Sabtu, 11 Februari 2012



Error Palsu Pada Hard Disk

Diancam dengan kerusakan pada hard disk, apalagi sampai kehilangan data, bisa membuat orang panik. Hati-hati, pesan peringatan error itu mungkin palsu.

analis antivirus dari Vaksincom, sebuah program jahat menyamar sebagai peranti "Data Recovery". Program keamanan palsu seperti itu sering dikenal dengan istilah Scareware, karena ia menakut-nakuti korbannya dengan berbagai ancaman palsu.

Program jahat yang menyamar sebagai "Data Recovery" dideteksi sebagai W32/FakeAV.AESL .




Beberapa pesan "seram" yang ditampilkannya adalah sebagai berikut:
  • Harddrive rotational speed decreased by 20 %.
  • Disk Drive c:- is unreadable.
  • Drive C initializing error
  • GPU RAM Temperature is cirtically high.
  • Critical Error. Harddrive Error.
  • Windows detected a harddisk problem. A potential disk failure may causes loss of files, applications and documents stored on the hard disk. It’s highly recommended to scan and solve HPP problems before continue using this PC.

Ciri-ciri Infeksi

,Peranti gadungan ini dibuat dengan menggunakan bahasa pemrograman Visual C++. Pada saat dijalankan, ia akan membuat beberapa file induk yang akan aktif saat komputer dinyalakan.

Berikut adalah beberapa file itu yang berlokasi di "C:-Documents and Settings-All Users-Application Data":
  • 6DSS92c31Apgjk.exe dengan ukuran 563 KB
  • BFwoCYFrNlwR.exe dengan ukuran 619 KB
  • 6DSS92c31Apgjk , ukuran file 1 KB
Ada juga file yang berlokasi di "C:-Document and settings-user-desktop-Data" dengan nama "Recovery.lnk".Kemudian, untuk mengelabui korbannya. Program gadungan ini akan menyisipkan sebuah icon pada taskbar yang bisa menampilkan pesan-pesan "menakutkan".

Modus Kejahatan

Hal pertama yang mengganggu dari kehadiran program jahat ini adalah ia akan melahap resource memori dari komputer yang terinfeksi. Komputer pun berpotensi hang atau crash.
Sedangkan efek yang lebih parah adalah jika korban tertipu dan berusaha menuruti saran peranti gadungan tersebut untuk mengaktifkan software-nya.
Jika hal itu terjadi, program jahat akan mengantarkan korban hingga ke situs yang ujung-ujungnya meminta pengiriman sejumlah uang tertentu untuk menyelesaikan masalah di komputer.
Aksi lain yang tak kalah jahatnya adalah, ia akan menghapur semua aplikasi di komputer. Aplikasi yang dihapus itu akan dimasukkan ke folder temporary.
Ia juga akan menyembunyikan file dan folder dari komputer korbannya. Jika tidak tahu, korban bisa merasa memang benar ada error pada sistemnya.

CARA MENGATASINYA

W32/FakeAV.AESL
Virus yang bisa membuat teknisi komputer kena gaplok
Jika komputer anda terinfeksi virus / malware obatnya antivirus, kalau harddisk rusak dan korup tentu obatnya program Data Recovery dimana diusahakan semaksimal mungkin untuk tidak menjalankan harddisk yang rusak tersebut supaya kerusakan tidak bertambah parah. Namun kalau anda terkena kasus seperti yang di bawah ini, dimana anda membawa harddisk yang “menurut” pesan yang timbul mengalami kerusakan fatal seperti :
(lihat gambar 5 – 11 di bawah)
-       Harddrive rotational speed decreased by 20 %. (yang kira-kira artinya motor harddrive mengalami penurunan kinerja / kerusakan)
-       Disk Drive c:\ is unreadable.
-       Drive C initializing error (tetapi lucunya kok komputernya bisa jalan padahal system Windowsnya ada di drive C).
-       GPU RAM Temperature is cirtically high. (ngga ngerti kok temperatur RAM yang tinggi .... harusnya kan prosesor yang temperaturnya tinggi).
-       Critical Error. Harddrive Error.
-       Windows detected a harddisk problem. A potential disk failure may causes loss of files, applications and documents stored on the hard disk. It’s highly recommended to scan and solve HPP problems before continue using this PC.
Trend penyebaran virus saat ini lebih di dominasi oleh virus yang mempunyai kemampuan menginjeksi file aplikasi seperti file dengan ekstensi EXE, COM atau SCR sebut saja virusW32/Alman, W32/Sality, W32/Virut atau W32/Ramnit serta masih banyak virus lainnya dengan varian yang cukup banyak. Maraknya penyebaran virus saat ini mengharuskan kita lebih waspada terhadap kemungkinan-kemungkinan virus lain yang setiap saat mengintai. Perlu langkah cermat untuk mengantisipasi agar tidak menjadi korban salah satunya dalam memilih program antivirus dan “rupanya” hal ini merupakan celah baru yang dapat di manfaatkan oleh virus untuk menyebarkan dirinya dengan cara memalsukan dirinya sebagai program keamanan (baca: antivirus). Fake antivirus atau yang lebih dikenal dengan sebutan Antivirus palsu mempunyai tampilan yang tidak kalah menarik seperti program antivirus pada umumnya yang dilengkapi dengan berbagi fitur Internet Security seperti Firewall atau Privacy Tools. Dalam hal deteksi juga cukup “Baik” karena mampu mendeteksi virus-virus yang tidak dapat di deteksi oleh program antivirus pada umumnya, tetapi anda jangan terkecoh karena semua peringatan yang muncul adalah PALSU, ujung-ujungnya kita diminta untuk mengirimkan sejumlah uang untuk mendapatkan versi full nya agar dapat menghapus virus “palsu” tersebut.

Program antivirus palsu atau lebih dikenal dengan istilah Scareware saat ini sudah mencapai puluhan jenis. Kurang nya pengetahuan user terhadap perkembangan virus menjadi penyebab mudahnya antivirus gadungan ini menyebar. Dari sekian banyak  program scareware yang menyebar salah satunya adalah W32/FakeAV.AESL demikian Norman Security Suite mendeteksi virus ini (lihat gambar 2). Program gadungan ini akan menyamarkan dirinya sebagai tools “Data Recovery” yang di dalamnya berisi fitur untuk melakukan pemeriksaan terhadap komputer Anda seperti pemeriksaan kondisi Hard Disk, Memory, Registry serta Operating System Anda. (lihat gambar 1)

Gambar 1, Tampilan antar muka W32/FakeAV.AESL

 
Gambar 2, Hasil deteksi Norman Malware Cleaner

File induk
Tools gadungan ini dibuat dengan menggunakan bahasa pemograman Visual C++. Pada saat file antivirus gadungan tersebut di jalankan, ia akan membuat beberapa file induk berikut yang akan di aktifkan pada saat computer di nyalakan :

ü  C:\Documents and Settings\All Users\Application Data
o   6DSS92c31Apgjk.exe dengan ukuran 563 KB
o   BFwoCYFrNlwR.exe dengan ukuran 619 KB
o   6DSS92c31Apgjk , ukuran file 1 KB

ü  C:\Document and settings\user\desktop\Data Recovery.lnk (lihat gambar 3)

           
            Gambar 3, File induk W32/FakeAV.AESL

Untuk mengelabui user, ia juga akan menyisipkan sebuah icon pada taskbar yang jika icon tersebut di klik (double click) akan mengaktifkan dirinya (lihat gambar 4)


Gambar 4, Icon W32/FakeAV.AESL

Registri Windows
Agar antivirus gadungan ini dapat aktif secara otomatis pada saat komputer  dinyalakan, ia akan membuat beberapa string pada registri Windows berikut:

  • hkey_users\S-1-5-21-842925246-1383384898-1343024091-1003\software\microsoft\windows\currentversion\run
    • BFwoCYFrNlwR.exe = C:\Documents and Settings\All Users\Application Data\BFwoCYFrNlwR.exe

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    • BFwoCYFrNlwR.exe = C:\Documents and Settings\All Users\Application Data\BFwoCYFrNlwR.exe

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\BFwoCYFrNlwR

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\BFwoCYFrNlwR\DEBUG
o   Trace Level

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\6DSS92c31Apgjk\DEBUG
o   Trace Level

Blok fungsi Windows
Untuk memperlancar aksinya, ia akan blok beberapa fungsi Windows seperti :
-          Disable Registry
-          Disable TaskMgr
-          Disable Folder Options
-          Disable Deskop
-          Tidak dapat mengganti wallpaper Windows
-          SaveZoneInformation
-          LowRiskFileTypes

Untuk melakukan hal tersebut ia akan membuat beberapa registri berikut:

o   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop
-          NoChangingWallPaper

o   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations
-          LowRiskFileTypes  = .zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;.scr;

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments
-          SaveZoneInformation

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
-          NoDesktop
-          NoFolderOptions

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
-          DisableRegistryTools
-          DisableTaskMgr

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
-          NoFolderOptions
-           
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
-          DisableRegistryTools
-          DisableTaskMgr

Menampilkan peringatan palsu
Seperti kebayakan antivirus gadungan, Tools gadungan W32/FakeAV.AESL juga akan menampilkan peringatan-peringatan palsu seolah-olah komputer tersebut bermasalah.



Rakus memakan memori
Hal yang paling mengganggu yang dilakukan oleh virus ini adalah, akan menampilkan peringatan-peringatan palsu secara terus-menerus yang mengakibatkan resource memori komputer terkuras habis dan menyebabkan komputer menjadi hang/crash. 
Registrasi Palsu
Untuk mengatasi masalah tersebut, Anda harus melakukan registrasi terlebih dahulu untuk mendapatkan software full version dengan mencantumkan alamat email serta kode aktivasi yang Anda miliki, jika Anda tidak mempunyai kode aktivasi scareware ini akan menuntun Anda untuk melakukan registrasi melalui internet, ujung-ujung nya anda diminta untuk transfer sejumlah uang, alhasil bukannya software full version yang Anda dapatkan dengan harapan dapat menghilangkan masalah di komputer anda tapi yang anda dapatkan adalah program virus.

Menghapus program
Aksi lain yang dilakukan oleh W32/FakeAV.AESL adalah menghapus semua program aplikasi yang sudah terinstall sehingga user akan kesulitan untuk menjalankan program aplikasi tersebut.


Jebakan W32/FakeAV.AESL
Hati-hati dengan jebakan yang dipasang oleh W32/FakeAV.AESL, jika anda yakin telah terinfeksi virus ini sebaiknya anda jangan langsung menghapus file temporary (baik menggunakan tools maupun secara manual) karena virus ini akan memindahkan semua file program aplikasi yang di hapus tersebut ke folder temporary tepatnya di direktori [C:\Documents and Settings\%user%\Local Settings\Temp\smtmp].

Menyembunyikan file/folder
Sudah jatuh tertimpa tangga, itulah perumpamaan yang dapat digambarkan bila komputer kita sudah terinfeksi virus ini. Setelah berhasil ”memporakporandakan” program aplikasi, ia juga akan menyembunyikan file/folder disemua drive sehingga makin mempersulit user untuk mengakses komputer dan mematikan virus tersebut.



Cara membersihkan W32/FakeAV.AESL 

  1. Lakukan pembersihan pada mode ”safe mode”
  2. Disable ”System Restore” untuk sementara selama proses pembersihan dilakukan
  3. Matikan proses virus dengan nama [6DSS92c31Apgjk.exe]. Untuk mematikan proses ini sebaiknya gunakan tools selain Task Manager, seperti ProceeXP (http://technet.microsoft.com/en-us/sysinternals/bb896653)
  4. Repair registry Windows yang sudah dibuat oleh virus. Untuk mempercepat proses penghapusan salit script dibawah ini pada program notepad kemudian simpan dengan nama REPAIR.INF. Install dengan cara: Klik kanan REPAIR.INF | Klik INSTALL

[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee 2012

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,ShowSuperHidden,0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,SuperHidden,0x00010001,1
HKLM, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1
HKLM, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0x00010001,0


[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, BFwoCYFrNlwR.exe
HKU, S-1-5-21-842925246-1383384898-1343024091-1003\software\microsoft\windows\currentversion\run, BFwoCYFrNlwR.exe
HKLM, SOFTWARE\Microsoft\ESENT\Process\BFwoCYFrNlwR
HKLM, SOFTWARE\Microsoft\ESENT\Process\6DSS92c31Apgjk
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop, NoChangingWallPaper
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Associations, LowRiskFileTypes
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Attachments, SaveZoneInformation
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDesktop
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoFolderOptions
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system, DisableRegistryTools
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system, DisableTaskMgr

  1. Hapus file yang dibuat oleh virus

    1. C:\Documents and Settings\All Users\Application Data
o   6DSS92c31Apgjk.exe
o   BFwoCYFrNlwR.exe
o   6DSS92c31Apgjk

    1. C:\Document and settings\%user%\desktop\Data Recovery.lnk (%user%, menunjukan user yang digunakan saat login Windows)
                                                                                   
            Catatan:
Sebelum melakukan penghapusan, tampikan file yang tersembunyi dengan merubah Folder Options berikut:
o   Pilih opsi “Show hidden files and folders”
o   Hilangkan tanda centang pada opsi “Hide extension for known file types”
o   Hilangkan tanda centang pada opsi “Hide protected operating system files (Recommended)”

  1. Tampilkan file yang disembunyikan dengan cara:
    1. Klik tombol [Start]
    2. Klik [RUN]
    3. Pada dialog box RUN ketik CMD kemudian tekan tombol [enter]
    4. Pindahkan posisi kursor pada drive yang akan di periksa (contohnya: jika drive yang akan diperiksa adalah drive [C:\] maka ketik perintah C: kemudian klik tombol [Enter]
    5. Kemudian ketik perintah ATTRIB -S -H -R  /S /D kemudian tekan tombol [Enter]
    6. Tunggu sampai proses selesai dilakukan
    7. Lakukan langkah yang sama pada drive lain

  1. Untuk Mengembalikan program instalasi yang di hapus oleh W32/FakeAV.AESL  copy file yang berada di direktori [C:\Documents and Settings\%user%\Local Settings\Temp\smtmp] ke direktori [C:\Documents and Settings\All Users\Start Menu]
  2. Scan ulang dengan menggunakan antivirus yang up-to-date untuk memastikan komputer benar-benar bersih dari virus

Tools FakeAV
Kembali Vaksincom menghadirkan tools antivirus dengan nama  Anti FakeAV -01 :
Gambar 18, Anti FakeAV -01

Berikut beberapa fungsi Anti FakeAV -01:
  • Mematikan proses virus
  • Menghapus file induk virus
  • Fix Registry
  • Menampilkan file/folder yang disembunyikan
  • Mengembalikan file/program aplikasi yang di hapus (dengan catatan anda belum menghapus file temporary)
  • Proteksi agar komputer tidak terinfeksi W32/FakeAV.AESL