In a few words

Posts tagged “virus

Virus W32 / Ramnit – Copy of Shortcut + Recycler

Ramnit yah… hmmm, sebelumnya saya ingin minta maaf karena jarangnya meng-update blog ini, bukan karena malas tapi karena belum sempat, dan saat tulisan ini dibuat, sebetulnya saya sedang sedikit “bad mood” untuk posting karena banyaknya kesibukan tapi karena dikantor sedang “musim” terserang virus ini (agak terlambat juga, karena serangan virus ramnit ini kalau tidak salah sudah ada sekitar awal Januari 2011) , daripada bolak-balik menceritakan apa atau bagaimana atau cara hapusnya … ada baiknya diposting saja. Let’s begin the class….

(lebih…)


A – Z Tentang Komputer dan Data Security Threats

Saat ini, saya yakin hampir Semua pengguna komputer tahu (atau pernah merasakan) virus komputer 😀  … atau setidaknya pernah mendengar tentang keberadaan virus tersebut. Hampir 30 tahun lalu, virus komputer pertama ditulis (Elk Cloner), tampaknya dengan maksud menampilkan puisi pendek ketika komputer boot untuk ke-50 kalinya. Dan sejak saat itu, jutaan virus dan malware lainnya virus email, Trojan, worm, spyware, keylogger dan segala antek-anteknya mulai bermunculan, beberapa darinya telah mampu menyebar di seluruh dunia dan menjadi perhatian. Banyak orang telah merasakan bagaimana virus menginfeksi komputernya dengan sampah bahkan menghapus file…

Dalam imajinasi populer, malware berarti pranks atau sabotase. Hingga pada awal 1990-an pernah terjadi kepanikan global tentang virus Michelangelo. Dan kepanikan ini terjadi lagi ketika jutaan komputer terinfeksi dengan SoBig-F virus yang mampu mendownload program tidak dikenal dari web pada waktu yang ditetapkan oleh pembuatnya, sampai-sampai perusahaan anti-virus membujuk penyedia layanan internet untuk menutup server untuk menghindari skenario “hari kiamat” tersebut…

Lalu Bagaimana virus di masa depan? Memprediksi bagaimana ancaman keamanan akan dikembangkan adalah hampir mustahil. Beberapa penafsir beranggapan bahwa tidak akan ada lebih dari beberapa ratus virus, dan Microsoft (Bill Gates) menyatakan bahwa spam tidak lagi menjadi masalah pada tahun 2006. Belum jelas bagaimana  ancaman virus yang akan datang di masa depan atau bagaimana ancaman virus akan menjadi lebih serius.  Yang jelas adalah bahwa setiap kali ada kesempatan untuk keuntungan finansial, maka para pembuat virus akan berusaha untuk mengakses dan melakukan penyalahgunaan data.

Huah… pengantarnya kepanjangan? hehe…  😛

Mungkin tidak semua dari kita mengetahui serangan-serangan yang dilakukan virus seperti serangan berupa Adware, Autorun worm, trojan Backdoor, Cookie, sampai Zombies… namun jika anda tertarik untuk mengetahui lebih jauh, Sophos Antivirus telah mengeluarkan sebuah Treatsaurus berupa Kamus mini yang berisi informasi semua jenis treat virus dari A sampai Z, diantaranya menjelaskan tentang :

  • Adware
  • Anonymizing proxies
  • Autorun worms
  • Backdoor Trojans
  • Blended threats
  • Boot sector malware
  • Botnet
  • Browser hijackers
  • Brute force attack
  • Buffer overflow
  • Chain letters
  • Command and control center
  • Cookies
  • Data leakage
  • Data loss
  • Data theft
  • Denial-of-service attack
  • Document malware
  • Email malware
  • Exploits
  • Fake anti-virus malware
  • Hoaxes
  • Internet worms
  • dll…dll…dll…

Treatsaurus ini berisi treat-treat yang sering menyerang komputer, jenis-jenis software security serta hardware yang digunakan untuk mengamankan komputer, tips keamanan dari serangan virus, trojan, worm, spyware, hoax dan tentang sejarah singkat perkembangan virus.

Jika tertarik anda dapat memiliki kamus mini ini dengan mendownloadnya dari sini.

Segitu saja, Semoga bermanfaat …

Salam …


Menghindari Penularan Virus Lewat Flashdisk

Pada umumnya, virus agar dapat aktif secara otomatis menular dengan menggunakan sebuah script yang berisi perintah untuk menjalankan dirinya atau biasa disebut autorun sehingga dapat berkembang biak melalui perantaraan usb baik dengan media flash disk ataupun hard disk portabel. Fitur autorun atau autoplay ini sendiri sebenarnya merupakan bawaan windows yang bertujuan agar komputer dapat langsung menjalankan program dalam CD-ROM atau DVD secara otomatis ketika keping cd/dvd dimasukkan.  Dengan memanfaatkan fitur autorun tersebut maka virus dapat menyebarkan dirinya secara otomatis cukup dengan mencolok dan mengakses Flash Disk ke komputer, maka virus akan langsung menginfeksi.

Untuk menghindari penularan virus melalui flashdisk ini, beberapa antivirus ada yang telah menyediakan fasilitas real time protector dimana setiap flashdisk yang dicolok akan langsung discan dan jika ditemukan ‘gejala’ adanya virus akan langsung ditawarkan untuk dihapus.. untuk antivirus lokal yang dilengkapi fasilitas ini adalah SMADAV, jika ingin mencoba, bisa di download SMADAV.7.4 (beserta id dan password versi Pro, jika masih bisa dipakai) di sini.

=========================================================

Sebagai alternatif lain, anda juga bisa melakukan langkah pengamanan secara manual dengan men-disable fungsi Autorun/Autoplay pada Drive/Removable tersebut, caranya :

1.  Dengan GPEDIT.MCS

  • Klik Start–> Run–> ketik: GPEDIT.MSC
  • Setelah muncul layar “Group Policy” klik folder “System” pada menu “User Configuration” dan “Computer Configuration”
  • Pada kolom Settings, klik dua kali “Turn off Autoplay”
  • Setelah muncul layar “Turn off Autoplay” properties, klik tabulasi [Settings]
  • Pilih opsi “Enable” pada menu “Turn off Autoplay”
  • Pilih “All Drive” pada kolom “Turn off Autoplay on”
  • tekan OK
  • tutup Group Policy, restart komputer

2. Dengan  registry

  • Klik Start–> Run–> ketik:   regedit
  • Browse ke alamat registry berikut:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

  • Klik kanan pada string NoDriveTypeAutoRun
  • Isi value data dengan ff (untuk mematikan ungsi Aturun/Autoply)
  • Tekan OK
  • Tutup Group registry editor, restart komputer

=========================================================

Selain kedua cara di atas, anda juga dapat menggunakan software Powertoys (hanya untuk Windows XP) keluaran Microsoft. download disini

This is How To :

Download dan instal file TweakUI Powertoys Setup

  • Pilih menu “MyComputer” | Autoplay | Drivers”, pada kolom “Enable Autoplay on Drives” buang centang pada Drive yang di inginkan agar fungsi Autopplay tersebut dimatikan.

  • Lakukan juga perubahan pada menu “type” pada kolom “Autoplay Drive types”, pastikan anda sudah membuang centang semua opsi yang ada (Enable Autoplay for CD and DVD drives dan Enable Autoplay for removable drives).

=========================================================

Dengan mendisable fungsi autorun tersebut, maka file autorun virus tidak akan otomatis berjalan ketika flashdisk dicolok ke komputer.

Huaaahh… sudah malam, segitu saja, semoga bermanfaat…

Salam …


Mengembalikan Fasilitas Windows Yang Telah Dirusak Virus

Biasanya setelah anda melakukan pembersihan virus pada komputer, terkadang sang virus masih meninggalkan jejaknya di setting registry seperti mendiasable fasilitas task manager, regedit, run, CMD, computer Propertis, klik kanan error, device manager, bla bla bla dll… hal ini biasanya harus kita kembalikan secara manual baik dengan script maupun regedit. Untuk masalah tersebut, sebenarnya ada banyak tools yang bisa dipakai untuk mempermudah perbaikan, salah satunya adalah tools XP Quick Fix Plus.

Tools gratis yang berukuran kecil ini (551 Kb) dapat anda download disini

Kelebihan yang ada pada tools ini adalah selain  bersifat portabel sehingga anda tidak perlu melakukan penginstalan dan dapat dijalankan langsung dari flashdisk atau CD, ringan dan cepat dalam posesnya, juga menyediakan fasilitas untuk memperbaiki 40 macam perbaikan pada windows, diantaranya :

  • Mengaktifkan task manager yang tidak bisa dijalankan
  • Mengaktifkan Registry Editor
  • Mengaktifkan Folder Options
  • Menampilkan Run dialog yang hilang
  • Mengaktifkan command prompt
  • Mengembalikan My Computer Properties
  • Mengembalikan Device Manager
  • Boot.ini tab hilang dari MSCONFIG
  • Error klik kanan windows
  • CD/DVD drive hilang atau tidak dikenali
  • Icon Turn Off hilang dari Start menu
  • Mengaktifkan CD autoplay

Untuk melihat Fungsi dari masing-masing menu tinggal sorot dengan mouse maka pada panel dibagian bawah akan muncul informasi fungsi dari tools tersebut.

XP Quick Fix Plus juga dapat dijalankan melalui command prompt jika Windows tidak dapat menjalankannya secara normal mode, ada sebuah utiliti baris perintah sederhana (QFC.EXE) disertakan dalam file zip (38kb), caranya,  Start– run– ketik cmd,  ubah direktori ke folder penyimpanan XP XP Quick Fix Plus dan jalankan program QFC.EXE dengan parameter :

QFC /t – untuk enable the Task Manager
QFC /r – untuk enable the Rgistry Editor
QFC /f – untuk enable the Folder Options
QFC /e – untuk restore the Run Dialog
QFC /p – untuk restore My Computer Properties

Perlu diingat bahwa tools ini bukan untuk menghilangkan virus, melainkan untuk mengembalikan fasilitas windows yang telah dirubah atau di disable virus… so, please bersihkan dulu virusnya sebelum digunakan.. ok?

Cukup segitu, baiknya anda coba saja sendiri… semoga bermanfaat..

Salam …


Mengembalikan Setting Registry Safe Mode

Ketika membaca sebuah coment postingan terdahulu tentang Win32.IRCBoot, ada sebuah kasus dimana komputer yang terinfeksi tidak dapat masuk ke Safe Mode, hal ini disebabkan karena worm tersebut juga telah menghapus string registry yang bertujuan untuk mendisable safe mode:

* HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

Jika hal ini juga terjadi pada anda, dan jika OS anda menggunakan windows XP mungkin anda bisa memperbaikinya dengan script dibawah ini.

Berikut adalah script registry untuk mengembalikan settingan komputer agar bisa masuk ke Safe Mode.

PENTING : Hanya untuk Windows XP
Download Filenya Disini
extract hasil download dan double klik file Rebuilt_safe_Mode.reg dan pilih Ok.
Lakukan restart dan coba lagi masuk Safe Mode (tekan F8 berulang pilih Safe Mode)

Atau copy dan Paste ke Notepad tulisan dibawah ini dan save dengan nama Rebuilt_safe_Mode.reg (Save as type = All)
============================================

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
“AlternateShell”=”cmd.exe”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AppMgmt]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Base]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot Bus Extender]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot file system]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CryptSvc]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\DcomLaunch]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmadmin]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmboot.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmio.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmload.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmserver]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\EventLog]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Filter]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HelpSvc]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Netlogon]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PCI Configuration]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PlugPlay]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PNP Filter]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Primary disk]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\RpcSs]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SCSI Class]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sermouse.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]
@=”FSFilter System Recovery”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SRService]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\System Bus Extender]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vga.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinMgmt]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{36FC9E60-C465-11CF-8056-

444553540000}]
@=”Universal Serial Bus controllers”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E965-E325-11CE-BFC1-

08002BE10318}]
@=”CD-ROM Drive”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-

08002BE10318}]
@=”DiskDrive”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E969-E325-11CE-BFC1-

08002BE10318}]
@=”Standard floppy disk controller”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-

08002BE10318}]
@=”Hdc”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-

08002BE10318}]
@=”Keyboard”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-

08002BE10318}]
@=”Mouse”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E977-E325-11CE-BFC1-

08002BE10318}]
@=”PCMCIA Adapters”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97B-E325-11CE-BFC1-

08002BE10318}]
@=”SCSIAdapter”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-

08002BE10318}]
@=”System”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E980-E325-11CE-BFC1-

08002BE10318}]
@=”Floppy disk drive”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-

08002BE2092F}]
@=”Volume”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{745A17A0-74D3-11D0-B6FE-

00A0C90F57DA}]
@=”Human Interface Devices”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AFD]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AppMgmt]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Base]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Boot Bus Extender]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Boot file system]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Browser]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CryptSvc]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\DcomLaunch]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Dhcp]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmadmin]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmboot.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmio.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmload.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmserver]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\DnsCache]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\EventLog]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\File system]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Filter]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\HelpSvc]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ip6fw.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ipnat.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LanmanServer]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LanmanWorkstation]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LmHosts]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Messenger]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NDIS]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NDIS Wrapper]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Ndisuio]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBIOS]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBIOSGroup]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBT]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEGroup]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Netlogon]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetMan]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Network]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetworkProvider]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NtLmSsp]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PCI Configuration]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PlugPlay]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PNP Filter]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PNP_TDI]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Primary disk]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpcdd.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpdd.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpwd.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdsessmgr]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\RpcSs]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SCSI Class]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sermouse.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SharedAccess]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sr.sys]
@=”FSFilter System Recovery”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SRService]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Streams Drivers]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\System Bus Extender]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Tcpip]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\TDI]
@=”Driver Group”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdpipe.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdtcp.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\termservice]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vga.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vgasave.sys]
@=”Driver”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WinMgmt]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WZCSVC]
@=”Service”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{36FC9E60-C465-11CF-8056-

444553540000}]
@=”Universal Serial Bus controllers”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E965-E325-11CE-BFC1-

08002BE10318}]
@=”CD-ROM Drive”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-

08002BE10318}]
@=”DiskDrive”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E969-E325-11CE-BFC1-

08002BE10318}]
@=”Standard floppy disk controller”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96A-E325-11CE-BFC1-

08002BE10318}]
@=”Hdc”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96B-E325-11CE-BFC1-

08002BE10318}]
@=”Keyboard”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96F-E325-11CE-BFC1-

08002BE10318}]
@=”Mouse”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E972-E325-11CE-BFC1-

08002BE10318}]
@=”Net”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E973-E325-11CE-BFC1-

08002BE10318}]
@=”NetClient”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E974-E325-11CE-BFC1-

08002BE10318}]
@=”NetService”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E975-E325-11CE-BFC1-

08002BE10318}]
@=”NetTrans”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E977-E325-11CE-BFC1-

08002BE10318}]
@=”PCMCIA Adapters”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E97B-E325-11CE-BFC1-

08002BE10318}]
@=”SCSIAdapter”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E97D-E325-11CE-BFC1-

08002BE10318}]
@=”System”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E980-E325-11CE-BFC1-

08002BE10318}]
@=”Floppy disk drive”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{71A27CDD-812A-11D0-BEC7-

08002BE2092F}]
@=”Volume”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{745A17A0-74D3-11D0-B6FE-

00A0C90F57DA}]
@=”Human Interface Devices”

===============================================

Demikian alternatif untuk mengembalikan settingan komputer agar bisa masuk ke Safe Mode … Selamat mencoba, terimakasih sudah membaca dan jangan berhenti untuk selalu mencoba.
Salam ….


Virus New Folder.exe

Diantara begitu banyak virus dan malware, ada satu varian yang cukup unik untuk diceritakan disini .. Virus ini pernah membuat teman saya membanting Flashdisknya yang untungnya tidak sampai hancur berkeping keping (sebab bantingnya pelan pelan.. 😯 ) saking jengkelnya..  kkkkk  ..

Sumber kejengkelannya adalah dalam flashdisk tersebut terdapat sebuah folder bernama ‘new folder’ berisi  beberapa file /  folder dengan tulisan berkarakter aneh yang tidak bisa dihapus… yang lebih  menjengkelkan, ketika dicoba scan dengan antivirus tidak dideteksi sebagai virus… hmm jangan jangan laptopnya juga sdh terinfeksi virus ?.. heee..

Supaya tidak kepanjangan ceritanya kita langsung saja pada ciri-ciri komputer yang terjangkit virus new folder ini yaitu antara lain :

  • Task manager – tidak bisa
  • Registry Editor – tidak bisa
  • Folder options – tidak bisa
  • Membuka Flashdisk lamaaaaaa…
  • Memory komputer sangat sibuk padahal dalam keadaan tidak membuka aplikasi
  • Ketika dicoba matikan list proces dengan killbox komputer langsung crash
  • selalu membuat 2 buah file autorun.inf dan new folder.exe pada flashdisk yang dicolok ke koputer yang terinfeksi.
  • Membuat anda ingin membanting flashdisk 😀

Varian virus ini sering disebut virus new folder.exe, Virus Dloader.HDZD atau virus Sohanad.. sebetulnya merupakan jenis virus yang telah ada sejak tahun 2008 dan entah kenapa sebabnya sempat mampir di komputer dan Flashdisk teman saya yang notabene kecanduan online internet 😛

Pembersihan . .

  • Penting .. lakukan Pembersihan dari SafeMode (Restart-tekan berulang F8 pilih safe mode)
  • Gunakan tool Killbox (ambil disini), hentikan proses yang sedang aktif :

C:\WINDOWS\system32\SSCVIIHOST.exe
C:\WINDOWS\SSCVIIHOST.exe (jika aktif)
C:\WINDOWS\system32\blastclnnn.exe (jika aktif)
New Folder.exe (jika aktif)
regsvr.exe (jika aktif)

  • Untuk mempermudah mengembalikan seting registry, copy script dibawah ini:

—————

[Version]

Signature=”$Chicago$”

Provider=Vaksin

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\comfile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\exefile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\piffile\shell\open\command,,,”””%1″” %*”

HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “”%1″””

HKLM, Software\CLASSES\scrfile\shell\open\command,,,”””%1″” %*”

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Yahoo Messengger

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\WorkgroupCrawler\Shares, Shared

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr

HKLM, SYSTEM\CurrentControlSet\Services\Schedule, AtTaskMaskHour

HKU, .DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run, Yahoo Messengger

——–

Buka notepad, Paste dan simpan dengan nama “Repair.inf” (Save As Type  – All Files).
Klik kanan repair.inf pilih install.

  • Buka System Configuration Utility dengan cara Klik Start pilih Run dan ketikkan : msconfig lalu pilih tab startup dan uncheck entri yang mencurigakan seperti Newfolder atau regsvr.exe
  • jika Registry Editor telah bisa dibuka, Klik Start pilih Run dan ketikkan : Regedit kemudian lihat pada Menu Edit pilih Find (atau tekan Ctrl+F) ketikkab regsvr.exe dan newfolder.exe jika ditemukan klik kanan entri tersebut pilih delete .
  • Restart komputer, selesai.

Cara paling mudah untuk menghapus file bandel di flashdisk :

Gunakan Smart Virus Remover tool (ambil disini ). download dan instal, klik “Delete Autorun.inf file” kemudian klik ” Remove virus from USB”, virus akan terhapus dari flashdisk. Untuk mengembalikan task manager, registry editor dan lain lain yang di-disable virus, klik tombol “Restore Default Windows Settings”.

Selesai…

Tidak terlalu sulit bukan? langkah pembersihan diatas merupakan beberapa dari banyak cara yang bisa kita lakukan, saat ini sudah banyak antivirus yang bisa melakukan pendeteksian dan pembersihan varian virus ini dengan baik, itulah pentingnya melakukan update antivirus secara rutin..

Segitu saja, terimakasih sudah membaca dan semoga bermanfaat…
Salam …..


Menghapus W32/Buzus.BDHC Trojan

Buzus TrojanSeharusnya ketika hujan sore sore paling enak minum kopi plus pisang goreng.. tapi hujan sore kali ini terpaksa saya minum kopi sambil membersihkan trojan… hmmm..

Kali ini yang menjadi bintang tamu adalah W32/Buzus.BDHC Trojan, seperti halnya Win32.IRCBot worm (baca posting terdahulu)  yang selalu membuat antivirus avira menjerit-jerit karena permintaan delete/ quarantine selalu muncul. 😀

Dideteksi oleh antivirus sebagai :

Antivirus Version Name
a-squared 4.0.0.26 Virus.Trojan.Win32.Buzus.zzi!IK
AntiVir 7.9.0.35 TR/Dropper.Gen
AVAST! 3.0.1 Win32:Trojan-gen {Other}
BitDefender 7.81008.2252442 Trojan.AgentMB.ZVTS150316
Dr.Web 4.44.0.9170 Win32.HLLW.Autoruner.3009
ewido 4.0.0.2 Trojan.Buzus.shq
F-Secure 5.51.6100 Trojan.Win32.Buzus.acvw [AVP]
Kaspersky 5.5.10 Trojan.Win32.Buzus.acvw
Trend Micro 8.700-1004 TROJ_BUZUS.NY

Tak kenal maka tak sayang, mari kita berkenalan dulu,

Trojan W32/Buzus.BDHC ini mempunyai banyak nama yaitu diantaranya : Trojan.Win32.Buzus.hc,Trojan.Win32.Buzus.adrc, Trojan.Win32.Buzus.aebi,Trojan.Win32.Buzus.828416,Trojan.Win32.StartPage.cyu,Trojan.Win32.Buzus.acxp, Trojan.Win32.Buzus.adyf, trojan.win32.buzus.aanr, Trojan.Win32.Buzus.pe, Trojan.Win32.Buzus.51712.E,Trojan.Win32.Buzus.69632.K,Trojan.Win32.Crypt.5632,

Trojan.Win32.Buzus.aa,Trojan.Win32.Buzus.322076,Trojan.Win32.Buzus.27648.L, Trojan.Win32.Buzus.46461,Trojan.Win32.Buzus.aebj,Trojan.Win32.CDur.hp, Trojan.Win32.Buzus.hrp

Termasuk trojan serakah, namanya diborong semua 😀 !!! ..

Indikasi infeksi:

  • Hasil mesin pencarian dan browser halaman utama diarahkan ke situs palsu.
  • Hilang ikon desktop, mengubah wallpaper dan pengaturan desktop.
  • Proses tidak dikenal oleh Win32.Buzus.ym berjalan di Windows TaskManager, tidak bisa dihentikan.
  • Trojan.Win32.Buzus sulit dibersihkan oleh antivirus, selalu muncul setiap kali dihapus ketika booting.
  • Mengurangi kinerja komputer, sistem lamban pada startup dan reboot.
  • Popup blocker tidak mampu menghentikan situs porno, kasino dan situs dewasa lain.

Perilaku Trojan.Win32.Buzus :

  • Melakukan pemeriksaan sistem registry, menciptakan pop-up ketika aktivitas browsing.
  • Menonaktifkan firewall, anti virus dan utility keamanan lainnya.
  • Menginfeksi komputer melalui lubang keamanan, mendownload dan menginstal berbagai file dari remote server.

Bagaimana W32/Buzus.BDHC Trojan mampu menyusup dan menginfeksi PC Anda?

1. P2P (Peer-to-Peer) Jaringan

Jaringan P2P telah menjadi semakin populer selama bertahun-tahun, sehingga memiliki resiko terkait dengan penggunaan jaringan. Ketika anda menginstal sebuah aplikasi P2P atau mendownload file dari jaringan P2P, spyware akan dibundel dengan file dan software.

2. Sofware Freeware dan Shareware

Banyak aplikasi Freeware dan Shareware atau bajakan yang dibundel dengan spyware ?? ( anda pasti mengerti maksud saya 😀 )

3. Website Jahat

Tidak semua situs web tidak bersalah. Bahkan, ada yang khusus dirancang dengan maksud jahat. Jika Anda mengunjungi salah satu situs jahat ini, maka secara otomatis menginstal spyware pada hardrive tanpa sepengetahuan atau persetujuan Anda.

Sudah cukup perkenalan-nya, sekarang cara pembersihan…

Terkadang antivirus tidak bisa menghapus permanen trojan ini dan hanya memunculkan kotak peringatan untuk melakukan penghapusan atau quarantine tetapi setelah reboot akan kembali hadir, maka disini kita akan melakukan penghapusan secara manual dulu… ok?, kita coba…

Download dulu senjata anda disini (file ini berisi  Killbox, EnableRegistry.reg, UnHookExec.inf dan Registry Enabler) letakkan hasil download di desktop, maksudnya biar mudah mencarinya ketika anda telah masuk ke dalam SAFE MODE.

Lakukan penghapusan melalui SAFE MODE (Restart komputer, tekan F8 berulang ulang, pilih Safe mode, tekan enter)

Matikan Proses yang Aktive sebelum penghapusan

Buka hasil download anda, gunakan killbox atau dengan TaskManager, jika TaskManager didisable maka gunakan Enable Registry.reg dengan cara klik kanan – instal – pilih Yes/Ok.

–   Matikan proses dengan nama rundm.exe dan oute.exe

Jika kedua proses diatas tidak terdapat pada list proses, maka teruskan pada tahap berikutnya.

Penghapusan Registry yang dibuat virus

Klik Start, pilih Run, ketikkan: regedit, Enter

Jika Registry Editor tidak bisa terbuka maka buka hasil download anda, gunakan UnHookExec.inf – klik kanan – instal – pilih Yes/Ok. (karena filenya kecil, maka tidak akan menampilkan pemberitahuan atau kotak bila Anda menjalankannya)

W32/Buzus.BDHC Trojan memodifikasi registry pada lokasi-lokasi berikut untuk menjalankan eksekusi run otomatis di setiap sistem Startup karena itu hapus /klik kanan pada entri dan pilih delete pada :

  1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  2. HKEY_USERS\S-1-5-21-XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXX-XX\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

(Catatan : XXXXXXXXXX-XXXXXXXXXX-XXXXXXXXX-XX berisi angka yang berbeda pada setiap komputer)

Exit Registry Editor,

Restart Komputer

————

Setelah komputer anda selesai startup ada kemungkinan beberapa aplikasi yang aktif pada startup tidak berjalan, karenanya instal ulang aplikasi penting seperti antivirus… Update dan lakukan scan dengan antivirus anda yang telah terupdate tersebut… pada kasus saya, antivirus (avira) akan dapat menghapus trojan tersebut secara permanen karena string pada registry yang dihapus diatas tidak lagi menjalankan eksekusi otomatis pembuat runtime proses trojan. Jika ditemukan alert virus dalam proses scan tersebut maka delete saja, kemudian setelah selesai, reboot … maka komputer anda telah terbebas dari W32/Buzus.BDHC Trojan ini..

“Habiskan sisa kopi anda, tarik nafas dan bersyukurlah….”

Begitu saja, Terimakasih telah membaca dan semoga bermanfaat.

Salam . . .

signature Transblog


Berbagai Virus Lokal dari doeloe hingga sekarang

awas virusTulisan ini terinspirasi oleh kejadian sore tadi ketika saya menemukan sebuah disket (masih ingat dengan disket? :D) didalam tumpukan buku buku lama saya.. penasaran saya coba membuka disket tersebut dan.. hei.. ada virus!! dan .. Astagaaa .. ternyata virus ini berasal dari masa lalu … ahahahaha .. jenis virus ini dimasa lalu dikenal dengan nama “virus Kangen” … selintas jadi teringat masa masa kejayaan virus ini dan ini mengilhami saya untuk mengajak anda sedikit bernostalgia mengenang kembali jenis jenis virus bikinan lokal…

Berikut ragam virus lokal yang saya tahu pernah berjaya dari yang terbaru sampai yang sudah uzur :


Windx-Matrox
77Kb, tanpa di-pack. Virus infeksi file executable. Tepatnya virus ini akan menginfeksi program yang ada di direktori Program Files. Ciri khas yang dapat dikenali pada komputer terinfeksi adalah berubahnya gambar wallpaper dari desktop menjadi gambar animasi!!

Gen.VirVBS.vbs
Dibuat dengan program Virus Generator (Vir.VBS Generator) berbasis Visual Basic. 64.512 bytes dalam keadaan terkompresi menggunakan UPX. Generator dapat menghasilkan virus jenis VBScript yang memiliki kemampuan stealth, encryption, time-bomb bahkan polymorphic.

Autoit
Virus ini biasanya akan membuat sebuah file autorun.inf pada saat menyerang disk drive ataupun flash drive.

Malingsi
705.312 bytes, dibuat menggunakan Visual Basic yang di-pack menggunakan PECompact. ditujukan untuk menyerang virus lain, ini terlihat dari pesan yang ada di tubuhnya. Virus ini berkembang biak dan menyebar menggunakan perantara mIRC, yang bertindak sebagai Bot.

Recycler
Menyamar seperti layaknya Recycle Bin. Di flash disk korban akan terdapat folder dengan nama Recycler yang di dalamnya terdapat folder yang menggunakan nama alpha numeric contohnya “S-1-5-21-1482476501-1644491937-682003330-1013? dengan icon mirip dengan icon Recycle Bin.

ForrisWaitme
Dibuat dengan Visual Basic menggunakan icon mirip folder standar Windows. Menukar fungsi tombol mouse kiri dengan kanan, menghilangkan menu Folder Options, membuat file pesan “baca saya.txt” pada drive terinfeksi.

Kalong.vbs
Menggunakan VBScript (.vbs). Selain menciptakan file autorun.inf agar dapat running otomatis, caption dari Internet Explorer pun akan diubah menjadi “:: X2 ATTACK ::” dan pada saat logon, Windows akan menampilkan kotak informasi yang bertuliskan “KOMPUTER ANDA ADA KEYBOARDNYA!!”.

Pray
Menggunakan Visual Basic. terdapat 2 varian, untuk varian Pray.A tidak memiliki icon, sementara untuk varian Pray.B menggunakan icon mirip Windows Explorer. Jika komputer terinfeksi, saat penunjuk waktu di komputer menunjukan pukul 05:15, 13:00, 16:00, 18:30, dan atau 19:45, virus akan menampilkan pesan yang mengingatkan user untuk melakukan shalat.

FD Shield
553.472 bytes, nama yang digunakan saat menyebar, bertuliskan “17++ Sexs & Rahasia Wanita artis Indonesia (foto2_kamera tersembunyi_liputan).exe”.Jika Anda lihat pada direktori C:\Windows\System32, akan ditemukan sebuah file induk dengan nama “rundl32.exe”.

Discusx.vbs
Virus VBScript, 4.800 bytes. Dia akan menginfeksi drive di komputer Anda, termasuk flash disk, membuat file autorun.inf dan System32.sys.vbs pada root drive tersebut. Selain itu, ia pun akan mengubah caption dari Internet Explorer menjadi “.::Discus-X SAY MET LEBARAN! [HAPPY LEBARAN ?!]::.”.

SangPerawan
Dibuat dengan Visual Basic, dengan ukuran sekitar 98.304 bytes tanpa di-compress. Virus ini dapat mengakibatkan file .jpg Anda tidak bisa dibuka, karena virus ini akan meng-append file .jpg yang ditemukannya ke dalam tubuh sang virus. Isi field Description pada Version Information virus ini terdapat kalimat “Untuk semua orang yang tak pernah menghargai aku”.

TQ.vbs
Virus VBScript yang membuat file winconfig.dll.vbs dan autorun.inf pada drive yang diinfeksinya. Jika file virus dibuka dengan Notepad, pada awal-awal file tersebut akan terdapat string aneh yang sebenarnya hanya untuk membingunggkan user saja, tapi jika Anda scroll ke bawah maka akan terlihat isi file virus sebenarnya. Virus ini pun mengubah caption Internet Explorer menjadi “Brought to you by TQ!” dan mengubah halaman defaultnya menjadi “http://blogtq.blogspot.com/”

Purwo
56KB, icon mirip dokumen Word menciptakan sebuah folder dengan nama “Purwokerto Under Cover” yang diberi attribut hidden, berisi sebuah file bernama “KoruptorPurwokerto.exe” di dalam folder C:\Windows\System32\system juga ada file windowss.exe, dan di C:\Windows\javaa\service.exe. Di
waktu tertentu menampilkan layar hitam yang berisi teks pesan dari pembuatnya.

SlowButSure.vbs
Dibuat menggunakan VBScript (.vbs). Ia menciptakan file autorun.inf  pada flash disk, sehingga dapat running otomatis saat mengakses drive flash disk. Pada caption Internet Explorer akan terdapat tulisan “Hacked by Zay” atau pada varian lain “Hacked by Godzilla”. Dan pada System Propertis komputer korban, informasi Registered Owner akan menjadi “r4n694-24y”, untuk Registered Organization akan menjadi “Don’t Panic, System anda sudah kami ambil alih !”.

Formalin
18.432 bytes, menciptakan folder “samaran” dengan nama seperti Bocoran soal UAN dan UAS, My Completed Downloads, Wallpaper Picture, Crack Program, Jgn dibuka !!!, Nitip Data (jgn dihapus), dan lain sebagainya. Pada komputer terinfeksi, caption di Internet Explorer akan berubah menjadi “Your computer has been infected virus Formalin”. melumpuhkan “safe-mode” dengan cara menghapus beberapa registry terkait. Dan pada file properties sang virus, di bagian description milik version information akan ada tulisan seperti “Kasian dch loe”.

Rieysha-Sma
104KB, dengan icon yang menyerupai file Real Media Player. Saat menginfeksi, membuat duplikat file exe, mp3, doc, dan 3gp yang digantikan dengan dirinya. Selain itu, setidaknya ada 2 buah file virus pada root drive, dengan nama “sma3gp.exe” dan “CeritaSeru.vbs”.

Tati

Virus sederhana berbasis script, dibuat menggunakan automation script. Hanya berkamuflase dengan menggunakan icon mirip folder standar Windows. Pada komputer terinfeksi, akan terdapat file teks yang berisi pesan dari si pembuat virus dengan nama tati.my.love.txt

Stargate

menyebar melalui flash disk atau jaringan melalui sharing folder. mem-bypass beberapa aplikasibawaan Windows seperti Registry Editor, Command Prompt, dan juga beberapa program antivirus.Pada komputer terinfeksi, akan terdapat banyak sekali file duplikat dari si virus, bahkan beberapa icon aplikasi di Start Menu pun akan berubah menjadi icon folder karena ulah virus ini.

babon

49 KB, mengubah properties dan AM/PM pada jam menjadi tulisan Babon.aksika, (4k51k4), 45 KB, membuat backup MSVBVM60.DLL. disable System Restore, aktif di normal mode, Safemode dan Safemode with Command Prompt.

coolface

78 KB, virus Bangka yang ditulis dalam bahasa C++ dan berusaha membasmi semua virus Visual Basic dengan menghapus file MSVBVM60.DLL.

W32/Kill AV

22 KB, menyembunyikan semua file MS word dan mengganti dengan dirinya.

Pendekar Blank

34 KB, menyembunyikan folder C:\Windows\System32 dan membuat file duplikat sesuai dengan nama folder yang disembunyikan [system32.exe], membackup MSVBVM60.dll di C:\WINDOWS\system32\dllChache, manipulasi file .com dan .txt sehingga setiap kali dijalankan akan menjalankan virus.

Pacaran

59 KB, mengubah ikon file “non virus” (MP3, txt, reg file, jpeg, inf dan exe) di komputer korbanmenjadi folder dan tipe file application sehingga pengguna komputer mengira itu adalah virus dan menghapusnya. Aksi lainnya virus ini memanipulasi Host file, menyembunyikan drive dan folder, mengubah tipe file “File Folder”, MP3, JPEG menjadi W32.Pacaran.

Blue Fantasy

40 KB, otomatis menginfeksi dari Flash Disk, menyembunyikan folder dan menggantikan dengan file virus duplikat dengan ikon folder.

Amburadul

hampir semua Folder yang ada tertempel File dengan logo gambar/foto tetapi tidak ada namanya dengan ekstensin .exe. Ketika menggunakan internet eksplorer ( IE ) untuk browsing maka di bagian judul akan tertampil “ ++++Hey, Hokage /baboon (Anbu*Team*Sampit), Is this My places, Wanna start a War ++++”

Nadia Saphira

69.784 Byte atau sekitar 69KB. Virus ini menjalankan program distartup, nama filenya windowsmp.exe yang ada di C:\Windows\windowsmp.exe

W32/Brontok alias W32/Rontokbro

42 Kb. menyamar sebagai file MS Office ataupun sebagai folder. mampu melakukan penghentian akses ke Registry Editor, dan melakukan restart komputer jika menemukan kata tertentu pada header browser.

W32/Moonlight

144 KB. Identitasnya sendiri menggunakan icon folder Windows XP standar.membuat file bernama “MooNlight.txt” pada direktori Windows berisi pesan dari pembuatnya yang mengaku bernama nick “Lunalight” alias “Moonlight”

Bandot / VBWorm.NTH

88 KB, menampilkan pesan di pojok kanan bawah komputer : “Happy Valentine’s Day Bandot Falling In Love … Selamat Hari VALENTINE ya….” disebarkan dengan file bernama KupuMalam.exe atau kupu-k~1.exe

W32/Tabaru.A alias Riyani_Jangkaru

Ikon file virus mirip dengan ikon file foto yang ada di komputer. Setelah klik ikon file tersebut, yang muncul di layar monitor bukanlah foto Riyani Jangkaru tapi ustru mengaktifkan virus tersebut. Gejala infeksi virus ini adalah program aplikasi Winamp dan Notepad kita menjadi tidak aktif.

Kumis

Membuat komputer mengalami restart berulang- ulang, virus ini tidak memunculkan pesan apapun. Virus Kumis muncul dalam bentuk folder yang akan aktif begitu kita meng-klik folder tersebut.

W32.Pesin alias My Heart

file berekstensi.exe dengan nama “jangan dibuka”, “puisi cinta”, “hallo”, “mistery”, “kenangan” dan “myheart” yang berlogo Ms. Word pada My Dokument yang jika coba dihilangkan, file sesaat akan hilang, tetapi akan muncul lagi dengan nama yang berbeda. misal, terdapat file kenangan lalu Anda delete, maka akan muncul lagi dengan nama puisi cinta

Kangen

72 KB (73.728 bytes) Bersembunyi pada Windows\System32 Mendisablekan viruuuuuuuuussREGEDIT, Menampilkan lirik lagu Kangen oleh Dewa19 pada START, Saat menjalankan word akan membuat file “kangen.doc” berisi lirik lagu Kangen. menyebar melalui media disket, USB Flash disk dan jaringan share folder tanpa ampun.

Denzuko

berbentuk teks yang tiba-tiba muncul saat komputer sedang booting. banyak programmer yang kemudian memodifikasi virus ini sehingga teks yang muncul bisa bermacam-macam sehingga sedikit sulit untuk mengidentifikasi gejala virus Denzuko tersebut.

Mardi Bros

Muncul pada era DOS (Disk Operating System) atau penggunaan sistem operasi yang disimpan dalam disket ataupun CD), memindahkan boot sector/partisi asli ke daerah lain dan menggantinya sehingga membuat komputer restart berulang-ulang, menyebar lewat disket.

Hmmm…. cukup banyak juga ternyata kreatifitas pembuat virus di negara kita ini.. ini mungkin hanya sebagian .. masih ada banyak varian lain yang pernah ada. mungkin dari anda ada yang bisa mengingatnya ?…

Ini membuktikan bahwa di Negara kita telah banyak orang orang yang mengerti tentang seluk beluk pemrograman, meski pada peng-aplikasian pengetahuannya disalurkan dengan cara yang “sedikit” berbeda.  Mungkin maksud dari virus maker tersebut adalah untuk menguji kelemahan sistem sehingga dapat diciptakan sistem yang betul betul akurat, dan semoga bukan karena hanya ingin terkenal atau semoga bukan hanya ingin menyampaikan pesan pribadi dengan jalan merugikan orang lain.. 😀

Tapi apapun alasannya, kita ambil sisi positifnya saja, bahwa dengan adanya virus tersebut mau tidak mau kita harus belajar bagaimana caranya mengamankan komputer dari virus.. dan proses belajar itulah yang terpenting.. setuju?

Begitu saja, semoga ini cukup mengobati kenangan anda pada virus virus yang pernah hadir di komputer anda..  Semoga bermanfaat.

Salam …….

signature Transblog