tip dan trik computer

0 VIRUS, PENGARUH DAN PENANGGULANGANNYA

1. Nama : Virus Kangen (W32/Kang.C), ukuran : 72 KB

Dampak : Virus Kangen (W32/Kang.C) akan menonaktifkan Task Manager, dengan tujuan agar user tidak dapat mematikan proses dari virus tersebut. Di samping itu Kangen juga akan memblok akses program Msconfig. Virus Kangen (W32/Kang.C) juga akan memblok akses ke Registry Editor (regedit.exe) dan Task Manager dengan menambahkan 2 string yakni DisableRegistryTools dan DisableTaskMgr pada registry key di bawah ini:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System.

Penanggulangan :

o Matikan proses Winword.exe pada Task Manager

Anda juga dapat mematikan proses Winword.exe melalui Windows Normal (tanpa melalui ”safe mode”), cara ini hanya bisa dilakukan pada Windows XP/Server 2003. Caranya:

– Klik [Start] [Run]

– Ketik [cmd]

– Pada jendela command prompt, pastikan Anda telah berada pada direktori system Windows dengan mengetik ”CD [spasi] C:\windows\system”

– Matikan proses ”Winword.exe” dengan menggunakan perintah Taskkill dengan mengetikkan [taskkill /f /im Winword.exe], dan tekan [Enter]

o Cari dan hapus file di bawah ini pada folder SYSTEM.

– Winword.exe

– Winlog.dat

– Kangen.exe

o Hapus direktori C:\!Submit

Hapus registry key berikut pada registri key

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current_version\Run item berikut:

– ccApps

– LoadService

– OSA dengan data value C:\%system%\winword.exe

– SymRun

o Untuk mengembalikan dokumen MS-Word yang disembunyikan lakukan cara berikut:

– Klik [Start] [Run]

– Ketik [cmd] untuk masuk ke command prompt.

– Pada layar command promprt, ketikan perintah “Attrib –s –h c:\*.doc /s” (tanpa tanda kutip)

2. Nama : Virus Prilissa (varian dari virus Melissa)

Dampak : Pada hari Natal virus Prilissa dapat memformat harddisk Anda. Prilissa menginfeksi dokumen Word 97 dan menyebar lewat attachment e-mail. Saat dokumen yang terinfeksi dibuka, si virus mematikan setting sekuriti proteksi virus. Mula-mula Prilissa diekskusi di system, lantas menduplikat dirinya dengan mengirim e-mail pakai MS Outlook ke 50 email address pertama yang terdapat di address lists. Message-nya berisikan Message From (username) di mana username adalah user name system. Body message-nya berisikan kalimat “This document is very Important and you’ve GOT to read this !!! Selanjutnya dokumen yang terinfeksi dikirim sebagai attachment. Virus ini juga memodifikasi Windows registry. Di samping itu Prilissa mengecek date pada system untuk memicu payload pada tanggal 25 Desember, Prilissa menampilkan message seperti berikut :

@1999 – CyberNET

Vine… Vide… Vice… Moslem Power Never End..

You Dare Rise Against Me… The Human

Era is Over, The CyberNET Era Has Come !!!

Tidak cuman itu, Prilissa akan menggandakan diri ke global template di Normal.dot. Setelah proses ini beres, Normal.dot terinfeksi, virus menginfeksi dokumen manakala file ditutup dari aplikasi Word. Prilissa dapat menonaktifkan Tools/Macro menu hingga ia tetap hidden. Hal yang paling, menakutkan adalah bahwa Prilissa akan meng-overwrite file Autoexec.bat lalu memformat drive C: drive dan menampilkan pesan berikut saat komputer rebooting.

Vine…Vide… Vice…

Moslem Power Never End…

Your Computer Have Just Been

Terminated BY

-=CyberNET =- Virus !!!.

Penanggulangan : pada saat beberapa hari sebelum tanggal 25 Desember (misal tanggal 23 atau 24 Desember) rubah tanggal komputer anda melewati tanggal 25 (misal 5 Januari 2000 / Lebih dari tanggal 2 Januari 2000). Dan setelah melewati tanggal tersebut tanggalnya dapat anda kembalikan lagi seperti semula (misal tanggal 6 Januari 2000). Atau jangan menghidupkan computer pada tanggal 25 Desember dan tanggal 1 Januari. Karena tanggal 1 Januari 2000 juga disinyalir banyak virus yang akan menyerang (memanfaatkan ketenaran millenium bugs).

NB: Cara mengganti tanggal komputer: pada bagian kanan bawah monitor anda ada petunjuk jam komputer, double klik jam tersebut, kemudian akan ditampilkan menu jam, tanggal dan lain-lain, gantilah tanggalnya, kemudian tekan tombol OK atau Apply, OK. ATAU di Start menu, Setting, Control Panel, Date / Time, kemudian ganti tanggalnya (seperti petunjuk diatas).

3. Nama : w32.exe@tommy, Nilai crc32 : 50F147A1, Jenis : internet worm, Ukuran : 463 kb.

Dampak : Virus mempunyai icon folder berwarna kuning. Virus ini membuat file virus di setiap folder dengan ukuran file 463 Kb. Selain itu, virus ini juga mengunci regedit, tapi tidak menghilangkan menu “Folder Option”. Seluruh folder juga disembunyikan oleh virus tersebut dan diganti oleh file virus dengan icon folder berwarna kuning seperti brontok.

Penanggulangan :

a Download Showkillprocess.exe dan download FolderFix.exe di http://www.virologi.info/download/

b Kill atau matikan process dengan nama windows.exe

c Jalankan FolderFix.exe untuk melihat file yang tersembunyi dan memperbaiki registry.

d Coba lihat di direktori :

C:\Windows\
Hapus file windows .exe dengan icon direktori berwarna kuning.

e Hapus registry dengan alamat :

HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run
Key : Program

Value : C:\Windows\Windows.exe

4. Nama : BRONTOK versi terbaru

Dampak :Brontok versi terbaru yang telah diupdate (virusnya) telah muncul, dari segi registry dan file pemicu-nya sudah dirubah, baik dari value, nilai ataupun pesan yang dimunculkan. Tetapi dari segi pertahanan virusnya masih sama, seperti menyembunyikan folder option, kemudian mengunci MSCONFIG dan registry.

REGISTRY brontok baru, nilai registry yang dirubah adalah :

Alamat: HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache

Key : C :Windows\System32\Svchos.exe

Value : Svchos

Alamat: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Key : ADie suka kamu
Value : “C:\WINDOWS\System32\Svchos.exe”

Alamat: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Key : SaTrio ADie X
Value : “C:\Documents and Settings\ka\Local Settings\Application Data\smss.exe”

Alamat: HKU\SID\Software\Microsoft\Windows\ShellNoRoam\MUICache\
Key : C:\Windows\System32\Svchos.exe
Value : Svchos

File Pemicu : Pada virus brontok baru ini mempunyai file pemicu Svchos.exe yang ada di direktori C:\Windows\System32\ (jika anda menggunakan Win XP). File ini mempunyai atribut hidden, sehingga bila WAV 2005 mendeteksi file tersebut, nilai checksumnya adalah 0. Untuk mengatasi masalah tersebut file Svchos.exe harus dirubah dulu file atributnya menjadi file normal. Sehingga nilai checksum-nya dapat diketahui. File pemicu lain ada di drive anda,dan nama filenya bermacam – macam seperti :

– Wow Tumpe.exe
– Start.Pif
– Satrio Adi

Tetapi letaknya di luar direktori, misalnya di komputer anda ada drive D, maka file pemicu lainnya ada di D:\Wow Tumpe.exe dan sebagainya.

File pemicu lain selanjutnya adalah Start.pif, kalau yang brontok sebelumnya file pemicu tersebut bernama Empty.pif.

File fake processing system windows juga masih dipakai dalam virus ini seperti :

– lsass.exe
– inetinfo.exe
– svchost.exe
– services.exe
– smss.exe
– csrss.exe

PESAN DARI BRONTOK
Pesan dari brontok dapat ditemukan di file vita i love you.htm, isi file tersebut adalah :

Ku Tahu
Yg Kumau
Satrio BuaT Sensasi Baru !!

(Muahahahahaha…..yang bikin ni virus edan ….)

Mungkin bisa ditebak kalu virus ini dibuat oleh seorang mahasiswa atau programmer bernama Satrio Adi….hehehehehe!

Penganggulangan : Hapus registry yang mempunyai key dan value yang terletak pada alamat di bawah ini:

Alamat: HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache
Key : C:\Windows\System32\Svchos.exe
Value : Svchos

Alamat: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Key : ADie suka kamu
Value : “C:\WINDOWS\System32\Svchos.exe”

Alamat: HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Key : SaTrio ADie X
Value : “C:\Documents and Settings\ka\Local Settings\Application Data\smss.exe”

Alamat: HKU\SID\Software\Microsoft\Windows\ShellNoRoam\MUICache\
Key : C:\Windows\System32\Svchos.exe
Value : Svchos

Kemudian hapus file di bawah ini:

– Wow Tumpe.exe
– Satrio Adi.exe
– Start.pif
– File yang berukuran 42 kb (jika virus telah bercokol lama di komputer anda)
– lsass.exe
– inetinfo.exe
– svchost.exe
– services.exe
– smss.exe
– csrss.exe

Untuk menghapus file tersebut usahakan menghentikan proses terlebih dahulu dari tiap – tiap file dengan menggunakan ShowkillProcess yang dapat anda download di situs ini…dah tau kan…

5. Nama : VBWorm.NVX

Dampak : Secara umum VBWorm.MVX tidak lah ganas, selain tidak membuat file duplikat, menyembunyikan file / folder juga tidak sampai melakukan blok terhadap fungsi Windows atau tools security. Tujuannya hanya bersisi seruan untuk melakukan ibadah Sholat seperti yang banyak dilakukan oleh virus Macro. Untuk menyebarkan dirinya VBWorm.MVX masih menggunakan Flash Disk dengan membuat file Explorer.exe dengan ukuran 56 KB.

Icon yang digunakan oleh VBWorm.MVX adalah Microsoft Windows Explorer dengan ukuran file sebesar 56 KB (sedangkan file aslinya berukuran 1 KB). File ini mempunyai ekstensi EXE dengan type file sebagai “Application”. Dengan type file yang menyerupai Windows Explorer maka dapat dipastikan akan banyak user yang terjebak untuk menjalankan file tersebut, apalagi saat menjalankan file tersebut akan terbuka jendela My Documents layaknya menjalankan Windows Explorer. (lihat gambar 2).

Gambar 2 File induk VBWorm.NVX

Untuk memastikan agar dirinya dapat langsung aktif setiap kali komputer dijalankan, ia akan membuat beberapa file induk yang akan di jalankan setiap kali komputer dinyalakan, diantaranya:

>HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\4LLI

>HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\ CurrentControlSet\Services\4LLI

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\ CurrentControlSet\Services\4LLI

>HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\ CurrentControlSet\Services\4LLI

>HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

C:\WINDOWS\windowsapp.exe

VBWorm.MXV ini tergolong masih baik karena tidak sampai melakukan blok terhadap fungsi Windows atau tools security, VBWorm.MVX juga tidak akan menyembunyikan file / dokumen dan tidak akan membuat file duplikat seperti yang dilakukan oleh virus lokal pada umumnya

Misi tersembunyi VBWorm.MVX

Apakah Anda seorang Muslim ?

Apakah Anda sudah sholat ?

Itu adalah sederetan pesan yang akan disuguhkan oleh VBWorm.MVX yang akan ditampilkan setiap waktu sholat tiba. Inilah yang menjadi Misi VBWorm.MVX yang mencoba untuk mengingatkan khususnya kaum muslim untuk senantiasa menjalankan sholat. Pesan ini muncul setiap pukul 13.00 (waktu Dzuhur) 16:00 (waktu Ashar), 18:30 (waktu Maghrib), 20:00 (waktu Isya) dan 5:30 (waktu Subuh). Untuk lebih jelasnya silahkan perhatikan gambar 3, 4 dan 5 berikut:

Gambar 3

Jika Anda pilih tombol “Ya” maka akan muncul pesan berikut (gambar 4) tetapi jika memilih tombol “Bukan” maka tidak akan terjadi reaksi apa-apa.

Gambar 4

Jika Anda memilih tombol “Sudah” maka akan muncul layar konfirmasi berikut (gambar 5), tetapi jika Anda memilih tombol “Belum”, maka komputer secara otomatis akan shutdown (mati).

Gambar 5.

Penanggulangan :

· Putuskan hubungan komputer yang akan dibersihkan dari jaringan

· Disable “System Restore” selama proses pembersihan berlangsung

· Matikan proses virus yang aktif dimemori. Untuk mematikan proses virus ini Anda dapat menggunakan tools Proceexp kemudian matikan proses dengan nama Windowsapp.exe yang mempunyai icon Microsoft Windows Explorer, perhatikan gambar 6 dibawah ini.

Gambar 6, Mematikan proses virus VBWorm.MVX di memori

· Hapus file induk yang dibuat oleh Virus. Sebelum menghapus file duplikat tersebut pastikan Anda sudah menampilkan semua file / folder yang disembunyikan kemudian hapus file yang mempunyai ciri-ciri berikut:

Menggunakan icon Windows Explorer

Ukuran 56 KB

Ekstensi EXE

Type file Application

Berikut contoh file yang akan dibuat oleh VBWorm.MVX

o C:\explorer.exe (file ini akan dibuat disetiap drive)

o C:\WINDOWS\windowsapp.exe

o C:\Documents and Settings\%user% \My Documents\explorer.exe

o C:\Windows\Yoosa.a

· Hapus string registry yang dibuat oleh virus. Untuk mempercepat proses penghapusan silahkan copy script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf. Jalankan file tersebut dengan cara:

Klik kanan repair.inf

Klik install

[Version]

Signature=”$Chicago$”

Provider=Vaksincom Oye

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\comfile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\exefile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\piffile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”

HKLM, Software\CLASSES\scrfile\shell\open\command,,,”””%1″” %*”

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, “cmd.exe”

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”

[del]

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, windowsapp

HKLM, SYSTEM\CurrentControlSet\Services\4LLI

HKLM, SYSTEM\ControlSet001\Services\4LLI

HKLM, SYSTEM\ControlSet002\Services\4LLI

HKLM, SYSTEM\ControlSet003\Services\4LLI

Untuk pembersihan optimal dan mencegah infeksi ulang sebaiknya scan dengan Norman Virus Control yang up-to-date dan sudah dapat mengenali virus ini dengan baik.

Jika komputer sudah benar-benar bersih, aktifkan (enable) kembali “System Restore”

6. Nama : BRONTOK

Dampak :

1. Brontok menggunakan ikon folder standar Windows, Bagi pemakai theme aneh/nonstandar akan melihat keanehan ikon .

2. Brontok membuat banyak perubahan di registry agar sulit dibersihkan (menonaktifkan registry editor, menghilangkan menu folder options, dll). Tepatnya, Brontok melakukan perubahan pada nilai di subkey:

* HKCU\software\microsoft\windows\currentversion\run

§ Nilai Tok-Cirrhatus menjadi path ke Brontok.

§ Nilai Tok-Cirrhatus-XXX (xxx adalah acak) menjadi path ke Brontok yang namanya juga acak.

* HKLM\software\microsoft\windows\currentversion\run

§ Nilai Bron-Spizaetus menjadi path ke Brontok.

§ Nilai Bron-Spizaetus-xxx (xxx adalah acak) menjadi path ke Brontok.

* HKCU\software\microsoft\windows\currentversion\Policies\Explorer\

§ Nilai NoFolderOptions menjadi 1.

* HKCU\software\microsoft\windows\currentversion\Policies\System\

§ Nilai DisableCMD menjadi 0.

§ Nilai DisableRegistryTools menjadi 1.

* HKCU\software\microsoft\windows\currentversion\explorer\advanced

§ Nilai Hidden menjadi 0.

§ Nilai HideFileExt menjadi 1.

§ Nilai ShowSuperHidden menjadi 0.

* SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

§ Nilai Shell menjadi Explorer.exe “c:\windows\sembako-xxx.exe”. (xxx adalah acak)

* SYSTEM\CurrentControlSet\Control\SafeBoot\

§ Nilai AlternateShell menjadi cmd-bro-xxx.exe (xxx adalah acak). Perhatian: ternyata Windows akan secara otomatis menyalin isi semua key di HKLM, SYSTEM\CurrentContolSet\Control\SafeBoot ke HKLM, SYSTEM\ContolSet00X\Control\SafeBoot X (dari 1-2) jika proses restart dilakukan dengan sukses (atau jika komputer dimatikan lalu komputer dinyalakan lagi).

3. Brontok mengotori banyak direktori dengan salinan dirinya.

4. Brontok menimpa autoexec.bat dengan satu baris “pause”, mungkin maksudnya menghentikan antivirus yang berjalan di mode DOS yang dijalankan dengan autoexec.bat.

5. Brontok membuat banyak item startup agar dijalankan ketika komputer dimulai (di start menu dan di aneka tempat di registry). Hal ini berlaku juga dalam safe mode (Perhatian perhatian, yang benar adalah “SAFE MODE” bukan “SAVEMODE”).

6. Brontok mengupdate dirinya sendiri dari URL tertentu, tepatnya Brontok ini mendownload file exe dari situs tertentu dan mengeksekusinya (bisa saja isinya bukan update brontok, tapi kode untuk memformat seluruh isi komputer). Pembahasan ada di bagian berikutnya di artikel ini.

7. Brontok menggunakan enkripsi untuk menyembunyikan string-string dalam dirinya. Enkripsi Brontok juga dibahas pada artikel ini.

8. Brontok mengirimkan dirinya ke alamat email yang ditemukannya, jika alamat tersebut tidak mengandung string berikut (artinya brontok tidak akan mengirimkan dirinya ke Microsoft, perusahaan antivirus, dll): SECURE, SUPPORT, MASTER, MICROSOFT, VIRUS, HACK, CRACK, LINUX, AVG, GRISOFT, CILLIN, SECURITY, SYMANTEC, ASSOCIATE, VAKSIN, NORTON, NORMAN, PANDA, SOFT, SPAM, BLAH, .VBS, DOMAIN, HIDDEN, DEMO, DEVELOP, FOO@, KOMPUTER, SENIOR, DARK, BLACK, BLEEP, FEEDBACK, IBM., INTEL., MACRO, ADOBE, FUCK, RECIPIENT, SERVER, PROXY, ZEND, ZDNET, CNET, DOWNLOAD, HP., XEROX, CANON, SERVICE, ARCHIEVE, NETSCAPE, MOZILLA, OPERA, NOVELL, NEW LOTUS, MICRO, TREND, SIEMENS, FUJITSU, NOKIA, W3., NVIDIA, APACHE, MYSQL, POSTGRE, SUN., GOO GLE, SPERSKY, ZOMBIE, ADMIN, AVIRA, AVAST, TRUST, ESAVE, ESAFE, PROTECT, ALADDIN, ALERT, BUILDER, DATABASE, AHNLAB, PROLAND, ESCAN, HAURI, NOD32, SYBARI, ANTIGEN, ROBOT, ALWIL, BROWSE, COMPUSE, COMPUTE, SECUN, SPYW, REGIST, FREE, BUG, MATH, LAB, IEEE, KDE, TRACK, INFORMA, FUJI, @MAC, SLACK, REDHA, SUSE, BUNTU, XANDROS, @ABC, @123, LO OKSMART, SYNDICAT, ELEKTRO, ELECTRO, NASA, LUCENT, TELECOM, STUDIO, SIERRA, USERNAME, IPTEK, CLICK, SALES, PROMO, .CA.COM Ada sedikit perbedaan pada email jika email dikirim ke alamat dengan substring berikut (“alamat indonesia”): PLASA;TELKOM;INDO;.CO.ID;.GO.ID;.MIL.ID;.SCH.ID;.NET.ID;.OR.ID; .AC.ID;.WEB.ID;.WAR.NET.ID;ASTAGA;GAUL;BOLEH;EMAILKU;SATU. Perbedaannya pada asal pengirim, jika untuk tujuan Indonesia pengirimnya menjadi @boleh.com sedangkan kalau non “alamat Indonesia” pengirimnya menjadi @friendster.com (pada versi awal Brontok, untuk Indonesia memakai @kafegaul.com dan untuk alamat non Indonesia memakai alamat @pornstargals.com). (bodohnya isi emailnya tetap sama, dan memakai Bahasa Indonesia padahal isinya didownload dari Internet). Perhatian: banyak analisis salah yang menyatakan bahwa Brontok tidak mengirimkan dirinya ke alamat email di Indonesia.

9. Brontok berusaha mendapatkan alamat email korban dengan melakukan parsing terhadap file HTML, .HTM,.TXT, .EML, .WAB, dan .PHP yang ditemuinya (Brontok mencari semua string xxx@yyy.zzz dalam file).

10. Brontok melakukan koneksi SMTP langsung ketika mengirim email, tapi tidak menggunakan MX record (Mail eXchanger Record) DNS suatu domain. Jika Brontok mengirim ke alamat @yahoo.com, dia akan mencoba memakai SMTP server mta237.mail.re2.yahoo.com, sedangkan jika ke domain lain Brontok mencari MX/Server SMTP dengan menambah prefix smtp., mail. atau ns1. pada domain mail.

11. Brontok Membuat file yang isinya agar semua orang menghentikan kejahatan (bla bla bla, silakan baca di situs lain jika Anda penasaran dengan isinya).

12. Brontok merestart komputer ketika program tertentu aktif. Pengecekan program dilakukan dengan melihat teks Window program terhadap string: REGISTRY,SYSTEM CONFIGURATION,COMMAND PROMPT,.EXE,SHUT DOWN,SCRIPT HOST,LOG OFF WINDOWS,KILLBOX,TASK, dua string terakhir baru ditambahkan untuk mengantisipasi program yang dapat membunuh task Brontok, misalnya program HijakThis.

13. Brontok menjadwalkan dirinya agar dijalankan di jam tertentu. Versi awal brontok menjadwalkan dirinya hanya pada jam 17:08, tapi versi baru juga menjadwalkan eksekusi pada jam 11:03 (keduanya dijadwalkan setiap hari).

14. Brontok berusaha mengakses share di jaringan lokal dan menginfeksinya juga.

15. Brontok memiliki string: By: HVM31 — Jowobot #VM Community — (Perhatikan kata VM/Virus Maker community ini, mungkin saja HVM31 itu punya teman yang tahu tentang ini).

16. Brontok membuat counter di situs debuging.com, URLnya: http://debuging.com/WS1/cgi/x.cgi?NAVG=Tracker&username=%64%65%6C%62%65%6C%62%72%6F (usernamenya adalah delbelbro). Saya belum mengontak pemilik situs tersebut. Counter dinaikkan nilainya setiap selesai menyerang situs yang ada di daftarnya (www.17tahun.com, http://www.kaskus.com/, dan http://www.fajarweb.com/).

17. Brontok membuat file sistem.sys di direktori %windir%/system32/sistem.sis yang isinya adalah kode waktu saat brontok aktif kali pertama. Kode ini terdiri atas 2 digit bulan, 2 digit tanggal, 2 digit jam dan 2 digit menit. Misal: 01122245 berarti Brontok aktif kali pertama pada 01 = Januari, 17 = tanggal 17, 22 = jam 1 malamm, 45 = menit ke 45. File ini juga dicopykan ke direktori \Documents and Settings\Username\Application Data\ dengan nama file BronMes*.ini (bagian * bisa bervariasi).

18. Brontok akan berusaha membunuh paksa beberapa proses (proses adalah program yang berjalan) dengan command taskkill /f /im namaproses. Proses yang dibunuh meliputi virus/worm lokal lain, dan sepertinya beberapa antivirus. Tepatnya proses yang dibunuh adalah mcvsescn.exe;poproxy.exe;avgemc.exe;ccapps.exe;tskmgr.exe;syslove.exe; xpshare.exe;riyani_jangkaru.exe;systray.exe;ashmaisv.exe; aswupdsv.exe;nvcoas.exe;cclaw.exe;njeeves.exe;nipsvc.exe;dkernel.exe; iexplorer.exe;lexplorer.exe.

19. Brontok akan mengubah atribut file MSVBVM60.DLL yang ada di direktori sistem Windows. Atribut file akan diubah menjadi hidden, system, dan read only. Tujuan langkah ini adalah agar lebih sulit menghapus file msvbvm60.dll dari mode DOS seperti yang dibahas dalam beberapa website.

20. Brontok akan mendownload file dari sebuah URL acak (lihat bagian update Brontok) dan berusaha menimpa file %windir%\system32\drivers\etc\hosts dengan file yang didownloadnya.

21. Jika Brontok menemui file .DOC, .PDF .XLS, dan .PPT maka attributnya akan dikembalikan ke normal, sifat ini sepertinya dilakukan untuk mengembalikan dokumen yang disembunyikan (dijadikan hidden) oleh virus lain.

22. Brontok berusaha menghapus file dengan substring “kangen”, *RORO*.HTT, FOLDER.HTT. Jika ekstensi file adalah .EXE, maka Brontok juga akan menghapus file jika substring file memiliki nama .DOC.EXE;.DOC ;.XLS.EXE;. XLS ;PATAH;HATI; CERITA; LUCU;MOVZX;CINTA;UNTUKMU;DATA-TEMEN;RIYANI;JANGKARU;KANGEN;JROX; DIARY;DKERNEL;IEXPLORER;LEXPLORER;ADULTONLY;ASIAN;VIRTUAL GIRL;X-PHOTOS;BESTMODEL;GAME NUDE;HOT SCREEN;HOTBABE; NAKED ;MODEL VG;SEXY ;V-GIRL7;JAPANESEGIRL;PUISI (perhatikan bahwa Brontok tidak menghapus .DOC, tapi .DOC yang diikuti spasi dan dengan ekstensi .EXE, demikian juga halnya dengan .XLS).

23. Brontok juga menghapus file: C:\!submit\winword.exe, c:\submit\xpshare.exe,c:\windows\systray.exe, %windir%\systray.exe, %win

Penanggulangan :

Ada tiga cara untuk menganalisis virus, pertama dengan cara black box, yaitu melihat perilaku virus di sebuah lingkungan tertentu, menganalisis isi virus dengan disassembly, dan yang ketiga adalah dengan melihat jalannya virus dengan debugger.

Black box analysis

Beberapa program tersedia untuk melihat perbedaan state komputer sebelum dan sesudah program sesuatu dijalankan (termasuk juga sebelum dan sesudah virus dijalankan). Program semacam ini bisa menunjukkan file-file apa saja yang dibuat virus, dan perubahan registry apa yang dilakukan oleh virus.

Cara ini mudah namun tidak ampuh, karena mungkin saja virus berperilaku aneh setiap hari Rabu sementara Anda mengetes di hari Selasa. Mungkin juga program yang dipakai untuk mencatat state sistem tidak sempurna sehingga ada perubahan yang tidak tercatat, dan ada kemungkinan virus tersisa setelah proses analisis selesai. Jika virus cukup canggih dan bisa mendeteksi adanya program pemonitor, virus bisa bertingkah laku berbeda dari keadaannya yang biasa.

Disassembly dan atau dekompilasi

Program dalam bahasa tertentu (biasanya yang dikompilasi dan diinterpretasi sekaligus, misalnya Java atau C#) bisa didekompilasi dengan mudah, artinya “bahasa mesin” yang ada pada file exe bisa dikembalikan menjadi source code, tapi program dalam bahasa lain tidak bisa dikembalikan menjadi source code, hanya bisa menjadi bahasa assembly.

Bahasa assembly sifatnya sangat low level (sangat dekat dengan mesin) sehingga sulit dimengerti kecuali dengan kesabaran dan banyak latihan (biasanya dengan bantuan debugger juga). Tidak banyak orang yang mau dan bisa melakukan hal tersebut, tapi itulah yang setiap hari dilakukan cracker untuk membuat serial number generator, dan mengcrack aneka program (program bajakan yang dipakai oleh banyak orang sekarang adalah karya cracker).

Melihat jalannya virus dengan debugger

Debugger bisa digunakan untuk menjalankan virus dalam lingkungan yang dapat dimonitor. Alur eksekusi, termasuk enkripsi virus bisa dipelajari dengan mudah. Penganalisis harus berhati-hati karena virus bisa saja menggunakan teknik antidebug, atau berjalan tidak terkendali. Biasanya teknik analisis ini digabung dengan disassembly.

Pendekatan analisis Brontok

Brontok versi pertama dikompilasi menjadi p-code (semacam bytecode pada Java) dan cukup mudah dimengerti. Versi Brontok yang baru menggunakan native code, sehingga lebih sulit dianalisis. Analisis versi pertama tidak akan dibahas.

Sebelum proses analisis, Salinlah brontok menjadi beberapa nama yang berbeda sebelum diproses (debug, disassemble, dll) oleh program yang berbeda. Tujuan penyalinan adalah agar aman (jangan sampai tidak sengaja menjalankan file exe), dan aman dari kesalahan program yang mungkin mengubah salinan Brontok dimiliki.

File EXE Brontok dienkripsi dengan program MeW sehingga harus didekrip/ekstrak menggunakan UnMeW, tapi ini menyebabkan struktur file berubah dan menyebabkan program untuk menganalisis executable Visual Basic, misalnya Race, tidak bisa mengenali lagi bahwa itu adalah file VB. Untungnya salah satu tools untuk membantu menganalisis file VB yang bernama VBDE masih bisa mengekstrak sedikit informasi dari file tersebut .

VBDE beraksi

VBDE digunakan untuk mendapatkan informasi dasar file VB

Karena file menggunakan native code, disassembler terbaik adalah IDA Pro (versi freeware), dengan IDA Pro kira dapat melihat cukup banyak hal di Brontok. Tapi sayangnya IDA Pro tidak bisa melihat VTABLE Visual Basic (tabel method, ini sangat penting dalam kode program yang dikompilasi dari suatu bahasa yang menggunakan objek), dan satu-satunya cara termudah adalah menjalankan Brontok.

Pertama sebelum Brontok dijalankan, binary Brontok perlu diedit untuk menonaktifkan timer (waktunya diset menjadi 0 agar timer tidak pernah dieksekusi). Pengeditan ini dilakukan dengan mengunakan Hex Editor (Hexplorer yang gratis). Bagian utama Brontok ada di timer, sehingga dengan menonaktifkan timer, Brontok bisa dianalisis dengan aman (tapi tetap berbahaya).

Tampilan Hex Editor ketika membuka brontok

Isi file Brontok, terlihat ada beberapa string yang dienkripsi dan yang tidak dienkripsi dalam Brontok.

OllyDbg, debugger ini cukup canggih dan nyaman dipakai dibanding WinDBG dari Microsoft (dan sama dengan WinDBG, program ini gratis). Dengan mencocokkan listing IDAPro dengan OllyDbg pahamilah Brontok dengan cukup mudah.

IDA Pro beraksi

(Isi brontok yang didisassembly menggunakan IDA Pro)

Langkah terakhir adalah dengan merekonstruksi sebagian source code Brontok menggunakan VB, hal ini dilakukan untuk melihat apakah pemahaman saya sudah benar. Jika hasil disassembly dari file VB yang sudah saya buat sama dengan disassembly Brontok, maka berarti pemahaman saya sudah benar.

VB memiliki error handling “On Error Resume Next” yang sangat membantu pemahaman hasil disassembly. Error handling tersebut berarti jika terjadi error maka pergilah ke baris berikutnya. Nah komputer perlu tahu di mana lokasi baris berikutnya yang harus dieksekusi jika ada error, sehingga informasi tersebut disimpan di executable file. Dengan berbekal nomor baris itu, rekonstruksi dengan cukup tepat sampai ke level baris kode.

7. Nama : Pendekar Blank

Dampak :

· Windows Menutup secara automatis

· Komputer tiba-tiba restart

· Keluar pesan berupa file text(notepad) atau html(iexplorer)

Dalam pesannya, “Pendekar Blank” memperkenalkan dirinya sebagai program yang dibuat oleh seseorang yang ingin memberantas kejahatan di muka bumi.

“Salam Kenal Buat User yang sedang Aktif di Komputer ini
Saya adalah Pendekar Blank 1, Program yang dibuat oleh seseorang yang ingin
memberantas kejahatan di muka bumi ini dan saya dikirim ke sini untuk:

1. Mencoba memberantas virus-virus lokal yang sudah menyebar di Indonesia

2. Mencoba mengamankan komputer ini dari infeksi virus lokal, dan

3. Mencoba menghalangi anda untuk berbuat sesuatu yang tidak perlu dilakukan di komputer ini,” demikian pernyataan yang tersimpan pada file (Read Me)Pendekar Blank.txt di drive C.

Itulah 3 Misi saya setelah dikirim ke komputer ini. Mohon maaf apabila nantinya terdapat kesalahan-kesalahan selama melakukan 3 misi diatas Mudah-mudahan anda adalah orang baik yang mempergunakan komputer pada jalan yang benar”.

Begitu bunyi pesan yang tertulis pada file Read Me Pendekar Blank.txt di lokasi drive yang diinfeksinya.

Virus pendekar blank Menciptakan File :

AUT0EXEC.BAT (harusnya autoexec), di c:\
M5VBVM60.EXE (harusnya msvbvm) di c:\windows\system32
Regedit32.com (harusnya regedit32.exe), di c:\windows\system32
Shell32.com. (harusnya ini memang gak ada) di c:\windows\system32
dllchache.exe (harusnya gak ada) di c:\windows\system32

Spesialis anti virus, PT Vaksincom, Alfons Tanujaya, melalui detikcom mengatakan, virus ini dibuat dengan menggunakan bahasa Visual Basic dengan ukuran sekitar 34 KB. Untuk mengelabui user ia akan menggunakan ikon dengan bentuk “Folder” dengan ksistensi .EXE. Virus ini menyebar melalui disket atau flash disk.

Beberapa anti virus membaca Pendekar Blank sebagai varian dari VBWorm.MPT dan selalu mencoba memblok fungsi “Folder Options” pada komputer. Sehingga walaupun user berusaha mengubah setting pada “Folder Options” tersebut VBWorm.MPT akan mengembalikannya ke setting semula.

Virus ini melakukan manipulasi pada ekstensi .txt dan .com sehingga jika user menjalankan file tersebut, secara otomatis akan mengaktifkan VBWorm.MPT pada komputer. WBWorm.MPT akan menyembunyikan semua folder yang ada di Disket/Flash Disk dan mencoba membuat file duplikat di setiap folder sesuai dengan nama “sub folder” yang ada di Folder tersebut

Penanggulanagan :

Bantai Virus ini dengan anti virus tentunya. Dengan menggunakan Ansav atau An’s Antivirus (http://divshare.com/download/52884-b74)

Ansav

Untuk menampilkan folder yang disembunyikan ketik di command prompt:

Misal di drive E :

attrib -R -H -S E:\*.* /S /D

(-) melepas atribut
(+) terapkan atribut

R : read only
H : hidden
S : file sistem
/S /D : folder dan seluruh sub folder

atau

Klik Start > Run
ketik cmd
masuk ke drive flashdisk, mis drive F
ketik F:
trus attrib -s -h /S /D
perintah di atas bakalan munculin lagi folder2 yg di hidden, termasuk sub-sub folder di dalamnya serta file2 yang ada.

8. Nama : Hallo.roro.htt

Dampak : Virus roro termasuk bagus, karna Virus ini bisa menggenerate nama file dengan nama Puisi Cinta.exe, Jangan Dibaca.exe etc namun bentuk tampilannya seperti file *.txt dan apa bila file tersebut kita klik Hallo.roro akan bekerja (melahirkan kembali Master dari Virus tersebut). dan kita tidak bisa membuka msconfig untuk mematikannya.. satu lagi sama seperti Virus pada umumnya kita tidak bisa membuka Regedit (apabila di buka akan Hang). Beberapa Hal yang harus di perhatikan/ciri-ciri dari roro tersebut:

1. berat file yang sudah terinfeksi roro 69kb

2. File *.exe tetapi tampilannya file *.txt

3. File *.scr yang berat file tersebut 69kb

3. File Master dari Virus tersebut sysrv.exe (biasanya di C:\windows\system)

4. File lain hh.htt sebut jasa pamannya Roro (biasanya di C:\windows\system)

Penanggulangannya : Untuk pertamakali kita harus menghapus file Master dari Virus tersebut (cara manual aja), jika File sysrv sudah di hapus lalu hapus lagi file hh.htt. Untuk Menghapus Virus Hallo.Roro.htt yang sudah menyebar di setiap folder Komputer anda saya sudah menemukan program yang dapat menghapus Hallo.roro.htt secara otomatis, anda bisa download di websete NeRaKaCreW : ANTI RORO (File dalam bentuk Zip). Untuk menggunakannya, extract terlebih dahulu file zip nya, lalu anda tinggal ketik C: jika ingin menghapus File Hallo.roro.htt yang ada di direktori C:\ begitu juga dengan yang ada di D:\ anda tinggal mengetik D: lalu enter

Virus Pegging (Penguin)

Register diketahui sebagai salah satu komponen Windows yang sangat krusial. Banyak yang bias kita lakukan dengan mengubah registry, dari mulai men-tweking windows, membatasi hak akses user sampai menjalankan aplikasi secara otomatis. Tapi awas, jika kita melakukan kesalahan bisa fatal akibatnya. Oleh sebab itu juga hampir semua virus menggunakan registry untuk membantu dirinya untuk menyebarkan diri.

Virus pegging (nama yang diberikan oleh antiviruc PC Media) atau Penguin(nama yang diberikan oleh antuvirus lainnya) banyak menggunakan registry untuk menjalankan aksinya dan hampir semua registry dia infeksi. Pegging memiliki ukuran sebesar 47.104 bytes yang dibuat menggunakan bahasa Visual Basic lalu di-compress menggunakan PECompact. Virus yang menginfeksi computer berbasis windows ini menggunakan icon mirip seperti icon folder bawaan windows. Mengenai register apa aja yang diubahnya sebenarnya bias dilihat dengan mudah. Bias dengan cara meng-unpack sang virus dan barulah kita lihat tubuh sang virus menggunakan Hex Editor atau semacamnya.

Jalankan Virus !

Biasanya sang virus kali pertama dieksekusi oleh user akan menampilkan layer shutdown dan akan membuka tray Cd/DVD-ROM, entah apa maksudnya.. lalu membuka file induk pada directory \Documents and Settings\%username%\Local Settings\Application Data\, dengan menggunakan nama process atau service milik Windows sperti: winlogon.exe, smss.exe, shell.exe, services.exe, isass.exe dan csrss.exe namun ada juga yang menggunakan nama pegging.exe. hal ini mengingatkan kita pada virus Brontok yang menggunakan penamaan file yang sama sperti ini untuk mengelebaui korbannya. Selain pada direktori diatas, virus ini juga menempatkan beberapa agennya pada directory system Windows dengan nama pegging.scr dan kernel.sys. untuk file kernel.sys ini sebenarnya adalah file executable biasa dupikat dari dirinya.

Serbu Registry!

Kini waktunya sang virus menyerbu registry. Pertama, ia akan membuat sart-up item di registry dengan nama SysTray, Msg, Pegging dan Service. Yang berfungsi agar virus dapat aktif otomatis pada saat Windows mulai, tak lupa ia pun membuat perubahan pada registry yang mengatur perubahan tentang safe mode karena sang pembuat virus pingin virusnya dapat aktif pada modus safe-mode.

Cara yang dilakukan untuk dapat tetap aktif pada computer korban pun dilakukan dengan berbagai cara, diantaranya dengan mengubah settingan screen saver di registry. Ini dilakukan agar pada saat screen saver dijalankan maka yan dijalankan adalah program virus bukan screen saver. Hal serupa juga dijalankan pada settingan debugger yakni pada saat terjadi crash atau error pada suatu program aplikasi, maka yang dijalankan adalah virus bukan program debugger.

Seperti disebutkan diatas bahwa virus ini banyak mengubah registry dan spertinya pembuat virus ini banyak belajar dari virus-virus yang ada sebelumnya. Beberapa fasilitas windows yang diubah adalah menghilangkan folder options, dari windows explorer mengeset type dari application menjadi file folder menghilangkan menu Run, Find/Search, Task Manager, Setting Folders, Setting Taskbar, Display Setting, System Properties dan System restore. Pengguna juga tidak dapat melakukan klik kanan pada Start Menu. Parahnya lagi ia pun mengubah settingan registry yang mengatur masalah akses file atau Shell Extension. Dia mencoba mengubah registry tersebut agar dapat saat menjalankan file-file ber-extensi tertentu maka akan dialhkan pada virus induk baru dialihkan ke file asli. Ini mengakibatkan sedikit peluang tidak terinfeksi virus ini.

Tambahnya lagi di registry pegging juga menambahkan beberapa item untuk image file execution options dan application path. Ini dimaksidkan untuk memblok atau mengalihkan beberapa aplikasi pilihannya agar saat user mencoba menjalankan aplikasi tersebut akan dialihkan ke program virus. Aplikasi yang dialihkan itu sperti, NotePad.exe, Taskmagr.exe, Regedit.exe, Paint.exe, Setup.exe, Install.exe dan lain sebagainya.

Sebenarnya ada perbedaan yang jelas yang terlihat jika computer terserang virus ini yaitu virus ini akan menggantikan nama untuk my Computer, My Documents, My Network Places,dan Recycle Bin berturut-turut menjadi kompi Pegging, Dokument Pegging, Network Pegging dan Tong Pegging. Beberapa virus sebelumnya seperti babon juga melakukan hal ini. Seperti virus lainnya pembuat virus juga tidak lupa untuk menyertakan pesan-pesan yang ingin disampaikan. Pesan ini biasa disampaikan dengan message box. Satu hal lain lagi adalah dengan mengubah symbol am dan pm pada jam menjadi icon smile yakni ^_*. Semua trik ini juga dilakukan dengan mengubah registry juga.

Metode Penyebaran

Seperti virus lainnya, Pegging juga melakukan duplikat yang menyerupai dirinya agar dapat mengelabui user. File-file duplikatnya dapat juga ditemukan dibeberapa tepat. Contohnya, pada root drive system Windows anda di C:\ akan terdapat file dengan nama” Message From Pegging.exe”. selain itu kita akan juga menemukan file dengan nama”\%username%\Data.exe”.

Virus Pegging ini diketahui dapat menyebar melalui perantara media penyimpanan data sperti disket, falsh disk dan lain sebagainya. Ia juga dapat menyebar melalui jaringan melalui sharing Folder sebagai sarana untuk bertukar data. Virus ini ada yang menaruh sampelnya ataupun dengan sengaja menebarkan dengan sengaja melalui internet apalagi forum diskusi atau milis-milis.

Aksi lainnya

Ia juga mencoba untuk menghalangi user untuk menjalankan aplikasi-aplikasi yang sekiranya dapat mengganggu ketentraman dirinya dengan cara membaca setiap caption/nama executable dari program tersebut. Beberapa program yang termasuk dalam program backlistnya adalah sperti antivir personal edition classic, Norman generic fix, Kapersky Lab juga beberapa program utility lainnya.

Folder Wi ndows juga di hidden, jika kita membuka paksa maka ia akan dengan sigap menutupnya kembali. Jika kita mencoba untuk membuka System Properties juga akan dihlang-halanginya dan sebenernya ia juga telah mengubah satus dari registered Information Windows.

Cara Pencegahan danPembasmian

Sebelum terinfeksi scan file-file yang mau masuk ke computer anda dengan anti virus yang telah mampu mengenali dan membasminya. Contohnya PC Media Antivirus.

Virus BlueFantasy

Kemunculan virus BlueFantasy ini memang belum seheboh virus brontok. Tapi karena Brontok jugalah yang akhirnya memicu programmer local untuk membuat virus dengan maksud dan tujuan tertentu tapi yang pasti kita telah dirugikan oleh virus-virus mereka. BlueFantasy, virus buatan local yang terbilang sederhanayang tidak memiliki teknik kompresi dan enkripsi telah membuat kerepotan.

Bentuk Fisik

Virus ini menginfeksi operating system berbasis windows 9x dan XP ini menyamar sebagai DokumentMicrosoft word, karena icon yang digunakan adalah sama dengan icon Microsoft Word. Tirk ini juga pernah dilakukan pendahulunya yaitu Kangen.

Mungkin bebrapa orang pernah mengalaminya, ketika mencoba mengklik file yang kira adalah file dokumen Microsoft Word, namun yang tampil adalah pesan error berupa meesage box dengan tulisan “….is not a valid win32 application”.

Cara infeksi

Virus ini dpat menyebar melalui media portable penyimpanan sperti disket, CD ataupun flashdisk. Ia akan mengcopy dirinya ke beberapa directory penting diantaranyapada direktori System menggunakan nama win32.com dengan atribut hidden, juga pada desktop, my Docoments dan start up Folder dengan nama file sama sepert yang dieksekusi. Virus ini secara real time akan membaca direktori aktif, misalnya kita sedang melakukan browsing direktori pada Windows Explorer, maka virus ini akan mencari file apa saja yang terdapt pada direktori tersebut lalu membuat duplikat dirinya dengan memanfaatkan nama file yang ditemukannya, hanya saja ditambahkan dengan nama Back-up, Shortcut to atau copy off dengan extensi yang berbeda-beda sperti bat, com, pif, scr, atau exe.

Sementara untuk file Dokumen *.doc , virus ini akan menyembunyikan file aslinya dan mengganti dengan dirinya sendiri menggunakan nama file *.doc yang asli. Mungkin jika dalam direktori hanya terdapat 2 file tidak akan masalah namun jika terdapat lebih dari 100 akan sangat merepotkan. Jika kita mencoba menghapus virus tersebut tidak akan berhasil karena ia akan menduplikatkan dirinya lagi dan lagi.

Aktif di Memory

Virus akan selalu aktif setiap kali memulai Windows. Karena ia telah menginfeksi registrydan StartUp folder agar Windows selalu menjalankan virus ini. Adapun registry yang diinfeksi adalah “HKLM\Software\Microsoft\Windows\CurrentVersion\Run” dengan ditambahkannya string value dengan nama Task Scheduler yang berisi “Win32”. Maksud dari value tersebut adalah mengarah kepada file copy-an dari virus yakni win32.com yang terdapat pada directory system. Melalui win32.com ini, virus akan selalu aktif di memory dan akan selalu memonitor segala kegiatan. Virus juga memanfaatrkan StartUp folder sebagai media untuk melakukan autorun. Dan file-file virus yang berada pada startup folder tersebut berasal dari setiap file virus yang anda klik. Apabila kita ingin mematikan proses dari virus BlueFantasy ini melalui task manager dengan end process tidak akan berhasil karena “Tasklist” dan “Taskkill” pada windows telah diblok oleh virus ini.

Apa Saja Yang Dilakukannya

Sperti virus-virus lainnya, brontok contohnya, Bluefantasy akan membaca caption dari setiap program, apabila mengandung kata-kata sperti REGIS,CONFIG,TASK, dan NORTON maka akan dengan sigap blueFantasy akan menutupnya. Ini dilakukan dengan agar tetpa dapat bertahanhidup. Virus ini juga menonaktifkan registry edituor, dengan mengubah extention information tiap file .exe dan scr dengan ”Microsoft Word Document”. Ini dapat dibuktikan dengan membuka Windows Explorer dan set tampilan menjadi details mak akan terlihat semua file executable bertipe ”Microsoft Word Document”. Kita juga tidak akan menemukan beberapa start up karen telah disembunyikan oleh virus ini.

BlueFantasy juga mengubah settingan dari file msdoss.sys, sehingga pada saat booting akan menampilkan warning untuk safe-mode. Hanya saja kita tidak akan bias masuk ke safe mode karena akses tombol F5, F6 atau F8 juga dinonaktifkan oleh vius ini tapi akan berpengaruh jika operating system yang kita gunakan adalah wimdows 9x. Jangan kaget jika interval waktu 11:58:00 sampai 12:00:00 komputer kita akan melakukan restart sendiri karena virus ini telah melakukannya. Virus ini juga akan menginfeksi direktori temporary dari CD Burning dimana tempat menyimpan file yang akan dibakar kedalam CD.

Pesan Dari Pembuat Virus

Apabila kita mengklik atau mengeksekusi file blueFantasy.exe pada salah satu direktori maka ia akan memanggil file BlueFantasy.doc yang ia sembunyikan tadi. Isi dari BlueFantasy.doc tadi adalah berupa lantunan syair yang diambil dari penggalan-penggalan teks lagu group band PADI.

Cara mengatasinya

Sebelum terinfeksi scan file-file yang mau masuk ke computer anda dengan anti virus yang telah mampu mengenali dan membasminya. Contohnya PC Media Antivirus.


Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
%d blogger menyukai ini: