Perusahaan-perusahaan yang sekarang menghuni Lembah Silicon, antara lain adalah:
Adobe Systems, Apple Computer, Cisco Systems, eBay, Google, Hewlett-Packard, Intel, dan Yahoo!, dan sebagainya.

Di Silicon Valley-lah diciptakan rangkaian terpadu berbasis silikon, mikroprosesor, salah satu teknologi kunci bagi revolusi teknologi industri. Sillicon Valley mempunyai kira-kira seperempat miliar pekerja teknologi informasi. Silicon Valley terbentuk sebagai habitat untuk inovasi dengan berkumpulnya berbagai pihak dalam satu tempat baru bagi teknologi; insinyur berketerampilan tinggi dan ilmuwan dari universitas utama di daera tersebut; pendanaan dari Defense Department; berkembangnya network dari perusahaan venture capital yang efisien; dan, pada tahap yang sangat awal, kepemimpinan institusional dari Universitas Stanford.

Ya, itu lah perkiraan habitat tempat tinggal Spyware kali, sebuah habitat yang penuh dengan sumber daya. Tentu Spyware ini tidak dibuat sembarangan orang, ada tujuan khusus dibaliknya tentu bukan sekedar tujuan iseng saja bergerayang pada komputer, melainkan untuk mencuri data komputer korban.

Adapun data tersebut didapat dari jejak yang dibawa Spyware ini, yakni alamat yang bernilai 64.13.172.42, yang jika ditrace maka ditemuilah sebuah data lengkap berisi:

IP country code:          US
IP address country:      United States
IP address state:           California
IP address city:            Mountain View
IP postcode:     94039
IP address latitude:       37.3860
IP address longitude:    -122.0838
ISP of this IP [?]:         Silicon Valley Colocation
Organization:   Silicon Valley Colocation
Host of this IP: [?]:      r*v*getal*n.net

 

Karakteristik Spyware
Icon: Seperti icon PDF dari Adobe Reader
Ukuran: 131 KB (134,144 bytes)
Bahasa Pemrograman yang Digunakan: Tidak diketahui, diperkirakan menggunakan bahasa C++

Aksi Spyware

Membuka jalur akses untuk menuju 64.13.172.42, yang nantinya akan dikirimkan paket data berisi sesuai perintah yang telah diprogramkan oleh sang pembuatnya, bisa jadi berisi data alamat Email korban, data yang ada pada komputer korban, dan lain sebagainya.

Tapi untuk kali ini, dicurigai hanya mengambil data alamat Email korban untuk dikirimkannya paket pesan yang berbunyi:

<!DOCTYPE html PUBLIC “-//W3C//DTD XHTML 1.0 Transitional//EN” “http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd”>

<!–$Id: imerr503.html,v 1.2 2007/11/29 09:34:56 gcattell Exp $–>

<html xmlns=”http://www.w3.org/1999/xhtml”>

<head>

<meta http-equiv=”content-type” content=”text/html; charset=UTF-8″ />

<title>Service unavailable</title></head>

<body

text=”#000000″ bgcolor=”#FFFFFF” link=”#770000″ vlink=”#050505″ alink=”#111111″>

<!– DELETE THIS LINE

<center>

<h1>&lt;your organization here&gt; WORLD WIDE WEB SITE</h1>

</center>

DELETE THIS LINE –>

<hr/>

<center>

<h2>HTTP Error 503: The requested service is unavailable</h2>

<br/>

<h3>The service you requested is temporarily unavailable</h3> The service may

be unavailable because the server has reached the limit of the number of

requests it is willing to serve in parallel. This number depends on the type of

request you were submitting. If the document you requested was a dynamic

document it may be that the application generating these documents is currently

not running.

</center>

<hr/>

<!– DELETE THIS LINE

<p>If you think this server is not responding properly or if you

have question or suggestions please send mail to <a

href=”mailto:&lt;your webmaster’s e-mail address here&gt;”>&lt;your

webmaster’s e-mail address here&gt;</a>

</p>

DELETE THIS LINE –>

</body></html>

• Perangkat ini oleh beberapa antivirus dikategorikan sebagai Trojan dengan nama “TR/Winwebsec.403456”, tepatnya begitu seperti yang dikatakan Avira antivirus pada penamaan database virusnya. Trojan adalah penamaan untuk perangkat yang mampu melakukan komunikasi dengan membuka port tertentu untuk secara tanpa sepengetahuan korban lalu membuka jalan agar perangkat lainnya juga bisa ikut masuk pada komputer yang berhasil ia tanamkan dirinya di dalamnya.

• Adapun oleh Wiki-Security, perangkat ini dikatakan sebagai Spyware, lantaran memang perangkat ini melakukan komunikasi data secara seenaknya, yang mana hal itu dapat dikatakan sebagai tindakan Spyware atau perangkat mata-mata.

• Oh iya, satu lagi, “Rogue:Win32/Winwebsec is a family of programs that claim to scan for malware and display fake warnings of “malicious programs and viruses”. They then inform the user that they need to pay money to register the software in order to remove these non-existent threats. Win32/Winwebsec has been distributed with several different names. The user interface varies to reflect each variant’s individual branding.” Perangkat ini juga dibilang sebagai Rogue, lantaran mencoba melakukan tindak penipuan karena menginformasikan agar korban melakukan pembayaran sejumlah uang untuk perangkat yang mereka/ia tawarkan. Begitu seperti yang dikatakan pada situs Microsoft pada portal Malware Protection Center-nya.

Cara Pembersihan

Tenang, tidak perlu khawatir terhadap Rogue/Spyware/Trojan yang satu ini, karena Smadav tidak hanya melumpuhkan Virus, tetapi juga Spyware dan beberapa jenis perangkat jahat (malware/malicious ware) lainnya.

Untuk mendownload/unduh Smadav, silakan ke www.smadav.net

Untuk informasi lebih lengkap tentang Smadav, silakan ke www.smadaver.com

Credits:

Thank’s to Jasman

Beberapa waktu yang lalu kami sudah pernah membahas virus FakeFile ini, kali ini kami akan membahasnya kembali variant dari virus FakeFile, virus ini kembali dilaporkan banyak menginfeksi komputer di indonesia, dimana tiap variant memiliki struktur tubuh yang berbeda-beda dan kemampuannya untuk mengupdate dirinya sendiri, membuat virus ini terus bertahan hingga saat ini dengan variant barunya yang semakin banyak menyebar.

Karateristik Virus

Virus ini membuat satu fille induk di lokasi %UserProfile% dengan nama yang acak, File induk inilah yang akan dijadikan virus sebagai proses utama :

• C:\Documents and Settings\%Username%\%acak%.exe (Attribute : Hidden)

Target Infeksi

Sama seperti variant terdahulu virus ini tetap mempunya target yang sama yakni Removable Drive dengan membuat beberapa file palsu dan menyembunyikan beberapa file yang masuk dalam target file infeksi dan mengantikanya dengan duplikat virus. berikut ini daftar folder dan ektensi file yang menjadi target virus :

• *All Folder*
• *.doc
• *.xls
• *.jpg
• *.png
• *.gif
• *.bmp
• *.avi
• *.mpg
• *.mpeg
• *.mp4
• *..mp3
• *.pdf

Selain target diatas, virus ini membuat beberapa  duplikat virus di root drive (removable drive) dengan ciri-ciri sebagai berikut :

• Password.exe
• Porn.exe
• Sexy.exe
• Secret.exe
• x.mpeg

Apabila anda menemukan file dengan ciri-ciri seperti diatas, bisa dipastikan itu adalah variant virus FakeFile

Pembersihan

Untuk membersihkan virus ini gunakan Smadav Revisi terbaru, anda bisa mendownloadnya di sini www.smadav.net. Di Smadav Revisi terbaru virus ini sudah dapat terdeteksi dengan baik. harap ikuti cara-cara dibawah ini untuk pembersihan total virus dari sistem., apabila anda memiliki USB Flashdisk jangn lupa untuk menscan isi Flash Disk tersebut untuk mencegah virus yang masih bersarang di dalamnya.

• Download / Update Smadav Revisi terbaru
• Kemudian jalankan
• Pada pilihan Auto Checking > Pilih Full Scan
• Kemudian klik tombol Scan >>

• Tunggu hingga proses Scanning selesai.

• Setelah selesai klik Tombol Bersihkan

• Jangan lupa untuk scan semua USB Flash Disk yang anda punya

Karakteristik Worm

Icon: Windows Media Player
Dibuat menggunakan: MS Visual Basic 5.0-6.0   EXE
Nama asli file: KJfiles
Ukuran: 444 KB (454,656 bytes)

Tak ada yang baru dan unik dari tampilan karakter virus ini, tapi siapa yang tau dengan aksinya?

Aksi Virus

Walau kita punya banyak drive aktif, maupun banyak flashdisk yang tertancap ke port USB, hal itu bukan menjadi santapan worm ini.

Adapun yang menjadi aksi serangan worm ini adalah pada Registry:

• Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

“HKCU”=hex(2):63,00,3a,00,5c,00,64,00,69,00,72,00,65,00,63,00,74,00,6f,00,72,\

00,79,00,5c,00,43,00,79,00,62,00,65,00,72,00,47,00,61,00,74,00,65,00,5c,00,\

69,00,6e,00,73,00,74,00,61,00,6c,00,6c,00,5c,00,73,00,65,00,72,00,76,00,65,\

00,72,00,2e,00,65,00,78,00,65,00,00,00

• Windows Registry Editor Version 5.00

 [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]

“Policies”=hex(2):63,00,3a,00,5c,00,64,00,69,00,72,00,65,00,63,00,74,00,6f,00,\

72,00,79,00,5c,00,43,00,79,00,62,00,65,00,72,00,47,00,61,00,74,00,65,00,5c,\

00,69,00,6e,00,73,00,74,00,61,00,6c,00,6c,00,5c,00,73,00,65,00,72,00,76,00,\

65,00,72,00,2e,00,65,00,78,00,65,00,00,00

•  Windows Registry Editor Version 5.00

•  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
• “HKLM”=hex(2):63,00,3a,00,5c,00,64,00,69,00,72,00,65,00,63,00,74,00,6f,00,72,\
• 00,79,00,5c,00,43,00,79,00,62,00,65,00,72,00,47,00,61,00,74,00,65,00,5c,00,\
• 69,00,6e,00,73,00,74,00,61,00,6c,00,6c,00,5c,00,73,00,65,00,72,00,76,00,65,\
• 00,72,00,2e,00,65,00,78,00,65,00,00,00

• Windows Registry Editor Version 5.00

 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]

“Policies”=hex(2):63,00,3a,00,5c,00,64,00,69,00,72,00,65,00,63,00,74,00,6f,00,\

72,00,79,00,5c,00,43,00,79,00,62,00,65,00,72,00,47,00,61,00,74,00,65,00,5c,\

00,69,00,6e,00,73,00,74,00,61,00,6c,00,6c,00,5c,00,73,00,65,00,72,00,76,00,\

65,00,72,00,2e,00,65,00,78,00,65,00,00,00

Sedangkan untuk peletakan lokasi induk file pada harddisk yaitu pada:

1. C:\directory\CyberGate\install\server.exe
2. C:\Document and Settings\User\Application Data\install\server.exe

Saat virus sudah berhasil meletakkan indukannya pada lokasi yang aman (yang bahkan pada lokasi tersebut ternyata kita tidak bisa menghapus folder yang dibuat oleh virus/worm), virus akan memanggil “iexplore.exe” untuk dijalankan dan berjalan dibalik layar, entah ini semacam sistem remot kuda Trojan, tak dapat diselidiki dengan mudah. Namun entah kenapa harus ada pemanggilan Dr. Watson (yang mengakibatkan muncunya kotak pesan adanya kerusakan dari IE) dengan parameter:

• C:\WINDOWS\system32\drwtsn32 -p 320 -e 364 –g

Parameter pemanggil Dr. Watson bisa berubah-ubah.

Cobalah untuk mengkill IE! Jika IE atau Internet Explorer ini tidak dapat dikill berarti indukan virus (worm) ini memang masih aktif, belum benar-benar terhapus.

Mencoba Bersihkan dengan Smadav

Walaupun dari laporan hasil Scanning Smadav menyatalkan “Sudah dikarantina”, namun ternyata setelah dilihat pada proses, jika IE masih aktif, dan dicoba dikill, lalu IE aktif kembali, berarti worm ini memang bandel untuk dibersihkan.

Semoga kedepan hal ini sudah bisa diatasi!

Tapi untuk database, Smadav sudah mengenali worm ini, sehingga bagi komputer yang belum terkena worm ini dapat tetap aman dalam pengawasan Smadav.
Download Smadav di www.smadav.net

Beberapa tahun lalu banyak virus lokal yang mentargetkan file berketensi *.doc (microsoft word) sebagai media penyebaranya, seiring dengan perkembangan software Microsoft Office, banyak pengguna yang menyimpan dokument mereka ke format *.docx (Microsoft Word 2007-2010)  karena ektensi dari file *.doc (Microsot word 2003) dianggap sangat mudah terserang virus, akhir-akhir ini pembuat virus juga tak mau kalah, mereka telah menciptakan virus yang juga mampu menginfeksi file berektensi *.docx salah satunya adalah virus MuAs

Karateristik Virus

File Induk

Virus ini membuat satu file induk di lokasi ProgramFiles, File induk inilah yang akan dijadikan virus sebagai proses utama :

• C:\Program Files\MuAS_Virus.exe

Target Infeksi

Cukup mudah untuk mengetahui aksi apa saja yang akan dilakukan oleh virus ini, yakni dengan melihat string yang ada didalam tubuhnya, walaupun tidak banyak hal yang dilakukanya, tapi dari dalam tubuhnya terdapat info dari target yang akan di infeksinya, yakni file dari Microsoft Word *.doc & *.docx yang terdapat didalam Flashdisk, virus akan mencari file berektensi *.doc & *.docx disetiap folder yang ditemukan didalam flashdisk dengan menyembunyikan file asli dan menggantikanya dengan duplikat virus dengan nama yang sama dengan file dokument yang disembunyikanya. virus ini cukup berbaik hati karena file asli tidak dihapus dan masih tetap berada pada tempatnya, walaupun begitu virus tetaplah merepotkan terutama bagi pengguna awam pasti akan mengira file dokumen dokument tersebut sudah dihapus oleh virus.

Pembersihan

Untuk membersihkan virus ini gunakan Smadav Revisi terbaru, anda bisa mendownloadnya di sini www.smadav.net

Di Smadav Revisi terbaaru virus ini sudah dapat terdeteksi dengan baik. harap ikuti cara-cara dibawah ini untuk pembersihan total virus dari sistem., apabila anda memiliki USB Flashdisk jangn lupa untuk menscan isi Flash Disk tersebut untuk mencegah virus yang masih bersarang di dalamnya.

• Download / Update Smadav Revisi terbaru
• Kemudian jalankan
• Pada pilihan Auto Checking > Pilih Full Scan / System Area (Deep)
• Kemudian klik tombol Scan >>

• Tunggu hingga proses Scanning selesai.

• Setelah selesai klik Tombol Bersihkan  untuk membersihkan virus yang bersarang disetiap drive 
• Jangan lupa untuk menscan semua flashdisk yang anda punya untuk mencegah infeksi virus

Sebagian besar virus yang beredar di indonesia kebanyakan menggunakan icon folder sebagai penyamarannya, dengan icon folder virus dapat berkamuflase layaknya sebuah folder biasa, didukung dengan nama yang mirip dengan nama folder asli, membuat virus ini makin sempurna dalam penyamaranya.

Karateristik Virus

File Induk

Virus ini membuat satu fille induk di lokasi System32, File induk inilah yang akan dijadikan virus sebagai proses utama :

• C:\WINDOWS\system32\FUvirus.exe

Target Infeksi

Target utama infeksi virus ini adalah folder, virus mencoba membuat duplikat pada setiap folder yang ditemuinya pada root driver, termasuk folder didalamya, dengan menghidden folder yang ditemuinya dan membuat duplikat virus dengan nama yang sama dengan folder yang telah disembunyikanya, tetapi virus ini tidak akan membuat duplikat virus pada sub folder dari folder yang telah disembunyikanya. bagi pengguna windows XP akan kesulitan membedakan folder asli dan file virus karena dari karakteristiknya iconya sama persis dengan icon yang digunakan sistem operasi windows XP, sedangkan bagi pengguna windows 7 dan 8 bisa dengan mudah membedakan mana folder asli dan mana file virus, karena dari icon yang digunakan virus berbeda dengan icon folder yang ada pada sistem operasi windows 7 dan 8. selain itu kita juga bisa membedakan pada ektensi filenya dimana folder asli tidak memiliki sebuah ektensi

Pembersihan

Untuk membersihkan virus ini gunakan Smadav Revisi terbaru, anda bisa mendownloadnya di sini www.smadav.net

Di Smadav Revisi terbaaru virus ini sudah dapat terdeteksi dengan baik. harap ikuti cara-cara dibawah ini untuk pembersihan total virus dari sistem., apabila anda memiliki USB Flashdisk jangn lupa untuk menscan isi Flash Disk tersebut untuk mencegah virus yang masih bersarang di dalamnya.

• Download / Update Smadav Revisi terbaru
• Kemudian jalankan
• Pada pilihan Auto Checking > Pilih Full Scan / System Area (Deep)
• Kemudian klik tombol Scan >>

• Tunggu hingga proses Scanning selesai.

• Setelah selesai klik Tombol Bersihkan  untuk membersihkan virus yang bersarang disetiap drive 

Karakteristik Virus

Nama asli file: Game.exe
Icon: Folder terbuka
Ukuran: 944 KB
Dibuat menggunakan: NonstandarD – Microsoft Visual Basic 5.0 -6.x

Aksi Virus

Saat virus ini aktif, yang tadinya icon filenya adalah icon folder terbuka, ternyata menyalinkan dirinya yang akan dijadikan sebagai induk virus ke harddisk dengan icon lain yaitu sebuah icon multimedia pada path:

C:\Documents and Settings\User\Wins7\msmm.exe

Tidak banyak yang dilakukan virus ini, entah apa tujuannya, virus ini mencoba merubah waktu ke: 5/10/2012 20:06:26

Membuat file shortcut yang nantinya akan memanggil induk virus tadi pada path:

C:\Documents and Settings\User\Start Menu\Programs\Startup\Sound Player.lnk

Menyebarkan diri ke flashdisk dengan nama “New.exe”.

Membuat nilai baru pada Regisrty:

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\Layers]

“C:\\WINDOWS\\system32\\cmd.exe”=”RUNASADMIN”

“C:\\Documents and Settings\\User\\Wins7\\msmm.exe”=”ELEVATECREATEPROCESS”

Cara Pembersihan

Silakan update Smadav Anda dengan mendownload Smadav di www.smadav.net yang sudah ditambahkan didalamnya signature virus ini.

Sebelum

Sesudah

Sepertinya ada satu yang tidak pada tempatnya ya, pada “Path is not Exist”?
Dan pada perubahan Registry tadi Smadav pun belum bisa mendeteksinya, maka silakan hapus sendiri saja ya pada Registry yang ditambahkan virus seperti yang sudah dijelaskan diatas.

Karakteristik Virus

Nama virus: Pikirr.exe
Nama asli file: Project1.exe
Ukuran: 188 KB (192,512 bytes)
Dibuat menggunakan: NonstandarD – Microsoft Visual Basic 5.0 -6.x

Aksi Virus

Untuk aksi pertama kali ini virus dijalankan, memang terlihat dan terasa menyeramkan, karena virus ini menduplikasikan diri sesuai dengan nama folder (subfolder) yang ada pada komputer. Terbayang tidak jika space (ruang) hardisk komputer sudah sangat minim dan folder didalamnya begitu banyak, maka virus ini akan meletakkan salinan dirinya pada setiap folder yang ada. Ya, setiap folder yang ada. Kalikan saja 188 KB dengan 100 folder misalnya, maka space sebesar 1800 KB (berapa MB tuh), atau kelipatanya, lebih dari seratus folder misalnya,  terbuang begitu saja akibat ulah virus ini.

Mengcopykan diri ke root utama flashdisk atau removable disk dengan nama ‘pikirr.exe’.

Beda dengan nama file virus saat mengcopykan ke disk drive sistem, pada C:\ misalnya, nama file virusnya adalah ‘window.exe’.

Sedangkan untuk disk drive lain seperti D:\, E:\, dan sebagainya, yang bukan removable atau yang tidak bisa dilepas atau disk internal, virus tidak mengcopykan diri pada root directory, tetapi pada folder dan sub folder yang ada.

Anehnya, folder dengan nama ‘autorun.inf’ tidak termasuk dalam sasaran virus ini untuk dilakukan duplikasi diri pada folder tersebut.

Karena virus ini menduplikasi diri sesuai seberapa banyak folder tadi melakukan aksinya berdasarkan folder dengan nama urut abjad, maka urutan nama folder dari huruf awal A  terlebih dahulu diduplikasinya hingga ke folder dengan nama atau huruf awal Z. Nah, pada saat virus menemui folder dengan nama yang mengandung string atau huruf Unicode, maka terhentilah aksi virus ini. Kena jahili deh virus satu ini.

Oh iya, selain menduplikasi diri dengan nama sesuai nama folder tadi, virus ini ternyata tetap memiliki nama sendiri untuk beberapa lokasi.

Sebagai ‘fonts.exe’ pada folder ‘Favorites’.

Sebagai ‘Recycle Bin.exe’ pada ‘Recent’.

Dan namanya sendiri, ‘pikirrr.exe’ pada ‘Startup’.

Adapun Registry yang diinfeksinya antara lain:

=> System

-HKEY_CURRENT_USER\SOFTWARE\Policies\Microsoft\Windows\System

-Forbidden Key

=> LocalizedString

-HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}

-Different String Value

=> (Default)

-HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\DefaultIcon

-Different String Value

=> LocalizedString

-HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}

-Different String Value

=> Empty

-HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\DefaultIcon

-Different String Value

=> Full

-HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\DefaultIcon

-Different String Value

=> DisableTaskMgr

-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

-Forbidden DWORD Value

=> DisableRegistryTools

-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

-Forbidden DWORD Value

=> NoFolderOptions

-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

-Forbidden DWORD Value

=> DisableThumbnailCache

-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

-Different DWORD Value

=> ScreenSaveActive

-HKEY_CURRENT_USER\Control Panel\Desktop

-Different String Value

Dan keanehan pada Run, kira-kira akan menjalankan apa ya?

Cara Pembersihan

Tak perlu terlalu dipikirkan! Cukup bersihkan dengan Smadav yang pastinya dengan database terbaru, maka selesai sudah virus ini!

Tapi perlu diperhatikan, bukan berarti karena adanya lelaki yang mau menerima apa adanya tadi, lantas harga diri (keperawanan) tak ada artinya! Bukan! Salah itu! Tetap harus dijaga loh itu bagi para gadis sekalian.
Hargai calon suami mu kelak, jika ingin dihargai oleh suami juga.

Cukup saja ya prolognya.

Saatnya kita menuju pembahasan virus ini.

Karakteristik Virus

Nama virus: Sang Perawan.exe
Nama asli file: Dewi2.exe
Ukuran: 96.0 KB (98,304 bytes)
Icon: Icon standar JPEG image
Dibuat menggunakan: NonstandarD – Microsoft Visual Basic 5.0 -6.x

Aksi Virus

Mengerikan juga aksi virus ini, karena saat virus aktif pada komputer, siap-siap saja keperawanan komputer direnggutnya. Mengapa demikian? Hal ini karena virus ini dengan secara paksa menimpa regedit.exe dengan dirinya, sehingga muncul lah peringatan dari “Windows File Protection”.

Pada gambar di atas, terlihat virus memperbanyak dirinya hingga ke Desktop dengan nama Desktop.exe sebanyak dua kali. Tau kenapa pada Desktop bisa memiliki nama yang sama sebanyak lebih dari satu kali? Hal ini dikarenakan path aslinya memang saling berbeda:

C:\Documents and Settings\All Users\Desktop\Desktop.exe
C:\Documents and Settings\Nama User\Desktop\Desktop.exe

Untuk indukan lainnya, virus bercokol di:

C:\WINDOWS\system\svchost.exe
C:\WINDOWS\system\spoolsv.exe

Virus becokol pada root direktori C:\ dengan nama file “Sang Perawan.exe”.

Tak hanya Regedit yang dilenyapkannya, Taskmanager pun sama, sama-sama direnggut kedudukannya oleh virus ini.

Taskmanager yang ditimpa oleh virus.

Icon Regedit dari List Smadav berubah karena ditimpa virus seperi nasib Taskmanager.

Icon program pada Tab Win-Force dari Tab Tools Smadav terlihat menjadi tak seperti icon aslinya. (lihat pada yang dilingkari).
Hal ini berarti file asli dari program tersebut telah lenyap dari lokasi keberadaan aslinya. Namun, dari tiga program yang lenyap ini, hanya satu yang masih bisa difungsikan, yaitu MSConfig, sepertinya MSConfig tak benar-benar lenyap.

Send To bertingkat. Terdapat SendTo pada Send To saat klik kanan file.

Untuk setipa folder yang ada, seberapa banyak folder, sebanyak itu pula virus ini memperbanyak diri dengan nama seperti nama folder tersebut, meskipun folder dengan penggunaan nama Unicode:

Kecuali folder dengan nama atau sejenis “aux”, “con” dan “nul” yang tidak bisa virus untuk menggandakan diri.

Adapun untuk infeksi pada Regisry, meskipun Registry Editor telah dilenyapkan oleh virus, adalah sebagai berikut:

=> svchost.exe

-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

-Perawan Virus Value

=> spoolsv.exe

-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

-Perawan Virus Value

=> svchost.exe

-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

-Perawan Virus Value

=> spoolsv.exe

-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

-Perawan Virus Value

=> System

-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System

-Forbidden Key

=> System

-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System

-Forbidden Key

=> DisableRegistryTools

-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

-Forbidden DWORD Value

=> DisableTaskMgr

-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

-Forbidden DWORD Value

=> DisableRegistryTools

-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System

-Forbidden DWORD Value

=> DisableTaskMgr

-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System

-Forbidden DWORD Value

=> NoFind

-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

-Forbidden DWORD Value

=> Norun

-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

-Forbidden DWORD Value

=> NoFolderOptions

-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

-Forbidden DWORD Value

=> NoFind

-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

-Forbidden DWORD Value

=> Norun

-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

-Forbidden DWORD Value

=> NoFolderOptions

-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

-Forbidden DWORD Value

Cara Pembersihan

Scan secara menyeluruh komputer dengan Smadav, tunggu hingga selesai baru Fix All atau Besihkan.

Sebelum

Sesudah

Meskipun sudah selesai dibersihkan dengan Smadav, namun untuk hal file system seperti Regedit dan Taskmgr tadi tetap tak bisa bisa diselamatkan. Seperti hanya keperawanan, sudah tidak bisa dikembalikan, sehingga komputer memunculkan kembali pesan “Windows File Protection” yang menandakan bahwa telah kehilangan file system yang sangat berguna itu (berguna dalam reparasi system). Oh iya, tenang! Karena ini dunia komputer, tetap bisa kok diakalin, yaitu dengan mengcopykan Taskmgr maupun Regedit dari komputer teman, dan tadaaa…, komputer pun perawan kembali.

Selamat mencoba!

Proposal, kata yang identik dengan suatu berkas atau data atau dokumen, kali ini justru menggunakan ikon Recycler.

Karakteristik Virus

Icon : Recycler

Ukuran : 36 KB

Virus yang dibuat menggunakan Visual Basic dan tanpa terpack ini sebenarnya tidak melakukan banyak ulah, mari kita perhatikan sedikit ulahnya!

Aksi Virus

Saat virus ini aktif, ia akan membuat indukan pada :

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\sys.exe

Dan satu pada :

C:\Windows\sys.exe

Membuat salinan dirinya pada setiap disk atau drive aktif, pada direktori utama :

C:\proposal.exe

E:\proposal.exe

Tidak ada manipulasi pada Registry, virus ini hanya mengandalkan indukan yang berada ada StartUp saja.

Cara Pembersihan Virus

Tidak ada yang perlu ditakuti, cukup jalankan Smadav, dan scan komputer!

Maaf, disana terlihat “Stastus” dari Smadav “…[Couldn’t be Killed]”! Tapi tenang saja, sebenarnya proses virus ini bisa di-kill oleh Smadav kok!

Salam bebas virus

Mengapa tahun galau?

Karena, tak kenal usia, galau ini ternyata tidak hanya menyerang kaum remaja yang haus akan cinta saja, bahkan galau pun bisa dialami oleh orang dewasa. Jika galau identik dengan cinta cinta dan cinta, hmm…, dan anak muda atau remaja yang tentunya masih belum berkeluarga, tapi berdasarkan study lapangan, galau itu tetap berlaku pula bagi yang sudah berkeluarga, bagi yang sudah menikah. Terus, saya harus bilang WoW gitu? Hehe…. Jangan terlalu tegang ya membacanya!

Mengapa orang yang sudah menikah pun bisa galau?

Hal ini dikarenakan faktor masalah, begitu yang penulis temui pada lapangan. Mungkin tahun 2012 ini tahunnya masalah, ya?

Baiklah, tanpa mengulur-ulur waktu lagi, kita akan membahas virus galau yang satu ini.

Karakteristik Virus

Nama : Galau.exe
Icon : PDF
Ukuran : 880 KB

Virus yang dibuat menggunakan Visual Basic dan tanpa terpack ini sebenarnya tidak melakukan banyak ulah, hanya melakukan satu keusilan, keusilan apa kah itu?

Mari lanjutkan membaca!

Aksi Virus

Ingat, virus ini sekedar virus galau, virus ini tidak melakukan banyak hal, hanya sedikit keusilan saja.

Ciluk baaa….

Ini lah keusilan virus. Saat virus ini aktif, maka virus ini akan mengcopykan dirinya pada setiap disk yang aktif, pada direktori utama (bukan pada sub folder) dengan menggunakan nama file “Visual Basic 2.exe”.

Untuk induknya, virus ini menanamkan induknya pada :

C:\Program Files\Windows Compability\galau.exe

Agar aktif saat komputer menyala, virus ini membuat perintah pada Registry :

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

Sekali lagi, tidak berbuat banyak hal, virus ini aktif dengan metode “Show On Top”, sehingga komponen gambar yang ada pada ‘Form’ virus ini menjadi background tampilan Desktop, dan user tidak bisa berbuat apa-apa, dalam artian tidak bisa mengklak-klik klak-klik seperti biasa untuk mengoperasikan komputernya.

Ditambah TaksManager yang didisable oleh virus ini :

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System]

Cara Pembersihan Virus

Tak perlu galau karena diserang virus galau ini! Cukup kita improvisasi sedikit agar kita bisa mematikan proses virus ini.

Lihat gambar Task Manager yang didisable!Adacelah yang dapat kita manfaatkan, yaitu kita dapat menjalankan Smadav yang beberapa program yang aktif Tray Iconnya. Nah, tinggal jalankan saja Smadav! Serahkan dan percayakan pada Smadav dalam menumpas kegalauan komputer Anda!

Jika belum mengupdate Smadavnya, silakan download Smadav di www.smadav.net (Smadav 2012 Rev. 9.1.1 >> 9 Oktober 2012)

Salam bebas galau!