Our social:

Adventure | Traveler | Challenge | Lifestyle

Sunday, August 09, 2009

Virus Bernama Nadia Shapira

Nadia Saphira, siapapun pasti kenal atau paling tidak pernah mendengar nama ini. Artis Indonesia yang memulai karier sebagai model sebuah majalah remaja, kini sudah termasuk artis muda yang sukses membintangi berbagai film layar lebar, sinetron dan serial TV, seperti Jomblo, Coklat Stroberi, Ada Apa dengan Cinta, dan Dunia Tanpa Koma.
Namun, hati-hati jika menemui Nadia Saphira palsu yang tengah merajalela di Internet. Ini adalah jenis virus baru yang merupakan varian baru virus bulu bebek yang menyerang sejak tahun 2008 lalu. Kalau tadinya Donal Bebek yang dijadikan ikon, kini giliran artis Nadia Saphira.
Berdasarkan script yang dibuat oleh si pembuat virus, perusahaan keamanan lokal Vaksincom menduga pembuat virus ini berasal dari Sultra (Sulawesi Tenggara). Virus Nadia Saphira dibuat dengan menggunakan bahasa pemrograman visual basic.
Hebatnya lagi, virus yang penyebarannya cukup tinggi di bulan Mei 2009 ini menurut pantauan masih belum dapat terdeteksi oleh program antivirus, baik yang mengaku sebagai antivirus terbaik di dunia ataupun tidak.


Saat artikel ini diluncurkan, antivirus lokal yang mampu mendeteksi virus Nadia Saphira ini hanya
Smadav. Norman Security Suite mendeteksi varian virus Nadia Saphira sebagai W32/VBTroj.AOQB.

Sama seperti virus Bulu Bebek, virus Nadia Saphira juga tidak memiliki niat jahat dengan menghancurkan data komputer. Namun, virus ini hanya menyembunyikan folder/sub folder pada drive maupun pada flashdisk, untuk mengelabui user virus akan membuat duplikat di setiap folder/sub folder sesuai dengan nama folder yang disembunyikan. Selain itu virus juga membuat type file sesuai dengan type file folder.

Virus ini menyebar dengan memanfaatkan system autoplay windows sehingga rentan menular lewat media removable drive/usb flash disc.

Meski tak merusak file data dan sistem, virus Nadia Saphira bakal mengganggu karena akan terus menggandakan diri dan menyembunyikan folder-folder yang penting. Jadi, kenali ciri-cirinya kalau-kalau komputer Anda terserang dan jangan sampai terlambat sebelum Nadi Saphira palsu sempat merajalela.

Yang perlu diperhatikan adalah, metode penyerangan hampir sama dengan generasi virus brontok.
Ciri-ciri dari file virus ini, diantaranya sebagai berikut :

1. Memiliki ukuran file sebesar 17 kb & 69 kb.
2. Mempunyai type file Application.
3. Berekstensi file exe & ini.
4. Memiliki icon folder.
5. Membuat duplikat folder seduai dengan nama folder yang ada dan menyembunyikan folder aslinya.
6. Menghilangkan pilihan “Folder Options”.
7. CD Rom tidak bisa digunakan
8. Command Prompt tidak bisa diakses.

Jika virus berhasil menginfeksi, maka ia akan membuat beberapa file virus diantaranya :

1. C:\autorun.inf (pada semua root drive)
2. C:\NadiaSaphira.ini (pada semua root drive)
3. C:\Documents and Settings\All User\Start Menu\Programs\Startup\lan.exe
4. C:\Documents and Settings\%User%\NadiaSaphira.ini
5. C:\WINDOWS\taskmgr.exe
6. C:\WINDOWS\system32\.exe
7. C:\WINDOWS\system32\allsys.exe
8. C:\WINDOWS\system32\misconfig.exe
9. C:\WINDOWS\system32\MS586.sys
10. C:\WINDOWS\system32\System
11. C:\WINDOWS\system32\wtoolsb.exe
12. C:-WINDOWS-system32-dllcache-.exe
13. C:-WINDOWS-system32- dllcache-System
14. Membuat duplikat file virus pada setiap folder yang ada pada removable drive/usb.

Hidden file

Sebagai bentuk pertahanan, virus akan mencoba melakukan usaha blok terhadap beberapa fungsi Windows. Beberapa fungsi Windows yang di blok diantaranya sebagai berikut :

1. Folder Options (dilakukan untuk mencegah akses terhadap file/folder yang disembunyikan)
2. Registry Editor (dilakukan untuk mencegah akses perbaikan registry) (lihat gambar 4)
3. Search/Find (dilakukan untuk mencegah dari pembersihan virus)
4. Command Prompt (dilakukan untuk mencegah dari proses kill virus)

Aktif di Start up

Untuk memastikan agar dapat aktif dengan baik pada saat komputer dijalankan, virus menyisipkan file virus pada startup windows sehingga akan langsung aktif jika komputer dijalankan. Setelah aktif, virus memanggil kedua rekannya (virus pendukung) agar sulit dimatikan.

File virus yang aktif pada startup yaitu :

C:\Documents and Settings\All User\Start Menu\Programs\Startup\lan.exe
File ini yang kemudian memanggil kedua rekannya (virus pendukung) untuk memperkuat existensinya, yaitu :
1. C:\WINDOWS\system32-misconfig.exe
2. C:\WINDOWS\taskmgr.exe

Ubah Registry windows

Agar dapat melakukan blok fungsi “Search” windows, virus akan membuat string registry sebagai berikut :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
nofind = 1
HKEY_LOCAL_MACHINE-SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer
nofind = 1

Agar dapat melakukan blok fungsi “Folder Options” windows, virus akan membuat string registry sebagai berikut:

HKEY_CURRENT_USER-Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NoFolderOptions = 1

Agar dapat melakukan blok fungsi “Registry Editor” windows, virus akan membuat string registry sebagai berikut :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegistryTools = 1

Agar dapat melakukan blok fungsi “Command Prompt” windows, virus akan membuat string registry sebagai berikut :

HKEY_CURRENT_USER\Software\Microsoft\Command Processor
Autorun =
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor
Autorun =

Walaupun Folder Options sudah di blok, tetapi virus mencegah untuk menampilkan file yang tersembunyi. Untuk itu, ia membuat string registry sebagai berikut :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
CheckedValue = 0
DefaultValue = 0

Agar dapat mengelabui user terhadap file virus dan mencoba mengubah type file exe, virus membuat string sebagai berikut :

HKEY_CLASSES_ROOT\exefile
(Default) = File Folder
Info Tip = File Folder
TileInfo = File Folder

Terakhir virus berusaha melakukan blok ekseskusi file “Microsoft Visual Studio Spy Debugging Tools”, virus membuat string sebagai berikut :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msiexec.exe
Debugger =
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sessmgr.exe
Debugger =
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SPYXX.exe
Debugger =

Serangan virus Nadia Saphira belum terdeteksi kebanyakan produk antivirus. Namun, Anda dapat mengatasinya secara manual jika komputer terlanjur terserang dan antivirus belum dapat mengatasinya.

Vaksincom, perusahaan lokal penyedia solusi antivirus yang berpusat di Jakarta menyediakan tips membersihkan virus tersebut. Berikut 7 langkah membersihkan virus Nadia Saphira.

1. Sebaiknya putuskan komputer yang akan dibersihkan dari jaringan internet maupun LAN.

2. Matikan “System Restore” selama proses pembersihan virus (untuk Windows XP/Vista) dengan memilih turn off pada Start>>Control Panel>>System Restore.

3. Matikan proses virus yang aktif di memory. Gunakan tools pengganti task manager, seperti CProcess.

a. Aplikasi ini dapat anda download di sini.

b. Dengan tools ini, lakukan kill process, pada beberapa file virus yang aktif yaitu:

- C:\Documents and Settings\All User\Start Menu\Programs\Startup\lan.exe
- C:\WINDOWS\system32\misconfig.exe
- C:\WINDOWS\taskmgr.exe

4. Hapus string registry yang telah dibuat oleh virus.

a. Untuk mempermudah dapat menggunakan script registry di bawah ini.

[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKCR, batfile\shell\open\command,,,”"”%1″” %*”
HKCR, comfile\shell\open\command,,,”"”%1″” %*”
HKCR, exefile\shell\open\command,,,”"”%1″” %*”
HKCR, piffile\shell\open\command,,,”"”%1″” %*”
HKCR, lnkfile\shell\open\command,,,”"”%1″” %*”
HKCR, scrfile\shell\open\command,,,”"”%1″” %*”
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,
HKLM, SOFTWARE\Classes\exefile\DefaultIcon,,,”"%1″”
HKLM, SOFTWARE\Classes\exefile,,,”Application”
HKLM, SOFTWARE\Classes\exefile,infotip,0, “prop:FileDescription;Company;FileVersion;Create;Size”
HKLM, SOFTWARE\Classes\exefile,TileInfo,0, “prop:FileDescription;Company;FileVersion”
HKCU, Software\Microsoft\Command Processor, AutoRun,0,
HKLM, SOFTWARE\Microsoft\Command Processor, AutoRun,0,
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, CheckedValue, 0×00010001,1
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, DefaultValue, 0×00010001,2

[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, nofind
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer, nofind
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msiexec.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sessmgr.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SPYXX.exe

b. Gunakan notepad, kemudian simpan dengan nama “repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).

c. Jalankan repair.inf dengan klik kanan, kemudian pilih install.
Sebaiknya membuat file repair.inf di komputer yang clean, agar virus tidak aktif kembali.

5. Hapus file virus yang mempunyai ciri-ciri sebagai berikut Icon application/folder, Extension .exe, Ukuran 69 kb & 17 kb.

a. Sebaiknya tampilkan file yang tersembunyi agar mempermudah dalam proses pencarian file virus.

b. Untuk mempermudah proses pencarian sebaiknya gunakan “Search Windows” dengan filter file *.exe & *.ini yang mempunyai ukuran 69 KB & 17 KB.

c. Hapus file virus yang biasanya mempunyai date modified yang sama.

6. Tampilkan kembali folder yang disembunyikan pada drive atau flashdisk gunakan perintah “ATTRIB” pada command prompt.

a. Klik “Start”
b. Klik “Run”
c. Ketik “CMD”, kemudian tekan tombol “Enter”
d. Pindahkan posisi kursor ke drive Flash Disk
e. Kemudian ketik perintah ATTRIB –s –h –r /s /d kemudian tekan tombol enter.

7.Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang terupdate dan mengenali virus ini dengan baik.



Sumber : kompas.com

2 comments:

Anyone can give the idea, information or question
Dont Be Shy.....