4 Tahap Cara Mengusir Antivirus Gadungan 

Saat ini ada 304 antivirus gadungan yang terdeteksi beredar dan menginfeksi ribuan komputer di Indonesia. Selain lewat flashdisk, virus ini dapat menyebar melalui e-mail dengan mengirim pesan palsu berisi attachment.

Virus beraksi dengan memberikan sebuah pesan palsu yang menyerupai program Windows, yang seolah-olah memberitahu bahwa di komputer Anda terdapat spyware/virus, lalu menginstal program antispyware palsu yaitu 'XP AntiSpyware 2009'.
Untuk membersihkannya, ada beberapa langkah yang perlu dilakukan. Ini dia caranya:


1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan.
2. Scan komputer Anda dengan menggunakan removal tool. Anda dapat menggunakan removal tool dari Norman untuk membersihkannya (dapat anda download di sini

http://download.norman.no/public/Nor...re_Cleaner.exe

3. Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini.

[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell \open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell \open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell \open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell \open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell \open\command,,,"regedit.exe ""%1"""
HKLM, Software\CLASSES\scrfile\shell \open\command,,,"""%1"" %*"
HKCU, Software\Microsoft\Internet Explorer\Main, Search Bar, 0
HKCU, Software\Microsoft\Internet Explorer\Main, Search Page, 0
HKCU, Software\Microsoft\Internet Explorer\Main, Start Page, 0
HKLM, SOFTWARE\Microsoft\Internet Explorer\Main, Default_Search_URL, 0
HKLM, SOFTWARE\Microsoft\Internet Explorer\Main, Search Page, 0
HKLM, SOFTWARE\Microsoft\Internet Explorer\Main, Start Page, 0
HKLM, SOFTWARE\Microsoft\Internet Explorer\Search, SearchAssistant, 0
HKLM, SOFTWARE\Microsoft\Security Center, AntiVirusDisableNotify, 0
HKLM, SOFTWARE\Microsoft\Security Center, FirewallDisableNotify, 0
HKLM, SOFTWARE\Microsoft\Security Center, UpdateDisableNotify, 0
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs, 0
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

[del]
HKCU, Software\Microsoft\Windows\Cur rentVersion\Run, braviax
HKLM, SOFTWARE\Microsoft\Windows\Cur rentVersion\Run, braviax
HKLM, SOFTWARE\Microsoft\Windows\Cur rentVersion\Run, brastk
HKCU, Software\Microsoft\Windows\Cur rentVersion\Explorer\MountPoin ts2, {706ab86c-937e-11dd-a04c-000c290bc510}
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Executions Options, Explorer.exe

Gunakan notepad, kemudian simpan dengan nama "Repair.inf" (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan). Jalankan repair.inf dengan klik kanan, kemudian pilih install. Sebaiknya membuat file repair.inf di komputer yang clean, agar virus tidak aktif kembali.

4. Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya gunakan antivirus yang terupdate dan mengenali seluruh file instalasi virus ini dengan baik.

Jangan Bunuh Saya Biarkan Saya Hidup Di Komputer Anda. Saya Sudah Tidak Punya Tempat Lagi Untuk Hidup. Saya Tidak Mengganggu System Anda Terima Kasih.
Salam Bocah Ndeso.
Sragen L0r0471 Community

Demikianlah pesan yang ditampilan virus lokal di komputer yang terinfeksi. Meski penyebaran virus komputer di Tanah Air akhir-akhir ini masih didominasi virus mancanegara, masih ada juga pembuat virus lokal yang unjuk gigi.

Sesuai jejak yang ditinggalkan, "Virus Patah Hati Buatan Sragen", ini mengusung kisah asmara sebagai motif penyebaran. Seperti khas virus-virus lokal sebelumnya, pelaku patah hati ditinggal pujaan hatinya dan memanfaatkan media penyebaran ini untuk mengungkapkan uneg-unegnya.

Virus yang dikenal dengan nama W32/VBInject.MF itu akan menampilkan pesan baik pada saat komputer booting atau pada waktu yang telah ditentukan. Untuk menampilkan pesan tersebut, ia akan menjalankan file yang berada di direktori "C:-Windows-system32-Windows.vbs" yang menampilkan tulisan sebagai berikut:

Titip Salam buat RIDWAN DAN NITA.

Selamat Buat Kalian Berdua
Semoga Bahagia Sepanjang Masa
Bahagia Dunia Akherat.
Buat RIDWAN Jaga Dia Baik-baik Jangan Kecewakan Dia, Awas Kalau Macam-macam, Jangan Nyerah.
Buat Anita D.N. Jadilah Istri Yang Baik, Patuh Terhadap Suami, Setia, Satu Lagi NRIMO.
Buat Kalian Berdua Tidak Usah Kawatir Aku Bukan Orang Yang Suka Mengganggu Pasangan Orang Lain Tenang Saja.
Meskipun Masih Pacaran Atau Belum Ada JANUR MELENGKUNG.

Selain menampilkan pesan di atas, ia juga akan meninggalkan jejak lain dengan menambahkan informasi pada system properties Windows dengan membuat file yang di simpan di direktori "C:-Windows-system32-oeminfo.ini" dengan pesan ini:

Mengenang Tragedi Palang Sepor.

Selamat Buat Kalian Berdua Jadilah.
Yang Terbaik Semoga Bahagia Dunia Akherat.
Banyak Rejeki Banyak Anak Amin

Sragen, 21 Juli 2008 Good Luck !

Virus juga akan membuat pesan yang akan di tuangkan pada sebuah file yang akan di simpan di beberapa tempat "%Drive%:-L0r0471.doc & C:-Documents and Settings-All Users-Desktop-L0r0471.doc (%Drive% menunjukan lokasi Drive) yang berupa dokumen berisi pesan cintanya.

Virus ini berukuran 232 KB dan menggunakan bahasa pemrograman Visual Basic. Untuk mengelabui target komputer yang diinfeksi, virus menyertakan ikon gambar bunga dan file aplikasi yang dinamai seolah program permainan SexyGame, GameHouse dari KraiSoft Entertainment.

Secara umum, virus ini tergolong virus jinak karena tidak melakukan perusakan terhadap data, tetapi virus ini cukup merepotkan dan menyebabkan komputer korban menjadi lambat karena ia akan mengaktifkan dirinya serta menampilkan pesan secara otomatis pada waktu yang telah ditentukan.

Sebagai bentuk pertahanan ia akan mematikan beberapa fungsi Windows yang terkenal seperri Task Manager, Regedit, System Restore ataupun Folder Options serta blok akses Safe Mode serta Safe Mode with Command Prompt. Hal yang melegakan karena virus ini tidak akan menyembunyikan atau menghapus file baik yang berada di Hard Disk maupun di Flash Disk.

Untuk menyebarkan dirinya, ia akan mengggunakan media flash disk (UFD) atau removable disk dengan membuat 2 buah file dengan nama file "SexyGame.exe" dan Autorun.inf. File Autorun ini sendiri digunakan untuk mengaktifkan file "SexyGame.exe" secara otomastis pada saat user mengakses "flash disk".

Makin maraknya penyebaran virus baik lokal maupun mancanegara, mau tak mau memaksa user harus menginstal software antivirus. Sayangnya, banyak user yang pengetahuannya tentang perkembangan virus dan antivirus itu sendiri masih sangat awam sehingga mudah dijebak oleh virus.

Kasus terbaru menyebutkan, sebuah varian virus bernama W32/Bredolab.GY terdeteksi menyamar sebagai antivirus dan mendomplengi software antivirus besutan Microsoft. Antivirus palsu tersebut dikenali oleh Norman Security Suite sebagai W32/FakeAV.

Virus ini mempunyai tugas untuk membuka port dan melakukan koneksi ke website yang telah ditentukan kemudian men-download Trojan/virus lain. Virus ini juga akan mendownload dan menginstall sebuah program antivirus palsu dengan nama “Security Essentials 2010″ secara otomatis, memakai nama yang hampir sama dengan antivirus besutan Microsoft yaitu “Microsoft Security Essentials. Perbedaannya terdapat dari segi tampilan.

Selain itu untuk mendapatkan versi full dari program “Security Essentials 2010″ ini, Anda akan ditawarkan untuk melakukan pembelian terlebih dahulu. Padahal software “Microsoft Security Essentials” ditawarkan secara gratis oleh Microsoft.

Antivirus palsu yang diinstall oleh W32/Bredolab.GY ini memang cukup menarik perhatian. Apalagi ia akan menampilkan beberapa nama virus berbahaya yang berhasil dikenali serta peringatan-peringatan lain yang mengiformasikan adanya upaya dari pihak luar yang mencoba untuk menyusup ke dalam komputer yang berhasil ditangkal oleh Firewall palsu dari antivirus tersebut. Antivirus palsu ini juga mempunyai fasilitas untuk update definisi layaknya antivirus asli.

Untuk mengelabui user, W32/Bredolab.GY akan mengunakan rekayasa sosial dengan memanfaatkan icon MS.Word dengan ekstensi EXE. Virus ini akan dikompresi dengan menggunakan UPX dan mempunyai ukuran sekitar 50 KB (sebelum dikompres mempunyai ukuran 76 KB).

Untuk menarik perhatian korban, antivirus palsu tersebut akan menampilkan beberapa peringatan palsu berupa hasil deteksi virus dilengkapi dengan tingkat resiko dari virus tersebut beserta dengan tombol pembersih [Remove Threats]. Nah, jika user memilih tombol tersebut maka W32/FakeAV akan menampilkan sebuah layar konfirmasi yang mengharuskan Anda untuk melakukan aktivasi/register program tersebut terlebih dahulu. Jika user tidak memiliki kode aktivasi, W32/FakeAV akan menyediakan tombol bantu lain untuk mendapatkan kode aktivasi yakni “Get License”.

Jika user klik tombol tersebut maka W32/FakeAV akan menggiring korban untuk mengisi sederetan kolom-kolom yang akan ditampilkan oleh website yang sudah dipersiapkan, yang merupakan website jebakan dengan dalih untuk mendapatkan produk “full version”. Anda diimbau untuk tidak mengisinya karena bukan antivirus palsu tersebut yang Anda dapatkan melainkan sejumlah uang akan melayang dengan percuma tanpa bisa membersihkan virus tersebut.

Agar tidak mudah dibersihkan oleh user, W32/FakeAV akan melumpuhkan beberapa fungsi Windows seperti Task Manager, Registry Editor atau CMD. Selain itu ia juga akan memblok sederetan proses yang mempunyai nama tertentu dengan menampilkan peringatan palsu yang seolah-olah file tersebut telah terinfeksi virus.

W32/FakeAV diklaim akan melakukan serangkaian aktifitas pengiriman email ke sejumlah alamat email yang terdapat pada komputer target. Aktivitas ini dilakukan dalam upaya untuk menyebarkan dirinya

Setelah dihebohkan dengan video porno mirip artis, dunia internet Indonesia kembali mendapat ancaman virus yang menjerumuskan para korbannya ke situs porno. Menurut analis virus dari Vaksincom, Adang Jauhar Taufik, Norman Security Suite mengenali virus ini sebagai VBS/Autorun.BM. Laporan yang mereka terima cukup banyak beredar di Sulawesi Utara.

"Dilihat sepintas sebenarnya virus ini tidak terlalu ganas, seperti kebanyakan virus lokal lainnya. Aksi yang dilakukannya pun tidak terlalu banyak. Walaupun demikian tetap saja, serbuan virus ini bisa berakibat kehebohan. Sebab, VBS/Autorun.BM mempunyai tugas khusus bukan untuk menyembunyikan file atau menghapus file saja tetapi ia akan membuat para orang tua jantungan.

"Bagaimana tidak, jika merokok saja dilarang oleh para orangtua yang sayang anaknya, virus ini malah menampilkan situs saingan YouTube, tetapi yang ini berkategori 'lampu merah' alias porno setiap kali komputer korbannya mengakses internet," tegas Adang.

Dijabarkannya, VBS/Autorun.BM ditulis menggunakan program Visual basic Script (VBS) dengan ukuran file sebesar 4 KB yang akan menggunakan icon. File induk tersebut akan dienkripsi agar isi script tidak mudah diketahui oleh user.

Komputer yang telah terinfeksi virus ini akan mengakses media flash disk terus menerus, hal ini ditandai dengan lampu indikator flash disk yang selalu menyala walaupun pengguna komputer tidak mengakses flash disk tersebut.

Ciri lain yang dapat dilihat adalah munculnya sebuah file di setiap drive dengan nama 'Lady Atenean Scandal.vbs' serta akan menampilkan situs porno saat mengakses internet explorer.

"Agar virus ini dapat aktif, ia memerlukan file pendukung yakni 'C:\Windows\System32\WSCRIPT.exe' yang merupakan file asli Windows. Untuk mempertahankan dirinya, ia akan memblok beberapa fungsi Windows seperti Folder Options, Registry Tools maupun Task Manager," Adang menandaskan.

Bagi pengguna komputer pasti tidak asing dengan Rontokbro, virus lokal yang bisa dibilang sebagai 'biang kerok'. Nah, setelah lama tenggelam, Rontokbro kini kembali muncul dengan jurus yang sedikit berbeda. Menurut analis virus dari Vaksincom, Adang Jauhar Taufik, teknik baru ini dilancarkan agar ia tidak mudah dicurigai user.

Rontokbro dianggap sebagai 'biang kerok' sebab ia menjadi inspirasi tersendiri bagi para pembuat virus lokal yang beredar saat ini. Walau virus lokal sekarang memiliki beragam daya serang tetapi ada sebagian taktik yang biasa digunakan Rontokbro. Seperti melumpuhkan fungsi Windows, membuat file duplikat sampai aktif pada mode 'safe mode' atau 'safe mode with command prompt'.

"Sama seperti varian sebelumnya, Rontokbro yang baru dibuat dengan Visual Basic berukuran 118 KB. Kali ini ia tidak memakai icon 'Folder' untuk mengelabui user karena saat ini user sudah mengetahui kelemahan tersebut, tetapi ia akan menyamarkan dirinya dengan icon aplikasi sehingga tidak mengundang kecurigaan, sebagai pendukung ia akan menggunakan type file sebagai Application," tukasnya.

Adang menambahkan, pada saat user menjalankan file yang sudah terinfeksi maka akan menampilkan jendela Windows Explorer kemudian akan membuat beberapa file induk yang akan diaktifkan secara otomatis pada saat komputer dinyalakan.

Agar tidak dicurigai user, untuk setiap file induk yang dibuat akan mempunyai nama yang sama dengan nama file system Windows seperti [smss.exe, winlogon.exe, services.msc atau lsass.exe] tetapi jika Anda jeli maka dengan mudah akan diketahui bahwa sebenarnya file tersebut merupakan file virus hanya dengan melihat lokasi penyimpanan file tersebut.

Melumpuhkan
Untuk mempertahankan dirinya, virus yang dideteksi Norman Security Suite sebagai W32/Rontokbro.GOL itu akan melumpuhkan beberapa fungsi Windows seperti Task Manager, Regedit atau Folder Options.

"Tujuannya untuk mempersulit user melumpuhkan dirinya, selain itu komputer akan merestart secara otomatis setiap kali user menjalankan tools, file atau folder yang mempunyai nama tertentu (biasanya berhubungan dengan security)," kata Adang.

Aksi lain dari virus ini adalah membuat file duplikat di setiap folder dan subfolder, file duplikat ini akan mempunyai nama yang sama dengan folder atau subfolder target, Anda tidak perlu khawatir karena virus ini hanya akan membuat file duplikat di Flash Disk saja.

"Sama seperti yang dilakukan oleh versi sebelumnya, ia akan mengambil semua alamat email yang didapatkan di komputer target, alamat ini akan disimpan di sebuah folder berikut dalam bentuk file dengan ekstensi INI," ia menandaskan.