Pembuat Virus ternyata fans Winnie The Pooh
Diskon adalah hal yang dinanti-nanti penggemar belanja, makin besar diskon yang diberikan maka makin banyak orang yang tertarik. Kalau saja kata diskon dapat menarik perhatian, apalagi kata Gratis !! Rupanya hal ini menjadi perhatian pembuat virus dan memunculkan idenya untuk memanfaatkan kebiasaan pengguna komputer untuk mendapatkan program gratisan. Dan celakanya, program gratisan yang menjadi korban adalah program antivirus yang cukup popular dikalangan pengguna komputer. AVG (Anti Viral Group … bukan singkatan dari Anti Virus Gratis) besutan Grisoft.
Seperti kita ketahui, di internet terdapat beberapa vendor antivirus yang memberikan programnya secara gratis kepada penggunanya (biasakan baca EULA – End User License Agreement sebelum menginstal software gratis supaya anda mengetahui ketentuan penggunaan software gratis) seperti Antivir, Avast, AVG dan Bitdefender. Tidak lupa pembuat virus ini memberikan pesan agar virus ciptaannya diberi nama Piglet (dengan gambar kartun yang agak seronok) yang malahan mengingatkan pada Winnie The Pooh.
ika sebelumnya Kespo mulai menyebar dengan cepat serta sudah memakan ribuan korban dengan target utama file Office khususnya MS.Word dan MS.Excel dengan cara menginjeksi file tersebut hal ini diperparah dengan banyaknya vendor antivirus luar yang belum mampu untuk mengembalikan/repair file yang sudah terinfeksi tersebut bahkan cenderung untuk menghapus file yang sudah terinfeksi tersebut.
Kini anda harus kembali berhati-hati dengan satu virus yang sudah menyebar saat dengan ciri-ciri utama terdapat file dengan nama AVG 2007 disetiap Drive ternasuk di media Flash Disk. Sepintas file ini mirip dengan file installer antivirus AVG dengan icon yang sama persis dengan icon yang digunakan oleh antivirus AVG dengan ukuran file 101 KB. Rupanya si pembuat virus menggunakan rekayasa ini karena banyaknya para pengguna komputer yang menggunakan antivirus ini. Selain itu ciri lain yang dapat dikenali dari virus ini adalah adanya file dengan nama W32.Piglet II.jpg yang akan disimpan di Flash Disk, perhatikan gambar 1 dibawah ini:
Gambar 1, File induk VBWorm.NOI
Diskon adalah hal yang dinanti-nanti penggemar belanja, makin besar diskon yang diberikan maka makin banyak orang yang tertarik. Kalau saja kata diskon dapat menarik perhatian, apalagi kata Gratis !! Rupanya hal ini menjadi perhatian pembuat virus dan memunculkan idenya untuk memanfaatkan kebiasaan pengguna komputer untuk mendapatkan program gratisan. Dan celakanya, program gratisan yang menjadi korban adalah program antivirus yang cukup popular dikalangan pengguna komputer. AVG (Anti Viral Group … bukan singkatan dari Anti Virus Gratis) besutan Grisoft.
Seperti kita ketahui, di internet terdapat beberapa vendor antivirus yang memberikan programnya secara gratis kepada penggunanya (biasakan baca EULA – End User License Agreement sebelum menginstal software gratis supaya anda mengetahui ketentuan penggunaan software gratis) seperti Antivir, Avast, AVG dan Bitdefender. Tidak lupa pembuat virus ini memberikan pesan agar virus ciptaannya diberi nama Piglet (dengan gambar kartun yang agak seronok) yang malahan mengingatkan pada Winnie The Pooh.
ika sebelumnya Kespo mulai menyebar dengan cepat serta sudah memakan ribuan korban dengan target utama file Office khususnya MS.Word dan MS.Excel dengan cara menginjeksi file tersebut hal ini diperparah dengan banyaknya vendor antivirus luar yang belum mampu untuk mengembalikan/repair file yang sudah terinfeksi tersebut bahkan cenderung untuk menghapus file yang sudah terinfeksi tersebut.
Kini anda harus kembali berhati-hati dengan satu virus yang sudah menyebar saat dengan ciri-ciri utama terdapat file dengan nama AVG 2007 disetiap Drive ternasuk di media Flash Disk. Sepintas file ini mirip dengan file installer antivirus AVG dengan icon yang sama persis dengan icon yang digunakan oleh antivirus AVG dengan ukuran file 101 KB. Rupanya si pembuat virus menggunakan rekayasa ini karena banyaknya para pengguna komputer yang menggunakan antivirus ini. Selain itu ciri lain yang dapat dikenali dari virus ini adalah adanya file dengan nama W32.Piglet II.jpg yang akan disimpan di Flash Disk, perhatikan gambar 1 dibawah ini:
Gambar 1, File induk VBWorm.NOI
Oleh karena itu Anda jika menjumpai file ini di komputer sebaiknya waspada, apalagi jika file ini berada di Flash Disk karena virus ini akan menyebar dengan menggunakan Flash Disk serta menginfeksi komputer otomatis melalui Flash Disk setiap kali Flash Disk tersebut dihubungkan ke komputer. Untuk menghindari infeksi otomatis melalui Flash Diks sebaiknya Anda matikan Autoplay/Autorun pada komputer.
Jika file tersebut dijalankan maka akan membuat beberapa file induk yang akan dijalankan setiap kali komputer dinyalakan. Berikut beberapa file yang akan dibuat oleh VBWorm.NOI.
Jika file tersebut dijalankan maka akan membuat beberapa file induk yang akan dijalankan setiap kali komputer dinyalakan. Berikut beberapa file yang akan dibuat oleh VBWorm.NOI.
- C:\msvbvm60.dll [Disetiap Drive]
- C:\Desktop.ini [Disetiap Drive]
- C:\AVG_update_2007.exe [Disetiap Drive]
- C:\AVG 2007.exe [Disetiap Drive]
- C:\Autorun.inf [Disetiap Drive]
- C:\update (berisi file Folder.htt)
- C:\Windows\msvbvm60.dll
- C:\windows\Resources\system.scr
- C:\windows\system32
- notepad.scr
- proposal.scr
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- EYORE = C:\WINDOWS\System32\Notepad.scr
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- EYORE = C:\WINDOWS\System32\Notepad.scr
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- EYORE = C:\WINDOWS\System32\Notepad.scr
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
- AlternateShell = C:\WINDOWS\System32\Notepad.scr
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot
- AlternateShell = C:\WINDOWS\System32\Notepad.scr
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot
- AlternateShell = C:\WINDOWS\System32\Notepad.scr
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentContolSet\Control\SafeBoot
- AlternateShell = C:\WINDOWS\System32\Notepad.scr %1 %*
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
- AlternateShell = C:\WINDOWS\System32\Notepad.scr
Sebagai pertahanan ia akan mencoba untuk blok beberapa fungsi Windows seperti Task Manager/Regedit/CMD/MSConfig/Folder Options serta beberapa tools security dengan membaca caption text dari tools tersebut seperti ProceeXP atau Security Task Manager. Selain itu VBWorm.NOI ini juga akan menyembunyikan file C:\Windows.
Untuk melakukan hal tersebut ia akan membuat beberapa string pada registry berikut:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- NoSetFolders
- NoSetTaskbar
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableCMD
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
Untuk melakukan hal tersebut ia akan membuat beberapa string pada registry berikut:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- NoSetFolders
- NoSetTaskbar
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableCMD
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp
Di kutip dari Vaksin.com
Tidak ada komentar:
Posting Komentar