Selasa, 14 Juli 2009

Top 10 Virus Indonesia: Juni 2009

Url: http://virusindonesia.com/2009/06/03/top-10-virus-indonesia-juni-2009/

Top 10 Virus Indonesia: Juni 2009

Posted on June 3rd, 2009 in Pengumuman, Analisa Virus by admin

Yang bertengger di urutan pertama masih sama yakni Conficker, diikuti oleh Autoit dan FullHouse. Selain itu ada beberapa virus yang baru masuk ke peringkat sepuluh besar ini seperti Nhatquanglan dan Hotum.vbs. Untuk lebih jelasnya, silakan lihat daftar berikut ini:

1. Conficker

Daftar domain yang di-black list oleh Conficker.Virus luar berteknologi canggih ini memang menyebar luar biasa. Bentuknya yang merupakan file DLL (Dynamic Link Library) membedakannya dengan kebanyakan virus lain yang berupa EXE. Kemampuan yang dimilikinya juga bisa disetarakan dengan rootkit. Serta, sifatnya ber-polymorphic membuatnya memiliki tubuh yang berubah-ubah. Pada komputer terinfeksi, user tidak akan dapat membuka situs yang “berbau” antivirius atau Microsoft update. Virus ini juga aktif menyebar di Indonesia dengan menggunakan media removable disk misalkan flash disk. Pada flash disk terinfeksi, Anda akan menemukan file autorun.inf dan direktori RECYCLER yang di dalamnya terdapat sub-direktori dengan nama misalkan S-5-3-42-2819952290-8240758988-879315005-3665, dan pada direktori inilah terdapat file virus Conficker dengan nama biasanya jwgkvsq.vmx yang sebenarnya adalah file DLL.

2. Autoit

Menyebarkan pesan ke setiap contact person yang ada di Y!M.Hampir kebanyakan varian dari virus import berbasis script ini menggunakan icon mirip seperti folder. Virus ini memiliki kemampuan untuk melakukan auto update ke beberapa situs. Ia juga dapat memanfaatkan Yahoo! Messenger sebagai media perantara penyebarannya dengan mengirimkan pesan berisi link ke setiap contact person yang ada di Y!M korban.

3. FullHouse

Gambar yang di extract oleh virus FullHouse.Virus lokal yang satu ini dibuat menggunakan Visual Basic. Dalam aksinya, ia meng-extract gambar “Han ji eun”, salah satu tokoh dalam serial Full House. Salah satu file induknya ngumpet dalam folder RECYCLER, dan akan membuat file autorun.inf pada drive target untuk dapat running otomatis.

4. Recycler

File virus bersembunyi dibalik Recycle Bin palsu.Yang menjadi ciri khas dari virus ini adalah teknik bagaimana ia menyebar. Yakni “ngumpet” dalam direktori Recycler/Recycler/Recycle Bin. Ia juga diketahui menerapkan teknik code injection agar kode virus bisa “nyangkut” pada explorer.exe. Ini dilakukannya untuk mempersulit user maupun program antivirus sekalipun untuk membunuhnya.

5. Nhatquanglan

Virus Nhatquanglan memanipulasi file hosts.Virus import yang satu ini dibuat menggunakan Visual Basic. Dua varian yang baru kami temui berukuran 101KB dan 81KB, menggunakan icon mirip folder dalam penyamarannya. Salah satu ciri khasnya adalah memblok beberapa situs antivirus dengan memanipulasi file hosts.

6. Hotum.vbs

Hotum.vbs mengubah caption jam Windows. Satu lagi virus lokal jenis VBScript dikenal dengan nama Hotum.vbs. Memiliki ukuran sekitar 8KB. Ia akan aktif otomatis dengan mengganti registry userinit milik Windows serta membuat item run baru. Mudah mengenali komputer yang telah terinfeksi virus ini. Lihat pada informasi jam windows di pojok kanan bawah, waktu AM akan diganti menjadi “Hotum” sementara untuk PM diubah menjadi “Tombom”.

7. Risa

Pesan yang disampaikan oleh virus Risa. Virus lokal satu ini memiliki ukuran sekitar 42KB, dengan kondisi ter-pack menggunakan UPX. Icon yang dimiliki menyerupai folder. Saat komputer terinfeksi virus ini, akan banyak sekali ditemukan folder-folder tipuan di setiap penjuru drive. Ia juga dapat masuk ke flash disk, di flash disk akan terdapat beberapa file dengan nama seperti “Kumpulan Puisi cinta palsu.exe”, “Rahasia (Jangan dibuka).exe”, dan lainnya. Pesan dari pembuat virus pun dapat ditemukan dengan pada direktori Windows dengan nama “Wasiat.html”, atau pada root drive C:\ dengan nama “Puisi_untukmu_bang.html”.

8. LegendOfAang.vbs

Virus dalam kondisi terenkripsi dan yang tidak terenkripsi.Virus yang dibuat menggunakan VBScript ini hadir dalam kondisi terenkripsi. Pada gambar di atas Anda bisa melihat file virus yang dalam kondisi terenkripsi dan yang sudah di-decrypt. Ia memiliki ukuran sekitar 13KB. Saat beraksi, ia mencoba untuk menghapus file VBS yang kemungkinan ditujukan kepada virus lain. Pada removable disk terinfeksi juga akan terdapat file autorun.inf milik virus ini. Dan agar dapat running otomatis, ia mengubah item userinit di registry agar diarahkan kepada dirinya.

9. Astuty

Pesan dari virus Astuty. Virus lokal satu ini memiliki pesan cinta yang disampaikan pada browser. File pesan bisa Anda temukan pada direktori Windows dengan nama Notic.htm. Ia menggunakan icon mirip dokumen MsWord dalam penyamarannya. Ukurannya sekitar 617KB, di-pack menggunakan UPX. Virus ini akan memalsukan file .DOC yang ia temukan, dengan cara menyembunyikan file .DOC yang asli dengan memberinya attribut hidden, lalu menggantikannya dengan file virus dengan nama file yang hampir sama.

10. Vanpraja

Gambar yang berasal dari virus Vanpraja.B. Virus lokal yang satu ini akan mengeluarkan beberapa file gambar dari dalam resources tubuhnya, salah satunya dengan nama “Hacked by v@nP.jpg” seperti yang terlihat di atas. File di extract ke beberapa root drive yang terdapat di komputer korban. Secara fisik, ia mirip dengan file dokumen MsWord, dengan ukuran file sekitar 96KB, dan di-pack menggunakan UPX. Ada-ada saja memang aksinya, si pembuat virus ini mempromosikan sekolahnya dengan cara menyebarkan file teks yang berisi promosi tersebut ke setiap root drive termasuk.

====================================================================

Kebetulan Flash Disk saya terkena virus LegendOfAang.vbs, mungkin karena dipinjam pake sama teman waktu itu. Jadi saya sudah menghapusnya dengan cara manual berdasarkan blog dibawah ini:

url: http://nortbird.wordpress.com/2009/05/04/virus-the-legend-of-aang-2/

Virus The Legend of Aang

Mungkin sebenarnya virus ini sudah lama ada dan beredar di dunia perkomputeran, tapi berhubung saya baru tau kl virus ini ada dan akhirnya saya mendapatkan virus ini, jadi baru sekarang saya tulis mengenai virus ini.

Seperti biasa, virus berjenis vbs mempunyai satu kelemahan yang bisa dibilang berbahaya untuk suatu virus, yaitu source code virus jenis ini dapat dilihat dengan mudah menggunakan kakas pengolah kata yang ada, seperti misalnya notepad. Maka untuk menanggulangi hal ini, biasanya virus jenis ini akan memakai teknik kriptografi untuk mengenkrip source codenya sehingga menjadi kumpulan karakter yang tidak beraturan dan sulit untuk dimengerti.

Tapi sesulit-sulitnya algoritma kriptografi yang dipakai, tetap saya source code untuk mendekripsi virus masih dapat dilihat dengan mudah. Dengan algoritma dekripsi tersebut, maka kita akan dapat melihat source code asli virus tersebut yang berisi rutin-rutin yang dilakukan virus terhadap komputer korban.

Berikut ini adalah rutin-rutin yang dilakukan virus The Legend of Aang yang saya dapat dari mendekripsi virus tersebut:

1. Semua langkah di bawah ini akan terus diulang sampai virus ini menemukan ada removable disk terpasang di komputer.

2. Membuat file Aang.vbs di folderSystem32 dan mengeset atributnya menjadi readonly.

3. Menambahkan registry “HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit” dengan “SystemDir & “\wscript.exe ” & SystemDir & “\Aang.vbs”. (saya tidak menemukan alamat ini di registri komputer saya…)

4. Menghapus semua file .vbs yang ada di folder Windows, folder root harddisk dan folder root removable disk kecuali “The_Legend_Of_Aang.vbs”.

5. Menghapus semua file .inf yang ada di folder root harddisk.

6. Menghapus “HKLM\Software\Microsoft\Windows\CurrentVersion\Run\MS32DLL” di registry.

7. Menambahkan “HKCU\Software\Microsoft\Internet Explorer\Main\Window Title”,”" di registry. Jika anda membuka Internet Explorer, maka judul jendela IE akan kosong.

8. Menambahkan “HKCU\Software\Microsoft\Internet Explorer\Main\Start Page”,”" di registri. Jika anda membuka IE, maka halaman awalnya adalah kosong.

9. Menambahkan “HKCR\vbsfile\DefaultIcon”,”%SystemRoot%\System32\WScript.exe,2″ di registri. Registry ini akan mengambalikan icon file vbs menjadi icon vbs yang biasa kita lihat.

10. Membuat folder RemovableCache di folder System32, mengcopy semua folder di removable disk ke folder RemovableCache, memindahkan semua file di removable disk ke folder RemovableCache.

11. Membuat file “The_Legend_Of_Aang.vbs” dan “autorun.inf” di removable disk.

12. Jika virus tidak menemukan adanya removable disk di komputer, maka virus akan mengistirahatkan dirinya selama 10000 milisecond = 10 second.

Kalau untuk menghilangkan virus ini, pertama-tama kill dulu proses yang namanya “wscript” di task manager. Kalau proses ini sudah dimatikan, file virus tidak akan berjalan lagi. Selanjutnya hapus semua file “The_Legend_Of_Aang.vbs” dan “Aang.vbs” yang ada di removable disk atau di harddisk (di folder System32). Untuk yang masalah pengubahan registri, menurut saya tidak begitu bermasalah..


===================================================================

Untuk end user , saya sarankan untuk download anti virus indonesia (free) terbitan PC Media Anti virus yg bisa di gabungkan dgn CLAMAV (open source anti virus).

Untuk versi terupdate saat postingan ini adalah versi PCMAV v.20c update 4, bisa didownload di http://www.ziddu.com/download/5407588/PCMAV-2.0c-update-4.zip.html.

Seterusnya ikutin manual README.TXT dari PCMAV ini untuk setting plugins CLAMAV nya

Semoga berguna,

Joao Kho