Ok, Let’s GO!
Table Of Content:
Apakah itu SVCHOST.EXE? [TOC]
Svchost.exe merupakan file system dan penting dari sebuah system windows yang berfungsi sebagai “Generic Host Process for Win32 Services” atau yang mengurusi beberapa servis (services) penting pada windows, bahkan klo ditelusuri banyak sekali servis windows yang dilakukan oleh file penting ini, misalkan yang penting-penting:
-
Security Center
Memonitor sekuritas system dan konfigurasinya -
Windows Firewall
Mencegah masuknya aplikasi-aplikasi yang tidak diinginkan ke dalam sistem windows -
Workstation
membuat dan mengatur koneksi network clients ke remote server -
DHCP Client
Mengatur konfigurasi network dengan melakukan registrasi dan updating IP dan nama DNS -
dan berbagai macam servis penting lainnya, terutama servis untuk masalah inter koneksi (network)
Untuk melihat lebih banyak bisa dengan mengetikkan di kotak dialog RUN : services.msc [?:Help]
(silahkan gunakan program Ahlul Bridge Executor Protocol untuk melakukan eksekusi link agar memudahkan anda untuk mengikuti setia tutorial saya).
Nanti di console service tersebut bisa kita lihat service-service windows, nah silahkan di cek mana saja yang menggunakan SVCHOST.EXE (untuk diketahui saja tapi hati-hati jangan di stop servis-servis yang udah jalan, karena bisa menyebabkan malfungsi pada system)
Bagaimanakah ciri-ciri dari file SVCHOST.EXE yang asli. [TOC]
SVCHOST.EXE yang asli bercirikan sebagai berikut:
-
Bisa ditemukan di alamat: C:\WINDOWS\system32\svchost.exe
-
Mempunyai ukuran sekitra 14 KB.
-
Bertipekan aplication
-
Informasi Properties:
-
Description: Generic Host Process for Win32 Services
-
Company: Microsoft Corporation
-
Internal nam: svchost.exe
-
Original Filename: svchost.exe
-
Product name: Microsoft® Windows® Operating System
-
-
Icon berbentuk kotak putih ada bis biru di bagian atas.
Untuk jelasnya perhatikan gambar berikut:
Apakah jika di Task Manager ada lebih dari 6 SVHOST.EXE yang jalan apakah itu virus? [TOC]
Nah jika kita tadi menyimak pembahasan di atas ya tentu saja kita tidak bisa mematok berapa jumlah SVCHOST.EXE nya karena jumlahnya tergantung berapa service yang dijalankan windows menggunakan file SVCHOST.EXE, bisa 3 bisa 4 bahkan bisa 10 atau lebih.
Trus bagaimana memastikan itu virus atau bukan? [TOC]
Yap memang ada virus yang menyamar sama seperti nama SVCHOST.EXE sehingga sering kita dikelabui oleh trik ini. Jika dilihat di task manager hanya kelihatan nama programnya dan tanpa iconnya sehingga tentu sangat susah untuk memastikan itu virus atau tidak.
Nah oleh karena itu sekarang kita akan gunakan program “Task Manager Alternatif”, ini bisa didapatkan di dalam file download ANtivirus AVINDO di situs ini. Coba perhatikan gambar berikut:
Dengan Task Manager Alternatif kita bisa tentukan mana file svchost.exe yang sebenarnya mana yang bukan, karena pada program ini ditampilkan nama, ukuran, alamat, ukuran, dan tidak lupa iconnya sehingga kita memang bisa memastikannya.
Jika memang kita mendapati svchost.exe yang lain ya kita bisa mematikan atau menghapus dengan fasilitas yang ada di program Task Manager Alternatif.
Yap... Kan ga terlalu susah untuk memastikan apakah itu virus atau tidak….
Avindo ( Anti Virus Indonesia )
Salah satu antivirus karya lokal Indonesia yang dalam penggunaannya membutuhkan proses installasi. Pembuat AntiVirus inipun cukup populer, Mas Faradish, dengan antivirus kangen yang dulu sempat merebak di awal marak virus buatan lokal.
Instalasi
Secara umum cukup mudah, klik dua kali pada file installer kemudian ikuti langkah-langkahnya. Sebelum melanjutkan proses installasi anda disuguhi perjanjian bahwa anda tidak akan mengajukan komplain jika ternyata antivirus ini bermasalah dan di bawahnya himbauan bagi pengguna antivirus ini barangkali ada yang akan menyumbang dana secara sukarela ataupun mengisikan pulsa buat sang pembuat.
Bagian terakhir proses installasi anda akan diberikan pilihan menonaktifkan menu autorun juga untuk mereboot komputer anda.
Menu
Anda dapat mengakses beberapa sajian menu dari antivirus ini antara lain Tools, Antivirus, Cari Virus, Task Manager Alternatif, Update Database, Situs Promo, Situs Rujukan, dan Uninstall.
Di bagian Tools masih dibagi lagi menjadi New Dos Prompt, New Registry Editor, Startup Editor, dan Sys Fixer. Berikut penjelasan satu-per-satu
Tools: terdiri dari 4 fungsi tambahan
Antivirus: berfungsi untuk mengaktifkan antivirus ini secara real time
Cari Virus: berfungsi untuk proses pencarian virus (scan). Anda bisa mencari virus berdasarkan database antivirus ini atau dengan menambahnya secara manual.
Task Manager Alternatif: berfungsi layaknya task manager yaitu memonitor proses yang sedang berjalan didalam komputer.
Situs Promo dan Situs Rujukan: berisi situs sponsor dan situ sang pembuat
Uninstall: melepas aplikasi ini dari komputer anda
DOS prompt
Startup Editor
Task Manager
Scan
Tools
Ada 4 jenis yaitu
New Dos Prompt: layaknya dos prompt punya windows
New Registry Editor: hmm.. yang ini sepertinya hanya short cut ke menu regedit punya windows
Startup Editor: menyetel program-program yang berjalan secara otomatis ketika komputer dinyalakan, beberapa virus biasanya menempel disini.
Sys Fixer: pada tanpilannya tertulis 4 in 1 yaitu merubah username komputer, menghapus semua policies di windows, normalkan registry, normalkan ekstensi, hapus logo (biasanya di properties my computer) kemudian di bawahnya ada fasilitas munculkan file dan folder tersembunyi dan memulihkan file eksekusi.
Secara umum bisa dikatakan antivirus ini plus plus. Plus tools yang biasanya berguna jika komputer anda terlanjur terkena virus. Oh ya satu lagi antivirus ini terintegrasi kedalam explorer sehingga anda bisa men-scan folder hanya dengan mengklik kanan dan pilih cari virus.
Kekurangan: algoritma pencarian virus yang biasa, tampilannya terlalu sederhana dan setiap menu menggunakan angka-angka, proses uninstall yang tidak tuntas sehingga beberapa registry antivirus ini masih tertinggal.
Data lain:
Pembuat: Ahlul Faradish Resha
Situs: http://ahlul.web.id
Modul yang digunakan: 38 buah
latest worm
Worm merupakan salah satu program yang berusaha memperbanyak dirinya sendiri dalam sebuah jaringan. sebuah worm tentunya berbeda dengan virus. Kalau virus membutuhkan bantuan host program untuk running, kalau worm tidak, karena worm dapat memeperbanyak dirinya tanpa host program.
Worm sendiri menurut penyebarannnya dapat dibagi ke dalam beberap kategori yaitu :
Email Worms
Penyebaran worm ini melalui email. Bisa saja tertanam dalam sebuah attachment file ataupun terdapat alamat link website yang sudah terinfeksi oleh worm.
Beberapa metode penyebarannya:
- MS Outlook services
- Direct connection to SMTP servers using their own SMTP API
- Windows MAPI functions
Instant Messaging Worms
Penyebarannya melalui instant messaging, berupa Yahoo Messanger, MSN Messanger ataupun GTalk.
Internet Worms
Ini merupakan yang paling berbahaya. Karena worm ini dapat masuk ke komputer dan bisa saja mengakses sepenuhnya terhadap komputer yang telah terinfeksi.
IRC Worms
penyebarannya melaui chat.
File-sharing Networks Worms
Penyebarannya melalui proses mengcopy dirinya ke dalam forlder yang di share.
berikut ini merupakan beberapa worm yang pernah menjadi catatan panjang di dunia worm:
- Morris Worm (1988)
- Slammer Worm (2003), used a vulnerability in Microsoft SQL Server 2000 to spread itself across the Internet.
- The Blaster Worm (2003), used a vulnerability in Microsoft DCOM RPC to spread itself.
- The Melissa worm (1999)
- The Sobig worms (2003)
- the Mydoom worm (2004), spread through e-mail
Dari beberapa di atas sekarang terdapat worm yang lain yang terbaru yaitu :
| |
Chode911 | |
aka 911 virus - Firkin | |
| |
CodeRed | |
aka W32.Bady | |
CodeRed.C | |
aka W32.Bady.C | |
CodeRed.F | |
aka W32.Bady.F | |
Creative | |
aka Prolin | |
I.Worm.MTX | |
aka MTX | |
JS.Coolsite.A | |
aka Coolsite - JS.Exception.Exploit | |
PrettyPark | |
Qaz.A | |
aka Woem.Qaz - W32.HLLW.Qaz | |
VBS/Bubbleboy | |
aka Seinfeld | |
| |
VBS/Cartolina | |
aka VBS/Loveletter.CD | |
| |
VBS/Fireburn.A | |
aka Fireburn | |
| |
VBS/Freelink | |
aka Freelinks | |
| |
VBS.Haptime.A | |
aka VBS.Happytime - Happytime | |
VBS/Hard.A | |
aka Hard-A | |
VBS/Irok | |
aka Irok | |
| |
VBS/Kakworm | |
aka Kak | |
| |
VBS/Loveletter | |
VBS/Loveletter.CN | |
aka Jennifer Lopez | |
VBS/Monopoly | |
aka Monopoly | |
| |
| |
VBS.Noped.A | |
aka Noped.A | |
VBS.Potok.A | |
aka VBS.Stream | |
VBS/OnTheFly | |
aka Anna Kournikova | |
VBS/Stages.A | |
aka LifeStages | |
VBS/Staple.a | |
aka VBS/Staple.Worm - Staple.A | |
VBS/Tune | |
aka Tune | |
VBS.VBSWG.AQ | |
aka Shakira | |
VBS/VBSWG.X | |
aka VBSWG.X aka Homepage | |
VBS/VBSWG2.Z | |
aka Mawanella | |
VBS/Vierika | |
W32.Aliz | |
aka Aliz.A | |
W32.Anset.Worm | |
aka Ants | |
W32.Aplore | |
aka W32.Aphex | |
W32.Atak.F[H/I] | |
aka W32.Atak | |
W32.Atram | |
aka W32.Porkis - W32.Storiel | |
W32.Badtrans | |
aka I-Worm.Badtrans - Badtrans | |
W32.Badtrans.B | |
aka I-Worm.Badtrans.B - Badtrans.B | |
W32.Beagle A/B/C/E/F/G/H/I/J/K/N/P/Q/ | |
R/S/T/U/V/W/X/Y/Z/AB/AC/AF/AG/AH/AI/ | |
AL/AM/AO/AQ/AR/AS/AT/AU/AV/AY/AZ | |
DQ/DX/FB/FF/FN | |
aka Bagle | |
Sunday, 2 November 2008
Virus/Trojan ARP
Berdasarkan informasi dari vaksin.com, virus ARP ini sudah masuk dalam jaringan intranet di Indonesia dan merupakan virus yang berasal dari Cina. Virus ini memiliki kemampuan memalsukan MAC Address router / proxy sehingga seluruh komputer intranet yang terhubung ke internet melalui proxy akan dikelabui untuk melewati komputer yang terinfeksi virus dan celakanya komputer yang terinfeksi virus ini akan meneruskan akses router ini (transparent proxy) sambil “menitipkan” satu link download yang berisi virus. Praktis pengakses internet dalam jaringan akan mendapatkan kiriman virus setiap kali membuka browser. Sehingga virus dikirimkan ke seluruh komputer dalam jaringan, melalui browser, baik IE, Firefox maupun Opera.
Kebanyakan korbannya tidak menyadari. Biasanya korban mulai menyadari kalau masalahnya sudah cukup besar seperti tahu-tahu jaringannya jadi lambat dan setiap kali menyalakan komputer dimana komputer akan otomatis mengaktifkan Yahoo Messenger, MSN Messenger atau aplikasi apapun yang mengaktifkan Javascript browser maka akan mendapatkan pesan error.
Selain itu virus ini juga telah menginfeksi jaringan UGM, contoh kasus yang kami hadapi di beberapa tempat migrasi seperti Rektorat UGM, Fakultas Ilmu Budaya, dan LPPT UGM. Saat melakukan scanning virus terdeteksi Trojan horse Downloader.Generic7.ORH (AVG Antivirus). Virus ARP ini membuat beberapa situs tidak dapat diakses, khususnya situs dibawah domain .ugm.ac.id
Indikasi
1. Jaringan intranet menjadi lambat
2. Yahoo Messenger anda mendapatkan pesan “An error has occured in the script on this page”
ym-error
3. Beberapa situs tidak dapat di akses, hanya muncul header saja (dalam kasus di UGM, situs-situs di bawah domain ugm tidak dapat diakses, dan juga friendster.com)
4. Jika anda melihat “view source” maka akan manampilkan salah satu dari domain-domain berikut : mx.content-type.cn, ad.5iyy.info, dsb.
view-source-virus-arp
5. Pada server, akan terjadi perubahan MAC Address.
mac-spoof
Detail teknis penyebaran Virus ARP
Sumber : http://securitylabs.websense.com/content/Blogs/2885.aspx
Virus arp spoofing menjangkiti komputer dengan sistem operasi Windows. Komputer yang memiliki virus arp akan menjadi komputer penyerang. Selanjutnya PC yang menjadi penyerang akan melakukan broadcast arp secara massif keseluruh PC yang berada dalam satu jaringan.
Gambar dibawah adalah alamat gateway yang benar
Ketika pc yang terinfeksi virus melakukan poisoning arp ke seluruh pc dalam satu jaringan, terlihat alamat MAC gateway pada pc korban berubah.
Gambar dibawah menunjukkan tabel arp pada pc korban. Terlihat alamat mac gateway menjadi sama dengan alamat mac pc penyerang
Ketika jaringan sudah terinfeksi dengan alamat Mac gateway baru, semua traffik http akan melalui gateway palsu tersebut, tentu saja gateway baru itu akan menyisipkan script jahat untuk mereka (sniffing) semua informasi yang lewat.
Berikut keterangan langkah2 yang terjadi seperti pada gambar diatas:
Langkah pertama, PC yang terkena virus akan melakukan broadcast paket arp spoofing “saya adalah gateway”
Langkah kedua, setiap PC yang berada dalam satu subnet akan menerima paket arp spoofing dan melakukan update table arp pada PC masing-masing. Sampai tahap ini, arp cache pada PC korban berhasil.
Langkah ketiga, PC yang menjadi korban akan mengakses internet (http port 80) melalui mesin gateway baru, kemudian mesin yang terjangkit virus tersebut akan meneruskan paket http ke gateway sebenarnya (mesin yang terjangkit virus menggunakan Net Driver, untuk menangkap traffic jaringan)
Langkah keempat, gateway palsu menyisipkan kode jahat untuk respon http yang berasal dari gateway asli. Kemudian mengirimkannya ke PC korban
Pada gambar dibawah terlihat virus yang menyisipkan link kode jahat
Dengan data yang telah didapat oelh virus, kemudian virus dapat melakukan scanning jaringan lokal dan mengirimkan paket arp spoofing ke seluruh mesin pada jaringan lokal tersebut.
Berikut adalah fungsi yang dijalankan oleh virus pada mesin yang terinfeksi
Pada kode diatas, virus memanggil file dll iphlpapi.dll untuk mengambil informasi jaringan lokal. Ketika virus berhasil mendapatkan informasi tersebut, kemudian ia akan membuat paket arp spoofing. Berikut detail kode yang dilakukan:
Selanjutnya virus menggunakan WinCap untuk menangkap semua http request dan menyisipkan kode jahat (sniffer) pada http response.
Berikut contoh kode jahat yang sampai ke PC korban
view-source-virus-arp
Bahaya
Untuk PC yang menggunakan Windows, sekilas tidak tampak diserang. Gejala yang timbul biasa internet http terasa sangat lambat dan muncul alamat domain tertentu pada browser. Namun internet tetap jalan meskipun terkesan lambat.
Tentu saja, semua informasi yang kita tuliskan, termasuk password, username, dan aktivitas penting lainnya akan direkam dan dikirim oleh virus kedalam database hacker yang sewaktu-waktu dapat dimanfaatkan untuk kepentingan yang tidak bertanggung jawab.
Linux aman, tapi…
Untuk PC yang menggunakan Linux, tabel ARP pada sistem juga akan berubah. Untungnya Linux tidak dapat mengeksekusi kode jahat tersebut, sehingga secara data. PC Linux aman dari aktivitas data mining karena virus tidak dapat mempengaruhi Linux.
Namun secara jaringan, PC yang menggunakan Linux jaringan http seolah2 tidak terkoneksi atau request http tidak dapat di respon oleh gateway, karena teracuni oleh alamat gateway palu. Sedangkan koneksi lainnya seperti https, ssh dan ftp atau ftps masih dapat dilakukan dan aman dari aktivitas virus.
Penanggulangan
Solusi sementara yang bisa dilakukan agar pc tidak terserang paket arp adalah dengan membuat arp statis untuk mac gateway pada tabel arp.
Namun kenyataan dilapangan arp statis belum mampu 100% menyelesaikan masalah dilapangan, karena serangan broadcast arp yang begitu banyak menyebabkan tabel arp menjadi flip-flop.
Cara paling efektif ya memutus jaringan pc yang terinfeksi virus arp. Dan membersihkannya sampai tuntas. Dalam kasus di ugm artinya semua komputer Windows :))
Berdasarkan informasi vaksin.com juga, ada beberapa hal yang perlu dilakukan untuk mengatasi masalah virus ARP ini :
1. Update Windows XP ke SP3
2. Menggunakan Manageable Switch
3. Melakukan pembersihan secara manual pada seluruh komputer Windows yang terkoneksi jaringan.
Referensi :
http://vaksin.com/2008/0608/microsoft2/arp-spoofing.html
http://vaksin.com/2008/0708/laporan-seminar/Laporan-seminar-ARP-Spoofing.html
http://securitylabs.websense.com/content/Blogs/2885.aspx
Sumber : ugos.ugm.ac.id
Friday, 17 October 2008
Top 10 Virus, Oktober 2008
Virus yang masuk dalam Top-10 periode lalu, beberapa masih mendominasi di bulan ini, hanya terjadi pergeseran peringkat pada beberapa virus. Selain itu, ada dua virus baru yang masuk dalam peringkat sepuluh besar kali ini yakni Zifoe dan Tiara-Alimah. Virus Zifoe masih menggunakan teknik sederhana dengan menirukan dirinya sebagai sebuah folder. Sementara untuk virus Tiara-Alimah, ia dapat menginfeksi file .DOC Anda. Maka dari itu, selalu waspada dari serangan virus, dan jangan mudah tertipu olehnya. Berikut daftar selengkapnya:
1. GadiHot
Jika Anda masih ingat dengan virus Tati, GadiHot menggunakan teknik yang sama dalam pembuatannya. Virus Tati dibuat menggunakan program semacam automation scripting, yang di compile hingga menjadi sebuah executable. Virus yang memiliki icon mirip dengan folder ini saat menginfeksi akan membuat beberapa file induk pada direktori Windows dan direktori di bawahnya dengan nama file seperti servicess.exe. Sistem320.exe. Seperti halnya virus yang meniru folder, pasti ia akan membuat folder gadungan. Salah satunya, virus ini akan membuat sebuah file dengan nama GadisHot.SCR dan New Folder.SCR pada root drive. Selain itu, ia pun akan membuat file autorun.inf di setiap drive yang ia temui. Pada root drive C, juga dapat ditemukan sebuah file dengan nama READY TO READ.txt yang merupakan file pesan dari sang virus.
2. Windx-Maxtrox
Virus yang dibuat dengan Visual Basic ini memiliki ukuran tubuh asli sekitar 77Kb, tanpa di-pack. Virus yang diduga kuat berasal dari daerah Sulawesi Utara ini memiliki kemampuan infeksi file executable. Tepatnya, ia akan menginfeksi program yang ada di direktori Program Files. Teknik infeksi yang cukup cerdik ia terapkan untuk menghindari pendeteksian engine heuristic dari antivirus. Ciri khas yang dapat dikenali pada komputer terinfeksi adalah berubahnya gambar wallpaper dari desktop menjadi gambar animasi, Maxtrox.
3. Virgear
Ia hadir dengan icon yang mirip dengan file multimedia milik WinAmp. Varian B memiliki ukuran file 49.152 bytes, tanpa di-pack. Sementara itu, varian C yang kami temukan, memiliki ukuran file sebesar 19.968 bytes, dan di-pack menggunakan UPX. Seperti yang lalu, ia akan menggantikan seluruh file multimedia yang ia temukan seperti MP3, 3GP, AVI, WMV, ASF, MPG, MPEG, MP4, pada komputer korban dengan dirinya sendiri, dengan menggunakan nama yang hampir sama, hanya ditambahkan extension .EXE di akhirnya. Virus ini juga akan mengubah setingan di registry untuk mendukung kelangsungan hidupnya, seperti menyembunyikan Folder Options, mem-blok Regedit, System Restore, dan lainnya. Diketahui, Virgear juga mencoba untuk mem-blok antivirus dan virus lain. Untuk itu, rename (ubah nama) dari PCMAV-CLN.exe sebelum Anda menggunakannya, misalkan menjadi 123456.exe. Dan, pada komputer terinfeksi, ia akan menampilkan kalimat “++++ Makanya jangan handak buka BF ja, neh rasain oleh2 dari amang hacker ++++” pada caption Internet Explorer.
4. Koplax
Virus berukuran sebesar 31.232 bytes ini menggunakan icon mirip seperti file multimedia, tepatnya milik Media Player Classic. Ia dibuat menggunakan Visual Basic, dan di-pack menggunakan ASPack. Jika komputer terinfeksi virus ini, akan banyak sekali duplikat file virus yang dapat Anda temukan di setiap sudut direktori harddisk maupun flashdisk Anda. Selain itu, akan terdapat beberapa pesan dari si pembuat virus yang salah satunya terdapat pada root drive dengan nama “A Letter 4 Ghe@.txt”.
5. HelloBaby
Saat menyebar, ia akan membuat file Desktop.ini dan autorun.inf dengan attribut hidden dan system. File tersebut akan disebarnya ke setiap drive yang ia temukan pada komputer terinfeksi. Ia juga akan berusaha untuk menyebarkan dirinya pada jaringan setempat dengan sebelumnya telah mematikan fasilitas firewall milik Windows. Pada komputer terinfeksi, akan terdapat beberapa file induk virus. Diantaranya, pada direktori System32, akan ada file dengan nama wmiprvse.exe dan mgrShell.exe, lalu file inti ini akan men-drop file lainnya dari dalam tubuhnya pada direktori Temp dengan nama ctfmon.exe dan pada direktori Windows dengan nama svchost.exe. Dan untuk mempercepat aksi penyebarannya, virus ini pun men-set registry NoDriveTypeAutoRun agar mendukung autorun pada floppy disk.
6. Zifoe
Satu lagi virus lokal yang memanfaatkan icon folder sebagai media penyamarannya. Zifoe, begitulah PCMAV mengenal virus ini. Ia dibuat menggunakan Visual Basic dengan ukuran tubuh sebesar 40.960 bytes, tanpa di-pack. Virus ini akan membuat beberapa tiruan folder. Pada komputer terinfeksi, akan terdapat direktori baru yang ia beri nama indomuzic yang berisi pesan dari si pembuat virus, yakni tentang saya.txt.
7. Tiara-Alimah
Virus yang satu ini memiliki icon mirip dengan dokumen Microsoft Word. Ia memiliki ukuran sekitar 107KB, dalam kondisi di-pack menggunakan tElock. Virus ini diketahui dapat menginfeksi dokumen Word atau .DOC. Dan file .DOC yang telah ia infeksi akan memiliki extension .SCR yang sebenarnya merupakan file executable.
8. Autorunme
Virus yang bukan produksi programer lokal ini memiliki ukuran sebesar 26.835 bytes, dan diperkirakan di-pack menggunakan PECompact. Ia tidak memiliki icon, hanya menggunakan icon standar applications dari Windows. Saat menginfeksi, ia mencoba untuk menanamkan file induknya pada direktori C:\Windows\System dengan nama msvc32s.exe dan dengan attribut hidden dan system, serta membuat autorun baru di registry dengan nama “Windows msvc Control Centers”. Virus yang dapat menyebar melalui media penyimpan data seperti flash disk ini juga dapat menyebar melalui aplikasi Instant Messaging. Pada flash disk, ia akan membuat folder tiruan Recycle Bin yang berisi file dengan nama autorunme.exe, lalu mengarahkan autorun.inf untuk menjalankan file virus tersebut. Jadi, saat user mencolokan flash disk tersebut lalu mengakses drive yang dimaksud, virus tersebut akan aktif.
9. Microso
Virus ini hadir dengan 3 buah file, yakni MicroSoft.pif, MicroSoft.bat, dan MicroSoft.vbs. Ketiga file tersebut saling terkait. Namun, ada satu file yang merupakan induk dari ketiganya, yakni MicroSoft.pif. Ia memiliki ukuran file sebesar 18.432 bytes. Virus luar ini saat beraksi akan mengeluarkan beberapa file .DLL dari dalam tubuhnya yakni Jview.dll dan AcXtrnel.dll yang akan mencoba aktif dengan menginjeksikan pada explorer.exe atau dijalankan melalui Rundll32.exe.
10. Allya.vbs
Virus jenis VBScript ini memiliki ukuran file sebesar 6030 bytes. Saat menginfeksi, dia akan menanamkan file induknya pada direktori Windows dengan nama Thumbs.vbs. Dan dia akan membuat autorun di registry pada HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avctrl. Virus ini juga akan mencoba meng-copy-kan dirinya pada drive flashdisk dengan nama file Thumbs.vbs dan autorun.inf. Jika user mencoba melihat isi file VBS virus, di bagian atas hanya akan terlihat tulisan “‘MICROSOFT WINDOWS SYSTEM DRIVER”, yang disertai banyak enter. Namun jika di-scroll terus ke bawah, baru akan terlihat kode virus sebenarnya.
Sumber : http://virusindonesia.com/2008/10/07/top-10-virus-oktober-2008/#more-310
Sunday, 3 August 2008
Top 10 Virus, Juli 2008
1. Quick
Tampilan file virus Quick yang menyerupai file video.Virus berlambangkan mirip file video ini memiliki ukuran tubuh yang cukup kecil, yakni 19.456 bytes, dalam keadaan terkompresi menggunakan UPX. Pada komputer terinfeksi, di root drive system (C:) akan terdapat file induk virus dengan nama seperti ccinfo.exe, readme.txt, version.sys, windriver.exe, stba_cihampelas.3gp.exe, 3gp.sys, dan masih banyak lagi yang lainnya.
2. Kalong.vbs.E
Potongan tubuh virus Kalong.vbs.E. Virus jenis VBScript ini telah lumayan lama malang melintang. Kini muncul varian terbaru dari virus ini yang dikenal dengan Kalong.vbs.E. Virus yang memiliki ukuran tubuh sebesar 5.908 bytes ini, dalam aksinya akan membuat file autorun.inf di setiap root drive yang ia temukan, tentunya untuk mempermudahnya dalam melakukan penyebaran. Selain file itu, Anda juga akan menemukan file dengan nama k4l0n62.sys.vbs, tentunya dengan attribut hidden. Pada komputer terinfeksi, ia pun akan menampakan kehadirannya pada caption Internet Explorer, dengan mengubahnya menjadi kata-kata cacian berbau pornografi.
3. Euis.B
Pesan yang ditampilkan virus Euis.B pada komputer terinfeksi.Virus berlogokan lambang hati ini dibuat menggunakan Visual Basic, memiliki ukuran tubuh yang cukup besar, sekitar 1.929.216 bytes, atau 1,8Mb tanpa di-compress.Pada komputer terinfeksi, layar komputer Anda terkadang akan dipenuhi dengan message box yang bertuliskan “System Halted by Anti Spam of Siantar ! Contact service provider !”.
4. Ninta
Wujud file virus Ninta yang terlihat pada Windows Explorer.Virus lokal yang menggunakan icon mirip file aplikasi Microsoft Word ini dibuat menggunakan Visual Basic. Ia memiliki ukuran tubuh sekitar 53.248 bytes tanpa di-packer. Saat komputer terinfeksi oleh virus ini, pada direktori System32 akan terdapat sebuah direktori baru lagi dengan nama F41 yang sebenarnya ber-attribut hidden. Pada direktori tersebut akan terdapat 2 buah file, yang pertama svchost.exe yang tak lain merupakan file induk virus, dan satu lagi adalah file MSVBVM60.dll. Kedua file ini juga dengan attribut hidden. Ia juga akan mencoba membuat file autorun.inf dan explorer.exe di setiap drive dan akan mem-blok akses ke Command Prompt, Find/Search, dan beberapa aplikasi lainnya yang memiliki caption seperti Process Viewer.
5. Godham
Akan ada tulisan Virus yang memiliki ukuran sekitar 260Kb, murni tanpa di-packing ini dibuat menggunakan Visual Basic. Ia dapat merusak file-file Anda dengan menginfeksinya. File yang dapat ia infeksi adalah file gambar dengan extension .JPG dan file dokumen Word .DOC. Ia pun memiliki kemampuan untuk mengubah iconnya mengikuti file yang sedang diinfeksikannya, menjadi seperti file gambar, file dokumen Word, atau mirip folder. Virus ini akan menampakan diri dengan menampilkan tulisan “Ilegal program…….” pada aplikasi yang tidak diinginkannya. Dan jika pada properties file, di bagian Version Information terdapat kata-kata “Thank’s try is program is fun “GODHAM”“.
6. Marsand
Beberapa file induk Virus Marsand yang terdapat di direktori Windows. Memiliki icon yang mirip dengan file gambar atau JPEG. Itulah virus Marsand, yang dibuat menggunakan Visual Basic, dan memiliki ukuran tubuh sebesar 36.864 bytes tanpa di-packer. Pada komputer terinfeksi, akan terdapat beberapa file induk virus pada direktori Windows dengan nama antara lain seperti, Marsanda.exe, serina.exe, dan BukitMerapin%.exe. Virus ini pun akan membatasi ruang gerak user dengan memanipulasi Registry Windows seperti menghilangkan menu Run dan Folder Options.
7. Alzheim
Virus Alzheim menampakan kehadirannya pada System Properties.Virus yang memiliki ukuran tubuh sebesar 339.968 bytes ini dibuat menggunakan Visual Basic. Ia menggunakan icon mirip seperti file video yang biasanya digunakan oleh aplikasi Media Player Classic. Virus ini akan membuat beberapa file virus penggoda dengan nama-nama seperti anak SMU.exe, sexyvb.exe, smu purwokerto.exe, atau Cewek perawan.exe. Virus ini juga memblokir beberapa program yang ia anggap berbahaya, contohnya Regedit.exe. Jika user memaksa untuk menjalankannya, maka akan muncul pesan “Can not open this program. Your system maybe has been changed.”.
8. Ang.vbs.B
Virus Ang.vbs.B menghapus default caption dari Internet Explorer. Virus jenis VBScript ini memiliki ukuran file sebesar 7.292 bytes. Ia akan menginfeksi registry userinit untuk dapat running otomatis. Pada komputer terinfeksi, ia pun akan menghapus default caption dan URL pada Internet Explorer. Dan tak lupa ia juga menciptakan file autorun.inf pada drive yang ada untuk memudahkannya dalam menyebarkan diri.
9. VCybe
File pesan dari sang pembuat virus VCybe.
Memiliki ukuran file sebesar 162.304, terkompresi menggunakan UPX. Virus yang berlambangkan mirip seperti aplikasi Microsoft Word ini juga dibuat menggunakan Visual Basic. Pada komputer terinfeksi, akan terdapat file VCybe.txt pada root drive atau pada direktori Windows. Beberapa fitur windows pun ia blokir, seperti contohnya Folder Options, Regedit, Command Prompt, dan Task Manager.
10. Discusx.vbs.B
Discusx.vbs mengubah title dari Internet Explorer.Tidak ada perbedaan jauh antara varian yang satu ini dengan yang sebelumnya. Dia akan mencoba menginfeksi di beberapa drive di komputer Anda, termasuk drive flash disk, yang jika terinfeksi akan membuat file autorun.inf dan System32.sys.vbs pada root drive tersebut. Selain itu, ia pun akan mengubah caption dari Internet Explorer menjadi “.::Discus-X SAY MET LEBARAN! [HAPPY LEBARAN ?!]::.”.
Aku kutip artikel ini dari sini.
Look Trojan
Kali ini yang ingin aku tampilkan adalah aplikasi untuk mendeteksi serangan trojan yang mungkin menyerang workstation atau komputer yang kita pakai. Yaitu Look Trojan.
Antivirus ini dipergunakan untuk memprotect masuknya trojan, virus dan spyware dalam PC anda. Look Trojan sangat tepat untuk pengamanan terhadap software yang telah terinstall dan sekaligus protecting masuknya virus maupun spyware ke dalam sistem komputer. Selain itu juga dapat melakukan detect terhadap hackers, adware, keyloggers dan lainnya. Setelah antivirus ini diinstall, maka secara otomatis dapat memantau setiap access file yang terdeteksi memiliki trojan, spyware ataupun virus lainnya. Antivirus ini juga menyediakan automatic update secara online. Keunggulan lainnya adalah dapat melakukan block terhadap virus dari situs web dan virus berbahasa Spript. Pengaturan untuk scanning juga dapat dilakukan secara otomatis dengan waktu yang lebih spesifik. Untuk download silakan klik disini.
Monday, 30 June 2008
Mengakali Kapersky Anti Virus yang di blacklist
Cara pertama:
- Uninstall kaspersky antivirus anda
- restart
- buka regedit (start-run-ketik regedit)
kemudia cari file2 berikut ini
HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Ka spersky Anti-Virus
HKEY_CURRENT_USER\Software\KasperskyLab
HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab
HKEY_USERS\.DEFAULT\Software\KasperskyLab
Di delete semua reg yg diatas!!!
- Downlaod dulu file update dari web kaspersky
Update versi 5.0,6.0,7.0 :
http://dnl-eu5.kaspersky-labs.com/zips/av-i386-cumul.zip (Total)
http://dnl-eu5.kaspersky-labs.com/zips/av-i386-weekly.zip (Minggu ini)
http://dnl-eu5.kaspersky-labs.com/zips/av-i386-daily.zip (per 3 Hari)
Buka file zip tersebut kemudian cari file yg bernama black.lst dan blst-xxxxg.xml <– delete file tersebut - install kav anda dan ingat jgn langsng diupdate (settingan update anda buat jadi manual) kemudia apply key yg sudah anda punya atau anda bisa download dari sini http://www.ziddu.com/download.php?uid=ba2ampmrb7ChnOKnaKqhkZSrZaufl5yo8 (Berlaku sampai April 2009) anda bisa cari lagi key yg sampai 2010 sendiri di web2 lain.. saya belum sempet cari lagi.. Note: jangan pernah anda menekan tombol update walaupun sudah di setting manual - Restart comp anda - Setelah masuk windows lagi kemudian anda restart lagi dan masuk safe mode (tekan F8 selagi boot) - Sesudah masuk safe mode buka C:\Documents and Settings\All Users\Application Data\Kaspersky Lab\AVP7\Bases DAN extract file update yg anda download tadi.. dimulai dari CUMU, WEEKLY dan yg terakhir DAILY NOTE: untuk melakukan update keesok harinya anda tinggal downlaod yg daily/ weekly. dan update hanya bisa di copy paste di safe mode - restart - FINISH
Tidak ada komentar:
Posting Komentar