Mendeteksi dan mematikan sumber virus secara manual

Beberapa waktu lalu komputer adik saya terkena virus yang cukup menjengkelkan. Antivirus yang terpasang tidak mampu mendeteksi, update pun gagal sampai install ulang Antivirus juga tidak berhasil. Akhirnya saya mencoba mematikan virus secara manual dengan bantuan program Autoruns.

Bagi yang belum punya program ini bisa download Autoruns.zip (576 KB), yang bisa dianggap program “wajib” bagi saya.

Cara berikut mungkin hanya salah satu dari berbagai metode yang ada dan yang biasa saya gunakan. Secara garis besar, saya membagi cara mematikan sumber virus secara manual tanpa antivirus ini kedalam dua langkah, yaitu : Mendeteksi sumber virus atau file yang mencurigakan (dianggap virus) dan Cara Mematikannya.

Langkah Pertama, Mendeteksi Virus

Sebagian besar komputer yang terinfeksi, bisa diketahui sumber virus yang aktif di komputer dengan program seperti Autoruns. Jalankan program autoruns.exe. Jika program tidak berjalan, coba rename file autoruns.exe dengan nama lainnya. Jika tetap gagal, bisa menggunakan program sejenis lainnya.

Setelah Autoruns dibuka, bagian yang terpenting disini dan akan digunakan adalah tab Logon, karena disinilah ditampilkan berbagai program (aplikasi) yang berjalan otomatis ketika kita menjalankan windows.

Adanya tanya cek menunjukkan bahwa program tersebut aktif dan otomatis dijalankan ketika Start Up Windows (Windows dijalankan). Jika tidak ada tanda cek, menunjukkan bahwa program tersebut sebenarnya ada dalam daftar start up, tetapi tidak otomatis berjalan ketika Start Up Windows.

Program Windows yang HARUS AKTIF

Ada beberapa program penting Windows di daftar Autorun yang harus aktif, jangan sampai tanda cek-nya dihilangkan atau bahkan dihapus. Biasanya letaknya ada di bagian paling atas, yaitu :

Alasan kenapa program tersebut jangan dihapus (perlu diaktifkan), bisa dibaca artikel Tips mendeteksi keberadaan Virus. Untuk memastikannya, yang perlu diperhatikan adalah “Autorun Entry” dan “Image Path”, terkadang virus menyerupakan dengan nama tersebut. Image Path adalah lokasi file-nya, jika namanya seperti diatas, tetapi lokasinya di folder lain, maka perlu di waspadai.

Mencari Sumber Virus

Berikut beberapa point yang bisa dilakukan untuk mencari sumber virus atau file mencurigakan yang dianggap sebagai virus :

1. Periksa akan adanya Autorun Entry (daftar program) yang kita merasa tidak pernah menginstallnya. Misalnya saya pernah melihat ada yang namanya ffdshow.exe dengan lokasi (Image Path) C:\Program Files\K-Lite Codec Pack\, padahal di komputer tersebut tidak pernah di install program K-Lite Codec Pack. Maka kemungkinan itu salah satu sumber virus. Hal ini sering terjadi, misalnya ada aplikasi dengan folder Corel Draw, tetapi kita tidak pernah menginstall Corel Draw.
2. Hilangkan tanda cek dari Autorun Entry yang mencurigakan, kemudian klik icon Refresh (F5). Jika tanda cek tersebut kembali aktif atau muncul daftar entry baru yang sama dan disertai tanda cek, kemungkinan itu adalah sumber virus. Cara ini terkadang harus ditunggu beberapa saat, atau aplikasi Autoruns di tutup dulu, kemudian setelah beberapa lama dibuka lagi untuk memeriksanya.
3. Dari daftar Program Windows yang HARUS AKTIF sebelumnya, periksa akan adanya program lainnya di ketiga tempat yang saya beri garis merah. Pada Windows XP, seharusnya hanya ada 3 file diatas, yaitu rdpclip, userinit.exe dan explorer.exe dengan lokasi persis seperti Image Path diatas. Adanya tambahan lainnya menunjukkan kemungkinan sumber virus. Cek dengan point ke-2
4. Sumber virus biasanya tidak hanya satu, sehingga perlu dicari daftar Autorun lainnya yang mencurigakan, baik dengan cara seperti point 1 atau 2. Misalnya di lokasi :
   • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   • C:\Documents and Settings\All Users\Start Menu\Programs\Startup
   • HKCU\Software\Microsoft\Windows\CurrentVersion\Run
   • Dan lainnya, yang berada di bawah dari daftar Program Windows yang HARUS AKTIF di atas.

Setelah diperoleh daftar-daftar file yang mencurigakan atau tidak dikenal, tulis nama dan lokasi filenya yang bisa dilihat dari keterangan Image Path (program Autoruns) di kertas atau file text (misalnya dengan Notepad). Bagi yang belum terbiasa mungkin dafarnya akan banyak sekali. Tetapi hal ini tidak masalah

Menghapus daftar dari Autoruns tersebut hanya menghapus referensinya saja, jadi filenya (lokasinya disebutkan di bagian “Image Path”) tidak akan terhapus

Mematikan Sumber Virus

Setelah didapat daftar file-file yang mencurigakan, langkah selanjutnya adalah me-rename ekstensi file tersebut (jangan dihapus terlebih dahulu). Me-rename dari windows biasanya tidak akan berhasil, atau kadang kita tidak tahu ekstensi file tersebut dan tidak bisa ditampilkan

Cara yang biasanya selalu berhasil adalah melalui media lain. Misalnya menjalankan sistem Operasi langsung dari CD,DVD, atau Flashdisk. Misalnya CD Linux, CD Windows MiniPE, UBCD4Win dan lainnya. Atau bisa juga kita melepas Hardisk kita dan dipasang di komputer lainnya (yang bebeas virus) sebagai Hardisk kedua (secondary). Intinya agar kita bisa mengakses (membuka) file dan folder dari daftar yang kita tulis tanpa mengaktifkan Windows yang ada di hardisk, sehingga virus tidak bisa aktif.

Setelah kita bisa booting komputer dari media lain atau memasang hardisk di komputer lainnya, selanjutnya kita mencari file-file dari daftar yang telah kita buat. Sebelumnya aktifkan opsi untuk menampilkan semua ekstensi file jika belum kelihatan. Setelah itu, rename semua ekstensi file yang kita dapatkan. Misalnya nama_file.exe menjadi nama_file.exe.vir, viruz.dll menjadi viruz.dll.vir.

Setelah selesai semua, saatnya dicoba komputer tersebut ( kembali mengaktifkan windows). Periksa lagi dengan program Autoruns. Jika daftar yang kita tulis kembali muncul dan disertai tanda cek, atau masih muncul tanda-tanda komputer terinfeksi virus, mungkin ada beberapa program lain yang terlewatkan. Kadang kita harus mencoba beberapa kali. Jika komputer tidak berjalan, kemungkinan ada dafar file yang salah yang kita sertakan. Coba rename kembali file tersebut ke asalnya (hilangkan ekstensi *.vir)

Setelah berhasil dan tidak ada tanda-tanda virus berjalan, perlu diingat bahwa kita hanya mematikan sumber-sumber virus dan kemungkinan masih banyak virus di komputer. Langkah selanjutnya bisa dilakukan dengan melakukan scan dengan antivirus + update terbaru untuk mencari virus-virus yang masih ada di komputer. Dan ini mungkin harus menunggu sampai antivirus mampu mendeteksi virus tersebut.

Cara diatas biasa saya gunakan ketika antivirus tidak mampu mendeteksi adanya virus dan biasanya berhasil. Dan pengalaman juga ikut membantu keberhasilan menemukan sumber virus ini. Jika masih bingung atau belum yakin dari daftar autorun yang ada, silahkan di tuliskan dalam komentar, sehingga kita bisa saling membantu dan melengkapi.

Sumber; http://ebsoft.web.id/2009/09/30/mendeteksi-dan-mematikan-sumber-virus-secara-manual/

Test Perbandingan Performa Antivirus Gratis Populer

Di awal tahun 2010 ini sepertinya kita belum melihat test antivirus, mana yang terbaik. Tetapi kemarin, Raymond melakukan test performa ( kecepatan dan penggunaan Memory) berbagai antivirus. Test mencakup produk gratis, premium dan Internet Security. Tidak tanggung-tanggung, sebanyajk sekitar 106 produk antivirus di test.

Hasil selengkapnya bisa langsung merujuk ke blognya Raymond. Berikut ringkasan hasil perbandingan performa antivirus gratis yang populer.

Data dan grafik yang ada di artikel ini diperoleh dari test yang dilakukan Raymond dengan Windows XP SP3. Jika ingin melihat hasil lengkap 106 produk antivirus, silahkan melihat artikel Best Performing (Speed and Memory Usage) Antivirus and Internet Security for 2010.

Raymond mengetest dengan menggunakan kriteris sebagai berikut :

• Application Launch Time, dengan menjalankan browser firefox 10 kali, kemudian dihitung rata-rata waktu yg diperlukan.
• Boot time Increase, Dihitung seberapa lama tambahan waktu booting di windows dengan adanya antivirus
• Idle Memory Usage, Penggunaan memory ketika dalam masa idle (tidak digunakan)
• Peak Memory Usage, Penggunaan memory maksimal yang digunakan
• Installation Size, ukuran file installasi
• Detection, menggunakan sample satu virus yang di enkripsi untuk menghilangkan deteksi
• Full Scan Time, waktu scan komputer (digunakan sampel data sebanyak 13.32 GB)

Berikut grafik perbandingan test antivirus gratis dari data yang dilakukan oleh Raymond. Khusus untuk Test deteksi, hanya Sypware Terminator yang mampu memblok sampel virus yang digunaan.

Launch Application Time

Boot Time Increase

Idle Memory Usage

Peak Memory Usage

Installation Size

Full Scan Time

Melihat hasil test diatas, agak sulit menyimpulkan mana antivirus gratis dengan performa terbaik. Karena tidak ada satu antivirus yang unggul di semua kriteria yang digunakan atau unggul di mayoritas test. Sebenarnya Avast 5 mempunyai hasil yang cukup bagus, dan dibanding avast 4.8 sebelumnya, tidak begitu memberatkan komputer. Tetapi untuk full scan, terlihat jauh lebih lama dibanding yang lain.

Virus, Worm Atau Trojan ?

Banyak yang salah kaprah tentang gangguan komputer yang dilakukan oleh “virus”. Saya sengaja memberi tanda kutip agar tidak menjadi semakin salah kaprah, dengan tanda kutip artinya belum jelas, apakah gangguan tersebut memang benar-benar virus atau sebuah trojan, atau mungkin worm, jadi kita runut dulu apa itu semuanya. Agar kita bisa membedakan semua itu dengan jelas dan gamblang.

Beberapa tahun yang lalu sebelum kemunculan Windows, jamannya DOS saya mengenal sebuah virus dengan nama denzuko, sejak itu saya tertarik sekali dengan adanya virus komputer, pola dan cara menggandakan, merusak, membelah diri, melarikan diri dan lain lain cukup menyita waktu saya. Mungkinkah saya bisa membuat virus yang sedemikian canggih ? ah .. saya bukan siapa-siapa hanya seorang pecundang dan tertarik saja mengamati. Coba anda tengok dalam nurani anda, anda pasti ingin membuat virus bukan, jika anda ya, kembali bertanya ke nurani anda, apakah anda senang melihat orang lain susah karena komputernya terjangkiti virus bejibun?. Lantas apa motivasi di balik orang membuat virus yang merusak bahkan merugikan sampai milyaran dollar ?

Mari kita bedah satu satu agar semakin jelas antara perbedaan tersebut :

Virus

Virus komputer sendiri secara harfiah bisa diartikan sebagai suatu program kecil yang bisa menggandakan diri, membelah diri dalam media penyimpanan, baik itu disket, flash disk, hardisk, CD/DVD. Virus bisa berkeliaran kemana-mana karena ada campur tangan manusia, virus tidak akan terpacu jika anda tidak menjalankan file executable, misalnya winword.exe. Jadi pergerakan virus itu memang ada campur tangan manusia, biasanya virus itu akan bekerja dengan menempelkan diri ke file executable lain seperti bat, com. Jadi kalo dalam komputer ada virus jika kita tidak menjalankan suatu file virus tersebut atau file yang telah terinfkesi maka tidak akan terjadi sesuatu. Baik langsung dan tidak langsung virus akan berakibat memperlambat performance komputer, menyebabkan kerusakan software atau mungkin pop iklan yang tidak berguna.

Trojan Horse

Kalo dipandang secara sekilas trojan adalah sebuah program yang kelihatan seperti program yang normal dan valid, tetapi program tersebut membawa suatu kode/script dengan fungsi-fungsi yang sangat berbahaya bagi komputer. Sebagai contoh adalah serangan denial of service yang pernah meluluhtantakan web ini. Sebagai contoh adalah trojan DLoader yang datang dari attachment email sistem operasi Windows yang dianggap sebagai suatu update, jika anda menjalankan maka dia akan melakukan download program dan akan memanfaatkan komputer anda untuk dihubungkan dengan suatu web site tertentu. Targetnya adalah membuat website terebut overload dan tidak bisa diakses. Trojan tidak dapat menyebar seperti virus yang sangat cepat pergerakannya, karena trojan tidak dapat menduplikasi dirinya secara otomatis, namun dalam perkembangannya trojan bisa kerja sama dengan virus dalam hal penyebarannya. Di lain hal, trojan juga digunakan untuk menginfeksi suatu komputer dengan virus, walau trojan tidak bisa menggandakan diri namun trojan juga berbahaya, umumnya trojan dikemas dalam suatu program yang menarik, misalnya game permainan, namun dibalik keunggulan program tersebut tersembunyi fungsi lain untuk melakukan perusakan, pengguna awam pasti akan terpancing untuk menjalankannya, akibatnya bisa menjadikan komputer lumpuh karena secara tak langsung menjalankan rutin-rutin perusak yang terkandung dalam trojan tersebut. Trojan juga berfungsi sebagai mata-mata dalam komputer kita, biasanya para cracker akan mengirim trojan terlebih dahulu sebelum menguasai sebuah komputer.

Worm

Secara garis besar worm merupakan tipe khusus dari virus, namun tidak seperti virus, worm tidak membutuhkan interaksi manusia dalam penyebarannya, worm berdiri sendiri dan tidak membutuhkan interaksi terhadap dirinya sendiri seperti di file executable. Worm dapat menduplikasi dirinya dan menyebar ke dalam sistem komputer. Worm yang paling kentara adalah didesain untuk menyadap alamat email yang tersimpan dalam contact list dan akan mengirimkan dirinya sendiri ke siapa saja yang terdapat dalam contact list, jadi baiknya anda tidak perlu menyimpan daftar alamat email jika tidak ingin disalahgunakan oleh worm. Worm tidak akan menyerang komputer secara langsung hanya membanjiri contact anda, hingga membanjiri bandwidth lalu membuat jaringan menjadi tersumbat. Worm sendiri biasa menyebar melalui disk sweeping artinya melalui hardisk, disket, flash disk, cd/dvd. Worm umumnya tidak merusak, namun demikian selain mengakibatkan kejengkelan pihak korban, serangan worm sangat berbahaya bagi mail server, berjangkitnya worm dapat menyebabkan beban mailserver melonjak dan mempengaruhi perfomanya. Tidak hanya mailserver, komputer pribadi pun bisa menjadi sasaran karena worm mampu menduplikasi dirinya ke dalam memori komputer dalam jumlah sangat banyak, jika secara serentak menduplikasi maka komputer akan menjadi lumpuh. Umumnya worm berbentuk file executable alias berekstensi exe atau scr yang terlampir dalam attachment email, namun ada beberapa jenis worm yang berbentuk script dalam bahasa Visual Basic Script.

Spyware

Spyware adalah sebuah perangkat lunak yang berfungsi untuk mengumpulkan dan mengirimkan informasi pengguna komputer tanpa diketahui oleh sang pengguna. Informasi yang dicari bisa yang ringan-ringan seperti pola penggunaan komputer untuk tujuan polling, atau situs yang dikunjungi, informasi yang kerap dicari pengguna, obrolan di chating pun bisa dimta-matai oleh spyware, namun juga bisa sangat berbahaya seperti pencurian nomor kartu kredit, PIN perbankan, password suatu akun. Informasi tersebut bisa digunakan untuk menampilkan iklan yang biasanya disebut dengan pop up. Iklan ini tentu saja berkaitan dengan kebiasaan orang berinternet, misal anda suka mencari komputer maka akan dibanjiri dengan iklan berbagai macam hardware. Pola penyebaran spyware mirip dengan trojan. Contohnya flashget, ketika flashget belum diregister flashget akan bekerja seperti spyware, jika dihubungkan dengan internet dan jalankan flashget, biarkan sesaat, pasti akan muncul jendela IE yang menampilkan suatu situs iklan.

Sumber: http://www.yohan-enterprise.com

"Tak Gendong Jilid 2" Kembali Menebar Ancaman CD Rom Dan MS Word

Kamis, 22 Oktober 2009 12:57

Ini kali ke dua virus yang akan mempermainkan CDROM setelah kemunculan virus lainnya yakni [SmallTroj.QFBU]. Perbedaan yang mencolok adalah pada script yang dibuat untuk membuka CDROM. Pada virus SmallTroj.QFBU, script untuk membuka CDROM berada pada tubuh virus itu sendiri hal ini memberikan keuntungan yakni selama virus ini masih akif dimemori maka ia akan dengan leluasa untuk selalu membuka CD ROM tersebut, berbeda dengan virus SmallTroj.PUDN ini yang akan mengandalkan file lain dengan memanfaatkan file [C:\Windows\ System32\ WSCript.exe] dan tidak tergantung pada file induk untuk membuka CD ROM tersebut, tetapi dari hasil pengetesan hal ini tidak berjalan sesuai dengan yang diharapkan karena file script tersebut membutuhkan file pemicu lain untuk menjalankankan isi dari script tersebut, file pemicu inilah yang "mungkin" terlupakan atau dilupakan oleh sang pembuat virus. Apapun yang dilakukan oleh kedua virus ini yang jelas perbuatan ini sangat merugikan pengguna komputer apalagi bagi mereka yang awam. Ingin tahu apalagi yang akan dilakukan oleh virus SmallTroj.PUDN, mari kita ikuti penelurusan Laboratorium Virus Vaksincom J

Made in VB

Meskipun sekarang sudah jaman Blackberry, tetapi sebenarnya market leader tetap Nokia yang masih mendapatkan predikat ponsel sejuta umat. Sama dengan VB, siapa bilang VB sudah di tinggalkan, buktinya masih banyak virus lokal yang dibuat dengan menggunakan bahasa pemrograman sejuta umat ini, selain mudah dipelajari banyak orang yang menguasai dan sudah banyak situs-situs yang membahas program VB ini, dengan sedikit modifikasi dari "tangan-tangan jahil" maka lahirkan sebuah program yang "mematikan" yang disebut virus, salah satu virus yang dibuat dengan menggunakan program bahasa VB adalah SmallTroj.PUDN. Untuk memperkecil ukuran dan mempersulit untuk membongkar isi body virusnya, pembuat virus akan mengkompres dengan menggunakan program UPX. File sebelum di kompres akan mempunyai ukuran sekitar 92 KB dan setelah di kompres akan menyusut menjadi sekiatr 41 KB. Untuk mengelabui user ia akan menggunakan icon notepad, tetapi jika kita tampilkan file tersebut secara detail, maka akan terlihat bahwa file tersebut mempuyai type file sebagai "Application" dengan ekstensi "EXE" (lihat gambar 1)

Gambar 1, File induk virus

Dengan update terbaru Norman Security Suite mendeteksi sebagai Trojan: W32/SmallTroj.PUDN (lihat gambar 2)

Gambar 2, Hasil deteksi Norman Security Suite

Apa yang akan dilakukan setelah menginfeksi?

Setelah user menjalankan file yang terinfeksi SmallTroj, maka pertama kali ia akan membuat file [wmdrtl32_.vbs] di folder dimana file virus tersebut dijalankan dengan atribut [system, hidden, read only, arsip], kemudian akan membuat beberapa file induk yang akan dijalankan pertama kali saat komputer dinyalakan yakni:

• c:\Windows\wmdrtl32 _.exe

• c:\xMr. Jabluntz.exe [semua drive], x menunjukan karakter acak

• c:\wmdrtl32_ .vbs [semua drive]

• C:\Autorun.inf

• C:\ a_Video Hot.exe

• C:\Windows\System32 \wmdrtl32_ .vbs

• C:\Windows\System32 \autorun. inf

Agar file tersebut dapat dijalankan secara otomatis saat komputer dinyalakan, ia akan membuat string pada registry berikut:

• HKCU\Software\ Microsoft\ Windows\CurrentV ersion\Run\ wmdrtl32_

  • c:\windows\wmdrtl32 _.exe

• HKCU\software\ microsoft\ windows\shellnor oam\MUICache\ wmdrtl32_

  • c:\windows\wmdrtl32 _.exe

Virus ini juga akan aktif saat user mengakses setiap drive atau folder [C:\Windows\ system32] dengan memanfaatkan fitur autorun windows dengan membuat file [autorun.inf] yang akan menjalankan file [a_VideoHot. exe]

Blok akses fungsi Windows

Agar dirinya tidak mudah di "basmi", ia akan mencoba untuk blok beberapa fungsi windows "standar" seperti

• Task Manager

• Run

• Find [Search]

• Folder Options [Tidak dapat menampilkan file yang disembunyikan]

• CMD [Command]

Untuk melakukan hal tersebut ia akan membuat beberapa registry berikut:

• HKEY_CURRENT_ USER\Software\ Microsoft\ Windows\CurrentV ersion\Policies\ Explorer

  • NoRun

  • NoFind

• HKEY_CURRENT_ USER\Software\ Microsoft\ Windows\CurrentV ersion\Policies\ System

  • DisableRegedit

  • DisableRegistryTool s

  • DisableTaskMgr

• HKEY_CURRENT_ USER\Software\ Microsoft\ Windows\CurrentV ersion\Explorer\ Advanced

  • HideFileExt = 1

  • SuperHidden = 0

  • Show SuperHidden = 0

• HKEY_CURRENT_ USER\Software\ Policies\ Microsoft\ Windows\System

  • DisableCMD

• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\CurrentV ersion\Explorer\ Advanced\ Folder\Hidden

  • NOHIDDEN = DefaultValue, 0x00010001, 2

  • SHOWALL = DefaultValue, 0x00010001, 1

Delete Antivirus

SmallTroj.PUDN juga akan mencoba untuk menghapus file yang ada di direktori instalasi antivirus [C:\Program Files], berikut beberapa antivirus yang menjadi incaran SmallTroj.PUDN

- C:\Program Files\Norton AntiVirus\*. *

- C:\Program Files\Kaspersky Lab\*.*

- C:\Program Files\Eset\* .*

- C:\Program Files\WinRAR\ *.*

- C:\Program Files\Symantec\ *.*

- C:\Program Files\Norman\ *.*

- C:\Program Files\PCMAV\ *.*

- C:\Program Files\AV\*.*

- C:\Norman\*. *

SmallTroj.PUDN akan mencoba untuk mematikan beberapa software tertentu dengan menjalankan perintah taskkill /f /im. Berikut beberapa program yang akan di matikan oleh SmallTroj.PUDN

• taskkill /f /im winamp.exe

• taskkill /f /im taskmgr.exe

• taskkill /f /im egui.exe [Eset Smart Security]

• taskkill /f /im ekrn.exe [Eset Smart Security]

Selain itu SmallTroj.PUDN juga akan mencoba untuk melakukan koneksi ke sejumlah situs security khususnya anti virus dan beberapa situs porno berikut :

• www.bitdefender. com

• www.pcmedia. com

• www.mcafee.com

• www.kaspersky. com

• www.symantec. com

• www.norton.com

• www.norman.com

• www.nod32.com

• www.vaksin.com

• www.islamiah. com

• www.kaskus.com

• www.virologi. info

• www.altavista. com

• www.playboy. com

• www.google.com

• www.yahoo.com

• www.yahoo.co. id

• www.google.co. id

Merubah Jendela IE

Setiap kali user membuka program Internet Explorer, secara otomatis halaman utama akan di direct ke suatu halaman friendster yang telah ditentukan yakni [http://www. friendster. com/Ace270388? ]. Halaman ini telah diset dengan merubah registry berikut (lihat gambar 3)

• HKCU\Software\ Microsoft\ Internet Explorer\Main\ Start Page

  • Start page = http://www.friendst er.com/Ace270388?

Gambar 3, Halaman IE yang sudah diganti oleh SmallTroj.PUDN

Sama seperti yang dilakukan oleh virus VBS/Cript.A, yang akan menyertakan link pembasmi virus ini dengan nama [Antivirus.exe] , yang ternyata jika link [antivirus.exe] tersebut kita "klik" maka akan menampilkan alamat url [http://www. dinamikasolusi. co.nr] yang berisi informasi "bagaimana cara membuat antivirus dengan VB" ops promosi lagi nih J.

Untuk melakukan hal ini ia akan membuat file di direktori [C:\Windows\ help.html] dan merubah string pada registry berikut : (lihat gambar 4 dan 5)

• HKCU\Software\ Microsoft\ Internet Explorer\Main\ Local Page

  • Local page = C:\Windows\help. htm

Gambar 4, Alamat "gadungan" untuk mengelabui user

Gambar 5, Alamat promosi yang akan ditampilkan oleh Virus

Membuka CD/DVD ROM

Smalltroj.PUDN juga akan melakukan hal serupa seperti yang pernah dilakukan oleh virus SmalTroj.QFBU, yakni akan membuka CD ROM dengan membuat [wmdrtl32_.vbs] , file ini akan dibuat di setiap drive dan di direktori [C:\Windows\ System32] dengan atribut [System, Hidden, Read Only dan Arsip]. Agar script tersebut dapat dijalankan ia membutuhkan file pendukung lain yakni [C:\Windows\ System32\ WSCript.exe] . Tetapi script ini tidak berjalan dengan baik mungkin karena tidak file pemicu [contoh: autorun.inf] untuk menjalankan script ini sehingga CD ROM anda akan aman. (lihat gambar 6)

Gambar 6, Script yang berisi perintah untuk membuka CD ROM

Menyembunyikan file TXT dan DOC [Ms.Word]

Tujuan akhir dari virus ini adalah akan mencari file yang mempunyai ekstensi TXT dan DOC disemua drive dan menyembunyikannya inilah yang menyebabkan perfomance komputer akan terasa lebih lambat dibandingkan sebelumnya. Untuk mengelabui user ia akan membuat file duplikat sesuai dengan nama file yang disembunyikan dengan ciri-ciri : (lihat gambar 7)

• Menggunakan icon TXT, sehingga user beranggapan bahwa file asli telah di hapus

• Mempunyai ekstensi TXT.exe [jika file yang disembunyikan adalah TXT] dan DOC.exe [jika file yang disembunyikan adalah file DOC, ekstensi EXE ini akan disembunyikan

• Mempunyai ukuran 41 KB

Gambar 7, File duplikat Virus

Untuk menyempurnakan aksi ini dan untuk mempermudah dalam mengelabui user, ia akan menyembunyikan ekstensi kedua dari file duplikat ini [EXE] dengan membuat string pada registry berikut : (lihat gambar 8)

• HKEY_CURRENT_ USER\Software\ Microsoft\ Windows\CurrentV ersion\Explorer\ Advanced

  • HideFileExt = 1

• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\CurrentV ersion\Explorer\ Advanced\ Folder\Hidden

  • NOHIDDEN = DefaultValue, 0x00010001, 2

  • SHOWALL = DefaultValue, 0x00010001, 1

Gambar 8, Ekstensi file yang disembunyikan

Aksi lain yang akan dilakukan oleh SmallTroj.PUDN adalah akan menyebabkan file explorer menjadi crash pada saat user melakukan pengkopian file / folder dengan memunculkan pesan error berikut : (lihat gambar 9)

Gambar 9, Pesan error saat kopi file / folder

Media Penyebaran

Flash Disk masih menjadi "primadona" untuk menyebarkan dirinya, begitupun yang dilakukan oleh SmallTroj dengan cara menyembunyikan file yang mempunyai ekstensi TXT dan DOC dan membuat file duplikat dengan ciri-ciri:

• Menggunakan icon TXT, sehingga user beranggapan bahwa file asli telah di hapus

• Mempunyai ekstensi TXT.exe [jika file yang disembunyikan mempunyai ekstensi TXT] dan DOC.exe [jika file yang disembunyikan mempunyai ekstensi DOC], ekstensi EXE ini akan disembunyikan

• Mempunyai ukuran 41 KB

Cara membasmi SmallTroj.PUDN

1. Nontaktifkan "System Restore" selama proses pembersihan

2. Matikan proses virus yang aktif dimemori, untuk mempermudah dalam mematikan proses virus tersebut gunakan tools pengganti task manager seperti ProceeXP atau CurrProses.

Silahkan download tools CurrProses di alamat berikut:

http://www.brothersoft.com/currprocess-download-32083.html

Setelah di download jalankan tools tersebut kemudian cari dan matikan proses virus yang aktif di memori. Matikan proses virus yang mempunyai icon TXT (lihat gambar 10)

Gambar 10, Mematikan proses virus

1. Fix registry Windows yang telah diubah/dibuat oleh SmallTroj.PUDN. Untuk mempercepat proses perbaikan ini silahkan salin script dibawah ini pada program Notepad kemudian simpan dengan nama [repair.inf] . Jalankan file tersebut dengan cara:

1. 1. Klik kanan [repair.inf]

   2. Klik [Install]

[Version]

Signature="$ Chicago$"

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\ batfile\shell\ open\command, ,,"""%1"" %*"

HKLM, Software\CLASSES\ comfile\shell\ open\command, ,,"""%1"" %*"

HKLM, Software\CLASSES\ exefile\shell\ open\command, ,,"""%1"" %*"

HKLM, Software\CLASSES\ piffile\shell\ open\command, ,,"""%1"" %*"

HKLM, Software\CLASSES\ regfile\shell\ open\command, ,,"regedit. exe "%1""

HKLM, Software\CLASSES\ scrfile\shell\ open\command, ,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\ Windows NT\CurrentVersion\ Winlogon, Shell,0, "Explorer.exe"

HKLM, SOFTWARE\Microsoft\ Windows\CurrentV ersion\Explorer\ Advanced\ Folder\Hidden\ NOHIDDEN, CheckedValue, 0x00010001, 2

HKLM, SOFTWARE\Microsoft\ Windows\CurrentV ersion\Explorer\ Advanced\ Folder\Hidden\ NOHIDDEN, DefaultValue, 0x00010001, 2

HKLM, SOFTWARE\Microsoft\ Windows\CurrentV ersion\Explorer\ Advanced\ Folder\Hidden\ SHOWALL, CheckedValue, 0x00010001, 1

HKLM, SOFTWARE\Microsoft\ Windows\CurrentV ersion\Explorer\ Advanced\ Folder\Hidden\ SHOWALL, DefaultValue, 0x00010001, 2

HKLM, SOFTWARE\Microsoft\ Windows\CurrentV ersion\Explorer\ Advanced\ Folder\HideFileE xt, UncheckedValue, 0x00010001, 0

HKLM, SOFTWARE\Microsoft\ Windows\CurrentV ersion\Explorer\ Advanced\ Folder\HideFileE xt,CheckedValue, 0x00010001, 1

HKLM, SOFTWARE\Microsoft\ Windows\CurrentV ersion\Explorer\ Advanced\ Folder\HideFileE xt,DefaultValue, 0x00010001, 1

HKLM, SOFTWARE\Microsoft\ Windows\CurrentV ersion\Explorer\ Advanced\ Folder\SuperHidd en, UncheckedValue, 0x00010001, 1

HKLM, SOFTWARE\Microsoft\ Windows\CurrentV ersion\Explorer\ Advanced\ Folder\SuperHidd en, UncheckedValue, 0x00010001, 1

HKCU, Software\Microsoft\ Windows\CurrentV ersion\Explorer\ Advanced, HideFileExt, 0x00010001, 0

HKCU, Software\Microsoft\ Windows\CurrentV ersion\Explorer\ Advanced, HideFileExt, 0x00010001, 1

HKLM, SYSTEM\CurrentContr olSet\Services\ lanmanserver\ parameters, AutoShareWks, 0x00010001, 0

HKLM, SYSTEM\CurrentContr olSet\Services\ lanmanserver\ parameters, AutoShareServer, 0x00010001, 0

HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ Explorer, NoDriveTypeAutoRun, 0x000000ff, 255

HKLM, SOFTWARE\Microsoft\ Windows\CurrentV ersion\policies\ Explorer, NoDriveTypeAutoRun, 0x000000ff, 255

HKLM, SYSTEM\ControlSet00 1\Control\ SafeBoot, AlternateShell, 0, "cmd.exe"

HKLM, SYSTEM\CurrentContr olSet\Control\ SafeBoot, AlternateShell, 0, "cmd.exe"

[del]

HKCU, Software\Microsoft\ Internet Explorer\Main, Start Page

HKCU, Software\Microsoft\ Internet Explorer\Main, Local Page

HKLM, SOFTWARE\Microsoft\ Windows\CurrentV ersion\policies\ Explorer\ Run

HKCU, Software\Microsoft\ Windows\CurrentV ersion\Run, wmdrtl32_

HKCU, software\microsoft\ windows\shellnor oam\MUICache, wmdrtl32_

HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ System,DisableRe gistryTools

HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ System,DisableRe gedit

HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ System,DisableCM D

HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ System,DisableTa skMgr

HKLM, Software\Microsoft\ Windows\CurrentV ersion\Policies\ System,DisableTa skMgr

HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ Explorer, NoFolderOptions

HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ Explorer, NoRun

HKCU, Software\Microsoft\ Windows\CurrentV ersion\Policies\ Explorer, NoFind

HKLM, SOFTWARE\Microsoft\ Windows\CurrentV ersion\policies\ Explorer, ShowSuperHidden

HKLM, SOFTWARE\Policies\ Microsoft\ Windows NT\SystemRestore

HKCU, Software\Microsoft\ Internet Explorer\Main, Window Title

HKLM, SOFTWARE\Microsoft\ Windows\CurrentV ersion\Explorer\ Advanced\ Folder\Hidden, NOHIDDEN

HKLM, SOFTWARE\Microsoft\ Windows\CurrentV ersion\Explorer\ Advanced\ Folder\Hidden, SHOWALL

1. Hapus file virus yang mempunyai ciri-ciri

   1. Icon TXT

   2. Ukuran file 41 KB

   3. Ekstensi .TXT.EXE dan DOC.exe

Sebelum menghapus file tersebut, sebaiknya tampilkan terlebih dahulu file yang tersembunyi dengan melakukan perubahan pada Folder Options, seperti yang terlihat pada gambar 11 dibawah ini :

Gambar 11, Menampilkan file yang tersembunyi

Untuk mempermudah proses pencarian, silahkan gunakan fitur Find [Search] kemudian cari dan hapus file dengan ciri-ciri di atas. (lihat gambar 12)

Gambar 12, Mencari dan menghapus file virus

Hapus juga file berikut:

• • c:\windows\wmdrtl32 _.exe

  • c:\xMr. Jabluntz.exe [semua drive], x menunjukan karakter acak

  • c:\wmdrtl32_ .vbs [semua drive]

  • C:\Windows\system32 \wmdrtl32_ .vbs

  • C:\autorun.inf [semua drive]

  • C:\Windows\System32 \autorun. inf

  • C:\a_Video Hot.exe [semua drive]

1. Tampilkan file dengan ekstensi TXT dan DOC yang disembunyikan dengan cara : (lihat gambar 13)

   1. Klik menu [Start]

   2. Klik menu [Run]

   3. Pada dialog box RUN, ketik CMD

   4. Pada dos prompt, pindahkan kursor ke lokasi yang akan periksa, contohnya [C:\]

   5. Kemudian ketik perintah ATTRIB –s –h –r *.TXT /s /d [untuk menampilkan file txt] dan ATTRIB –s –h –r *.DOC /s /d [Untuk menampilkan file dengan ekstensi *.DOC]

Gambar 13, Menampilkan file yang disembunyikan

1. Untuk pembersihan optimal dan mencegah infeksi ulang, silahkan instal dan scan dengan antivirus yang up-to-date.

Anda juga dapat menggunakan removal tools Norman Malware Cleaner dengan mendownload di alamat berikut : (lihat gambar 14)

http://www.norman. com/support/ support_tools/ 58732/en- us

Gambar 14, Hasil deteksi Norman Malware Cleaner

Sumber : Vaksincom

Smadav 2009 Rev 7 – Lebih Cepat Lebih Ringan

Pada Rev. 7 kali ini Smadav telah disempurnakan untuk menjadi jauh lebih cepat dan lebih ringan dalam mendeteksi dan mengamankan komputer Anda dari ancaman virus di Indonesia. Fitur-fitur baru yang ditambahkan seperti Smad-Turbo (Scanning 10x lebih cepat), Smad-Theme (Mengganti warna tema), Smad-Ray (Otomatis scan flashdisk sangat cepat). Ini semua membuat Smadav menjadi salah satu dari antivirus tercepat dan paling ringan sedunia, sehingga Smadav tetap dapat digunakan pada komputer-komputer dengan spesifikasi rendah sekalipun.

Pada Rev. 7 ini Smadav juga menambahkan database pengenalan virus-virus baru yang banyak menyebar di Indonesia. Perkembangan virus lokal saat ini semakin berkurang dan tidak seaktif bulan-bulan sebelumnya. Mungkin ini karena Smadav yang sudah banyak digunakan pengguna-pengguna komputer di Indonesia. Jadi, virus lokal di Indonesia sekarang tinggal sedikit lagi untuk menuju kepunahan.

Selain itu juga banyak perbaikan yang dilakukan pada tampilan Smadav secara keseluruhan agar Smadav semakin mudah dan praktis digunakan. Berikut ini adalah penjelasan lengkap fitur-fitur baru di Smadav 2009 Rev 7 :

Smad-Turbo (Scanning 10x lebih cepat)
Smad-Turbo adalah salah satu fitur scanning antivirus tercepat di dunia yang hanya dimiliki Smadav Pro. Jika dengan Smadav Free Anda memerlukan waktu 20 menit untuk scanning seluruh isi file komputer, dengan menggunakan fitur ini Anda hanya perlu waktu kira-kira 1-2 menit untuk melakukan scanning seluruh isi file di komputer Anda. Jadi, Scanning Smadav Pro 10x lebih cepat daripada Smadav Free dengan menggunakan Smad-Turbo ini.

Smad-Theme (Mengganti warna tema)
Smadav Pro mempunyai kemampuan untuk mengganti warna tema Smadav yang awalnya berwarna hijau menjadi warna pilihan Anda. Di bagian setting warna tema Anda dapat menemukan warna pilihan Anda sendiri untuk menjadi tema Smadav. Setelah Anda ganti tema warnanya, warna semua tampilan Smadav akan otomatis berubah menjadi warna pilihan Anda.

Smad-Ray (Otomatis scan flashdisk sangat cepat)
Setelah flash-disk dicolok di komputer, Smadav akan langsung memunculkan hasil scan dalam bentuk notifikasi apakah flashdisk Anda terinfeksi virus atau tidak, prosesnya sangat cepat hanya sekitar 1-5 detik sehingga Anda tidak perlu lagi berlama-lama menunggu hasil scanning flashdisk yang baru dicolok.
Perbaikan tampilan Smadav
Tampilan Smadav yang lama dianggap pengguna masih terlalu besar dan tidak cocok untuk sebagian pengguna di Mini Laptop/Netbook. Pada Rev. 7 kali ini tampilan Smadav sudah berukuran lebih kecil dan Smadav sudah bisa menyesuaikan ukurannya menjadi mini ketika dipakai di Netbook.

Perbandingan Smadav Free & Pro
Pada bagian tab donation sekarang sudah ditambahkan tabel perbandingan Smadav Free & Pro. Anda dapat mengklik baris-baris pada tabel ini untuk mengetahui kelebihan-kelebihan Smadav Pro dibandingkan Smadav Free.

Download Smadav 2009 Rev. 7

Sumber : www.viruslokal.com

Smadav 2009 Rev. 6

Smadav 2009 Rev. 6 akhirnya dirilis ke publik setelah disempurnakan dan dites selama sebulan lebih di lab Smadav. Revisi kali ini adalah revisi terbesar yang pernah dilakukan di Smadav. Bisa dikatakan ini adalah versi terbaik Smadav yang pernah ada. Sangat banyak penyempurnaan yang dilakukan, penyempurnaan utamanya adalah pada engine scanner, fitur karantina, proteksi registration key, penanganan error, dan masih banyak lagi. Untuk yang lebih lengkap silakan lihat di daftar paling bawah.

Pada Rev. 6 kali ini telah ditambahkan pendeteksi dan pembersih tuntas 100 virus lokal terbaru, diantaranya yang sedang banyak menyebar adalah Virus AlbumBokep, Yuyun, Deadlock, Fullhouse, dll. Mulai saat ini Smadav akan lebih akurat dalam penghapusan/pembersihan file, file document (doc atau xls) sekarang sudah dapat dibersihkan dari infeksi virus tanpa perlu mengkarantinanya. Rev. 6 menggunakan Teknik scanning dan heuristik baru yang lebih cepat dan akurat baik untuk mendeteksi virus yang sudah ada di database maupun virus varian baru.

Berikut ini adalah daftar lengkap Penyempurnaan Smadav 2009 Rev. 6 :


[General]

• Karantina jauh lebih sempurna dan ditambah fitur Enkripsi
• Penyempurnaan proteksi Registration Key untuk mencegah pembajakan
• Penambahan tombol fix all pada form minimize
• Posisi koordinat form/window Smadav akan tersimpan ketika exit
• Bug/gagal melakukan restore file karantina jika path asal file sudah digunakan file lain
• Bug/gagal melakukan explore folder jika nama folder memiliki karakter koma (,)
• Bug/crash pada beberapa keadaan saat Smadav aktif sebagai guest di Windows XP
• Tidak lagi terlalu banyak mengakses floppy
• Penyempurnaan tampilan form pada beberapa bagian
• Penyempurnaan fitur message dan exit pada form minimize
• Dapat menampilkan MessageBox Unicode

[Scanner]

• Smadav akan menyarankan Anda untuk melakukan Full Scanning setelah pembersihan infeksi
• Tombol untuk menampilkan smadav.log setelah scanning
• Smadav sudah dapat menulis Smadav.log dalam teks Unicode atau ANSI
• Perbaikan bug/gagal menampilkan dan menghilangkan beberapa tombol di Scanner pada keadaan tertentu

[Scanner-Engine]

• Penambahan database dan pembersihan tuntas 100 virus lokal terbaru
• Engine utama telah disempurnakan sehingga jauh lebih stabil, cepat, dan akurat
• Teknik Heuristik baru untuk mendeteksi virus VBS tanpa perlu database
• Teknik Heuristik baru untuk mendeteksi shortcut virus
• Pembersih file doc dan xls yang terinfeksi virus
• Pembersihan tuntas Virus Lokal baru : Virus AlbumBokep, Deadlock, Fullhouse
• Pendeteksi Virus Alman, Conficker dan Fusion Virus
• Pendeteksian File Test Eicar (Standar pengetesan virus internasional)
• Pembersih file host
• Perbaikan False Positive pada heuristik VBS
• Kode (API) lebih cepat untuk pembacaan command line proses virus VBS

[SmaRTP]

• SmaRTP jauh lebih stabil dan lebih ringan
• Fitur Uninstall untuk meng-uninstall proteksi Smadav dari sistem
• Flashdisk yang baru dicolok akan langsung di-scan Smadav
• SmaRTP akan mengunci file virus ketika terdeteksi sehingga file tidak bisa diakses
• Penyempurnaan proses penghapusan SmaRTP lama kemudian meng-update-nya dengan SmaRTP terbaru
• Perbaikan bug pada Vista, Scanner gagal dibuka dari tray icon Smartp.
• Klik kanan "Scan with Smadav" hanya dipasang ketika SmaRTP di-install
• [Smadav Pro] Password hanya ditanya ketika exit SmaRTP, pengubahan setting, dan penggunaan tools.
• Perubahan struktur folder Smad-Lock
• Tidak melakukan scanning system/registry ketika Auto-Scan Flashdisk

DOWNLOAD DI SINI.

Hati-hati ! Ada Worm Yang Menyerang Perangkat Penyimpanan USB

Hati-hati terhadap virus terbaru yang saat ini sudah muncul !!! Virus ini menginfeksi perangkat USB dan ditujukan untuk menyerang jaringan Ethernet perusahaan.

Sebetulnya sih, Microsoft sudah memberikan patch yang dapat melindungi dari serangan yang dilakukan melalui Ethernet, namun belum ada patch yang diperuntukkan untuk melindungi dari penyerangan yang dilakukan melalui perangkat USB. Hanya antivirus saja yang dapat mencegah serangannya.

Jutaan komputer telah terinfeksi oleh worm jenis baru baru-baru ini. Worm ini bernama Downadup, Conficker atau Kido. Kebanyakan komputer yang diserang adalah komputer perusahaan.

Worm ini terhitung ganas dan menyerang pada “lubang” pada system operasi Windows. Adapun celah yang diserang adalah layanan services.exe. Setelah menginfeksi, worm tersebut akan membuat file DLL baru pada system folder Windows dengan 5 buah huruf yang disusun secara acak. Lalu worm tersebut akan membuat sebuah registry yang akan menganggap file DLL tadi adalah sebuah layanan, sehingga DLL tersebut akan berjalan secara otomatis setiap kali komputer melakukan restart.

Setelah berhasil melakukan hal-hal tadi, worm tersebut akan membuat sebuah server http, dan mendownload malware dari situs yang berbahaya.

Sementara ini langkah yang ditempuh oleh perusahaan adalah menggunakan pacth dari Microsoft serta menghapus malware pada komputer yang terinfeksi. Satu lagi, adalah mencegah penggunaan perangkat penyimpanan USB.

Smadav 2009 Rev. 5

Smadav 2009 Rev. 5 telah jauh lebih sempurna dari pendahulunya, Rev. 4. Sangat banyak penyempurnaan dan fitur baru yang ditambahkan di revisi kali ini. Dan juga ditambahkan pengenalan dan pembersihan tuntas untuk 75 virus lokal baru beserta varian-variannya. Fitur baru yang diandalkan Smadav kali ini adalah Fitur Registrasi.

Smadav sekarang terdiri dari 2 versi, Smadav Free dan Smadav Pro. Smadav Pro mempunyai fitur auto-update dan beberapa tambahan fitur lainnya untuk settings Smadav. Smadav versi Free hanya diizinkan untuk penggunaan non-profit seperti komputer/laptop pribadi di rumah atau organisasi non-profit. Sedangkan Smadav versi Pro digunakan untuk donatur Smadav atau lembaga/organisasi profit (perusahaan, warnet, toko, rental, service komputer, studio, dll.)

Smadav yang dirilis untuk publik adalah Smadav Free, Smadav Pro akan didapatkan setelah Smadav Free diregistrasikan dengan Registration Key. Untuk mendapatkan Registration Key, Anda harus menjadi donatur Smadav terlebih dahulu. Untuk menjadi donatur silakan mengirimkan donasi ke rekening Smadav, berapapun jumlah donasinya itu terserah Anda. Kemudian Anda harus mengirimkan email ke SMADAV@GMAIL.COM dengan menyertakan nama Anda untuk meminta Registration Key yang bisa Anda gunakan untuk meregistrasi/ mengaktifkan Smadav Pro.

Keuntungan menjadi donatur sangat banyak. Pastinya Anda akan mendapatkan Registration Key yang bisa digunakan untuk meregistrasi Smadav Pro sehingga Anda bisa menggunakan fitur tambahan untuk versi Pro. Dan juga Anda telah membantu pengembangan Smadav Antivirus asli buatan Indonesia untuk bersaing dengan Antivirus Impor yang harganya sangat mahal, yang rata-rata Rp300.000 per komputer per tahun. Setelah menjadi Donatur, Anda juga akan mendapatkan layanan/konsultasi khusus di forum.smadav.net dan nama Anda/organisasi Anda akan ditampilkan di website Smadav.

Berikut ini adalah penyempurnaan Smadav 2009 Rev. 5 :

Penambahan

• Pengaturan Smad-Lock di Tools -> Smad-Lock
• Penambahan database dan teknik pembersihan tuntas untuk 75 virus lokal baru
• Support penuh untuk Unicode
• Fitur Regisrasi Smadav Pro
• Penambahan Fitur Settings agar mudah mengkonfigurasi Smadav
• Penggunaan Bahasa Indonesia sepenuhnya

Penyempurnaan

• Smad-Lock jauh lebih sempurna
• Tidak ada iklan lagi untuk Rev 5 dan seterusnya
• Ukuran File Smadav diperkecil dari 300 KB menjadi 250 KB agar lebih portable dan ringan
• Perubahan cara pengecekan update di scanner, "check for update"
• Pendeteksian banyak registry baru yang tidak dapat dideteksi sebelumnya
• Penyempurnaan teknik pendeteksian registry
• Pembunuhan proses virus lebih baik
• Heuristic Level pada "1-virus by user" lebih peka dan tajam.
• Situs www.smadav.net pindah server dari Amerika ke Indonesia, agar lebih cepat dan mudah diakses

Perbaikan

• Perbaikan Error dengan message "0" dan message "0,1,2,3,4"
• Perbaikan beberapa tampilan form
• Smadav akan lebih sedikit error karena penanganan akan lebih baik
• Perbaikan penyimpanan karantina yang kadang-kadang error
• Registry String > 255 long error
• Perbaikan persentase yang kadang salah
• Perbaikan bug gagal mendeteksi Drive "A:\" pada beberapa PC

Silakan download Smadav langsung dari situs www.smadav.net atau DOWNLOAD DI SINI.

1 Klik Smadav membersihkan Virus Doomsday

Wednesday, July 1, 2009

Virus Doomsday adalah virus yang dibuat oleh salah seorang pakar virus Indonesia dengan tujuan sebagai promosi bukunya yang membahas tentang pemrograman virus. Disamping itu, tujuan lainnya yaitu untuk menantang kekuatan antivirus lokal Indonesia untuk membersihkan virus ini sampai tuntas. Tujuan ini sangat bagus sehingga para tim antivirus lokal bisa memperbaiki engine dan teknik antivirusnya agar bisa membunuh virus ini. Apakah Anda setuju dengan adanya buku pemrograman virus? Mudah-mudahan saja buku tersebut lebih banyak manfaatnya dibanding ruginya, dan mudah-mudahan juga buku canggih itu tidak dimanfaatkan pembuat virus lokal untuk membuat virus lokal yang lebih canggih lagi, karena kita harapkan sebentar lagi virus lokal akan punah :D

Virus Doomsday ini sangat sulit dihapus dengan cara manual karena menggunakan hampir semua teknik virus lokal yang pernah ada dan ditambah lagi dengan teknik-teknik baru yang ditambahkan oleh pembuatnya. Itulah mengapa pembuatnya memberi nama Doomsday untuk virus ini, karena dia mengira antivirus lokal tidak akan mampu membasminya. Tapi, Smadav 2009 Rev. 5 mudah saja membunuh virus ini sampai ke akar-akarnya sehingga komputer yang terinfeksi sebelumnya akan kembali seperti semula seakan-akan belum pernah terinfeksi virus ini. Pembersihan ini sangat cepat, tidak lebih dari 15 detik setelah satu kali klik Smadav.

Sebelum membersihkan virus ini dengan Smadav, mari kita bahas dulu apa saja kecanggihan virus ini.

Virus ini dibuat dengan Visual Basic 6 dikompresi dengan UPX dan mempunyai ukuran 65 KB. Jika dilihat di Process Explorer, disana terlihat ada 5 proses virus yang sedang aktif. 1 proses yang paling atas aktif sebagai Windows Service dan tugasnya adalah untuk mencegah kita membuka tool system di windows seperti regedit, msconfig, dll. Sedangkan kumpulan 4 proses yang paling bawah yang punya tugas utama untuk melakukan penyebaran dan pertahanan di komputer korban. 4 proses ini saling melindungi satu sama lain, jika kita membunuh salah satu prosesnya maka proses lain akan kembali menghidupkan proses yang kita bunuh tadi, jadi kita akan kesulitan jika membunuhnya secara manual dengan process explorer seperti ini. Walaupun berhasil, semua proses ini akan kembali aktif kalau kita membuka program apa saja di komputer kita. Jadi kita harus memperbaiki registry dulu untuk membersihkannya, tapi registry pun diblok dengan teknik berlapis-lapis. Jadi, hampir tidak mungkin virus ini bisa diberantas dengan cara manual karena selain sulitnya membunuh proses di memori, virus ini juga merusak sangat banyak value registry.


Virus ini akan memblok semua akses ke antivirus lokal (PCMAV, SMADAV, atau ANSAV), hampir semua antivirus impor, dan program-program lain yang bisa membahayakan dirinya. Dia mempunyai teknik yang sangat banyak dan cerdik untuk mengenali dan mencegah program yang membahayakannya. Tapi dia tidak mampu untuk mengenali Smadav 2009 Rev. 5, sehingga Smadav 2009 Rev. 5 bisa dengan mudah menghancurkannya. Selain memblok program,virus ini juga akan memblok akses ke situs antivirus. Itu dia lakukan dengan menulis daftar situs yang diblok ke file hosts windows. Berikut ini daftar situs yang diblok :
2-spyware.com, 360.cn, 360safe.com, ansav.com, antirootkit.com, antiviruslab.com, arcabit.com, avast.com, avg.com, avg-antivirus.net, avira.com, bitdefender.co.uk, bitdefender.com, bullguard.com, ca.com, cainternetsecurity.net, clamav.net, clamwin.com, commandondemand.com, comodo.com, crit.org, cwsandbox.org, cyberdefender.com, drweb.com, drweb-online.com, emsisoft.com, eradicatespyware.net, eset.com, eset.eu, ewido.net, fortiguardcenter.com, fortinet.com, f-prot.com, freeantivirushelp.com, free-av.com, freedom.net, freedrweb.com, freerav.com, freespywareremoval.info, f-secure.com, grisoft.com, housecall.trendmicro.com, housecall60.trendmicro.com, iavs.cz, incodesolutions.com, jayloden.com, jotti.org, kaspersky.com, lavasoft.com, malwarebytes.org, malwareremoval.com, mcafee.com, microsoft.com, misec.net, mwti.net, my-etrust.com, nai.com, networkassociates.com, noadware.net, nod32.com, norman.com, offensivecomputing.net, old.antivir.ru, onecare.live.com, online.drweb.com, onlinelinkscan.com, pandasecurity.com, pandasoftware.com, pchell.com, pctools.com, prevx.com, ravantivirus.com, resplendence.com, rootkit.com, rootkit.nl, safer-networking.org, scanner.novirusthanks.org, security.symantec.com, siteadvisor.com, smadav.net, sophos.com, spyany.com, spybot.info, spychecker.co, spywareterminator.com, sunbeltsoftware.com, superantispyware.com, support.f-secure.com, sygate.com, symantec.com, sysinternals.com, threatexpert.com, threatfire.com, trendmicro.com, us.mcafee.com, vaksin.com, virologi.info, virscan.org, viruschief.com, virusindonesia.com, virusscan.jotti.org, virusscanonline.org, virusspy.com, virustotal.com, windowsecurity.com, windowsupdate.com, winpatrol.com, zonelabs.com

Virus ini menyebar lewat removable disk (Flashdisk) dan jaringan. Dia akan mencoba membuat file autorun.inf dan doomsday.exe di flashdisk korban. Dia juga akan mendeteksi kalau folder itu sudah dipasang smad-lock smadav dan mencoba menghapus smad-lock autorun.inf yang sudah dibuat smadav. Tapi usahanya gagal, sehingga dia tidak bisa menginfeksi flashdisk yang sudah dipasangi Smad-Lock. Untuk mendukung penyebarannya, virus juga akan membuat file folder.htt dan desktop.ini. Selain itu dia juga akan menginfeksi folder-folder di komputer dan flashdisk, folder akan diinfeksi tepat setelah kita mengakses folder tersebut dengan windows explorer. Virus akan membuat file exe dengan nama yang sama dengan folder, dan folder aslinya akan di-hidden. Tapi lagi-lagi semua usahanya gagal untuk menginfeksi folder Δ Smad-Lock Δ sehingga hanya folder yang berada di luar Smad-Lock yang terinfeksi. Dia juga akan menyebarkan dirinya dengan nama file menggunakan karakter unicode sehingga akan sulit dideteksi antivirus yang belum mendukung unicode seperti PCMAV. Smadav 2009 Rev. 5 jadi satu-satunya antivirus lokal yang mendukung penuh Unicode.

Dari sisi pemrograman, Virus Doomsday sangat baik diproteksi oleh pembuatnya. Dia tidak akan bisa dijalankan di lingkungan Virtual seperti VirtualPC, VMWare, VirtualBox, SandBox, Qemu dan Virtual OS sejenisnya. Dia juga akan mencoba mendeteksi jika ada debugger yang mencoba men-debugnya. Dia mendeteksinya dengan menggunakan string/teks berikut : av, reg, asm, assem, autorun, comp, config, dbg, debug, defend, dmp, dump, guard, hack, ida, lock, olly, patrol, ripper, rootkit, scan, snoop, timefix, win32. Tidak hanya sampai disitu, virus ini juga di-enkripsi walaupun hanya dengan teknik enkripsi dasar Caesar Cipher tapi sudah cukup untuk mengecoh heuristik antivirus impor sehingga virus menjadi lebih sulit untuk dianalisis karena kita harus membuat kode dekripsinya dahulu.

Pertahanan virus di komputer korban benar-benar kuat. Selain proses yang saling melindungi, virus juga akan menyebar di banyak tempat di komputer korban, sehingga akan sulit diberantas secara manual karena terlalu banyak daerah yang dijadikan tempat sembunyi virus. Virus akan membuat task schedule sehingga bisa aktif otomatis pada jam-jam tertentu. Untuk penyembunyian file, virus tidak hanya menggunakan teknik sembunyi biasa dengan mengeset atribut file menjadi hidden+system, tapi virus juga menggunakan cara-cara tidak biasa untuk bersembunyi. Virus akan bersembunyi dalam folder system32 dengan path C:\WINDOWS\system32:ctfmon.exe jadi tidak akan pernah terlihat di dalam folder system32 tersebut, ini dilakukan dengan memanfaatkan teknik ADS (Alternate Data Stream) pada NTFS. Dan pada teknik satunya lagi virus akan bersembunyi di folder yang nama foldernya "CON.2012" dilarang digunakan di windows karena memuat string/teks yang dilarang dipakai sebagai nama file/folder di windows seperti con, aux, nul. Pertahanan lainnya dilakukan virus dengan memblok firewall dan safemode. Firewall diblok dengan perintah command "NETSH FIREWALL SET OPMODE DISABLE". Dan Safemode diblok dengan menghapus key registry HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\

Mungkin masih ada beberapa lagi kecanggihan Virus Doomsday ini yang terlewatkan di pembahasan kali ini, tapi intinya semua kecanggihan ini tidak mampu melawan kekuatan Smadav 2009 Rev. 5 yang menghancurkan virus ini sampai ke akar-akarnya hanya dalam 1 klik dan menunggu beberapa detik.


Sekarang mari kita lihat hasil scan Smadav.

Kalau folder pada komputer/flashdisk yang teinfeksi Doomsday diakses lewat windows explorer maka SmaRTP akan muncul segera memperingatkan bahwa ada virus dan harus segera dihapus. Ini screenshot-nya :

Setelah membuka Smadav 2009 Rev. 5 pada komputer yang terinfeksi Virus Doomsday, maka Smadav akan segera memperingatkan bahwa ada virus yang aktif di komputer sehingga scanning akan otomatis dimulai. Setelah menunggu beberapa detik, scanning akan selesai dan memperlihatkan hasil seperti screenshot ini :



Kemudian kita bisa melihat-lihat bahwa banyak sekali file virus yang terdeteksi dan registry yang rusak. Ini screenshot file virus yang terdeteksi :


Dan di bawah ini screenshot registry yang terinfeksi, disana terlihat Smadav mendeteksi 877 value registry yang rusak, ini didapatkan setelah Smadav melakukan scanning pada lebih dari 2000 value registry :

Kemudian klik saja Fix All dan tunggu beberapa detik lagi sampai semuanya sudah hilang, lakukan scanning ulang dengan mode full scan (scanning keseluruhan) pada komputer untuk mendeteksi file-file virus yang sudah mati yang masih tersisa di komputer.

sumber: www.nafarin.com

1 Klik Smadav membersihkan Virus Sandra Dewi

Akhir-akhir ini virus lokal kembali mengganas, tapi tetap saja yang namanya virus lokal itu adalah tipe virus yang lemah, berbeda dengan virus impor yang jauh lebih canggih dan sulit dibersihkan. Jadi kalau kita terinfeksi virus lokal, jangan khawatir tidak bisa membersihkannya, karena Smadav mampu membersihkan tuntas SEMUA virus lokal, hampir semua pembersihannya hanya dengan 1 kali klik. Kita tidak perlu melakukan banyak langkah manual hanya untuk membersihkan virus lokal ini, coba lihat betapa banyaknya langkah yang harus kita lakukan jika masih menggunakan cara manual seperti pada artikel pembersihan virus Sandra Dewi yang diulas oleh Vaksin.com, Detik, atau Kompas.

Sebenarnya Virus Sandra Dewi ini sudah dikenali dan dapat dibersihkan tuntas dengan Smadav 2009 Rev. 1 yang dirilis Januari 2009 yang lalu, bahkan semua versi Smadav sebelumnya pun dapat mengenali dan membersihkan virus lokal lemah ini, inilah kelebihan metode pengenalan heuristik Smadav yang tidak tergantung pada update database virus, jadi bisa dikatakan Smadav adalah Antivirus Indonesia yang paling tidak memerlukan terlalu banyak update. Virus ini baru saja ramai dibicarakan di berbagai situs teknologi Indonesia. Diperkirakan sudah ada ribuan pengguna komputer Indonesia yang terinfeksi virus ini. Sebelum mencoba pembersihan 1-klik dengan Smadav, mari kita bahas terlebih dahulu apa saja keusilan virus ini di komputer korbannya.

Keusilan Virus Sandra Dewi

Pada saat pertama kalinya virus tereksekusi, akan tampil sebuah window yang berisi foto beberapa laki-laki (gambar 1), window ini tidak bisa kita gerakkan sehingga kita harus menekan tombol keluar yang disediakan. Tapi disinilah keusilan virus tersebut, sebelum kita berhasil keluar, virus akan menampilkan message (gambar 2) "Kirimkan komentar Anda ke e-mail budi_9989@yahoo.com". Kalau kita mengklik message ini, apapun pilihan selanjutnya Yes/No, virus ini akan membuat komputer segera shutdown 1 menit kemudian dan ada message "KASIAN.DEH.KAMU" sambil menunggu komputer shutdown (gambar 3).

(gambar 1)

(gambar 2)


(gambar 3)

Tidak hanya sampai disitu, ternyata si pembuat virus yang mengaku bernama "BUDI DARMA" ini membuat pesan cinta yang akan muncul sebelum log on setiap kali komputer dihidupkan (gambar 4). Mungkin inilah tujuan utama pembuat virus yang sepertinya sedang patah hati ini, memang dari sejarahnya, kebanyakan virus Indonesia dibuat karena alasan cinta alias patah hati. Pesan yang ditampilkan :

"Cinta Ditolak VIRUS Bertindak.::CREATION BUDI DARMA::."

Sangat sakit rasanya apabila cinta kita ditolak oleh seseorang, pada zaman dahulu orang menggunakan fasilitas dukun sebagai media untuk mendapatkan cintanya. Seiring dengan berkembangnya Teknokogi Informasi media yang digunakan untuk mendapatkan cintanya adalah VIRUS.

Virus ini hanya banyak melakukan perusakan pada registry komputer dengan men-disable sebagian besar fungsi admin di komputer. Teknik perusakan registry Virus Sandra Dewi ini masih sama (mencontek) dengan virus-virus lokal lemah pendahulunya. Semua ini bisa dibersihkan tuntas dengan Smadav versi berapapun, tapi alangkah baiknya kalau Anda menggunakan Smadav terbaru.

Virus ini menyebarkan dirinya dengan cara meng-copy-kan dirinya dengan nama file "sandra dewi bugil.exe" pada removable disk seperti flashdisk/disket yang terpasang di komputer.


Pembersihan 1-Klik Smadav

Sekarang mari kita coba Smadav 2009 Rev 4.3 untuk membasmi virus Sandra Dewi ini. Pertama Anda harus membuka scanner Smadav, sesaat setelah Anda membuka scanner, akan ada peringatan dari Smadav seperti ini :


Kemudian Smadav akan melakukan scanning cepat hanya beberapa detik, kemudian akan muncul lagi message bahwa komputer Anda terinfeksi virus :

Lalu Anda bisa melihat file virus dan registry rusak yang terdeteksi Smadav.


Kemudian klik Fix All, dan virus sudah dibersihkan dari sistem komputer Anda. Untuk pembersihan lebih tuntas, Anda bisa melakukan "Full Scan" untuk membersihkan seluruh isi komputer Anda dari sisa-sisa virus ini.

sumber: www.nafain.com