Docstoc
EXCLUSIVE OFFER FOR DOCSTOC USERS
Try the all-new QuickBooks Online for FREE.  No credit card required.

068-069_pcm_virus_10

Document Sample
068-069_pcm_virus_10 Powered By Docstoc
					       Virus                                                                                                                                                                                                                                                                                                    Virus
       Virus TukulNdeso                                                                                                                                                                                                                                                                            Virus TukulNdeso


                                                                                                                                                                        Untuk menyamarkan dirinya, ia mengubah        virus ini. Dan dengan memanfaatkan MAPI                  Virus Defense

     Virus TukulNdeso:                                                                                                                                               tipe dari file .VBS dari “VBScript Script File”
                                                                                                                                                                     menjadi “Image File” dan mengubah icon
                                                                                                                                                                     standar menjadi sebuah icon file gambar.
                                                                                                                                                                                                                      Outlook, ia mencoba untuk mengirimkan
                                                                                                                                                                                                                      dirinya ke alamat yang ada pada address book
                                                                                                                                                                                                                      Anda. Jadi, selalu waspada terhadap setiap
                                                                                                                                                                                                                                                                               Untuk lebih membatasi ruang gerak user, ia
                                                                                                                                                                                                                                                                               memblokir akses ke beberapa situs tertentu
                                                                                                                                                                                                                                                                               dengan mengubah isi dari file hosts milik Win-



     Bisa AutoUpdate                                                                                          Tampilan file VBScript virus TukulNdeso pada komputer
                                                                                                                                                                     Juga mengubah file gambar wallpaper Anda          e-mail yang mampir ke inbox.                             dows. Situs tersebut adalah friendster, google,
                                                                                                              yang belum terinfeksi.                                 menjadi “Prairie Wind.bmp”.                         Virus ini pun akan men-sharing setiap                 vaksin.com, dan beberapa situs lainnya.
                                                                                                                                                                        Beberapa setting-an Internet Explorer pun     drive yang terpasang di komputer Anda agar                  Saat ia aktif di memory, ia akan terus
                                                                                                                                                                     tidak luput dari perhatiannya. Halaman de-       pengguna lain di jaringan tergoda untuk                  memonitor apa yang Anda lakukan. Seperti
                                                                                                                                                                     fault ia ubah menjadi ke \%Windows%\tukul.       mengaksesnya, dan ia pun dapat meng-                     program apa saja yang Anda akses. Jika
     Visual Basic Scripting Edition atau biasa dikenal dengan nama                                                                                                   html. Jadi saat Anda menjalankan Internet        kopikan dirinya pada folder yang di-sharing              nama file program tersebut mengandung
                                                                                                                                                                     Explorer, maka pesan dari virus ini yang kali    dengan nama seperti kembali_ke_laptop.jpg.               kata–kata tertentu seperti contohnya anti,
     VBScript merupakan bahasa turunan dari Visual Basic. Dengan                                                                                                     pertama muncul. Background dari Toolbar          vbs, JULIA PEREZ NUDE.jpg.vbs, dan TUKUL                 kill, hijack, reg, atau vir, maka sebuah kotak
                                                                                                              Tampilan file VBScript virus TukulNdeso pada komputer
     hanya bermodalkan script yang ditulis di Notepad pun, dapat                                              yang sudah terinfeksi.                                 Explorer pun ia ubah gambarnya. Dan satu         BUGIL.jpg.vbs.                                           pesan berjudulkan “ANTIexe Manager” akan
                                                                                                                                                                     lagi Title Internet Explorer ia ubah menjadi                                                              muncul yang memberitahukan bahwa akses
     tercipta virus yang mematikan.                                                                              Virus ini akan membuat file induk dirinya            “TuKuL_NDESO”.                                   Automatic Update                                         tersebut telah diblokir oleh Administrator.
                                                                                                          o   pada direktori Windows dengan nama                        Untuk memperlemah pertahanan sistem           Virus VBScript yang satu ini memang tidak                Setelah menampilkan kotak pesan tersebut,
     Arief Prabowo                                                                              Virus Dem
                                                                                                              kernel32dll.vbs, tukul.jpg.vbs, dan kembali_           tersebut, virus ini pun melakukan pem-           bisa dipandang remeh. Tak tanggung-tang-                 maka program yang akan kita jalankan tadi
                                                                                                              ke_laptop.vbs dengan attribut hidden. Cer-             blokiran pada beberapa fasilitas Windows         gung, sang pembuatnya menambahkan fitur                   akan dihapusnya.
                                                       Bagaimana Wujudnya?
     V    BScript yang sudah ada semenjak Win-
          dows 9x ini biasa digunakan pada produk
     Microsoft seperti Microsoft Office atau pada
                                                       Varian pertama dari virus TukulNdeso yang
                                                       kami miliki ukurannya sebesar 23.244 bytes
                                                                                                              diknya, ia pun meng-copy-kan file wscript.exe
                                                                                                              dengan nama lain yang menyerupai file system
                                                                                                              Windows yakni smss.exe, dan menjalankan
                                                                                                                                                                     seperti System Restore, Command Prompt,
                                                                                                                                                                     Find, Folder Options, Run, Regedit, dan Task
                                                                                                                                                                     Manager. Ia pun meniadakan fasilitas klik
                                                                                                                                                                                                                      Automatic Updates pada virusnya. Ia akan me-
                                                                                                                                                                                                                      mantau alamat ini http://geocities.com/tukul-
                                                                                                                                                                                                                      ndeso0907/update.txt, jika terdapat update-
                                                                                                                                                                                                                                                                                  Hal mudah untuk mengetahui apakah
                                                                                                                                                                                                                                                                               komputer Anda terinfeksi oleh virus ini atau
                                                                                                                                                                                                                                                                               tidak, yaitu bisa dengan melihat status infor-
     file HTML. File script yang biasa dikenal de-      dengan keadaan terenkripsi. Jadi kalaupun              virusnya melalui file ini. Pembuatnya sepertinya        kanan dan menngeset Folder Options agar          an yang lebih baru, maka akan di-download                masi Registered Owner dan Organization pada
     ngan extension .vbs contohnya, tidak dapat        Anda mencoba untuk melihat isi file VBS                 memang menyadari bahwa VBScript memang                 tidak menampilkan file dengan attribute hid-      dan ditaruh pada direktori Windows dengan                komputer terinfeksi. Pada komputer yang
     berjalan sendiri karena ia membutuhkan file        virus tersebut dengan notepad misalnya,                mudah untuk dilumpuhkan, cukup dengan                  den dan menyembunyikan extension untuk           nama update.sys, dan membandingkan                       terinfeksi, nama pemilik komputer tersebut
     pendukung seperti wscript.exe dan cscript.        maka tidak akan kelihatan string-string yang           mematikan process wscript.exe di memory.               beberapa file.                                    versinya dengan yang sudah ada. Jika ber-                akan diubah menjadi “TUKUL NDESO”, dan
     exe yang bertugas untuk menginterpretasikan       berarti.                                               Namun, karena file ini tidak menjalankan file                                                             beda, maka varian yang lama tersebut akan                organisasinya menjadi “tukul tur keliling
     script yang akan dijalankan.                         Antivirus lain mengenal virus yang me-              wscript.exe melainkan file smss.exe, jadi yang          Menyebar agar “Terkenal”                         digantikan dengan yang baru itu.                         dunia”.
        Berangkat dari kemudahan akan bahasa           nyerang operating system Windows ini dengan            harus dimatikan dari memory adalah file smss.           Virus ini dapat menyebar melalui beberapa
     Visual Basic ini memang telah memicu para         nama VBS/Lookoot. Pada sistem yang masih               exe. Awas, jangan salah mematikan process,             perantara, seperti storage devices contohnya     Merusak Dokumen                                          Pencegahan dan Pembasmian
     pembuat virus. Sebenarnya virus berjenis VB-      bersih, icon filenya masih berwujud seperti             karena bisa menyebabkan sistem crash.                  flash disk, sharing directory, mIRC, dan e-       Kenakalan virus ini tidak sampai di situ,                PCMAV RC20 telah dapat membasmi virus
     Script ini bukan suatu hal yang baru, contohnya   standar file .VBS biasa, namun apabila sistem              Selain di direktori Windows, ia pun akan            mail.                                            karena ia akan mencari file Microsoft Word                ini secara tuntas dan akurat 100%. Berbagai
     adalah virus LoveLetter atau IloveYou. Kemam-     tersebut telah terinfeksi oleh virus ini, maka se-     meng-copy-kannya pada folder yang ia temu-                Ia membuat beberapa file autorun.inf          pada komputer Anda, setelah ditemukan                    setting-an Windows yang telah ia ubah akan
     puannya menyebar sungguh mengagumkan.             tiap file VBS iconnya berubah menjadi icon file          kan namun tidak rekursif, artinya ia tidak             dengan attribut hidden dan beberapa file          ia akan diam–diam memasukan kata–kata                    dikembalikan seperti semula oleh PCMAV.
     Atau virus Melissa yang dibuat menggunakan        gambar. Dan biasanya ia hadir dengan double            meng-copy-kan pada subfolder di bawahnya.              pendukung autorun lainnya di drive flash drive    seperti “Tukul NDESO” dan mencoba me-                    Untuk dokumen Microsoft Word yang telah
     VBA (Visual Basic for Applications) yang dapat    extension, artinya ia menggunakan extension                                                                   yang terpasang pada komputer Anda. Ia pun        replace setiap kata “Anda” menjadi “Elo”,                ia modifikasi, silakan Anda ubah kembali
     menyebar melalui Microsoft Word misalnya.         ganda untuk mengelabui korbannya, misalkan             Bantai Registry!                                       membuat script untuk mIRC Anda agar me-          “Saya” menjadi “Gua”, dan “Tidak” menjadi                secara manual dengan me-replace kata–kata
        Virus maker tidak mau ketinggalan. Karena      tukul.jpg.vbs. Karena pada setting-an Windows          Seperti yang terlihat pada function Bantai_Reg         narik minat lawan bicara untuk menjalankan       “Kagak”.                                                 tadi.
     kini telah hadir virus berbahasa VBScript         default tidak menampilkan extension, maka              yang ada di source code virus tersebut, ia
     dengan nama TukulNdeso yang diperkirakan          yang tampak hanya tukul.jpg, jadi seolah-olah          melakukan cukup banyak perubahan pada
     telah banyak menyebar. Beberapa pembaca           file tersebut adalah file gambar. Untuk itu, kita        registry. Contohnya mengalihkan setiap aksi
     PC Media sampai saat ini pun masih ada yang       harus selalu berhati-hati, dan lebih baik meng-        eksekusi dari beberapa tipe extension .exe,
     mengirimkan sampel virus ini.                     aktifkan pilihan “Hide extensions for known            .lnk, .pif, agar sebelumnya menjalankan file
                                                       files” pada Folder Options.                             kernel32dll.vbs seperti yang terlihat pada
                                                                                                              registry “C:\WINDOWS\smss.exe C:\WIN-
                                                       Bagaimana Ia Menginfeksi?                              DOWS\kernel32dll.vbs “%1””.
                                                       Saat file virus ini dieksekusi, maka ia sebe-              Dan yang utama seperti kebanyakan virus
Pesan pada saat memulai Windows.
                                                       lumnya akan mendekrip tubuhnya sendiri. En-            melakukannya adalah membuat item Run
                                                       kripsi yang digunakan sangat sederhana, yakni          baru di registry agar ia dapat aktif otomatis
                                                       hanya memajukan setiap huruf sebanyak 10               saat memulai Windows pada modus normal
                                                       karakter. Tentu saja untuk mendekripnya, kita          ataupun safe-mode, yakni dengan nama “Sys-
                                                       hanya memundurkan setiap huruf tersebut.               tem” yang mengarah kepada file induk virus
                                                       Dan salah satu kelemahan dari virus berbasis           dan “svchost.exe” yang mengarah kepada
                                                       VBScript adalah kita dapat dengan mudah me-            file pesan dari virus ini. Jadi setiap memulai
                                                       lihat source code atau script dari virus tersebut      Windows, selain virusnya aktif, pesan dari
“ANTIexe Manager” milik TukulNdeso.                    dengan mudah, dienkripsi sekalipun.                    sang virus pun akan muncul.                            PCMAV RC20 berhasil membasmi virus TukulNdeso.                           Pesan dari sang pembuat virus.


    68         VIRUS                                                                                                                                       10/2007   10/2007                                                                                                                                  VIRUS       69

				
DOCUMENT INFO
Shared By:
Categories:
Tags:
Stats:
views:4
posted:12/22/2009
language:Vietnamese
pages:1