Vaksinasi Virus 'AIDS'

Vaksinasi Virus 'AIDS'
Ni Ketut Susrini - detikinet


Screenshot (vaksincom)

Jakarta - Sebuah virus muncul dengan mengedarkan pesan tentang AIDS/HIV dan kata-kata mutiara seputar kehidupan dan cinta. Codex, demikian namanya. Berikut adalah cara manual untuk menghapusnya.

Codex, seperti disampaikan sebelumnya, muncul sejak awal Februari 2006. PT Vaksincom, distributor antivirus Norman, melalui keterangan tertulis yang diterima detikinet, Kamis (16/3/2006), menginformasikan kemunculan virus baru tersebut.

Vaksincom juga memaparkan cara pembasmian virus ini, secara manual. Berikut penjelasannya:
jika mengunakan Windows ME/XP, matikan system restore untuk sementara selama proses pembersihan.

Matikan proses dari virus tersebut, agar proses dari virus tersebut dapat dimatikan. Caranya: rename atau ubah nama file msvbvm60.dll yang berada di direktori [C:\Windows\System32] terlebih dahulu (untuk sementara) menjadi nama file lain (contoh: msvbvm60.dll1). Hal ini dilakukan karena proses dari virus tersebut tidak dapat dimatikan, baik menggunakan Task Manager, perintah
Taskkill maupun menggunakan tools lainnya seperti ProceeXP.

Setelah itu matikan proses virus tersebut diantaranya: Codex.E; LiveForever.exe; PiecesOfThePeace.exe; LoveOfYourLife.exe; Small.KL; WelcomeToSystem.exe; AllMyLifeToLive.exe; LiveForever.exe.

Hapus string yang dibuat oleh Codex pada registry key. Untuk lebih cepat, tulis script di bawah ini pada notepad, kemudian simpan menjadi nama repair.inf setelah itu jalankan file tersebut[klik kanan nama file kemudian pilih [install]

[Version]
Signature="$Chicago$"
Provider=Vaksincom

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0,
"Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,
ShowSuperHidden,0x00010001,1
HKCU, Software\Microsoft\Internet Explorer\Main, Start Page,0, "about:blank"
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, BornToPeace
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, ServiceOurLife
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, YourUnintendes
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, YourUnintended
HKLM, SYSTEM\ControlSet001\Services\SvrsShell
HKLM, SYSTEM\ControlSet001\Services\NtfsCDR
HKCU, Software\Microsoft\Internet Explorer\main, window title
HKLM, Software\Microsoft\Windows\CurrentVersion\Run, ToBeFree
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, YourUnintended
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, IwillSurvive
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, ThinkDifferent
HKLM, SYSTEM\ControlSet001\Services\crlxss

Lalu hapus file yang dibuat oleh virus Codex.E:
C:\Documents and Settings\%User%\My Documents; PiecesOfThePeace.exe; LoveOfYourLife.exe;LiveForever.exe; PiecesOfThePeace.html; LoveOfYourLife.html; C:\NeverStop.exe; C:\Windows\inf\CouldNotBreak.exe; C:\Windows\Media\EverComes.scr; C:\!Submit.

Hapus juga file yang dibuat oleh virus Small.KL:
C:\Documents and Settings\%User%\My Documents; AllMyLifeToLive.exe; LiveForever.exe; WelcomeToSystem.exe; AllMyLifeToLive.html; WelcomeToSystem.html; C:\StillAlive.exe; C:\windows\temp\NewName.BAT; C:\!Submit.

Hapus file oeminfo.ini dan oemlogo.bmp pada direktori C:\Windows\%System%\

Untuk pembersihan secara optimal gunakan antivirus yang sudah mendeteksi virus ini dengan baik.

Setelah memastikan komputer Anda bersih dari virus ini, rename kembali file msvbvm60.dll1 menjadi msvbvm60.dll.

Catatan: sebagai langkah "preventif" agar virus yang dibuat dengan menggunakan Visual Basic tidak menyerang komputer Anda, rename file msvbvm60.dll, tetapi jika anda mengubah nama file tersebut bukan saja virus [yang dibuat menggunakan VB] yang tidak akan aktif tetapi juga program yang dibuat dengan menggunakan Visual Basic/program yang memerlukan file tersebut untuk mengaktifkan dirinya.

Vaksincom juga menampung laporan infeksi virus. "Jika Anda terinfeksi virus Codex varian baru, dan tidak dapat dibersihkan dengan langkah-langkah di atas, silahkan kirim contoh virus tersebut ke alamat virus@vaksin.com dan cc ke teknisi@vaksin.com untuk kami analisa," demikian Vaksincom. (nks) ( nks )

Virus 'AIDS' Susupi Komputer

Virus 'AIDS' Susupi Komputer
Ni Ketut Susrini - detikinet


Jakarta - Codex merupakan virus yang karakteristiknya mirip Small.KL. Dalam penyebarannya, virus ini membawa pesan soal AIDS dan kata-kata mutiara. Tapi waspadalah! Virus ini punya agenda terselubung.

Distributor antivirus PT Vaksincom, melalui keterangan tertulis yang diterima detikinet, Kamis (16/3/2006), menginformasikan kemunculan virus baru. Virus tersebut berukuran 308 KB atau 248 KB, dibuat dengan bahasa pemrograman Visual Basic dan kemungkinan produksi dalam negeri.

Hasil deteksi dengan antivirus Norman, virus dengan ukuran 308 KB disebut sebagai W32/Codex.E. Sedangkan untuk virus dengan ukuran 248 KB, Norman mendeteksi sebagai W32/Small.KL. Codex sudah ada dalam varian kelima, yang kemunculannya sudah terdeteksi sejak awal Februari 2006.

"Sebenarnya kedua jenis virus tersebut mempunyai karakteristik yang sama, sehingga dapat dipastikan bahwa virus tersebut adalah satu jenis yaitu W32/Codex (walaupun memang ada perbedaaan pada nama file yang dibuat)," kata Alfons Tanujaya, spesialis antivirus dari PT Vaksincom. "Kemungkinan besar Codex sudah mengeluarkan varian-varian lainnya," imbuhnya.

Sebelumnya, virus Small.KL [Blackmall.E] menyebar dan mencapai puncaknya pada tanggal 3 bulan Februari. Dalam aksinya, virus tersebut mencoba menulis ulang semua file Microsoft Office (Ms Word, MS Excel dan MS Power Point) dan file-file yang dikompresi dengan menggunakan Winzip dan Winrar.

Dengan menambahkan kode tertentu pada file tersebut, file yang telah diubah oleh virus akan mempunyai ukuran 1 KB. Dengan kemampuan menyebar melalui email dan LAN/WAN, virus ini berhasil menyebar dengan sukses.

Virus AIDS?

Kembali ke virus Codex. Untuk mengelabui calon korbannya, Codex akan menyamar di balik ikon MS Word. Korban tentunya akan mengira ikon tersebut mengandung file MS Word, padahal itu adalah file aplikasi. Hal ini dapat dilihat dari tipe file tersebut.

Pada varian awalnya, virus ini tidak berbahaya karena tidak menyentuh data. Virus ini hanya akan menampilkan beberapa pesan yang bersifat moral contohnya tantang AIDS/HIV serta kata-kata mutiara lainnya yang ditampilkan dalam format HTML.

Namun pada saat file ini dijalankan, ia akan menampilkan message box yang berisi perjanjian seperti halnya End User License Agreement (EULA). Tapi, EULA tersebut memaksa pengguna untuk menyetujuinya, karena tidak ada pilihan lain kecuali tombol [OK].

Jika pesan tersebut muncul dan Anda telah menyetujui, maka Codex akan mulai beraksi. Virus ini pun akan membuat beberapa file induk, yang akan dijalankan pertama kali ketika komputer dinyalakan.

Untuk virus Codex yang berukuran 308 KB, file-file induk tersebut adalah: C:\Documents and Settings\%User%\My Documents; PiecesOfThePeace.exe; LoveOfYourLife.exe; LiveForever.exe; PiecesOfThePeace.html [ukuran file 13 KB]; LoveOfYourLife.html [Ukuran flile 2 KB]; C:\NeverStop.exe; C:\Windows\inf\CouldNotBreak.exe; dan C:\Windows\Media\EverComes.scr.

Codex juga akan mengubah string pada registry, dengan tujuan untuk mengubah halaman Web pada Internet Explorer dan mengubah judul dari Internet Explorer. Halaman Web di IE akan menampilkan sederet informasi tentang AIDS.

"Untuk varian awal, virus ini tidak telalu berbahaya, karena virus ini dibuat lebih pada kegiatan sosial, artinya mencoba untuk berkampanye atau menyerukan kata-kata mutiara," ungkap Alfons. "Tetapi virus ini kemungkinan akan muncul dalam varian baru, yang bisa saja lebih ganas," imbuhnya.

Hal ini dipertegas dengan munculnya pesan: "Best Variant Will Be Released (As SOON As I Can)". Virus ini aktif di mode "safe mode" dan "safe mode with command prompt".

Awas! Dua Trojan Siap Bajak Nomor PIN Anda


Awas! Dua Trojan Siap Bajak Nomor PIN Anda
Dewi Widya Ningrum - detikinet


Jakarta - Dua buah trojan kedapatan berkeliaran di internet dan mengincar para pelanggan bank. Trojan pertama akan membajak password, sedangkan trojan satunya bersembunyi di balik rootkit. Parahnya, program berbahaya itu berkedok menyerupai software 'baik-baik' sehingga sulit dideteksi.

Beberapa bank di Inggris, Jerman dan Spanyol bahkan sudah jadi sasaran empuk MetaFisher, yang tak lain dikenal sebagai "Spy-Agent" dan "PWS". Setelah menginfeksi komputer, trojan tersebut akan 'nongkrong' menunggu mangsanya (pelanggan-red) mengunjungi situs bank resmi. Jika ada mangsa, trojan akan menyuntikkan HTML jahat ke field tertentu.

Program lalu membajak nomor PIN dan transaksi bersamaan saat pelanggan memasukkan data tersebut ke dalam field. "Akibatnya, nomor PIN dan transaksi tidak akan pernah tercatat di situs bank resmi," kata Ramses Martinez, direktur perusahaan keamanan iDefense.

Konon, menurut Martinez, pelakunya menyimpan data-data PIN dan transaksi itu untuk dipakai sendiri atau menjualnya ke orang lain.

Eksploitasi Celah WMF

Menurut advisory Symantec, penyerang mencoba menempatkan trojan pada komputer dengan cara mengeksploitasi celah pada Windows Meta File (WMF) di Internet Explorer Microsoft. Komputer akan tertular jika korban mengunjungi situs jahat, dan penyerang kemungkinan akan memakai e-mail untuk menggiring pelanggan ke situs jahat itu.

Selain trojan, sebuah keylogger yang diam-diam mencuri dan merekam keystrokes pengguna, juga akan terinstal di komputer korban.

Sementara itu, Sana Labs juga menemukan trojan lain yang menyebar melalui rootkit. Software jahat itu menjalar via worm Alcra, yang akan langsung menginfeksi PC (personal computer) berbasis Windows. Trojan tersebut, menurut Sana, dapat 'menggali' password dan username yang sebelumnya dipakai pada sebuah komputer, tanpa memerlukan keystroke.

Perusahaan keamanan itu mengatakan ada 37.000 username dan password yang bisa digunakan di 7.000 situs, termasuk situs perbankan, situs lelang dan situs jaringan sosial.

Sekali software jahat itu di-load ke PC, maka software akan terhubung ke Web server yang berlokasi di Rusia, yang merupakan 'gudang' penyimpanan username dan password pengguna.

Karena trojan disembunyikan oleh kernel rootkit, maka beberapa program antivirus akan sulit mendeteksinya. Menurut Sana, hanya lima aplikasi keamanan yang bisa mendeteksi ancaman itu. Kelimanya adalah UNA, VBA32, Sophos, NOD32 versi 2 dan eTrust-Vet. Demikian diberitakan CnetNews dan dikutip detikINET Selasa (28/3/2006). (dwn)
( dwn )

Virus Baru Incar Windows dan Linux


Virus Baru Incar Windows dan Linux
Dewi Widya Ningrum - detikinet


ilustrasi (rou/inet)

Jakarta - Sebuah proof of concept virus telah ditemukan vendor keamanan komputer Kaspersky. Virus ini menginfeksi dua sistem operasi sekaligus yakni Linux dan Windows.

Kaspersky menjuluki virus tersebut sebagai Virus.Linux.Bi.a/Virus.Win32.Bi.a. Virus ini mampu menginfeksi file di dua platform yaitu Windows dan Linux. Namun, konon virus tersebut hanya menginfeksi file di direktori saja.

Yang paling penting, virus ini tidak merugikan komputer yang terinfeksi, bahkan dia (virus-red) tidak memperbanyak diri. Seseorang akan tertular jika mereka men-download dan membuka file yang terinfeksi.

"Biasanya virus sangat sulit untuk menginfeksi sistem operasi Linux," ujar David Perry, Global Education Director Vendor Antivirus Trend Micro.

Menurut Perry, karena kebanyakan Linux dipakai pada server, maka kemungkinan hanya sebagian kecil saja penggunanya yang bakal terinfeksi. Mengenai proof of concept tersebut, Perry mengaku dirinya mengancungi jempol ke pembuat virus.

"Ini sebuah kemajuan. Virus ini dibuat dengan sebuah assembler. Oleh sebab itu kami yakin virus ini dibuat oleh seorang programmer," imbuh Perry lagi, seperti dilansir detikINET dari vnunet, Sabtu (8/4/2006).

Menurut Perry, seseorang telah berhasil membuktikan bahwa mereka bisa membuat virus untuk dua sistem operasi. Diduga, virus tersebut dibuat oleh pembuat malware biasa yang hanya ingin memamerkan keahlian programming-nya. Buktinya, sang pembuat virus tidak mengambil keuntungan apapun dari virus ini.

Disinyalir, virus terkait meninggalkan sebuah text string pada file yang terinfeksi. Teks tersebut merujuk pada Immortal Riot, sebuah publikasi online dimana pembuat virus, antara tahun 1993 dan 1996, pernah mengirimkan bukti konsep (proof of concept) kode untuk virus-virus. (dwn)
( dwn )