Autoit merupakan sebuah bahasa pemrograman scripting basic seperti VBS Script, awalnya  Autoit di buat untuk memudahkan para developer software dalam menagani permasalahan secara otomatis, dengan Autoit para pengembang sofware bisa dengan mudah memanipulasi gerakan mouse, tuts keyboard dan windows aplikasi yang berjalan, Dari kemudahan yang ditawarkan oleh Autoit membuat segelintir orang iseng untuk membuat virus menggunakan Autoit, apalagi Autoit menggunakan bahasa basic, mirip seperti Visual Basic, memudahkan para Pembuat virus untuk memperlajari Autoit dengan cepat,

Salah satunya adalah virus Autoit ini, Virus ini dapat menyebar dengan memanfaatkan Aplikasi Instan Messaging seperti Yahoo Messenger, Google Talk, dan Skype. sebenarnya virus ini bukanlah hal baru sebelumnya beberapa tahun yang lalu sudah ditemukan virus yang hampir sama yakni Virus Sohanad, virus Sohanad juga memanfaatkan Yahoo Messenger sebagai media penyebaran, kuat dugaan virus ini masih satu varian dengan virus sohanad, dari beberapa teknik yang dia gunakan hampir sama dengan virus sohanad, yang membedakan hanyalah virus ini dapat menyebar dengan memanfaatkan banyak aplikasi Instan Messaging (YM, Gtalk, Skype).

Karakteristik Virus

Ukuran : 659 Kb

Icon : WebCam

File Version : 3.3.6.1

Dibuat Menggunakan : Autoit v3

Aksi Virus

Saat korban menjalankan file virus, virus akan membuat file induknya di system :

• HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = “Explorer.exe “C:\windows\system32_.exe
• HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Yahoo Messengger = “C:\windows\system32\system32_.exe”

file induk inilah yang digunakan virus untuk aktif di memory saat komputer di hidupkan.

Duplikat Virus di setiap Drive & Folder

Disetiap drive bisa ditemukan 2 duplikat virus dengan nama :

• New Folder.exe (Attribut Normal)
• system32_.exe (Attribut Hidden)

Jika menemukan ada nya file mencurigakan seperti diatas dengan ciri” menggunakan ikon WebCam, bisa dipastikan itu adalah virus Autoit, Jangan pernah tertarik untuk membuka file mencurigakan seperti diatas, apalagi dengan ikon seperti itu, banyak pengguna komputer yg terinfeksi virus akibat dari kecerobohan nya  menjalankan file” tak dikenal.

Disetiap Folder yang terdapat di drive juga tak luput dari serangan virus, kita bisa menemukan duplikat virus ini disetiap folder dengan nama mengikuti folder yang di infeksi, Contoh jika foldernya bernama Data maka duplikat virus akan bernama Data.exe didalam folder tersebut.

Shortcut URL Virus

Virus saat aktif juga menciptakan sebuah shortcut yang mengarah langsung ke website virus, shortcut URL ini bisa kita temuin dibeberapa lokasi dibawah ini :

• %Startup%\Gogle.lnk (http://www.todaygoogle.com)
• %Startup%\Google.lnk (http://www.todaygoogle.com)
• %Desktop%\Sioril.lnk (http://www.sioril.com)
• %MyDocument%\New Jobs info.lnk (http://www.smsopen.com)
• %AppData%\Microsoft\Internet Explorer\Quick Launch\Make Friends.lnk (http://www.sioril.com)

Menyebar Via Instan Messaging

Virus akan memonitoring beberapa Aplikasi Instan Messaging seperti Yahoo Messenger, Google Talk, dan Skype, jika virus menemukan salah satu proses aktif maka secara otomatis virus akan mengendalikan program tersebut, dengan mengirimkan Link Virus ke teman chat kita yang sedang aktif.

Beberapa pesan virus yang akan dikirim antara lain :

• “Hey what are you doing Please test my new webcam using private application %UrlVirus%”
• “Hey Please help me to test my new cam, (use deepika213 as passcode)  %UrlVirus%”
• “The wisest mind has something yet to learn %UrlVirus%”
• “Hey Please help me to test my new cam application %UrlVirus%”
• “I was checking out yahoo members ENTER and i saw your page   yahoo says you are my top match        view my private cam via secured connection Luse password pass      %UrlVirus% Waiting for you, view my private cam via secured connection BIN”
• “Happiness is not a destination. It is a method of life %UrlVirus%”
• “View my private cam via secured connection %UrlVirus%”
• “If you want truly to understand something, try to change it %UrlVirus%”
• “asl please  I am 21 Female, Mumbai (India) and you  Hey View my private cam via secured connection %UrlVirus%”

Virus juga akan menambahkan akun si pembuat virus dengan ID foxjones9 didaftar kontak kita,

Kill Process

Berikut beberapa proses yang akan di kill prosenya :

• game_y.exe
• Bkav2006
• System Configuration (Caption)
• Registry (Caption)
• [FireLion] (Caption)
• cmd.exe

Menghapus Semua Restore Point

Agar virus dapat bertahan lama di komputer korban, virus juga menghapus semua restore point yang ada di dalam daftar System Restore, akibatnya apabila korban ingin mengembalikan keadaan komputernya seperti semula, tidak akan bisa karena restore pointnya sudah dihapus oleh virus.

Pembersihan

Download SMADAV revisi terbaru untuk mendeteksi variant virus ini, apabila Smadav belum mendeteksi keberadaan virus ini, gunakan cara” seperti dibawah ini L

• Buka SMADAV, kemudian klik TAB Tools > One Virus By User, di situ akan terlihat file induk virus dengan nama System32_.exe kemudian klik kanan pilih Add As Virus. Lihat contohnya seperti gambar dibawah ini.

• Kemudian menuju ke TAB Scanner  pilih Full Scan.  Jika sudah tinggal klik tombol SCAN >>

• Tunggu hingga proses scanning selesai, dan terakhir tinggal klik Tombol Bersihkan

Sekarang Kompter bersih dari virus ini, jangan lupa Scan juga semua media penyimpanan yg kamu miliki, seperti Flashdisk dan  HD External.

Dari kesamaan, mereka sama-sama berteman. Kalau si Bocah Petualang kan mereka selalu ada teman dalam petualanganya tersebut, nah virus kali ini juga berteman dalam berpetualang ‘mencari’ dokumen yang ada di komputer sasarannya. Bagaimana dia memanggil temannya? Mari kita cari tau!

Karakteristik Virus

Nama : SiBolang.exe
Ukuran: 35 KB
File version: 3.0.0.5
Icon: Ms. Word
Developed in : VB
Packed by: UPX

Aksi Virus

Saat pertama kali virus dijalankan, ia akan menjalankan Text Editor seperti Ms. Word atau WordPad (jika belum/tidak terinstall Ms. Word) dengan Title yang sama dengan nama file virus.

Dari gambar di atas, terlihat bahwa Smadav begitu cekatannya dalam mecekal virus menggunakan Smad-Behaviornya, yang disana terlihat bahwa ada tingkah laku yang mencurigakan bernama “SERVICES.EXE”.

Mengcopykan diri ke “C:\WINDOWS\Config\SERVICES.EXE” dengan atribut Hidden yang dijadikan sebagai induk utama virus. Membuat salinan di “C:\WINDOWS\Get.EXE”, yang mana file ini akan dijalankan ketika “Empty.exe”, “winhlp.exe” maupun “link.com” tereksekusi, dan “Get.exe” ini akan menjalankan lagi “SERVICES.EXE” sebagai proses induknya, muter-muter gitu deh.

Mengcopykan diri ke” C:\WINDOWS\inf\ WORD32” dengan atribut Hidden dan tanpa ekstensi file.

Mengekstrak file dengan nama:

•  “winhlp.exe” (16 KB) yang ada dalam dirinya ke “C:\Documents and Settings\UserName\NetHood”, dan mencopykan ke “C:\WINDOWS” dengan nama file “link.com”.  VB tanpa Pack.
  
• “Empty.exe” (12 KB) yang ada dalam dirinya ke “C:\Documents and Settings\All Users\Start Menu\Programs\Startup” .  VB tanpa Pack.

Berburu file dokumen, inilah kegemaran virus ini, yang tidak segan-segan memangsa file dokumen yang ada di flashdisk Anda, lihat gambar di bawah!

Setiap virus menemukan file dengan ekstensi “.doc” maupun “.docx”, maka dengan lincahnya virus ini membuat salinan dirinya dengan nama yang menyamai file dokumen tersebut, menyembunyikan file dokumen asli dan menampakkan dirinya bahwa dialah dokumen tersebut, yang padahal adalah tidak, tidak lain adalah virus.

Tunggu! Ada perbedaan sedikit tentang file “.doc” dan “.docx”. Lihat lagi baik-baik gambar diatas dengan perbedaan tanda warna yang ada.

Ya, perbedaannya ada pada tanda titik (.), yang mana pada file “.doc” nama virus akan sama dengan nama file tersebut, sedangkan pada file “.docx” akan ditambahkannya tanda titik (.) setelah nama asli file.

Manipulasi Registry

• Membuat Run agar virus bisa jalan sendiri saat komputer dinyalakan:
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  @=”C:\\WINDOWS\\config\\SERVICES.EXE”

•  Menghapus nilai pada Registry agar ekstensi file tidak terlihat:
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt]
  “CheckedValue”=dword:00000001 => dihapus olehnya

• Menghapus nilai pada Registry agar file yang Hidden menjadi SuperHidden sehingga tidak terlihat:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
  “CheckedValue”=dword:00000000 => dihapus olehnya

• RunOnce agar virus bisa jalan sendiri saat komputer dinyalakan:
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
  @=”C:\\Documents and Settings\\Ryan\\NetHood\\winhlp.exe”

•  Run agar virus bisa jalan sendiri saat komputer dinyalakan:
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  @=”C:\\WINDOWS\\link.com”

Tuntaskan dengan Smadav

Beruntung memiliki Smadav, karena dengan fitur “One-Virus By-User”, kita dapat dengan mudah mendapatkan virus beserta antek-anteknya yang bersemayam di storage yang dijangkiti virus.
Bagaimana cara membasmi virus ini jika belum masuk database Smadav?
Ikuti langkah-langkah berikut!

Perhatikan, ada tiga file yang diberi tanda garis merah, yaitu:

1. SERVICE.EXE
2. link.com
3. Empty.exe

Karena tidak bisa membasmi semua sekaligus dalam satu waktu, maka satu persatu saja deh membasminya, dengan cara klik Tab Tools dari Smadav, lalu pilih lagi Tab One-Virus By-User, nah disana bisa kita temukan tiga file virus tersebut.
Klik satu dulu, misal Empty.exe, lalu klik kanan, pilih opsi Add As Virus, jika sudah, maka pindah lagi ke Tab Scanner lalu pilih Scanner lagi, lalu centang list disk yang ada, lalu Scan!

Nah, jika ketiga file virus tadi sudah divonis dengan hal demikian, tinggal Clean All deh dan tadaaaa…, selesai sudah petualangan virus ini.

Salam bebas virus

Setelah beberapa waktu lalu dihebohkan dengan adanya rancangan undang-undang SOPA dan PIPA, rupanya pembuat virus lokal juga nggak mau kalah dengan menciptakan virus anti pembajakan mp3, seperti apakah virus ini, mari kita lihat aksinya.

Karakteristik Virus

Aksi Virus

Dengan ikon menyamar sebagai mp3 player membuat korbanya tertarik untuk mengklik mengetahui file apakah itu, alhasil apabila korbanya tertipu virus pun sudah bersarang di memory dan system

File Induk Virus

• C:\DocumentsAndSettings\%username%\Start Menu\Programs\Startup\Ansav.exe
• C:\WINDOWS\Mplayer.exe
• C:\WINDOWS\system32\Mplayer.exe

Penyebaran Virus

Virus menyebar dengan membuat beberapa file virus disetiap drive termasuk flashdisk dengan ukuran sekitar 36 Kb, file virus tersebut antara lain :

• Mplayer.dll
• Mplayer.exe
• Mplayers.exe
• readme.txt
• Cconfig.anv
• changelog.txt
• Config.anv
• dbs.anv
• Instal.ini

Disable Tools Windows

Bebebrapa tools dan konfigurasi di system akan langsung di disable oleh virus :

• Disable Control Panel
• Disable Run
• Disable Start Menu All Programs
• Disable  klik kanan
• Disable Shutdown
• Disable Seacrh
• Disable Folder Options
• Disable Taskmanager
• Disable Registry Ediotr
• Hide Taskbar

Taksbar telah disembunyikan oleh virus

Tampilan Start Menu, beberapa tombol sudah menghilang

Error saat mengakses Regedit

Error saat mengakses Task Manager

Merubah tampilan properties Komputer korban

Pesan virus tampil saat komputer di hidupkan

Menghapus File MP3

Berhati-hatilah virus ini mempunya rutin untuk menghapus file mp3 di komputer korbanya, virus akan mencari semua file mp3 yg ditemukan dan akan langung menghapusnya, rutin ini terlihat dari string yang ada ditubuh virus, jadi harus tetap waspda jangan sampe terinfeksi oleh virus ini.

Pembersihan

Gunakan smadav revisi terbaru untuk mempbersihkan virus ini, jika smdav belum mendeteksi virus ini gunakan fitur One Virus By User, Caranya ikuti langkah dibawah ini :

• Klik Tab Tool
• Klik Tab One-Virus By-User
• Klik kanan pada file induk virus yg bernama Ansav.exe
• Pilih Add As Virus

• Kemudian klik Tab Scanner, Centang semua drive yang ada atau Pilih Full Scan untuk scanning ke semua drive
• Centang juga tanda Deep (Over 1500 registry values)
• kemudian klik tombol SCAN >>

• Tunggu hingga proses scanning selsesai
• Jika sudah selesai klik tombol Bersihkan

Virus kali ini memanfaatkan momen UNAS 2011 sebagai teknik sosialisasi penyebarannya. Hmm…, tidak hanya UNAS saja sih, Facebook sebagai situs jejaring sosial yang fenomenal saat ini juga menjadi triknya dalam mendapatkan mangsa.

Karakteristik Virus

Icon : PDF (Portable Document File)
Ukuran : 168 KB
Dibuat dengan : Visual Basic 6.0

Menggandakan Diri

Saat virus aktif, virus akan menggandakan diri ke seluruh root Drive yang aktif dengan nama file antara lain :

• backupregedit.exe
• Dapat Uang di Facebook.exe
• Help Config.exe
• Kunci Sukses UNAS 2010-2011.exe
• SMA UNAS 2011.exe
• TITIP SKRIPSIKU.exe
• version.sys
• readme.txt

Tak hanya pada root Drive, virus ini juga menggandakan diri jika ia menemukan file “.doc” dan “.gif”, yang mana virus ini akan membuat salinan dirinya dengan nama file tersebut namun tetap mempertahankan attribute file yang ia temukan tadi (tidak menghidden file asli “.doc” maupun “.gif”), mempertahankan icon virus (PDF), mempertahankan ekstensi virus (“.exe” dibelakang nama file doc/gif yang ia temukan).

Agar virus otomatis aktif saat komputer dinyalakan, virus ini membuat salinan induk pada :

• C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Rundll32.exe

Cara Pembersihan

Membersihkan virus ini dari komputer yang terinfeksi virus ini cukup gunakan Smadav saja, yang dapat didownload di http://www.smadav.net/

Tak perlu khawatir tidak lulus UNAS, belajar yang rajin, yang fokus, jangan lupa diiringi dengan do’a ya!
Good luck!

Salam bebas virus

Sality merupakan virus berjenis PE Infector (Polymorphic) yang menginfeksi file-file Executabe “exe”. Virus yang memiliki nama asli w32.Hllp.KukuJoker ini banyak dikeluhkan pengguna computer diseluruh dunia, terutama di indonesia banyak sekali pengguna komputer yang melaporkan telah terinfeksi oleh virus ini.

Virus ini masih belum jelas asal usulnya, dugaan sementara virus ini berasal dari cina, selain mempunyai kemampuan untuk menginfeksi file-file executable virus ini juga memilki kemampuan rootkit, sehingga selain sulit untuk dibersihkan dari system, file-file yang terinfeksi juga cukup sulit untuk diperbaiki,  menggunakan  beberapa tools  remover  dan antivirus  juga terkadang  malah  bisa  menimbulkan kerusakan pada file yang terinfeksi bahkan  bisa menghapusnya.

Beberapa Antivirus Luar mendeteksi Virus ini sebagai :

• Malware.Sality [PCTools]
• W32.Sality!dr [Symantec]
• Virus.Win32.Sality.bh [Kaspersky Lab]
• W32/Sality.dr [McAfee]
• Troj/SalLoad-C [Sophos]
• Virus:Win32/Sality.AT [Microsoft]
• Win32.SuspectCrc [Ikarus]
• Win32/Kashu.E [AhnLab]

Karakteristik Virus 

Jika kita lihat memang tidak terlalu banyak perbedaan antara file yang terinfeksi dengan file yang belum terinfeksi, yang membedakan hanyalah ukuran yang bertambah lebih besar dari ukuran sebelum terinfeksi, biasanya ukuran yang bertambah hanya beberapa KB saja. Bisa dilihat perbedaanya dari gambar dibawah ini.

Jika file terinfeksi tersebut dijalankan, maka file tersebut dapat berjalan seperti biasanya, sehingga user tidak mengira bahwa file yang ia jalankan tersebut telah terinfeksi virus, padahal dibalik itu virus sudah menetap di system.

Teknik yang digunakan virus sality adalah dengan membelokan EntryPoint asli file ke EntryPoint-nya virus, maka saat dijalankan virus yang terlebih dahulu aktif, baru kemudian virus meneruskan nya ke EntryPoint asli file yang terinfeksi, sehingga file yang dijalankan akan aktif seperti biasa nya.

Saat aktif virus akan membuat beberapa file induknya di system :

• %Windir%\system32\drivers\<acak>.sys

Virus akan mengektrak file driver dari dalam tubuhnya dan menaruhnya disystem dengan nama acak, driver ini digunakan untuk bersembunyi di system. Contoh : amsint32.sys dan  iirktn.sys

• %Windir%\System.ini

[MCIDRV_VER]

DEVICEMB=<random number>

• HKCU\Software\<Acak>

Virus akan menambahkan key baru diregistry dengan nama acak contoh “HKCU\Software\Avcgr”, key yang dibuat ini juga mempunyai rutin-rutin tertentu.

• Mutext

Virus akan membuat mutext pada setiap proses yang berjalan ini digunakan untuk menandakan bahwa thread virus sudah aktif pada setiap proses yang berjalan, mutext yang akan dibuatnya menyerupai nama proses yang di tumpangi nya :

<Nama Proses>M_<PID Proses>_

contoh nya : svchost.exeM_2168_

• Firewall

Pada komputer terinfeksi virus menambahkan rule baru dalam daftar port yang di ijinkan, ini digunakan virus agar firewall windows tidak memblok koneksi yang akan dibuat oleh virus

• Download Komponent virus lainya

Jika komputer korban terhubung dengan koenksi internet, virus akan berusaha mendownload komponen-komponen virus lainya, di beberapa situs yang sudah ditentukan oleh pembuatnya

Infeksi file Executable & Screen Saver

Virus akan mencari semua file berektensi ”.exe” & ”.scr” yang ada di seluruh drive computer korban  nya, jika virus menemukanya virus akan menginfeksinya dengan membelokan EntryPoint asli ke EntryPoint nya virus.

Sality mempunyai kemampuan untuk mengecek apakah file yang akan diinfeksi dilindungi oleh system atau tidak, jika file tersebut dilindungi oleh system maka sality tidak akan menginfeksinya,  seperti file-file yang dilindungi oleh Windows File Protection (WFP) atau System File Checker (SFC).

Infeksi Removeable Drive & Jaringan

Berbeda dengan teknik infeksi variant sebelumnya, variant sality kali ini memanfaatkan fitur Autorun untuk mempercepat penyebaranya. File Autorun yang digunakan virus memiliki nama dan ektensi acak (exe dan pif) . Seperti : xvftea.exe atau xvftea.pif, dan ukuranya sekitar 100 – 101 KB

Di jaringan virus juga akan menginfeksi setiap folder yang memiliki FULL ACCESS Read & Write, dengan membuat sebuah shortcut exploit yang akan langsung aktif apabila user memasuki folder yang sudah terdapat shortcut exploit tersebut.

Menghapus File

Sality akan mencari file berektensi “.VDB” dan “.AVC” jika ditemukan akan langsung dihapus. Ektensi file ini biasanya digunakan oleh beberapa antivirus untuk menyimpan database virus.

Block Website

Sality akan memblock website atau domain yang mengandung kata seperti :

upload_virus , sality-remov, virusinfo.  cureit. drweb. onlinescan. spywareinfo. ewido. virusscan. windowsecurity.  spywareguide. bitdefender. pandasoftware. agnmitum.  virustotal.sophos.  trendmicro.  etrust.com symantec.  mcafee. f-secure. eset.com, kaspersky. dll

Menghapus Registry Key

Untuk mempertahankan dirinya virus menghapus beberapa key di registry yang dianggap mebahayakan kehidupan virus.

• HKCU\System\CurrentControlSet\Control\SafeBoot
• HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot
• HKLM\Software\Microsoft\WindowsNT\CurrentVersion\ProfileList
• HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\Stats
• HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats
• HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Effek dari beberapa key yang dihapus diatas membuat user tidak dapat memasuki modus SAFE MODE

Blue Screen saat mengakses SAFE MODE

Mensetting registry agar tidak menampilkan file yang dihidden

• HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden = 2

Karakteristik Virus

• Nama file: (acak)
• Ukuran: 56.0 KB
• Dibuat menggunakan: Visual Basic 6.0

Aksi Virus

Virus ini tidak terlalu banyak ulah seperti kebanyakan virus, dia hanya menggandakan diri pada komputer dengan meletakkan salinannya pada :

• C:\Documents and Settings\[nama administrator komputer]\[namaacakvirus.exe]

 dan Membuat atau memodifikasi dua nilai registry yaitu pada :

• [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  C:\Documents and Settings\[nama administrator komputer]\[namaacakvirus.exe]
• SuperHidden

Dan menyebarkan diri pada Flashdisk atau Folder Sharing jika komputer tersambung ke jaringan, dan ini file yang disisipkan/sebarkannya itu :

• Berisi satu file autorun.inf yang isinya :

[aUToRUn]

aCTion=Open folder to view files

shElLEXEcuTE=[namaacakvirus.exe]

IcOn=%SysteMrOot%\sYstEM32\sHeLL32.dLl,4

USeAuTOplAy=1

• Enam file Shortcut yang bertugas menjalankan virus dengan nama :

[namaacakvirus.scr]

• Satu file exe virus yang nantinya akan dieksekusi oleh autorun.inf :

[namaacakvirus.exe]

• Satu file scr virus yang nantinya akan dieksekusi oleh Shortcut :

[namaacakvirus.scr]

 Pembersihan

Jalankan Smadav. Jika Smadav belum mendeteksi virus ini, gunakan fitur “One-Virus By-User” dari Smadav dengan memilih tab “Tools”, lalu  “One-Virus By-User”, lalu “Browse Other …” dan tentukan lokasi virusnya seperti yang sudah kita bahas di atas tadi. Nah, tinggal scan deh komputernya, maka Smadav akan menyapu bersih virus ini, dengan catatan walaupun masih belum resmi masuk database pengenalan virus pada Smadav, Smadav tetap bisa memusnahkan virus ini dengan fitur “One-Virus By-User” tadi.

Salam bebas virus.

Karakteristik Virus

• Ukuran sekitar : 104 Kb

• Ikon : sebuah Installer atau SETUP

• Dibuat : Menggunakan Visual Basic 6

Aksi Virus

Apa yang terjadi jika user tak sengaja telah menjalankan virus?, virus akan langsung aktif di memory dan menampilkan sebuah pesan seperti dibawah ini secara terus menerus.

Beberapa pesan lain nya yang akan ditampilkanya antara lain :

• Love Is Knife, Love is Devil, Love is Terroris, Love is NAFSU

• Dumpuing Is Available Aftermy attack success, be carefull with your system

• Kanciang, IM HERE NOW, Your Computer Has Being Attack By GGLLTTHH

• Fuck, IM HERE NOW, Your Computer Has Being Attack By My pion.

Virus juga telah membuat file induknya di system dengan nama acak dengan karakter “Δ” di awal namanya

• C:\WINDOWS\system32\drivers\Δrdpdrj.exe

• C:\WINDOWS\system32\drivers\Δ(acak)rdpdrj.sys

• C:\WINDOWS\system32\drivers\Δ(acak).exe

• C:\WINDOWS\system32\drivers\Δ(acak).sys

• C:\WINDOWS\system32\Δ(acak).exe

• C:\WINDOWS\system32\Δ(acak).sys

• C:\WINDOWS\Δ(acak).exe

Di setiap drive dapat kita temukan duplikat virus ini, dengan nama yang juga acak dan karakter “Δ” di awal namanya.

Flashdisk menjadi target utama virus ini untuk menyebar, virus memperbanyak dirinya dengan nama yang juga acak, dan virus akan terus menggandakan dirinya sampai flashdisk yang di infeksi penuh.  Coba bayangkan jika virus di diemin dalam waktu cukup lama, bisa-bisa virus beranak pinak sampe ratusan, ribuan, bahkan puluhan ribu virus di flashdisk anda, mengerikan bukan?

Tak hanya Flashdisk saja yang jadi bulan-bulanan virus, Registry di bagian seperti gambar diatas juga jadi bulan-bulanan virus, bisa anda lihat sendiri virus membuat banyak startup dengan jumlah yang tak terhitung banyaknya,  akibatnya apabila user merestart / menghidupkan ulang komputernya, virus dengan ribuan proses akan aktif dan membuat komputer menjadi hang akibat dari banyaknya proses virus yang berjalan.

Beberapa aksi lainya, virus mendisable beberapa fungsi tools windows yang dianggapnya cukup membahayakan kehidupan virus, tools tersebut antara lain :

• Disable Task Manager

• Disable Klik kanan Desktop

• Disable Klik kanan Explorer

• Disable Screen Saver

• Disable Control Panel

• Disable Registry Tool

• Disable Folder Option

• Disable Run

• Disable Shutdown

• Disable LogOff

• Disable Search

• Disable System Restore

• Disable MSI installer

• Disable Recent Document

Pembersihan

Segera lakukan pembersihan sebelum virus bertambah banyak di komputer anda Pilih FULL SCAN pada Auto Checking, dan berikan tanda centang pada Deep (Over 1500 Registry Value). Untuk membersihkan virus secara menyeluruh dan memperbaiki registry yang telah dirusak olehnya.

Tunggu hingga proses scanning selesai, jika sudah klik tombol OK pada pesan yang muncul, kemudian klik tombol Bersihkan

Karakteristik Virus

Nama : LIA I LOVE YOU.exe
Ukuran : 52.0 KB
Icon : Bola Dunia
Compiled by : Visual Basic 6.0

Aksi Virus

Seperti kebanyakan virus lainnya, virus ini memodifikasi pengaturan pada Resgistry, menghilangkan Folder Options, dan sebagainya. Mari ikuti saja sampai selesai, tidak panjang kok.

Folder Options memang dianggap berbahaya bagi kelangsungan hidup virus, maka virus ini menonaktifkan fungsi Folder Option.

Penyebaran, virus ini menggandakan dirinya pada root direktori disk aktif seperti terlihat pada gambar, virus menggandakan diri ke C:\ dengan nama “LIA I LOVE YOU.exe”.

Agar virus jalan saat komputer menyala, virus ini menggandakan diri ke “Startup” dengan nama “LIA I LOVE YOU.exe”, dan juga membuat starter ‘Run’ pada Regisrty.

Registry yang dimodifikasi virus:

Perbedaan penggandaan diri dan starternya yaitu pada penamaan file, karena file virus starternya menggunakan nama “LIA I LOVE YOU.exe”, sedangkan penggandaan biasanya menggunakan nama folder yang akan ia masukkan dirinya kedalamnya.

Tuntaskan dengan Smadav
Mari kita sikat saja virusnya menggunakan Smadav!

Sesudah!

Salam bebas virus.

Bayangkan apa jadinya jika mahasiswa semester akhir (S1) kehilangan dokumen (.doc) bahan skripsinya, sedangkan bahan tersebut sudah tinggal cetak saja maka skripsinya selesai, namun terancam gagal S1 karena virus ini, sungguh sangat menyebalkan, bukan?

Karakteristik Virus

Virus ini hanya memiliki ukuran sekitar 8 KB, dengan eksternsi .vbe. Dari icon memang terlihat seperti virus VBS (.vbs) biasa, tetapi karena ini berekstensi .vbe (VBScript Encoded Script File) maka virus ini berbeda dengan virus .vbs pada umumnya, virus ini terenkrip sehingga souce codenya tidak bisa terbaca dengan mudah.

Untuk mempelajari teknik ini, bisa Anda ke rumahnya langsung di => http://www.vbs2exe.com/encrypt-vbs.html

Untuk mengetahui berbagai macam ekstensi, missal ekstensi .vbe ini tadi di => http://dotwhat.net/vbe/22/

Ini, lihat script atau source codenya, tidak karuan, bukan? Hal ini karena source code program ini terenkripsi, hal ini dilakukan agar virus ini tidak mudah dianalisa oleh Malware Analyst seperti kami.

Penyebaran

Virus ini menyebar ke setiap root dari drive yang ada dengan nama “alice.alc” dengan menggunakan “autorun.inf” sebagai pemicunya.

Menggandakan Diri

Seperti kebiasaan virus pada umumnya, virus ini juga mengandakan diri pada komputer yang berhasil ia infeksi, bertempat di :

• C:\WINDOWS\system32\drivers\alice.sys
• C:\Documents and Settings\[nama user]\Local Settings\Temp\alice.sys

Menyamar sebagai file Driver, yang padahal sebenarnya adalah file VBE.

Aksi Virus

Tak puas menyebar dan menggandakan diri, virus ini pun memanipulasi data yang ada seperti :

• .doc
• .docx
• .htm
• .html

dan menggantinya menjadi dirinya.

Pada file .doc, virus ini akan menyembunyikan file yang sebenarnya dan ia menyamar atau menggandakan dirinya menjadi file .doc tadi yang padahal sebenarnya adalah file .vbe

Sedangkan pada file .htm maupun .html, virus ini akan memodif file asli (.htm atau .html tadi) menjadi ekstensi .hta, dan menyisipkan perintah VBScript didalamnya. Ingat, ia memodif file asli, mengubah ekstensi menjadi .hta, menyisipkan perintah VBScript dibawah dari code HTML asal, berbeda dengan file .doc tadi yang ia sembunyikan dan dia buat samarannya.

Registry

Virus ini juga memanipulasi registry agar user tidak bisa melihat ekstensi file yang ada, menghilangkan Folder Option, menghilangkan Run, memblok Task Manager, Registry Editor, System Restore, dan sebagainya.

Oh iya, virus ini juga mengubah nama komputer menjadi ALICE.

Bersihkan dengan Smadav rev. 8.8.4

Dengan Smadav rev. 8.8.4, kita teidak perlu lagi takut kehilangan dokumen kita karena ulah jahil si Alice ini tadi. Karena Smadav akan membunuh virus ini sampai keakarnya, memperbaiki kerusakan pada registry, dan mampu memunculkan kembali file dokumen yang sebelumnya telah disembunyikan oleh virus tadi.

Silakan download Smadav di www.smadav.net

Sebelum :

Sesudah :

Penyempurnaan Auto-Scan Flashdisk :
- Jika Smadav Rev. 8.7 tidak ada indikator Progress Bar pada Auto-Scan Flashdisk, maka Smadav Rev. 8.8 ini sudah disempurnakan dengan indikator Progress Bar tersebut layaknya Scanning secara manual. Bukan hanya terjadi penyempurnaan indikator saja, tetapi keakuratan dalam Scanning mode Auto-Scan Flashdisk ini juga telah diperbaiki dari revisi sebelumnya.

Progress bar

Progress bar complete

Penambahan 2 Setting Baru :
- Quick/Full Scan Flashdisk yang berfungsi untuk melakukan scanning dengan cepat dan menyeluruh (baik itu root flashdisk maupun sub folder dari flashdisk). Disini Anda bisa menentukan sendiri dengan mencentang untuk mengaktifkan fitur ini, maupun tidak mencentang untuk tidak mengaktifkan fitur ini.
- Konfirmasi Smad-Lock untuk proteksi flashdisk yang berfungsi agar setiap flashdisk yang tertancap ke port USB akan langsung dilakukan Lock oleh fitur Smad-Lock. Disini Anda bisa