Vires atau dikenal juga dengan nama Latifah,dibuat menggunakan visual basic, di-pack menggunakan UPX. Virus ini menyerupai icon seperti layaknya dokumen Microsoft Word. Pada komputer terinfeksi akan ada file C:\L@tif@h.html yang berisi pesan dari pembuat virus.
Icon yang digunakan virus ini mirip dengan aplikasi WinAmp atau file mp3. Ia dibuat menggunakan Visual Basic dengan ukuran tubuh sekitar 182KB, di-pack menggunakan UPX. Saat menginfeksi komputer, ia akan mencari file .MP3 untuk kemudian dibuat duplikatnya dengan menyerupai nama yang sama, namun dengan extension .EXE. Begitu pula saat menginfeksi flash disk, ia akan membuat sebuah folder baru dengan nama “Lagu baru” yang di dalamnya berisi file “Marley-Bird Of Paradise.Exe”. Pada root drive C: akan ditemukan file “Info Pisang Bakar.Txt” yang berisi pesan dari si pembuat virus, selain itu ada juga file “Pisang Bara.Exe”.
Virus yang diciptakan menggunakan Visual Basic Script ini berukuran sekitar 9KB. Pada komputer terinfeksi ia akan membuat banyak sekali file duplikat di setiap folder yang ia temukan dengan nama file autorun.inf, Thumb.db, dalam kondisi ber-attribut hidden, dan sebuah shortcut dengan nama Microsoft. Jika shortcut tersebut diakses, dia memang akan menuju ke suatu folder, tapi dibalik itu virus tersebut juga akan aktif. File Thumb.db disini juga bukan merupakan file milik Windows, tapi melainkan file script virus. Pada komputer terinfeksi juga akan ditemukan sebuah file pesan virus pada direktori Temp user. Di direktori ini juga akan ditemukan file lain yakni script virus yang sudah dalam kondisi ter-decrypt. Karena perlu Anda ketahui bahwa virus ini memang hadir dalam kondisi ter-enkripsi.
Hampir kebanyakan varian dari virus import berbasis script ini menggunakan icon mirip seperti folder. Virus ini memiliki kemampuan untuk melakukan auto update ke beberapa situs. Ia juga dapat memanfaatkan Yahoo! Messenger sebagai media perantara penyebarannya dengan mengirimkan pesan berisi link ke setiap contact person yang ada di Y!M korban.
Yang menjadi ciri khas dari virus ini adalah teknik bagaimana ia menyebar. Yakni “ngumpet” dalam direktori Recycler/Recycler/Recycle Bin. Ia juga diketahui menerapkan teknik code injection agar kode virus bisa “nyangkut” pada explorer.exe. Ini dilakukannya untuk mempersulit user maupun program antivirus sekalipun untuk membunuhnya.
Virus luar berteknologi canggih ini memang menyebar luar biasa. Bentuknya yang merupakan file DLL (Dynamic Link Library) membedakannya dengan kebanyakan virus lain yang berupa EXE. Kemampuan yang dimilikinya juga bisa disetarakan dengan rootkit. Serta, sifatnya ber-polymorphic membuatnya memiliki tubuh yang berubah-ubah. Pada komputer terinfeksi, user tidak akan dapat membuka situs yang “berbau” antivirius atau Microsoft update. Virus ini juga aktif menyebar di Indonesia dengan menggunakan media removable disk misalkan flash disk. Pada flash disk terinfeksi, Anda akan menemukan file autorun.inf dan direktori RECYCLER yang di dalamnya terdapat sub-direktori dengan nama misalkan S-5-3-42-2819952290-8240758988-879315005-3665, dan pada direktori inilah terdapat file virus Conficker dengan nama biasanya jwgkvsq.vmx yang sebenarnya adalah file DLL.
MEMILIKI UKURAN file sebesar 7222 bytes. Virus ini dikenal oleh PC Media Antivirus 1.9 sebagai Bungas.vbs. Virus berjenis seperti yang kita kenal memang sangat mudah untuk dilihat source code-nya. Hanya dengan membuka file virus dengan Notepad contohnya. Jikalau virus tersebut dienkripsi, pada tubuhnya pun kita dapat melihat source code dari rutin decryptor untuk membuka enkripsinya. Namun terlihat dari virus ini, sepertinya sang pembuatnya mencoba sebisa mungkin untuk menyembunyikan decryptor dari virusnya, yang kemungkinan besar bertujuan untuk mempersulit proses pendeteksian dan analisis.
Sampai tulisan ini dibuat, dari pengujian yang kami lakukan terhadap 36 antivirus luar, hanya 3 yang berhasil mendeteksi keberdaan virus ini. Walaupun baru suspected, artinya yang mendeteksi adalah engine heuristic-nya saja. Logikanya, virus bisa lebih mudah dideteksi oleh heuristic. Jadi, apa saja dan bagaimana yang dilakukan oleh virus ini?
Tubuh Terenkripsi
Saat kali pertama membuka jeroan virus ini, terlihat sekilas string–string yang dienkripsi. Bagaimana mengetahuinya? biasanya merupakan teks murni, jika Anda melihat terdapat karakter–karakter ASCII aneh, kemungkinan besar tersebut dienkrispi. Lalu, bagaimana cara mendapatkan plaintext (keadaan sebelum terenkripsi)?
Kebanyakan virus (VBS) yang menggunakan teknik enkripsi yang kami miliki, juga akan terdapat rutin dekripsi pada tubuhnya. Namun, kalau dilihat sekilas dari virus ini, kita tidak akan melihat rutin decryptor-nya. Bagaimana bisa?
Secara visual, jika dilihat di baris bagian tengah source code tersebut terdapat beberapa string yang ditulis terbalik seperti penggalan berikut ini “))1,I,nillA(diM(csA=orplA”, yang jika dibalik akan menjadi seperti ini “Alpro=Asc(Mid(Allin,I,1))”. Terlihat sepertinya ini merupakan permainan karakter, kemungkinan bagian dari rutin decryptor. Untuk mencoba membuktikannya, maka file virus tersebut kami jalankan. Dengan sekejap, setelah dijalankan, ia membuat sebuah file baru dengan nama Strukdat.bgs, tak lama kemudian file tersebut dihapus kembali olehnya. Untuk itu, kami coba menangkap isi dari file tersebut dan benar seperti yang diduga, isinya meru-pakan rutin decryptor.
File tersebut hanya berisi sebuah function yang ia namakan MPC yang tak lain adalah function untuk melakukan deskripsi. Teknik yang ia gunakan sederhana saja, pertama dia akan mendapatkan nilai ordinal karakter per karakter, pada visual basic instruksinya dikenal dengan nama Asc. Yang kedua, nilai tersebut lalu di-mod (modulus, fungsi numeric sisa pembagian) dengan 2, jika hasil mod habis dibagi dengan nol, maka geser karakter ke kiri sebanyak 1, misalkan C menjadi B, dan sebaliknya. Setelah semua karakter ter-decrypt, terakhir ia akan melakukan string reverse, yakni membalikan string tersebut untuk mendapatkan string asal.
File Strukdat.bgs yang merupakan decryptor tersebut, setelah di-extract akan langsung ia execute, jadi rutin utama tubuh virus tersebut dapat memanfaatkan rutin decryptor-nya, pada hal tersebut memang dapat dilakukan. Cara yang ia gunakan memang ribet, tapi cukup untuk sedikit mengelabui pendeteksian beberapa antivirus.
Membelah Diri
Bukan hanya file decryptor saja yang ia keluarkan dari dalam tubuhnya, namun ada beberapa fi le lain yang ia extract. Ada dua file lainnya, yakni statistics.bgs, 2656 bytes, dan Molin.bgs yang memiliki ukuran sebesar 3413 bytes. Kedua file tersebut sudah dalam kondisi ter-decrypt. Di kedua fi le tersebut lah sebenarnya inti dari virus tersebut. Intinya, pada file virus utama, tidak ditemukan atau mencirikan adanya rutin yang membahayakan, dan lagi pada file virus utama kebanyakan string dalam keadaan terenkripsi.
Autorun
File statistics.bgs dan Molin.bgs yang bertugas melakukan infeksi. Pertama, virus tersebut akan membuat file induk pada direktori Windows dengan nama bungas.vbs dan Virusmaker.bat. Selain itu, pada direktori Temp user, C:\Documents and Settings\%username%\Local Settings\Temp, juga akan ada 3 file virus lainnya, yakni bungas.vbs, Virusmaker.bat, dan Virusmaker.bgs. Kesemua file tersebut ber-attribut hidden, read-only, dan system. Jadi, pada setting-an Windows default tidak akan terlihat.
Agar aktif otomatis, ia masuk ke registry dengan mencoba membuat item Run baru pada HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run dengan nama bungas, yang diarahkan pada file induknya yang terdapat pada direktori Temp. Lalu, ia juga mengubah nilai shell explorer, yang juga diarahkan pada file induknya bungas.vbs yang terdapat pada direktori Windows.
Restriction
Untuk mendukung kelangsungan hidupnya, ia akan melumpuhkan dan men-disable beberapa fungsi Windows. Diawali dari setingan Folder Options, ia akan mengeset untuk tidak menampilkan file hidden dan system. Selanjutnya, Regedit (regedit.exe) dan Task Manager (taskmgr.exe) pun tidak luput dari serangannya. Tapi tidak hanya itu saja, beberapa program lain pun tidak dapat dijalankan, seperti rstrui.exe, msconfi g.exe, notepad.exe, wordpad.exe, agentsvr.exe, dan winword.exe.
Jika user mencoba menjalankan program yang diblok oleh virus tersebut, yang terjadi adalah muncul kotak Command Prompt yang berisi pesan “Bungas Operating System”, yang tentunya dibuat oleh si pembuat virus. Dan selanjutnya, program yang dituju tidak dapat diakses.
Ia melakukan tersebut dengan cara meregisterkan nama file program – program tersebut pada registry HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\, untuk dialihkan ke file pesan virus, yakni Virusmaker.bat yang berada di direktori Windows.
Infeksi Flash Drive
Ia akan mencoba untuk meng-copy-kan dirinya ke removable drive, seperti flash disk dengan menggunakan nama random yang menggunakan kombinasi dari Tanggal+Bulan+Tahun, misalkan 29112008.vbs. Selanjutnya, tak lupa ia pun membuat sebuah file autorun.inf, untuk mempermudah virus tersebut menyebar hanya dengan mengakses drive yang dituju. Namun pada file autorun.inf, ia menggunakan cara lain. Beberapa virus yang memanfaatkan file autorun.inf, biasanya akan ada menu baru jika user mengklik kanan drive flash disk yang terinfeksi dengan nama Autoply. Pada virus ini, autorun-nya didesain menggunakan field “shell\Properties\command”. Jadi, saat user mengklik kanan drive terinfeksi, dan memilih Properties, virusnya akan aktif.
Dan seperti yang terlihat pada source code-nya, virus tersebut juga akan mencoba mendapatkan sharing object yang ada pada jaringan setempat, jika berhasil, ia akan meng-copy-kan file bungas.vbs.
Basmi!
Virus Vinorika adalah sebuah virus lokal Indonesia. Saya baru tahu virus ini beberapa munggu yang lalu. ketika saya ngopy data di Warnet langganan saya. Virus ini tidak merusak sistem anda samasekali, tidak pula menghapus data anda. Hanya saja virus Ini membuat shortcut ke setiap folder yang ada di komputer anda. Awalnya saya gk terlalu khawatir karena tidak terjadi apa-apa. karena cuma ada di flash disk saya.
Namun saya melakukan sebuah kesalahan. Saya memasukan flash disk saya ke komputer saya sebelum membersihkannya dulu. Alhasil virus itu enyebar ke semua folder di komputer saya dan membuat shortcut-shortcut semacam “microsoft.lnk”, “New Harry Potter.lnk”, “New Folder.lnk, dan shortcut2 ke semua folder2 yang ada di komputer. Hal ini sungguh mengganggu sekali. Akhirnya perang saya untuk membersihkan virus ini di mulai.
ciri-ciri Virus Vinorika ini adalah :
1. Membuat file shortcut kesemua folder yang ada di komputer maupun flashdisk. tapi yang pasti muncul adalah file sortcut ini ; “microsoft.lnk”, “New Harry Potter.lnk”, “New Folder.lnk, dan “nama folder”.lnk
2. Mempunyai 2 bagian, yaitu file Autorun.inf dan Thumb.db yang di hidden. keduanya mempunyai ukuran 8kb. Dan satu lagi database.mdb.
3. pada file autorun.inf nya jika di buka dengan notepad ada tulisan “Vinorika Go to Kediri….
‘ Capek dhe!!
‘ Kupersembahkan Sebagai permintaan maafQ bwt Vinurika Rahmania yg ada di Kediri….
4. merupakan virus berbahasa pemograman Visual Basic.
Selesai Ulangan semester, saya googling nih virus di google. Dan tanya ke teman-teman saya. Akhirnya saya menemukan Informasinya di sini :
http://virusindonesia.com/2008/12/22/fdshield-pcmav-191-update-build1/
Di situs tersebut ada seseorang yang menemukan cara menghapus virusnya. Berikut ini adalah cara menghapus virusnya :
1. Matikan System Restore.. (ada di hal 1)
2. Matikan proses virus wsrcipt.exe (C:WINDOWSSystem32wscript.exe)
Bisa menggunakan Process Explorer atau misc. tool pada HijackThis..
3. Hapus file virus database.mdb di My Documents..
4. Hapus file duplikat virus..
Gunakan fasilitas search pada Windows..
Pada “More advanced options”, pastikan option “Search system folders” dan “Search
hidden files and folders” keduanya terpilih..
Search file dengan nama autorun.inf ukurannya 8 KB
Search file dengan nama Thumb.db ukurannya 8 KB
Search file dengan ekstensi .lnk.lnk ukurannya 1 KB
Hapus semua file yang ditemukan..
5. Hapus registry Autorun yang dibuat virus dengan menggunakan HijackThis.. (saya menggunakan Tune Up utilities)
Cari di bagian HKCU..Run: yang berhubungan dengan file database.mdb
Semoga bisa membantu..
regards..
Nah setelah mengikuti langkah di atas, akhirnya saya berhasil menghapus virus tersebut
hahahahahaha……..
nb: Untuk pembuat virus
Two Thumbs Up buat Anda…..
Hebat hasil karya anda
Peace 
Conficker merupakan virus yang canggih yang cukup cerdas, karena memiliki kemampuan meng-update dirinya dan memiliki satu payload spesial yang sangat menyulitkan pembuat antivirus untuk membuat tools membasmi dirinya.
“Sehingga tak jarang, jika jaringan komputer di lp3i terinfeksi virus ini, meskipun Anda sudah banting tulang membersihkan tetapi virus tersebut tetap membandel
Conficker yang dulu muncul pada kasus ‘Generic Host Process’ error kali ini muncul dengan varian dengan target serangan Windows XP, Vista, semua versi Windows Server. Bahkan, kata fendy plick, Windows 7 versi Beta pun masih rentan atas serangan virus ini.
Norman Security Suite mendeteksi varian baru virus tersebut sebagai W32/Conficker.DV, sedangkan antivirus lain mendeteksi sebagai Win32.Kido.CG (Kaspersky), W32.Downadup.B (Symantec), W32.Downadup.AL (F-Secure), W32.Conficker.B (Microsoft), W32.Conficker.A (CA, Sophos dan McAfee), Worm_Downad.AD (Trend Micro) dan W32/Conficker.C (Panda).
Ciri File Virus
Dijelaskan fendy plick, virus Conficker.DV memiliki file yang dikompres melalui UPX. File virus berukuran 162 kb. File virus yang masuk bertipe gambar (gif, jpeg, bmp, png). Sedangkan file yang aktif umumnya bertype ‘dll’ (dynamic link library).
Selanjutnya file virus yang berusaha masuk akan berada pada lokasi temporary internet. Jika file virus yang masuk berhasil dijalankan, virus akan mengkopi dirinya pada salah satu lokasi folder. File ‘dll’ inilah yang aktif dan mendompleng file svchost.exe (Windows Server Service) untuk melakukan penyebaran virus kembali.
“Virus juga akan mengcopy file ‘[%nama acak%].tmp’ pada folder ‘%WINDOWS%\system32′ [contohnya : 01.tmp atau 06.tmp]. Setelah menggunakan file tsb, kemudian virus mendelete file tsb,” tukas fendy plick.
Nah, jika sudah terinfeksi W32/Conficker.DV, virus ini akan menimbulkan gejala/efek sebagai berikut:
* Jika varian sebelumnya mematikan service ‘Workstation, Server dan Windows Firewall/Internet Connection Sharing (ICS)’. Maka kali ini virus berusaha untuk mematikan dan mendisable beberapa service, yaitu wscsvc: Security Center, wuauserv: Automatic Updates, BITS : Background Intellegent Transfer Service, ERSvc: Error Reporting Service dan yang lainnya.
* Virus mampu melakukan blok terhadap program aplikasi yang berjalan saat mengakses website yang mengandung string berikut: Ccert, sans, bit9, windowsupdate, wilderssecurity dan masih banyak lagi. Hal ini dilakukan tanpa melakukan perubahan pada host file yang ada. Dengan melakukan blok, dapat mencegah program anti-malware untuk melakukan update antivirus dan mencegah user saat mencoba akses ke situs keamanan.
* Virus berusaha melakukan perubahan pada sistem Windows Vista/Server 2008 dengan menggunakan perintah: ‘netsh interface tcp set global autotuning=disabled’. Dengan perintah ini, maka windows auto tuning akan didisable. Windows Auto-Tuning merupakan salah satu fitur dari Windows Vista dan Server 2008 yang berguna untuk meningkatkan performa ketika mencoba akses jaringan.
* Virus berusaha mendownload dan mengeksekusi file (bmp, gif, jpeg, png) yang kemudian masuk pada temporary internet.
* Virus akan memeriksa koneksi internet dan mendownload file dengan menyesuaikan tanggal setelah 1 Januari 2009. Untuk itu virus memeriksa pada beberapa situs berikut: baidu, google, yahoo, msn, hingga ask.com
* Virus akan membuat rule firewall pada gateway jaringan lokal yang membuat serangan dari luar terkoneksi dan mendapatkan alamat external IP Address yang terinfeksi melalui berbagai macam port (1024 hingga 10000).
* Virus akan membuat service dengan karakteristik tertentu agar dapat berjalan otomatis saat start-up windows serta membuat HTTP Server pada port yang acak
* Virus membuat scheduled task untuk menjalankan file virus yang sudah dikopi dengan perintah: ‘rundll32.exe .[%ekstensi acak%], [%acak]‘
Kalikuning merupakan kawasan wisata alam sekaligus Camping Ground di lereng selatan Gunung Merapi, tepatnya di Kecamatan Cangkringan, Sleman, Yogyakarta. Kalikuning terletak di bawah Kaliadem yang pernah menjadi saksi keganasan letusan merapi tahun 2006 silam dimana pada saat itu dua orang relawan tewas dalam bunker akibat terjangan awa
n panas atau yang biasa di sebut wedhus gembel.
Kawasan wisata Kalikuning ini memang cukup luas. Selain dijadikan objek wisata dan Camping Ground, ada juga daerah di Kalikuning yang memiliki tebing- tebing batuan andesit. Walapun belum banyak di jamah, akan tetapi tebing andesit di daerah Kalikuning ini sering juga di jadikan sebagai arena panjat tebing, khususnya bagi para pemanjat yang telah mahir mengingat kesulitan yang sangat tinggi dalam pemanjatan pada tebing dengan batuan andesit. Gugusan batuan yang berdiri kokoh di sekitar sungai membuat pemandangan yang sangat mangagumkan. Cukup banyak daerah di Kalikuning yang mempunyai bentukan tebing andesit seperti ini.
Untuk mencapai lokasi tebing andesit yang ada dalam foto- foto di bawah kita harus berjalan kaki sekitar 1 km dari jalan aspal yang menuju ke Kaliadem menyusuri jalan setapak yang biasa dilewati oleh penduduk lokal untuk mencari rumput. Tiba di lokasi tebing andesit tersebut rasanya tenang banget karena suasana alam yang sepi dengan pemandangan kelok- kelok bentukan sungai tak berair dan tebing- tebing yang tinggi membuat kita serasa menemukan dunia baru, berbeda dengan kehidupan kota yang penuh dengan kebisingan dan polusi. Daerah Kalikuning terlihat sangat menyejukkan dengan banyaknya pepohonan di sekitarnya yang di dominasi oleh pohon- pohon pinus, serta hawa dingin dataran tinggi di lereng merapi ini.
|
Komentar Terakhir