb”
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WinUpdate = “Wscript.exe //e:VBScript C:\WINDOWS\:Microsoft Office Update for Windows XP.sys

Virus Doomsday ini sangat sulit dihapus dengan cara manual karena menggunakan hampir semua teknik virus lokal yang pernah ada dan ditambah lagi dengan teknik-teknik baru yang ditambahkan oleh pembuatnya. Itulah mengapa pembuatnya memberi nama Doomsday untuk virus ini, karena dia mengira antivirus lokal tidak akan mampu membasminya. Tapi, Smadav 2009 Rev. 5 mudah saja membunuh virus ini sampai ke akar-akarnya sehingga komputer yang terinfeksi sebelumnya akan kembali seperti semula seakan-akan belum pernah terinfeksi virus ini. Pembersihan ini sangat cepat, tidak lebih dari 15 detik setelah satu kali klik Smadav.

Sebelum membersihkan virus ini dengan Smadav, mari kita bahas dulu apa saja kecanggihan virus ini.

Virus ini dibuat dengan Visual Basic 6 dikompresi dengan UPX dan mempunyai ukuran 65 KB. Jika dilihat di Process Explorer, disana terlihat ada 5 proses virus yang sedang aktif. 1 proses yang paling atas aktif sebagai Windows Service dan tugasnya adalah untuk mencegah kita membuka tool system di windows seperti regedit, msconfig, dll. Sedangkan kumpulan 4 proses yang paling bawah yang punya tugas utama untuk melakukan penyebaran dan pertahanan di komputer korban. 4 proses ini saling melindungi satu sama lain, jika kita membunuh salah satu prosesnya maka proses lain akan kembali menghidupkan proses yang kita bunuh tadi, jadi kita akan kesulitan jika membunuhnya secara manual dengan process explorer seperti ini. Walaupun berhasil, semua proses ini akan kembali aktif kalau kita membuka program apa saja di komputer kita. Jadi kita harus memperbaiki registry dulu untuk membersihkannya, tapi registry pun diblok dengan teknik berlapis-lapis. Jadi, hampir tidak mungkin virus ini bisa diberantas dengan cara manual karena selain sulitnya membunuh proses di memori, virus ini juga merusak sangat banyak value registry.

Virus ini akan memblok semua akses ke antivirus lokal (PCMAV, SMADAV, atau ANSAV), hampir semua antivirus impor, dan program-program lain yang bisa membahayakan dirinya. Dia mempunyai teknik yang sangat banyak dan cerdik untuk mengenali dan mencegah program yang membahayakannya. Tapi dia tidak mampu untuk mengenali Smadav 2009 Rev. 5, sehingga Smadav 2009 Rev. 5 bisa dengan mudah menghancurkannya. Selain memblok program,virus ini juga akan memblok akses ke situs antivirus. Itu dia lakukan dengan menulis daftar situs yang diblok ke file hosts windows. Berikut ini daftar situs yang diblok :
2-spyware.com, 360.cn, 360safe.com, ansav.com, antirootkit.com, antiviruslab.com, arcabit.com, avast.com, avg.com, avg-antivirus.net, avira.com, bitdefender.co.uk, bitdefender.com, bullguard.com, ca.com, cainternetsecurity.net, clamav.net, clamwin.com, commandondemand.com, comodo.com, crit.org, cwsandbox.org, cyberdefender.com, drweb.com, drweb-online.com, emsisoft.com, eradicatespyware.net, eset.com, eset.eu, ewido.net, fortiguardcenter.com, fortinet.com, f-prot.com, freeantivirushelp.com, free-av.com, freedom.net, freedrweb.com, freerav.com, freespywareremoval.info, f-secure.com, grisoft.com, housecall.trendmicro.com, housecall60.trendmicro.com, iavs.cz, incodesolutions.com, jayloden.com, jotti.org, kaspersky.com, lavasoft.com, malwarebytes.org, malwareremoval.com, mcafee.com, microsoft.com, misec.net, mwti.net, my-etrust.com, nai.com, networkassociates.com, noadware.net, nod32.com, norman.com, offensivecomputing.net, old.antivir.ru, onecare.live.com, online.drweb.com, onlinelinkscan.com, pandasecurity.com, pandasoftware.com, pchell.com, pctools.com, prevx.com, ravantivirus.com, resplendence.com, rootkit.com, rootkit.nl, safer-networking.org, scanner.novirusthanks.org, security.symantec.com, siteadvisor.com, smadav.net, sophos.com, spyany.com, spybot.info, spychecker.co, spywareterminator.com, sunbeltsoftware.com, superantispyware.com, support.f-secure.com, sygate.com, symantec.com, sysinternals.com, threatexpert.com, threatfire.com, trendmicro.com, us.mcafee.com, vaksin.com, virologi.info, virscan.org, viruschief.com, virusindonesia.com, virusscan.jotti.org, virusscanonline.org, virusspy.com, virustotal.com, windowsecurity.com, windowsupdate.com, winpatrol.com, zonelabs.com

Virus ini menyebar lewat removable disk (Flashdisk) dan jaringan. Dia akan mencoba membuat file autorun.inf dan doomsday.exe di flashdisk korban. Dia juga akan mendeteksi kalau folder itu sudah dipasang smad-lock smadav dan mencoba menghapus smad-lock autorun.inf yang sudah dibuat smadav. Tapi usahanya gagal, sehingga dia tidak bisa menginfeksi flashdisk yang sudah dipasangi Smad-Lock. Untuk mendukung penyebarannya, virus juga akan membuat file folder.htt dan desktop.ini. Selain itu dia juga akan menginfeksi folder-folder di komputer dan flashdisk, folder akan diinfeksi tepat setelah kita mengakses folder tersebut dengan windows explorer. Virus akan membuat file exe dengan nama yang sama dengan folder, dan folder aslinya akan di-hidden. Tapi lagi-lagi semua usahanya gagal untuk menginfeksi folder Δ Smad-Lock Δ sehingga hanya folder yang berada di luar Smad-Lock yang terinfeksi. Dia juga akan menyebarkan dirinya dengan nama file menggunakan karakter unicode sehingga akan sulit dideteksi antivirus yang belum mendukung unicode seperti PCMAV. Smadav 2009 Rev. 5 jadi satu-satunya antivirus lokal yang mendukung penuh Unicode.

Dari sisi pemrograman, Virus Doomsday sangat baik diproteksi oleh pembuatnya. Dia tidak akan bisa dijalankan di lingkungan Virtual seperti VirtualPC, VMWare, VirtualBox, SandBox, Qemu dan Virtual OS sejenisnya. Dia juga akan mencoba mendeteksi jika ada debugger yang mencoba men-debugnya. Dia mendeteksinya dengan menggunakan string/teks berikut : av, reg, asm, assem, autorun, comp, config, dbg, debug, defend, dmp, dump, guard, hack, ida, lock, olly, patrol, ripper, rootkit, scan, snoop, timefix, win32. Tidak hanya sampai disitu, virus ini juga di-enkripsi walaupun hanya dengan teknik enkripsi dasar Caesar Cipher tapi sudah cukup untuk mengecoh heuristik antivirus impor sehingga virus menjadi lebih sulit untuk dianalisis karena kita harus membuat kode dekripsinya dahulu.

Pertahanan virus di komputer korban benar-benar kuat. Selain proses yang saling melindungi, virus juga akan menyebar di banyak tempat di komputer korban, sehingga akan sulit diberantas secara manual karena terlalu banyak daerah yang dijadikan tempat sembunyi virus. Virus akan membuat task schedule sehingga bisa aktif otomatis pada jam-jam tertentu. Untuk penyembunyian file, virus tidak hanya menggunakan teknik sembunyi biasa dengan mengeset atribut file menjadi hidden+system, tapi virus juga menggunakan cara-cara tidak biasa untuk bersembunyi. Virus akan bersembunyi dalam folder system32 dengan path C:\WINDOWS\system32:ctfmon.exe jadi tidak akan pernah terlihat di dalam folder system32 tersebut, ini dilakukan dengan memanfaatkan teknik ADS (Alternate Data Stream) pada NTFS. Dan pada teknik satunya lagi virus akan bersembunyi di folder yang nama foldernya “CON.2012″ dilarang digunakan di windows karena memuat string/teks yang dilarang dipakai sebagai nama file/folder di windows seperti con, aux, nul. Pertahanan lainnya dilakukan virus dengan memblok firewall dan safemode. Firewall diblok dengan perintah command “NETSH FIREWALL SET OPMODE DISABLE”. Dan Safemode diblok dengan menghapus key registry HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\

Mungkin masih ada beberapa lagi kecanggihan Virus Doomsday ini yang terlewatkan di pembahasan kali ini, tapi intinya semua kecanggihan ini tidak mampu melawan kekuatan Smadav 2009 Rev. 5 yang menghancurkan virus ini sampai ke akar-akarnya hanya dalam 1 klik dan menunggu beberapa detik.

Sekarang mari kita lihat hasil scan Smadav.

Kalau folder pada komputer/flashdisk yang teinfeksi Doomsday diakses lewat windows explorer maka SmaRTP akan muncul segera memperingatkan bahwa ada virus dan harus segera dihapus. Ini screenshot-nya :

Setelah membuka Smadav 2009 Rev. 5 pada komputer yang terinfeksi Virus Doomsday, maka Smadav akan segera memperingatkan bahwa ada virus yang aktif di komputer sehingga scanning akan otomatis dimulai. Setelah menunggu beberapa detik, scanning akan selesai dan memperlihatkan hasil seperti screenshot ini :

Kemudian kita bisa melihat-lihat bahwa banyak sekali file virus yang terdeteksi dan registry yang rusak. Ini screenshot file virus yang terdeteksi :

Dan di bawah ini screenshot registry yang terinfeksi, disana terlihat Smadav mendeteksi 877 value registry yang rusak, ini didapatkan setelah Smadav melakukan scanning pada lebih dari 2000 value registry :

Kemudian klik saja Fix All dan tunggu beberapa detik lagi sampai semuanya sudah hilang, lakukan scanning ulang dengan mode full scan (scanning keseluruhan) pada komputer untuk mendeteksi file-file virus yang sudah mati yang masih tersisa di komputer.

Smadav 2009 Rev. 5 akan dirilis besok, Kamis tanggal 2 Juli 2009.

Sebenarnya Virus Sandra Dewi ini sudah dikenali dan dapat dibersihkan tuntas dengan Smadav 2009 Rev. 1 yang dirilis Januari 2009 yang lalu, bahkan semua versi Smadav sebelumnya pun dapat mengenali dan membersihkan virus lokal lemah ini, inilah kelebihan metode pengenalan heuristik Smadav yang tidak tergantung pada update database virus, jadi bisa dikatakan Smadav adalah Antivirus Indonesia yang paling tidak memerlukan terlalu banyak update. Virus ini baru saja ramai dibicarakan di berbagai situs teknologi Indonesia. Diperkirakan sudah ada ribuan pengguna komputer Indonesia yang terinfeksi virus ini. Sebelum mencoba pembersihan 1-klik dengan Smadav, mari kita bahas terlebih dahulu apa saja keusilan virus ini di komputer korbannya.

Keusilan Virus Sandra Dewi

Pada saat pertama kalinya virus tereksekusi, akan tampil sebuah window yang berisi foto beberapa laki-laki (gambar 1), window ini tidak bisa kita gerakkan sehingga kita harus menekan tombol keluar yang disediakan. Tapi disinilah keusilan virus tersebut, sebelum kita berhasil keluar, virus akan menampilkan message (gambar 2) “Kirimkan komentar Anda ke e-mail budi_9989@yahoo.com“. Kalau kita mengklik message ini, apapun pilihan selanjutnya Yes/No, virus ini akan membuat komputer segera shutdown 1 menit kemudian dan ada message “KASIAN.DEH.KAMU” sambil menunggu komputer shutdown (gambar 3).

(gambar 1)

(gambar 2)

(gambar 3)

Tidak hanya sampai disitu, ternyata si pembuat virus yang mengaku bernama “BUDI DARMA” ini membuat pesan cinta yang akan muncul sebelum log on setiap kali komputer dihidupkan (gambar 4). Mungkin inilah tujuan utama pembuat virus yang sepertinya sedang patah hati ini, memang dari sejarahnya, kebanyakan virus Indonesia dibuat karena alasan cinta alias patah hati. Pesan yang ditampilkan :

“Cinta Ditolak VIRUS Bertindak.::CREATION BUDI DARMA::.”

Sangat sakit rasanya apabila cinta kita ditolak oleh seseorang, pada zaman dahulu orang menggunakan fasilitas dukun sebagai media untuk mendapatkan cintanya. Seiring dengan berkembangnya Teknokogi Informasi media yang digunakan untuk mendapatkan cintanya adalah VIRUS.

Virus ini hanya banyak melakukan perusakan pada registry komputer dengan men-disable sebagian besar fungsi admin di komputer. Teknik perusakan registry Virus Sandra Dewi ini masih sama (mencontek) dengan virus-virus lokal lemah pendahulunya. Semua ini bisa dibersihkan tuntas dengan Smadav versi berapapun, tapi alangkah baiknya kalau Anda menggunakan Smadav terbaru.

Virus ini menyebarkan dirinya dengan cara meng-copy-kan dirinya dengan nama file “sandra dewi bugil.exe” pada removable disk seperti flashdisk/disket yang terpasang di komputer.

Pembersihan 1-Klik Smadav

Sekarang mari kita coba Smadav 2009 Rev 4.3 untuk membasmi virus Sandra Dewi ini. Pertama Anda harus membuka scanner Smadav, sesaat setelah Anda membuka scanner, akan ada peringatan dari Smadav seperti ini :

Kemudian Smadav akan melakukan scanning cepat hanya beberapa detik, kemudian akan muncul lagi message bahwa komputer Anda terinfeksi virus :

Lalu Anda bisa melihat file virus dan registry rusak yang terdeteksi Smadav.

Kemudian klik Fix All, dan virus sudah dibersihkan dari sistem komputer Anda. Untuk pembersihan lebih tuntas, Anda bisa melakukan “Full Scan” untuk membersihkan seluruh isi komputer Anda dari sisa-sisa virus ini.