Having problems with message search?
|
W32/Tabaru.A Riyani Jangkaru terpesona membawa bencana Kalau ditanya, lagu Indonesia apa yang paling
ngetop di kalangan pembuat virus, jawabannya adalah Kangen. Sedangkan kalau
ditanya siapa tokoh yang paling diidolakan di kalangan pembuat virus ? Ternyata
bukan juara AFI atau Indonesia Idol yang berada di urutan atas, melainkan
pembawa acara Jejak Petualang di TV7 http://jejakpetualang.tv7.co.id,
Riyanni Djangkaru. Sayangnya pembuat virus yang ditengarai berasal dari kota
Makassar ini kelihatannya kurang teliti dan tidak menuliskan nama idolanya
dengan baik, dimana nama file bervirus yang digunakan untuk memancing
penerima file mengklik file JPG "gadungan" tersebut adalah
Riyani_Jangkaru.exe. Tapi apa artinya sebuah nama, terbukti virus ini
berhasil menjadi "tamu" pada ratusan komputer Indonesia sejak 2
bulan yang lalu (meskipun keberadaannya ditengarai muncul sejak Januari 2005)
dan paling banyak ditanyakan solusinya ke Vaksincom setelah Kangen. Setelah
perburuan selama 1 bulan, baru pada minggu yang lalu Vaksincom berhasil
mendapatkan sample Riyani Jangkaru ini (selamat kepada Bung Khafid dan Jimmy
yang mengirimkan sample virus ini ke virus@...,
anda berhak mendapatkan "Gratis" Norman Virus Control Original +
Update 1 tahun seharga Rp. 380.000,-) dan setelah di test pada beberapa
platform / skenario yang berbeda pada virus test lab Vaksincom maka informasi
lebih jauh mengenai virus ini berhasil di gali. Bagi anda yang terinfeksi
virus RJ yang sudah terdeteksi Norman Virus Control (update 12 Juli 2005)
sebagai W32/Tabaru.A, silahkan download Norman Virus Control di http://www.norman.com/Download/Trial_versions/en,
jangan lupa masukkan alamat email anda untuk mendapatkan SN Trial yang
berlaku satu bulan atau jika anda berencana membeli komputer / motherboard
baru, kami informasikan bahwa Vaksincom bekerjasama dengan Motherboard MSI
dimana setiap pembelian motherboard MSI di seluruh Indonesia berhak
mendapatkan CD Original Norman Virus Control + Update Gratis 6 bulan.
Informasi detail step by step membasmi virus RJ akan kami upload hari Selasa
tanggal 19 Juli 2005, informasi detil membasmi virus ini juga bisa anda
dapatkan pada Tabloid PC Plus edisi 233 yang akan terbit tanggal 11 Juli
2005. salam, AAT Bila anda sering melihat salah satu acara televisi
swasta (TV7) yaitu JEJAK PETUALANG, tentu Anda akan kenal dengan sosok
pembawa acaranya, siapa lagi kalau bukan Riyani Jangkaru. Ketenaran pembawa
acara ini rupanya telah membawa inspirasi tersendiri bagi sebagian orang
“ISENG” untuk menggunakannya sebagai daya tarik bagi virus yang
diciptakannya. Virus Lokal yang menyebar dewasa ini sering luput
dari intaian vendor antivirus yang ada, karena wilayah penyebarannya yang
terbatas, hal ini sudah banyak dibuktikan mulai dari kasus virus Pesin sampai
dengan kangen dan terakhir virus dengan mengusung nama pembawa acara jejak
petualang “RIYANI JANGKARU”. Dilihat dari script yang ada pada virus tersebut,
kemungkinan besar dibuat oleh sekumpulan orang yang memang mengidolakan
(fans) terhadap Riyani Jangkaru, di duga mereka berasal dari Makassar dan
kemungkinan besar pula virus ini sudah ada sejak Desember 2004 Berikut script yang ada pada virus tersebut: ----------------------------------------------------------------------------------------------------------------------------------- S e l a m a t t a h u
n b a r u 2 0 0 5 C o m p a n y N a m
e m a n O R b l a c k F i l e D e s c r i p t i o
n R i y a n i J a n g k a r u
F a n s C l u b T . L e g a l C o p y r i g h
t M a k a s s a r D e s e m b e r 2 0 0
4 @L e g a l T r a d e m a r k
s m a n O R b l a c k P r o d u c t N a m
e V e r s i 1 0 . 0 0 9 B e t
a 8 F i l e V e r s i o
n 1 7 . 1 0 . 0 0 9 6 < P r o d u c t V e r s i o
n 1 7 . 1 0 . 0 0 9 6 @ I n t e r n a l N
a m e r i y a n i _ j a n g k a r u P (O r i g i n a
l F i l e n a m e r i y a n i _ j a n g k a r u . e x
e ------------------------------------------------------------------------------------------------------------------------------------ Norman Virus Control mendeteksi dan menghapus virus
tersebut pertanggal 12 Juli 2005, seperti terlihat pada gambar dibawah ini:
Virus ini datang dengan nama file riyani_jangkaru.exe, mempunyai ukuran
file sebesar 40 kb. Untuk mengelabui pengguna komputer, virus ini secara
cerdik akan megganti icon file tersebut dengan icon JPG, walaupun sebenarnya type dari file
tersebut adalah application, seperti terlihat pada gambar 1:
Gambar 1 Seperti kita ketahui, settingan default windows
adalah tidak menampilkan ekstensi file, jadi file dengan nama
riyani_jangkaru.exe akan terlihat sebagai riyani_jangkaru, apalagi dengan
icon jpg tidak heran jika penerima file ini kemungkinan besar akan
mengkliknya karena saat ini masih belum ada virus yang menyebarkan dirinya
melalui jpg. Jika anda menjalankan file tersebut jangan
terkejut jika gambar (Riyani Jangkaru) yang anda ingin lihat tidak kunjung
datang : (, anda baru saja mengaktifkan virus tersebut. Jika berhasil menginfeksi komputer, virus ini
akan membuat 2 buah file pada direktori %system% dengan nama file : ·
xpshare.exe
dengan ukuran file 40 kb (icon JPG) pada C:\!submit ·
riyani_jangkaru.exe dengan
ukuran file 40 kb (icon JPG) pada C:\ Agar virus ini dapat langsung aktif begitu komputer
dijalankan, ia akan membuat value pada registry key dengan nama : ·
winloader pada lokasi registri : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current_version\Run Selain itu virus ini akan merubah nama pemilik Windows
(Registered Organization) dengan merubah value registry ·
RegisteredOrganization =
manORblack Pada registry key : ·
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion ·
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion Sehingga jika kita lihat username Windows akan
berubah menjadi (lihat Gambar 2)
Gambar2 Menyebar melalui Disket dan Removable
Disk Metode penyebaran virus ini masih memakai cara lama
dan terbukti ampuh yaitu menyebar melalui Disket dan Removable
Disk (USB), virus ini akan mengcopykan satu file application dengan nama
riyani_jangkaru.exe dengan ukuran file 40 kb dan icon dipalsukan mirip dengan
icon file JPG. Tujuannya adalah supaya penerima file mengira ia menerima file
gambar riyani Jangkaru dan menjalankan file tersebut. Disable Registry Editor , msconfig, Task
Manager Mengikuti trend Kangen, virus ini juga akan melakukan
penonaktifan program registry editor, msconfig dan task manager, dimana
seperti kita ketahui virus yang sedang berjalan dapat kita dimatikan
menggunakan ke-3 program tersebut di atas. Karena itu proses pembersihan
virus akan semakin susah dan merepotkan kecuali pembersihan tersebut
dilakukan pada posisi “safe mode” atau dengan perintah
“Taskkill” pada windows XP/Server 2003. Virus ini akan memblok akses ke
Registry Editor (regedit) dan Task Manager dengan menambahkan 2 string : ·
DisableRegistryTools ·
DisableTaskMgr pada registry key dibawah ini dan : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System Disable Program WINAMP dan NOTEPAD Berbeda dengan Kangen, virus ini akan menonaktifkan
program Winamp dan notepad, sehingga jika anda mencoba membuka file Notepad
akan langsung ditutup lagi oleh virus. Dari hasil pengetesan yang kami lakukan, Riyani Jangakaru
termasuk virus yang "baik hati" karena tidak menunjukan gejala yang
membahayakan seperti menghapus atau membuat duplikasi file (yang dilakukan
oleh virus kangen), atau menghapus direktori C:\windows dan C:\program files
(pada virus Pesin), virus ini “hanya” akan mematikan program notepad dan winamp. Cara mengatasinya Bila anda terinfeksi virus RJ, scan komputer anda
dengan antivirus yang dapat mendeteksi virus ini dan bersihkan semua file
yang terdeteksi sebagai W32/Tabaru.A. Bagi pengguna Norman Virus Control,
pastikan update antivirus anda tanggal 12 Juli 2005. salam, Adang Juhar Taufik (AJT) PT. Vaksincom Jl. Tanah Abang III /19 E Ruko Tanaga Mas Telp : 62-21-3456 850 Email : info@... |
Offline 
Send Email