Error
Palsu Pada Hard Disk
Diancam dengan kerusakan pada hard
disk, apalagi sampai kehilangan data, bisa membuat orang panik. Hati-hati,
pesan peringatan error itu mungkin palsu.
analis antivirus dari Vaksincom, sebuah program jahat menyamar sebagai peranti "Data Recovery". Program keamanan palsu seperti itu sering dikenal dengan istilah Scareware, karena ia menakut-nakuti korbannya dengan berbagai ancaman palsu.
Program jahat yang menyamar sebagai "Data Recovery" dideteksi sebagai W32/FakeAV.AESL .
analis antivirus dari Vaksincom, sebuah program jahat menyamar sebagai peranti "Data Recovery". Program keamanan palsu seperti itu sering dikenal dengan istilah Scareware, karena ia menakut-nakuti korbannya dengan berbagai ancaman palsu.
Program jahat yang menyamar sebagai "Data Recovery" dideteksi sebagai W32/FakeAV.AESL .
Beberapa pesan "seram" yang ditampilkannya adalah sebagai berikut:
- Harddrive rotational speed decreased by 20 %.
- Disk Drive c:- is unreadable.
- Drive C initializing error
- GPU RAM Temperature is cirtically high.
- Critical Error. Harddrive Error.
- Windows detected a harddisk problem. A potential disk failure may causes loss of files, applications and documents stored on the hard disk. It’s highly recommended to scan and solve HPP problems before continue using this PC.
Ciri-ciri Infeksi
,Peranti gadungan ini dibuat dengan menggunakan bahasa pemrograman Visual C++. Pada saat dijalankan, ia akan membuat beberapa file induk yang akan aktif saat komputer dinyalakan.
Berikut adalah beberapa file itu yang berlokasi di "C:-Documents and Settings-All Users-Application Data":
- 6DSS92c31Apgjk.exe dengan ukuran 563 KB
- BFwoCYFrNlwR.exe dengan ukuran 619 KB
- 6DSS92c31Apgjk , ukuran file 1 KB
Ada juga file yang berlokasi di
"C:-Document and settings-user-desktop-Data" dengan nama
"Recovery.lnk".Kemudian, untuk mengelabui korbannya. Program gadungan
ini akan menyisipkan sebuah icon pada taskbar yang bisa menampilkan pesan-pesan
"menakutkan".
Modus Kejahatan
Hal pertama yang mengganggu dari kehadiran program jahat ini adalah ia akan melahap resource memori dari komputer yang terinfeksi. Komputer pun berpotensi hang atau crash.
Sedangkan efek yang lebih parah adalah jika korban tertipu dan berusaha menuruti saran peranti gadungan tersebut untuk mengaktifkan software-nya.
Jika hal itu terjadi, program jahat akan mengantarkan korban hingga ke situs yang ujung-ujungnya meminta pengiriman sejumlah uang tertentu untuk menyelesaikan masalah di komputer.
Aksi lain yang tak kalah jahatnya adalah, ia akan menghapur semua aplikasi di komputer. Aplikasi yang dihapus itu akan dimasukkan ke folder temporary.
Ia juga akan menyembunyikan file dan folder dari komputer korbannya. Jika tidak tahu, korban bisa merasa memang benar ada error pada sistemnya.
Modus Kejahatan
Hal pertama yang mengganggu dari kehadiran program jahat ini adalah ia akan melahap resource memori dari komputer yang terinfeksi. Komputer pun berpotensi hang atau crash.
Sedangkan efek yang lebih parah adalah jika korban tertipu dan berusaha menuruti saran peranti gadungan tersebut untuk mengaktifkan software-nya.
Jika hal itu terjadi, program jahat akan mengantarkan korban hingga ke situs yang ujung-ujungnya meminta pengiriman sejumlah uang tertentu untuk menyelesaikan masalah di komputer.
Aksi lain yang tak kalah jahatnya adalah, ia akan menghapur semua aplikasi di komputer. Aplikasi yang dihapus itu akan dimasukkan ke folder temporary.
Ia juga akan menyembunyikan file dan folder dari komputer korbannya. Jika tidak tahu, korban bisa merasa memang benar ada error pada sistemnya.
CARA
MENGATASINYA
W32/FakeAV.AESL
Virus yang bisa membuat teknisi komputer kena gaplok
Jika komputer anda terinfeksi virus / malware obatnya
antivirus, kalau harddisk rusak dan korup tentu obatnya program Data Recovery
dimana diusahakan semaksimal mungkin untuk tidak menjalankan harddisk yang
rusak tersebut supaya kerusakan tidak bertambah parah. Namun kalau anda terkena
kasus seperti yang di bawah ini, dimana anda membawa harddisk yang “menurut”
pesan yang timbul mengalami kerusakan fatal seperti :
(lihat gambar 5 – 11 di bawah)
- Harddrive rotational speed decreased by 20 %. (yang
kira-kira artinya motor harddrive mengalami penurunan kinerja / kerusakan)
- Disk Drive c:\ is unreadable.
- Drive C initializing error (tetapi lucunya kok
komputernya bisa jalan padahal system Windowsnya ada di drive C).
- GPU RAM Temperature is cirtically high. (ngga ngerti kok
temperatur RAM yang tinggi .... harusnya kan prosesor yang temperaturnya
tinggi).
- Critical Error. Harddrive Error.
- Windows detected a harddisk problem. A potential disk
failure may causes loss of files, applications and documents stored on the hard
disk. It’s highly recommended to scan and solve HPP problems before continue
using this PC.
Trend
penyebaran virus saat ini lebih di dominasi oleh virus yang mempunyai kemampuan
menginjeksi file aplikasi seperti file dengan ekstensi EXE, COM atau SCR sebut
saja virusW32/Alman, W32/Sality, W32/Virut atau W32/Ramnit serta masih banyak
virus lainnya dengan varian yang cukup banyak. Maraknya penyebaran virus saat
ini mengharuskan kita lebih waspada terhadap kemungkinan-kemungkinan virus lain
yang setiap saat mengintai. Perlu langkah cermat untuk mengantisipasi agar
tidak menjadi korban salah satunya dalam memilih program antivirus dan
“rupanya” hal ini merupakan celah baru yang dapat di manfaatkan oleh virus
untuk menyebarkan dirinya dengan cara memalsukan dirinya sebagai program
keamanan (baca: antivirus). Fake antivirus atau yang lebih dikenal dengan
sebutan Antivirus palsu mempunyai tampilan yang tidak kalah menarik seperti
program antivirus pada umumnya yang dilengkapi dengan berbagi fitur Internet
Security seperti Firewall atau Privacy Tools. Dalam hal deteksi juga cukup
“Baik” karena mampu mendeteksi virus-virus yang tidak dapat di deteksi oleh
program antivirus pada umumnya, tetapi anda jangan terkecoh karena semua
peringatan yang muncul adalah PALSU, ujung-ujungnya kita diminta untuk
mengirimkan sejumlah uang untuk mendapatkan versi full nya agar dapat menghapus
virus “palsu” tersebut.
Program
antivirus palsu atau lebih dikenal dengan istilah Scareware saat ini sudah
mencapai puluhan jenis. Kurang nya pengetahuan user terhadap perkembangan virus
menjadi penyebab mudahnya antivirus gadungan ini menyebar. Dari sekian
banyak program scareware yang menyebar
salah satunya adalah W32/FakeAV.AESL demikian Norman Security Suite mendeteksi
virus ini (lihat gambar
2). Program gadungan ini akan menyamarkan dirinya sebagai
tools “Data Recovery” yang di dalamnya berisi fitur untuk melakukan pemeriksaan
terhadap komputer Anda seperti pemeriksaan kondisi Hard Disk, Memory, Registry serta
Operating System Anda. (lihat gambar
1)
Gambar 1, Tampilan antar muka W32/FakeAV.AESL
Gambar 2, Hasil deteksi Norman Malware Cleaner
File induk
Tools gadungan
ini dibuat dengan menggunakan bahasa pemograman Visual C++. Pada saat file antivirus gadungan tersebut di
jalankan, ia akan membuat beberapa file induk berikut yang akan di aktifkan
pada saat computer di nyalakan :
ü
C:\Documents and Settings\All Users\Application Data
o
6DSS92c31Apgjk.exe dengan ukuran 563 KB
o
BFwoCYFrNlwR.exe dengan ukuran 619 KB
o
6DSS92c31Apgjk , ukuran file 1 KB
ü
C:\Document and settings\user\desktop\Data Recovery.lnk (lihat gambar 3)
Gambar 3, File induk W32/FakeAV.AESL
Untuk
mengelabui user, ia juga akan menyisipkan sebuah icon pada taskbar yang jika
icon tersebut di klik (double click) akan mengaktifkan dirinya (lihat gambar 4)
Gambar 4, Icon W32/FakeAV.AESL
Registri
Windows
Agar antivirus
gadungan ini dapat aktif secara otomatis pada saat komputer dinyalakan, ia akan membuat beberapa string
pada registri
Windows berikut:
- hkey_users\S-1-5-21-842925246-1383384898-1343024091-1003\software\microsoft\windows\currentversion\run
- BFwoCYFrNlwR.exe = C:\Documents and Settings\All Users\Application Data\BFwoCYFrNlwR.exe
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- BFwoCYFrNlwR.exe = C:\Documents and Settings\All Users\Application Data\BFwoCYFrNlwR.exe
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\BFwoCYFrNlwR
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\BFwoCYFrNlwR\DEBUG
o
Trace Level
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\6DSS92c31Apgjk\DEBUG
o
Trace Level
Blok fungsi Windows
Untuk
memperlancar aksinya, ia akan blok beberapa fungsi Windows seperti :
-
Disable Registry
-
Disable TaskMgr
-
Disable Folder Options
-
Disable Deskop
-
Tidak dapat mengganti wallpaper Windows
-
SaveZoneInformation
-
LowRiskFileTypes
Untuk melakukan
hal tersebut ia akan membuat beberapa
registri berikut:
o
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop
-
NoChangingWallPaper
o HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations
- LowRiskFileTypes =
.zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;.scr;
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments
-
SaveZoneInformation
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
-
NoDesktop
-
NoFolderOptions
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
-
DisableRegistryTools
-
DisableTaskMgr
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
-
NoFolderOptions
-
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
-
DisableRegistryTools
-
DisableTaskMgr
Menampilkan peringatan palsu
Seperti kebayakan antivirus gadungan, Tools gadungan
W32/FakeAV.AESL juga akan menampilkan peringatan-peringatan palsu seolah-olah
komputer tersebut bermasalah.
Rakus memakan memori
Hal yang paling mengganggu yang
dilakukan oleh virus ini adalah, akan menampilkan peringatan-peringatan palsu
secara terus-menerus yang mengakibatkan resource memori komputer terkuras habis
dan menyebabkan komputer menjadi hang/crash.
Registrasi Palsu
Untuk mengatasi masalah tersebut, Anda harus melakukan
registrasi terlebih dahulu untuk mendapatkan software full version dengan
mencantumkan alamat email serta kode aktivasi yang Anda miliki, jika Anda tidak
mempunyai kode aktivasi scareware ini akan menuntun Anda untuk melakukan
registrasi melalui internet, ujung-ujung nya anda diminta untuk transfer
sejumlah uang, alhasil bukannya software full version yang Anda dapatkan dengan
harapan dapat menghilangkan masalah di komputer anda tapi yang anda dapatkan
adalah program virus.
Menghapus program
Aksi lain yang dilakukan oleh W32/FakeAV.AESL adalah
menghapus semua program aplikasi yang sudah terinstall sehingga user akan
kesulitan untuk menjalankan program aplikasi tersebut.
Jebakan W32/FakeAV.AESL
Hati-hati dengan jebakan yang dipasang oleh
W32/FakeAV.AESL, jika anda yakin telah terinfeksi virus ini sebaiknya anda
jangan langsung menghapus file temporary (baik menggunakan tools maupun secara
manual) karena virus ini akan memindahkan semua file program aplikasi yang di
hapus tersebut ke folder temporary tepatnya di direktori [C:\Documents and
Settings\%user%\Local Settings\Temp\smtmp].
Menyembunyikan file/folder
Sudah jatuh tertimpa tangga, itulah perumpamaan yang
dapat digambarkan bila komputer kita sudah terinfeksi virus ini. Setelah
berhasil ”memporakporandakan” program aplikasi, ia juga akan menyembunyikan
file/folder disemua drive sehingga makin mempersulit user untuk mengakses
komputer dan mematikan virus tersebut.
Cara
membersihkan W32/FakeAV.AESL
- Lakukan pembersihan pada mode ”safe mode”
- Disable ”System Restore” untuk sementara selama proses pembersihan dilakukan
- Matikan proses virus dengan nama [6DSS92c31Apgjk.exe]. Untuk mematikan proses ini sebaiknya gunakan tools selain Task Manager, seperti ProceeXP (http://technet.microsoft.com/en-us/sysinternals/bb896653)
- Repair registry Windows yang sudah dibuat oleh virus. Untuk mempercepat proses penghapusan salit script dibawah ini pada program notepad kemudian simpan dengan nama REPAIR.INF. Install dengan cara: Klik kanan REPAIR.INF | Klik INSTALL
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee 2012
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM,
Software\CLASSES\batfile\shell\open\command,,,"""%1""
%*"
HKLM,
Software\CLASSES\comfile\shell\open\command,,,"""%1""
%*"
HKLM,
Software\CLASSES\exefile\shell\open\command,,,"""%1""
%*"
HKLM,
Software\CLASSES\piffile\shell\open\command,,,"""%1""
%*"
HKLM,
Software\CLASSES\regfile\shell\open\command,,,"regedit.exe
"%1""
HKLM,
Software\CLASSES\scrfile\shell\open\command,,,"""%1""
%*"
HKCU,
Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,ShowSuperHidden,0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,SuperHidden,0x00010001,1
HKLM,
Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden,
UncheckedValue,0x00010001,1
HKLM,
Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,
UncheckedValue,0x00010001,0
[del]
HKCU,
Software\Microsoft\Windows\CurrentVersion\Run, BFwoCYFrNlwR.exe
HKU,
S-1-5-21-842925246-1383384898-1343024091-1003\software\microsoft\windows\currentversion\run,
BFwoCYFrNlwR.exe
HKLM, SOFTWARE\Microsoft\ESENT\Process\BFwoCYFrNlwR
HKLM,
SOFTWARE\Microsoft\ESENT\Process\6DSS92c31Apgjk
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop,
NoChangingWallPaper
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Associations,
LowRiskFileTypes
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\Attachments,
SaveZoneInformation
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDesktop
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU,
Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer,
NoFolderOptions
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system, DisableRegistryTools
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system, DisableTaskMgr
- Hapus file yang dibuat oleh virus
- C:\Documents and Settings\All Users\Application Data
o
6DSS92c31Apgjk.exe
o
BFwoCYFrNlwR.exe
o
6DSS92c31Apgjk
- C:\Document and settings\%user%\desktop\Data Recovery.lnk (%user%, menunjukan user yang digunakan saat login Windows)
Catatan:
Sebelum
melakukan penghapusan, tampikan file yang tersembunyi dengan merubah Folder
Options berikut:
o
Pilih opsi “Show hidden files and folders”
o
Hilangkan tanda centang pada opsi “Hide extension for known
file types”
o
Hilangkan tanda centang pada opsi “Hide protected operating
system files (Recommended)”
- Tampilkan file yang disembunyikan dengan cara:
- Klik tombol [Start]
- Klik [RUN]
- Pada dialog box RUN ketik CMD kemudian tekan tombol [enter]
- Pindahkan posisi kursor pada drive yang akan di periksa (contohnya: jika drive yang akan diperiksa adalah drive [C:\] maka ketik perintah C: kemudian klik tombol [Enter]
- Kemudian ketik perintah ATTRIB -S -H -R /S /D kemudian tekan tombol [Enter]
- Tunggu sampai proses selesai dilakukan
- Lakukan langkah yang sama pada drive lain
- Untuk Mengembalikan program instalasi yang di hapus oleh W32/FakeAV.AESL copy file yang berada di direktori [C:\Documents and Settings\%user%\Local Settings\Temp\smtmp] ke direktori [C:\Documents and Settings\All Users\Start Menu]
- Scan ulang dengan menggunakan antivirus yang up-to-date untuk memastikan komputer benar-benar bersih dari virus
Tools FakeAV
Kembali
Vaksincom menghadirkan tools antivirus dengan nama Anti FakeAV -01 :
Gambar 18, Anti FakeAV -01
Berikut
beberapa fungsi Anti FakeAV -01:
- Mematikan proses virus
- Menghapus file induk virus
- Fix Registry
- Menampilkan file/folder yang disembunyikan
- Mengembalikan file/program aplikasi yang di hapus (dengan catatan anda belum menghapus file temporary)
- Proteksi agar komputer tidak terinfeksi W32/FakeAV.AESL
Tidak ada komentar:
Posting Komentar