Dunia ini memang penuhkepalsuan dan manusia cenderung hanyadinilai berdasarkan kulit yang terlihat saja tanpa melihat isinya.Karena itutidak heran jika orang berbondong-bondong ingin terlihat cantik,buktinya sajadengan modal wajah cantik (hasil operasi plastik) dan bodi semlehoy,seorang bankirpapan atas bisa memperdayai nasabahnya yang notabene orangberpendidikan(harusnya yah) dan berada. Tetapi tetap saja terlena oleh penampilanbankirwanita yang menawan ini dan uang puluhan milyar berhasil digelapkan.
Hal ini juga terjadi diranah pervirusan dimana antiviruspalsu dengan penampilan tidak kalah semlehoy dengan antivirus asliberhasilmemperdayai pengguna komputer. Kali ini adalah Trojan.Fakealert.19870
Salah satu yang telahsukses melakukan penyebaran yaitutrojan antivirus/antispyware palsu yang memanfaatkan momentum kejutandenganmengirim e-mail dan link ber-virus. Dr.Web Scanner mendeteksi salahsatu variantersebut sebagai Trojan.fakealert.19870.(lihat gambar 1)
Gambar1, Dr.Web Scanner mendeteksi varian virussebagai Trojan.Fakealert.19870
SPAM dan link bervirus
Bagi anda pengguna e-mail(electronic mail), tentu-nya sangatkesal jika kotak surat anda dipenuhi berbagai macam spam yang dikirimkan olehpara spammer yang tidak bertanggung jawab. Lalu bagaimana jika justrutemananda atau seseorang yang anda kenal justru mengirimkan salah satue-mail yanghanya berupa link berikut :
http://rapidshare/files/[angka_acak]/surprise.exe
Dan bahkan tidak hanyaanda, tetapi seluruh kontak e-mailyang dimiliki teman anda tersebut juga dikirimkan link tersebut. Sebuahlinkyang menggunakan salah satu server sharing bebas, dan menggunakan namafile“surprise” (kejutan).
Jika anda meng-klik linktersebut, maka OS windows anda akanmelakukan drive to download terhadapfile tersebut. Sehingga file “surprise” akan langsung jalan danterinstall padakomputer anda. (lihat gambar 2)
Gambar2, File trojan “surprise” akan langsung download dan terinstall jikaandameng-klik link tersebut.
Aksi virus
Dengan nama “SecurityShield”, trojan ini seperti halnyaantivirus/antispyware palsu yang lain berusaha melakukan penipuanterhadappengguna komputer, seolah-olah komputer benar-benar terinfeksi olehsekumpulan malware (malicious software).Beberapaaksiyangdilakukansetelahterinstallyaitu sebagai berikut :
· Membuatshortcut pada menu [All Programs] dan icon pada taskbar.
Seperti sebuahantivirus/antipyware, trojan “surprise”membuatshortcut pada menu [All Programs] dan icon padataskbar agar dapat berjalan dan dapat dijalankan pada proses memory.(lihatgambar 3)
Gambar3, Shortcut trojan “surprise”yangdibuatpadaAllPrograms
· Menampilkanproses otomatis scanning system
Hal ini digunakan olehtrojan “surprise” agardapat meyakinkan pengguna komputer bahwa komputer tersebut telahber-virus danharus segera dibersihkan. (lihat gambar 4)
Gambar4, Proses scanning system yang dilakukan oleh trojan“surprise”.
· Memberikaninformasi hasil scanning system
Setelah melakukan prosesscan palsu, trojan “surprise”melengkapi-nyadengan juga memberikan hasil proses scan agardapat meyakinkan pengguna komputer bahwa komputer telah benar-benarterinfeksioleh sekumpulan virus. (lihat gambar 5)
Gambar5, Informasi palsu hasil scanning system trojan“surprise”.
· Menampilkannotifikasi bahwa komputer telah terinfeksi virus
Melalui icon yang berjalanpada taskbar, trojan “surprise”membuatberbagai macam notifikasi agar pengguna komputerpercaya bahwa virus telah menginfeksi komputer dan harus segeradibersihkan.(lihat gambar 6)
Gambar6, Notifikasi palsu yang ditampilkan trojan.
· Memberikaninformasi bahwa icon Yahoo pada taskbar terinfeksi virus
Salah satu yang berbedadibanding antivirus/antispywarepalsu yang lainnya adalah trojan “surprise” memberikan semacaminformasi bahwa icon Yahoo anda pada taskbar telah terinfeksi olevirus. (lihatgambar 7)
Gambar7, Informasi palsu bahwa yahoo icon pada taskbar terinfeksi virus.
· Memberikaninformasi bahwa banyak program berbahaya yang berjalan pada komputer
Selain yahoo, trojan “surprise” jugamemberikan informasi palsu lain bahwa banyak program berbahaya yangsedang berjalanpada komputer dan dapat menyebabkan komputer menjadi hang/crash. (lihatgambar8)
Gambar8, Informasi palsu bahwa banyak program berbahaya pada komputer
· Memberikaninformasi bahwa program“Security Shield” terdapat update terbaru
Untukmeyakinkan pengguna komputer, trojan “surprise” jugamemberikan informasi mengenai update terbaru dari program “SecurityShield”,sehingga program akan terus terupdate. Padahal hal ini hanya sekedarnotifikasisaja. (lihatgambar 9)
Gambar9, Informasi updateprogram.
· Memberikaninformasi untuk mengaktifkan produk “Security Shield”
Dengan alasan agar dapatdigunakan secara “full”, trojan “surprise”memberikaninformasi agar pengguna komputer diharapkanmengaktifkan produk antivirus/antispyware palsu tersebut. (lihat gambar10)
Gambar10, Informasi untuk mengaktifkan produk antispyware/antivirus palsu
· Memberikaninformasi untuk melakukan pembayaran online untuk mengaktifkan produk
Untuk melakukan aktivasi,pengguna akan diarahkan padabrowser yang berfungsi untuk melakukan aktivasi dan melakukanpembayaran secaraonline. Dengan melakukan hal ini seolah-olah pengguna akan dapatmenggunakanproduk “Security Shield” yang sudah berjalan secara “full”. Padahal halinihanya tipuan dari trojan “surprise” tersebut. (lihat gambar 11)
Gambar11, Browser palsu yang digunakan untuk melakukan aktivasi daritrojan“surprise”
File Virus
File trojan “surprise” memiliki ciri-ciri sebagaiberikut :(lihat gambar 12)
- Memiliki ukuran filesebesar 382 kb
- Memiliki nama file“surprise.exe”
- Menggunakan icon shield
- Memiliki type file“application”
Gambar12, File virus
Setelah file trojandijalankan, trojan “surprise”akan membuatbeberapa file sebagai berikut yaitu :
- C:\Documents andSettings\%user%\Local Settings\Application Data\[angka_acak].exe
- C:\Documents andSettings\%user\Start Menu\Programs\Security Shield.lnk
Modifikasi Registry
Beberapa modifikasiregistry yang dilakukan oleh trojan“surprise” antaralainsebagaiberikut:
- Menambah Registry
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
Metode Penyebaran
Dengan menggunakanfasilitas e-mail (electronic mail),trojan “surprise” melakukan penyebaran denganmengirime-mail yang disertai link ber-virus ke semua kontak e-mail yangdimilikipengguna komputer. Dan tentunya hal ini juga membuat pengguna komputeryangter-infeksi di anggap mengirim spam yang disertai link ber-virus.
Link yang di kirimkan yaitusebagai berikut :
http://rapidshare/files/[angka_acak]/surprise.exe
Pembersihan Virus
- Putuskan koneksijaringan/internet.
- Matikan dan hapus virus
Lakukanlangkah-langkah berikut :
a) Download tools untukmembersihkan trojan “surprise”pada komputer yang belum terinfeksi pada link berikut :
b) Setelah selesai, kompressfile tersebuthingga menjadi file zip.
c) Copy file tersebut danletakkan dimanasaja pada komputer yang terinfeksi.
d) Klik kanan file ziptersebut, kemudianklik explore.
e) Klik 2x file yang sudahdi-exploretersebut untuk menjalankan, kemudian klik Run.
f) Jika sudah muncul jendelaDr.Web CureIt,klik OK untuk menjalankan dalam mode EPM (Enhanced Protection Mode).
g) Klik Start untuk memulaiScan, dan klikYes untuk memulai.
h) Biarkan hingga proses scanselesai
- Repair registry yang telahdimodifikasi.
Lakukanlangkah-langkah berikut :
o Salin script dibawah inidengan notepad:
[Version]
Signature="$Chicago$"
Provider=VaksincomOyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,ShowSuperHidden,0x00010001,1
HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,SuperHidden,0x00010001,1
HKCU,Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,HideFileExt,0x00010001,0
HKLM,SOFTWARE\CLASSES\batfile\shell\open\command,,,"""%1""%*"
HKLM,SOFTWARE\CLASSES\comfile\shell\open\command,,,"""%1""%*"
HKLM,SOFTWARE\CLASSES\exefile\shell\open\command,,,"""%1""%*"
HKLM,SOFTWARE\CLASSES\piffile\shell\open\command,,,"""%1""%*"
HKLM,SOFTWARE\CLASSES\regfile\shell\open\command,,,"regedit.exe"%1""
HKLM,SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0,"Explorer.exe
[del]
HKCU,Software\Microsoft\Windows\CurrentVersion\RunOnce
o Simpan file dengan nama“repair.inf”.Gunakan pilihan Save As Type menjadi All Files agar tidak terjadikesalahan.
o Klik kanan file“repair.inf”, kemudianpilih “install”.
o Restart komputer.
- Bersihkan temporary filedari jejak virus.
Lakukanlangkah-langkah berikut :
a) Klik Menu Start -> Run
b) Ketik perintah pada kotakopen :cleanmgr , kemudian klik OK.
c) Pada drive system (C) klikOK, biarkanproses scan drive.
d) Setelah muncul jendela DiskCleanup,beri tanda file yang akan di hapus (terutama Temporary Files), kemudianklikOK.
e) Tunggu hingga selesai.
By : Vaksin.Com
0 komentar:
Posting Komentar