http://vaksin.com/2007/0907/Bagaimana%20kalau%20Beckham%20jadi%20kiper.htm

Bagaimana kalau Beckham jadi kiper ?         3 September 2007

Lomba Membersihkan Virus di JCC 12 September 2007

Bagi anda para mania bola tentu mengetahui kalau David Beckham adalah
salah satu Gelandang penyerang yang piawai di lapangan hijau. Tetapi
apakah Beckham akan sama piawainya jika ditempatkan dibawah mistar
sebagai kiper ? Kondisi ini mirip dengan pertanyaan, bagaimana jika
seorang pembuat virus diminta untuk melindungi jaringan komputer dari
serangan virus ?

Kalau Beckham menjadi kiper, tentunya ada keuntungannya karena dari
pengalamannya sebagai gelandang (tanpa -ngan) ia dapat menduga apa
yang ada dibenak gelandang penyerang lawannya dan kemana gerakan lawan
dan arah bolanya sehingga ia dapat menempatkan dirinya sebagai kiper
dengan lebih baik guna mencegah gawangnya kebobolan. Tetapi apakah ia
dapat menjadi kiper sebaik ia menjadi gelandang penyerang ? Atau
sebaliknya, Fabian Barthez disuruh menjadi gelandang penyerang …
kemungkinan besar hasilnya tidak akan maksimal (bisa-bisa bolanya
ditangkap terus sama Barthez karena reflek :P). Karena Barthez
memiliki spesialisasi sebagai kiper dan Beckham memiliki keahlian
sebagai Gelandang penyerang. Demikian pula halnya dengan pembuat virus
dan antivirus. Bagi pembuat virus, ia tidak perlu menguasai segala
aspek pertahanan komputer / jaringan dan hanya perlu
mengkonsentrasikan diri pada satu bidang saja, seperti virus lokal
Kespo dimana pembuatnya memiliki keahlian dalam programming Delphi dan
injeksi file. Dengan menggunakan rekayasa sosial simple dan
memfokuskan pada keahliannya dalam injeksi file, Kespo menjadi virus
yang mematikan dan banyak memakan korban. Sebaliknya, bagi vendor
antivirus, kemampuan programming Delphi tidak akan banyak membantu
mencegah komputer yang dilindunginya dari serangan virus. Yang paling
penting adalah bagaimana antivirusnya mampu mendeteksi virus Kespo ini
dari segala sisi, seperti Flash Disk dan file sharing intranet. Jadi
yang akan melindungi komputer jaringan yang dikelolanya adalah
tindakan seperti mendisable autorun.inf pada Flash Disk yang dimasukan
ke komputer atau sekalian mendisable copy file dari komputer ke Flash
Disk guna mencegah penularan virus dari komputer ke Flash Disk.
Selain itu, bagaimana ia secara disiplin melakukan perlindungan
terhadap data yang dimilikinya. Tanpa kemampuan Delphi sedikitpun,
seorang administrator dapat melindungi komputernya dengan baik dari
serangna Kespo dan meminimalkan dampak serangan Kespo sekecil mungkin
jika ia teratur melakukan update definisi antivirus dan melakukan
backup data secara teratur.

Guna memberikan gambaran mengenai aktivitas yang dilakukan oleh
Vaksinis (teknisi Vaksincom), maka bekerjasama dengan Indo Commit, PT.
Vaksincom mengadakan acara "Lomba Membersihkan Virus" pada tanggal :

Tanggal                                : 12 September 2007

Waktu                                  : 09.00 s/d 17.30 WIB

Tempat                                 : Assembly Lobby,  Jakarta
Convention Center, Senayan – Jakarta

Informasi dan Pendaftaran :

Aryo Wibisono atau Devi

021 8650962, 8644756, 8644785

Email : aryo@...

devi@...

www.indo-commit.com

Untuk persyaratan dan informasi lebih lanjut silahkan dilihat di

http://www.indo-commit.com/download/workshop.pdf



salam,

PT. Vaksincom

http://vaksin.com/2007/0907/Gultung.htm

W32/Gultung (Tunggul Kawung)         4 September 2007

File MS Office anda berubah jadi soal Ujian Negara



Donald terkaget-kaget ketika membuka file MS Wordnya, kok file
skripsiku berubah jadi soal ujian negara SMA ? Waks ……apa gara-gara
dulu suka nyontek yah, sekarang jadi harus mengerjakan soal ujian
negara lagi ? Jangan terlalu percaya dengan tahayul, apalagi di zaman
kuda gigit prosesor sekarang ini. File MS Office anda berubah jadi
file ujian negara disebabkan oleh aksi virus Gultung, yang lebih
populer dengan nama Tunggul Kawung (yang diperkirakan berasal dari
kota hujan Bogor) dan sangat marak di kota-kota satelit Jakarta.
Menurut pengamatan Vaksincom, ibarat strategi bisnis motor Kaizen atau
Mao Tze Dong virus ini menyebar dengan cara menguasai desa terlebih
dahulu untuk menuju Jakarta. Karena itu para pengguna komputer yang
memiliki data MS Office diperingatkan untuk melakukan Back Up data MS
officenya segera karena data yang menjadi korban aksi virus ini sangat
sulit di recover.



Menyembunyikan file merupakan salah satu trend yang sering digunakan
oleh kebanyakan virus lokal yang menyebar saat ini, sehingga terkadang
membuat panik para penguna komputer terutama bagi mereka yang awam
terhadap komputer apalagi terhadap virus. Sebenarnya masih untung file
tersebut hanya disembunyikan saja, jadi data masih aman dan dengan
mudah semua file yang tersembunyi dapat ditampilkan kembali baik
menggunakan Tools atau menggunakan Command line (ATTRIB) dengan
catatan sang vius harus sudah dimusnahkan terlebih dahulu. Saat ini
aksi menyembunyikan file sudah mulai dirasakan "basi" (bagi para VM)
karena sudah terlalu banyak virus lokal yang melakukan hal itu,
sehingga muncullah virus-virus baru yang sudah tidak lagi
menyembunyikan file tetapi  berusaha untuk menghapus bahkan
menginjeksi file. File yang sering di incar biasanya adalah file MS
Office seperti MS.Word atau MS.Excel dan tak menutup kemungkinan file
lain juga akan di incar tergantung keperluannya. Semenjak kemunculan
Kespo, dimana virus ini akan berusaha untuk menginjeksi file MS Office
(MS.Word dan MS.Excel) bahkan berusaha untuk menginjeksi file Database
(DBF/MDF/SQL). Kini arah penyerangannya mulai sedikit berubah bukan
lagi menyembunyikan file tetapi mulai menginjeksi file sehingga file
yang terinfeksi akan mempunyai ukuran yang berbeda-beda, hal inilah
yang menjadi salah satu penyebab penyebaran yang sangat cepat karena
user (terutama user awam) tidak dapat membedakan antara file asli dan
file yang sudah terinfeksi virus.



Setelah merebaknya kasus Kespo yang sempat menghebohkan beberapa waktu
lalu bahkan sampai saat ini Kespo dan teman-temannya masih menghantui
para pengguna komputer hal ini di perparah dengan banyaknya antivirus
mancanegara yang langsung menghapus setiap file yang terinfeksi
alhasil banyak diantara mereka yang mencoba menggunakan jurus lain
untuk menangkal serangan Kespo baik dengan menggunakan tools atau
software antivirus lokal yang memang terbukti ampuh untuk menghalau
virus Kespo karena dapat merecovery file yang telah terinfeksi oleh Kespo.



Kini telah muncul virus lain yang mempunyai karakteristik seperti
kespo, tetapi boleh dibilang virus satu ini mempuyai aksi yang lebih
ganas dibandingkan kespo walaupun untuk saat ini masih terbatas
menyerang file Office (MS.Word dan MS.Excel). Virus ini juga mampu
menggunakan rekayasa sosial yang canggih. Seperti apa rekayasa sosial
yang digunakan oleh virus ini?, seperti yang sudah dijelaskan diatas
bahwa virus ini mempunyai aksi yang lebih jahat dibandingkan Kespo,
yakni dengan mengganti (replace/overwrite) dokumen yang terinfeksi
untuk kemudian mengganti dengan dokumen dari  virus tersebut plus kode
jahatnya, dengan kondisi seperti ini kemungkinan kecil dokumen yang
sudah terinfeksi dapat diselamatkan. File yang sudah terinfeksi
tersebut akan mempunyai icon "Folder" atau "kamera" (tergantung dari
variannya) dengan ekstensi EXE dan sebagai bentuk
"pertanggungjawabannya" virus ini juga akan membuat file duplikat
lainnnya dengan ukuran yang sama (sama seperti file duplikat yang
mempunyai ekstensi EXE) tetapi mempunyai icon MS.Word dengan attribut
HIDDEN (disembunyikan) dan mempunyai ekstensi DOC dengan type file
sebagai "Microsoft Word Documents" sehingga user beranggapan bahwa
file mereka masih "AMAN", sungguh penyamaran yang luar biasa. Jika
file file tersebut dibuka maka akan muncul pesan error seolah-olah
file tersebut rusak, jika diteliti lebih dalam sebenarnya  file
tersebut adalah file yang sudah terinfeksi dan jika kita ubah ekstensi
dari file tersebut maka icon yang menyertai virus tersebut akan
berubah menjadi "Folder" atau "kamera" (tergantung variannya) yang
jika dijalankan maka akan membangkitkan kembali virus tersebut (virus
akan aktif).



Dengan update terbaru Norman Virus Control mengelai sebagai
W32/Gultung.A dan W32/Gultung.B (lihat gambar 1) atau sering disebut
sebagai virus Aniee atau Tunggul Kawung.



Gambar 1, Norman mendeteksi virus Tunggul Kawung sebagai W32/Gultung.A
dan W32/Gultung.B



Saat ini Gultung sudah mengeluarkan 2 versi dimana untuk masing-masing
versi mempunyai tujuan yang sama tetapi ada sedikit perbedaan walaupun
tidak terlalu banyak. Jika sebelumnya Kespo dibuat dengan Bahasa
Delphi kini W32.Gultung kembali dibuat dengan menggunan bahasa Visual
Basic.



Kira-kira seganas apa aksi yang dilakukan oleh W32/Gultung dan apa
yang membedakan Gultung.A dan Gultung.B ?



Icon yang digunakan

Untuk mengelabui user Gultung.A akan menggunakan icon "kamera", dengan
ukuran sekitar 677 KB dengan ekstensi EXE dan mempuyai  type file
sebagai "Application". (lihat gambar 2)



Gambar 2, File induk Gultung.A



Sedangkan untuk Gultung.B akan menggunakan icon "Folder" dengan ukuran
sebesar 177 KB, mempunyai ekstensi EXE dengan type file sebagai
"Application" (lihat gambar 3)



Gambar 3, File induk Gultung.B



File induk

Setelah file virus ini dijalankan, maka W32/Gultung akan menampilkan
satu lembar notepad yang berisi perasaan si mpunya virus (lihat gambar
4 dan 5), setelah ia akan membuat file induk yang akan dijalankan
pertama kali setiap komputer dinyalakan. Kedua varian ini akan membuat
nama file induk yang yang sama diantaranya :



     * C:\Windows\system32\hanny.exe
     * C:\windows\system23\aniee.exe
     * C:\autoexec.bat
     * S:\tunggul.vbs
     * C:\aniee.txt
     * C:\windows\iexplorer.exe (Gultung.A)



Gambar 4, Pesan yang akan ditampilkan oleh W32/Gultung.A





Gambar 5, Pesan yang akan ditampilkan oleh W32/Gultung.B



String Registry yang dibuat W32/Gultung

Agar file induk tersebut dapat di jalankan, maka W32/Gultung akan
membuat beberapa string pada registry berikut:



Gultung.A

     * HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

-       microfost = C:\windows\system32\hanny.exe

-       sysedit = C:\windows\iexplorer.exe

     * HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

-       winsystem = c:\windows\system32\aniee.exe



Gultung.B

     * HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

-       Microfost = G:\WINDOWS\system32\hanny.exe

     * HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

-       winsystem = G:\WINDOWS\system23\aniee.exe



Blok Fungsi Windows

Sebagai upaya untuk mempertahankan dirinya, W32/Gultung akan berupaya
untuk blok beberapa fungsi Windows maupun software security seperti
antivirus, berikut beberapa fungsi Windows dan software security yang
akan diblok oleh W32/Gultung.



-       AVG

-       ClamAV

-       Ansav

-       PCMAV

-       Viremoval

-       antv-md5-pattern

-       Task Manager

-       Msconfig

-       Attrib

-       Cmd

-       Command

-       Regedit

-       Setup

-       Winamp

-       Winrar



Untuk melakukan hal tersebut, ia akan membuat beberapa string pada
registry berikut :

-       HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\Explorer

§  NoFolderOptions = 1

-       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\ansav.exe

§  Debugger         = ""

-       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\ansavgd.exe

§  Debugger         = ""

-       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\Avguard.exe

§  Debugger         = ""

-       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\attrib.exe

§  Debugger         = ""

-       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\Avscan.exe

§  Debugger         = ""

-       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\ClamWinPortable.exe

§  Debugger         = ""

-       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\cmd.exe

§  Debugger         = ""

-       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\command.com

-       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\firefox.exe

§  Debugger         = ""

-       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\iexplore.exe

§  Debugger         = ""

-       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\msconfig.exe

§  Debugger         = ""

-       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\PCMAV-CLN.exe

§  Debugger         = ""

-       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\PCMAV-RTP.exe

§  Debugger         = ""

-       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\PCMAV-SE.exe

§  Debugger         = ""

-       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\regedit.exe

§  Debugger         = ""

-       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\setup.exe\\debugger

§  Debugger         = ""

-       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\taskmgr.exe

§  Debugger         = ""

-       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\ViRemoval.exe

§  Debugger         = ""

-       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\Winamp.exe

§  Debugger         = ""

-       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\Winrar.exe

§  Debugger         = ""

-       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\Winzip.exe

§  Debugger         = ""

-       HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Image File Execution Options\antv-md5-pattern.exe

§  Debugger         = ""

-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\F\
older\Hidden\NOHIDDEN

§  CheckedValue = 2

§  DefaultValue = 2

-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\F\
older\Hidden\SHOWALL

§  CheckedValue = 1

§  DefaultValue = 1



Babat file DOC dan XLS

Target utama yang diincar Gultung kemungkinan besar adalah file MS
Office seperti MS Word atau MS.Excel dengan merubah isi dari file asli
kemudian menggantikannya dengan data lain berupa lembar ujian dari
sebuah "Sekolah Menengah Atas (Al-kholidin)" plus di tambah juga kode
jahat dari virus tersebut sehingga ukuran dari file tersebut akan
membengkak.



Jika pada kasus Kespo semua data yang telah terinfeksi masih bisa
diselamatkan baik dengan menggunakan Tools atau antivirus lokal,
tetapi untuk kasus virus W32/Gultung ini kecil kemungkinan datanya
dapat diselamatkan hal ini karena virus tersebut sudah mengganti isi
dari dokumen asli dengan dokumen virus tersebut.



Seperti yang kita ketahui bahwa kebanyakan virus akan mencoba untuk
menyembunyikan file dan sebagai upaya untuk mengelabui user ia akan
membuat file duplikat sesuai dengan nama file yang disembunyikan,
sehingga data mereka masih aman  karena tidak dihapus.



Rupanya celah ini digunakan oleh W32/Gultung untuk mengelabui user,
bagaimana caranya ?



Untuk mengelabui user Gultung akan menggunakan reyakasa sosial yang
cukup rumit dengan membuat 2 buah file duplikat (yang keduanya sudah
terinfeksi virus) dimana kedua file tersebut akan mempunyai ukuran
yang sama, satu file dengan ekstensi EXE dan satu file dengan ekstensi
DOC. Khusus untuk file dengan ekstensi DOC ini akan disembunyikan
(hidden), hebatnya lagi icon yang digunakan adalah icon MS.Word dengan
type file sebagai "Microsoft Word Document", sehingga user yang pernah
disembunyikan filenya oleh virus lokal lain akan beranggapan bahwa
file mereka masih aman dan dengan santai mereka mencoba untuk
menampilkan kembali file yang disembunyikan tersebut dengan
menghilangkan atribut SYSTEM dan HIDDEN baik menggunakan perintah
ATTRIB atau dengan menggunakan Tools. Tetapi jika file tersebut
dijalankan maka akan muncul pesan error seolah-olah file tersebut
rusak ( lihat gambar 6). Jika diteliti lebih jauh sebenarnya file
duplikat yang mempunyai ekstensi DOC tersebut merupakan virus,
sehingga antivirus akan menghapus file ini, untuk membuktkannya coba
ubah ekstensi dari file tersebut maka icon dari file tersebut akan
berubah menjadi icon "kamera" atau icon "Folder", dan jika file ini
dijalankan maka secara tidak langsung akan mengaktifkan W32/Gultung.
Walaupun file tersebut berhasil di recover (dipisahkan antara file
asli dengan virus) maka isi file yang terinfeksi tersebut akan berubah
dan digantikan dengan lembar Ujian Negara Agama. (lihat gambar 7)



Gambar 6  Pesan error ketika menjalankan file duplikat yang mempunyai
ekstensi DOC



Gambar 7 Isi Ujian Negara Agama yang "dikerjakan" oleh korban virus :PA



Cara membersihkan W32/Gultung (tunggul kawung)

    1. Matikan proses virus yg aktif di memori. Untuk mematikan proses
virus ini gunakan beberapa tools yang tidak diblok oleh W32/Gultung,
seperti tools "Security Task Manager", kemudian hapus file yang
mempunyai icon  "Kamera" atau icon "Folder".
    2. Bersihkan registry yang sudah diubah virus. Untuk mempercepat
proses penghapusan salin script dibawah ini pada program NOTEPAD
kemudian simpan dengan nama REPAIR.INF, jalankan file tersebut dengan
cara:



·         Klik Kanan repair.inf

·         Klik Install



[Version]

Signature="$Chicago$"

Provider=Vaksincom Oye





[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del



[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM< SOFTWARE\Classes\lnkfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0,
"Explorer.exe"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0,
"cmd.exe"

HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden,U\
ncheckedValue,0x00010001,1

HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDD\
EN,
CheckedValue,0x00010001,2

HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDD\
EN,
DefaultValue,0x00010001,2

HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWAL\
L,
CheckedValue,0x00010001,1

HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWAL\
L,
DefaultValue,0x00010001,1



[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,
DisableRegistriTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,
NoFolderOptions

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System,
DisableRegistriTools

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,
NoFolderOptions

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\Msconfig.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\regedit.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\cmd.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\taskmgr.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\cmd.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\regedit32.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\RegistriEditor.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\rstrui.exe

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, winsystem

HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Microfost

HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, sysedit

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\ansav.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\ansavgd.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\Avguard.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\attrib.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\Avscan.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\ClamWinPortable.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\command.com

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\firefox.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\iexplore.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\msconfig.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\PCMAV-CLN.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\PCMAV-RTP.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\PCMAV-SE.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\setup.exe, debugger

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\ViRemoval.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\Winamp.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\Winrar.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\Winzip.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File
Execution Options\antv-md5-pattern.exe

    3. Hapus file induk dan file dulikat (exe dan doc), bisanya file
DOC dan EXE ini akan berada di direktori yang sama. Khusus untuk file
dengan icon DOC yang di sembunyikan sebaiknya tampilkan terlebih
dahulu. Setelah itu hapus file duplikat  tersebut dengan ciri-ciri:

           * Icon "Folder" atau "Kamera"
           * Icon "MS.Word" , biasanya file yang mempunyai icon MS.Word
berada didirektori yang sama dengan file lain yang berbentu k"Folder"
atau @Print"
           * Ukuran file random, tetapi biasanya untuk file duplikat
yang mempunyai ekstensi EXE dan DOC akan mempunyai ukuran yang sama.

    4. Untuk pembersihan optimal dan mencegah infeksi ulang, scan
dengan menggunakan antivirus yang up-to-date.
    5. Gunakan software data recovery untuk recovery file.



Aj Tau



info@...



PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160



Ph : 021 3456850

Fx : 021 3456851

W32/Autorun.AD          9 Oktober 2007

Giliran Battosai yang menyerang komputer anda

Dapatkan info ancaman virus terbaru lebih cepat di HP anda. Vaksincom bekerjasama dengan Kompas Cybermedia mengirimkan informasi ancaman virus terakhir langsung ke HP anda http://www.kompasmobile.com/detail.cfm?id=50&iid=763836828

Nantikan Seminar Evaluasi Virus 2007 dan Ancaman Virus 2008 tanggal 21 November 2007.

Tidak tahu apa hubungannya manga Jepang dengan Virus, tetapi yang jelas pembuat virus yang satu ini penggemar komik Samurai X yang jagoannya Kenshin Himura dan sering disebut Battosai. Virus yang terdeteksi oleh Norman Virus Control sebagai W32/Autorun.AD ini cukup merepotkan karena tetap aktif di Safe Mode dan Safe Mode with Command Prompt dan mengganti background komputer korbannya dengan gambar Battosai. (lihat gambar 1)

Perkembangan dan penyebaran virus semakin cepat, dan tentunya ada saja yang selalu dijadikan imajinasi oleh si pembuat virus. Begitupun yang terjadi pada worm ini, mungkin saja si pembuat virus adalah penggemar berat dari serial anime jepang ini atau sekedar iseng saja menggunakan karakter tokoh tsb.

Jika anda menemukan folder windows anda berubah menjadi background seorang samurai, maka anda dipastikan telah terinfeksi oleh W32/Autorun.AD.

Gambar 1, Background yang dirubah oleh virus Battosai

Virus ini terbilang tidak terlalu rumit, karena dia tidak memblok program aplikasi windows seperti task manager, regedit dan msconfig. Selain itu dia juga tidak memblok fungsi windows seperti folder options. Jika virus ini aktif, dia akan berjalan di proses tanpa icon dan nama aplikasi yang berjalan. (lihat gambar 2)

Gambar 2, Proses virus Battosai

File Virus

Seperti biasa, virus ini memiliki beberapa file induk yaitu diantaranya :

• C:\WINDOWS\desktop.ini
• C:\WINDOWS\System32\windxp.ini
• C:\WINDOWS\system32\restoration.msd
• C:\WINDOWS\system32\CommandPrompt.Sysm
• C:\WINDOWS\explore.exe

• Agar dapat aktif pada saat menyalakan komputer/reboot, ia membuat file pada startup windows, yaitu :
• C:\Documents and settings\%user%\Start Menu\Programs\Startup\AdobeGamma.pif

Serta membuat string registry pada saat windows login :

o    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

            Shell ===> Explorer.exe "c:\windows\explore.exe" (lihat gambar 3)

Gambar 3, Registry yang dirubah virus Battosai

Kemudian, virus akan membuat beberapa file duplikat, yaitu :

• C:\WINDOWS\Temp\Vel.exe
• C:\WINDOWS\Temp\Ngsys.exe
• C:\WINDOWS\Temp\rvshost.exe
• C:\WINDOWS\Temp\system31.exe
• C:\WINDOWS\Temp\userint.exe
• C:\WINDOWS\Temp\windxp.exe
• C:\WINDOWS\Temp\winzipt.exe
• C:\Documents and Settings\%user%\Local Settings\Temp\Ngsys
• C:\Documents and Settings\%user%\Local Settings\Temp\runer
• C:\Documents and Settings\%user%\Local Settings\Temp\rvshost
• C:\Documents and Settings\%user%\Local Settings\Temp\system31
• C:\Documents and Settings\%user%\Local Settings\Temp\userint
• C:\Documents and Settings\%user%\Local Settings\Temp\vel
• C:\Documents and Settings\%user%\Local Settings\Temp\windxp
• C:\Documents and Settings\%user%\Local Settings\Temp\winzipt

Semua file duplikat yang dibuat tersebut diatas mempunyai ciri sebagai berikut :

• Icon tidak ada (hilang)
• Ukuran file 91 kb
• Tipe file icon
• Extension exe

Untuk menyamarkan tipe file ia membuat string registry :

o    HKCR\exefile

(default) ===> icon

Nevershowext ===>

o    HKLM\SOFTWARE\Classes\exefile

(default) ===> icon

Nevershowext ===>

Seperti kita ketahui virus ini tidak memblok fungsi windows seperti folder options, tetapi akan mencoba melakukan perubahan terhadap setting folder options. Untuk itu ia akan membuat string registry (lihat gambar 4) :

o    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\

ShowSuperHidden ===> 0

o    HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden

CheckedValue ===> 1

DefaultValue ===> 1

Sebagai penunjang, ia akan membuat string registry pada :

o    HKLM\SOFTWARE\Microsoft\Windows|CurrentVersion\Run

def ===> C:\WINDOWS\Temp\Vel.exe

      SysRestore ===> c:\windows\system32\restoration.msd

o    HKCU\Control Panel\Desktop

      SCRNSAVE.exe            ===> C:\WINDOWS\Temp\%fileduplikat%.exe

Aktif pada Safe Mode & Safe Mode with Command Prompt

Selain aktif pada mode "normal", virus ini pun aktif pada mode "safe mode" dan "safe mode with command prompt". Untuk itu ia membuat string registry pada :

o    HKLM\SYSTEM\ControlSet001\Control\SafeBoot

      AlternateShell    ===> c:\windows\system32\CommandPrompt.Sysm

o    HKLM\SYSTEM\ControlSet002\Control\SafeBoot

      AlternateShell    ===> c:\windows\system32\CommandPrompt.Sysm

o    HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot

      AlternateShell    ===> c:\windows\system32\CommandPrompt.Sysm

Media Penyebaran

Sebagai media penyebarannya, ia menggunakan fitur autoplay/autorun pada windows sehingga akan lebih mudah baik pada disket, flashdisk ataupun removable drive yang lain. Ia akan membuat 2 file duplikat, yaitu : autorun.inf dan copy of desktop.ini. (lihat gambar 4)

Gambar 4, File duplikat yang dibuat oleh virus

Cara mengatasi W32/Autorun.AD

1. Disconnect komputer dari jaringan.
2. Disable system restore (windows XP/Vista/2003) selama proses pembersihan.
3. Matikan proses yang aktif di memory, dengan menggunakan task manager atau beberapa tools yang lain seperti curprocess atau procexp. (lihat gambar 5)

Gambar 5, Matikan proses virus Battosai dengan Task Manager Windows

4. Hapus beberapa string registry yang dibuat virus.

[Version]

Signature="$Chicago$"

Provider=Vaksincom

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKCR, exefile,,,"Application"

HKLM, SOFTWARE\Classes\exefile,,,"Application"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0x00010001,0

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, CheckedValue,0x00010001,1

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, DefaultValue,0x00010001,1

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

[del]

HKCR, exefile, NeverShowExt

HKLM, SOFTWARE\Classes\scrfile, NeverShowExt

      HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, def

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, SysRestore

HKCU, ControlPanel\Desktop, SCRNSAVE.EXE

5. Hapus file virus

File induk

o           C:\WINDOWS\desktop.ini

o           C:\WINDOWS\System32\windxp.ini

o           C:\WINDOWS\System32\restoration.msd

o           C:\WINDOWS\System32\CommandPrompt.Sysm

o    C:\WINDOWS\explore.exe

o    C:\Documents and settings\%user%\Start Menu\Programs\Startup\AdobeGamma.pif

• File duplikat
• C:\WINDOWS\Temp\Vel.exe
• C:\WINDOWS\Temp\Ngsys.exe
• C:\WINDOWS\Temp\rvshost.exe
• C:\WINDOWS\Temp\system31.exe
• C:\WINDOWS\Temp\userint.exe
• C:\WINDOWS\Temp\windxp.exe
• C:\WINDOWS\Temp\winzipt.exe
• C:\Documents and Settings\%user%\Local Settings\Temp\Ngsys
• C:\Documents and Settings\%user%\Local Settings\Temp\runer
• C:\Documents and Settings\%user%\Local Settings\Temp\rvshost
• C:\Documents and Settings\%user%\Local Settings\Temp\system31
• C:\Documents and Settings\%user%\Local Settings\Temp\userint
• C:\Documents and Settings\%user%\Local Settings\Temp\vel
• C:\Documents and Settings\%user%\Local Settings\Temp\windxp

o    C:\Documents and Settings\%user%\Local Settings\Temp\winzipt

6. Untuk pembersihan secara optimal, gunakan Norman Virus Control yang sudah terupdate dan sudah dapat mengenali virus ini dengan baik. (lihat gambar 6)

Gambar 6, Norman Virus Control mendeteksi virus Battosai sebagai W32/Autorun.AD

INFO VIRUS PC di HP anda

Untuk berlangganan ketik REG VIRUSPC kirim ke 9858
Berhenti langganan ketik UNREG VIRUSPC kirim ke 9858
tanpa langganan ketik VIRUSPC kirim ke 9858

Tarif untuk langganan Rp adalah Rp550 untuk TELKOMSEL, XL, 3 dan FLEXI, kecuali INDOSAT Rp880 dan FREN Rp825 per SMS.  Tarif pull (tidak berlangganan) Rp1000 (belum termasuk PPN) semua operator.

Salam,

Ad Sap

info@...

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

Ph : 021 345 6850

Di tengah gema takbir,
hati tertunduk penuh haru.

Izinkan untuk memohon ma'af.

Dari lisan yang tak terjaga,
janji yang terabaikan,
tingkah laku yang tidak berkenan
serta hati yang berprasangka.

Vaksinis dan segenap karyawan PT. Vaksincom mengucapkan :

Selamat Idul Fitri 1428 H
Mohon Maaf Lahir dan Batin

PT. Vaksincom
Jl. Tanah Abang III / 19E
Jakarta 10160

Ph : 021 345 6850
Fx : 021 345 6851

http://vaksin.com/2007/1007/statistik%201007.htm

Top 20 Malware Indonesia September - Oktober 2007          20 Oktober 2007

Ella.....ella....eh...eh...eh

Informasi :

Ikuti Seminar Vaksincom 2007, Evaluasi Malware 2007, Ancaman 2008 dan Antisipasinya. 21 November 2007, Club House Apartemen Pavilion - K.H. Mas Mansyur, Jakarta. Pembicara : Harijanto Pribadi (DataUtama), Onno W. Purbo dan Vaksinis PT. Vaksincom. Pembicara Tamu Irvan Kartawiria, moderator Jalansutra. Coffee Break and Lunch Provided by jajanan expert Jalansutra Community.

Ibarat kehebatan Fergie dengan My Humps dan London Bridge yang sukses menggoyang Jakarta baru-baru ini, atau Cinderella baru di dunia musik pop Rihanna yang selalu membawa payungnya (Umbrella) seakan ingin mengatakan bahwa musik mancanegara masih eksis, maka cukup mengejutkan bahwa virus lokal yang selama ini menjadi jagoan di Indonesia di bulan September - Oktober 2007 mau tidak mau harus mengakui kehebatan virus mancanegara. Perbedaannya juga cukup mencolok dimana total virus mancanegara yang terdeteksi oleh statistik virus PT. Vaksincom adalah 59 % pertama kali di tahun 2007 mengalahkan pasukan virus lokal yang hanya tergerus persentasenya > dari 50 % di bulan Agustus 2007 menjadi hanya 41 % (lihat gambar 1).

Gambar 1, Perbandingan infeksi virus lokal dengan mancanegara September - Oktober 2007

Kamasutra menjadi umbrella....ella....ella...eh...eh...eh

Tentu anda bertanya-tanya, siapa yang menjadi payung (umbrella) dari virus mancanegara yang selama ini kalah terus menerus oleh hujan virus lokal. Adalah Small.KI (29,827 / 35,81 %) yang seakan menjadi "Lucky Luke" di peringkat pertama mengalahkan "Dalton Bersaudara" Rontokbro family seperti Rontokbro (12,022 / 14,43 %) di peringkat 2, VBTroj (Visual Basic Trojan) di peringkat 3 (9,962 / 11,96), Shur (Shuriken) di peringkat 5 (5,824 / 6,99 %) dan VBWorm (Visual Basic Worm) di peringkat 8 (2,312 / 2,78). Satu hal yang perlu menjadi perhatian adalah Small.KI yang juga dikenal dengan nama Kamasutra / Nyxem / Blackworm / Blackmal /CM-24 / MyWife / Tearec pada setiap tanggal 3 setiap bulan akan menghancurkan data :

• MS Word (DOC)

• MS Excel (XLS)

• Microsoft Access (MDE, MDB)

• Power Point Presentation (PPT), Powerpoint Slideshow (PPS)

• WinRAR compressed Archjive (RAR)

• Compressed Archive File (ZIP)

• Acrobat Portable Document Format (PDF)

• Photoshop Format (PSD)

• Windows Error Dump (DMP)

dan menggantikannya dengan string "DATA Error [47 0F 94 93 F4 K5] kira-kira 30 menit setelah anda menyalakan komputer yang terinfeksi virus Kamasutra pada tanggal 3 tiap bulannya. Ancaman terdekat aksi Kamasutra adalah tanggal 3 November 2007. Kamasutra juga berusaha untuk menghancurkan data yang di share pada jaringan, karena itu PT. Vaksincom mengharapkan para pengguna komputer untuk melakukan tindakan preventif guna mencegah hal ini seperti :

• Instal komputer dengan antivirus dan update dengan definisi terakhir, hampir semua antivirus sudah dapat mengenali dan mendeteksi virus Kamasutra dengan baik.

• Hindari FULL SHARING pada direktori / data anda karena hal ini akan memungkinkan data pada direktori yang di share tersebut dihancurkan oleh virus di komputer lain "sekalipun" komputer anda tidak terinfeksi virus.

• Backup data penting anda secara teratur di media yang terpisah dari harddisk / komputer guna mencegah hilangnya data berharga baik karena virus, kerusakan hardware, kejahatan atau force majeur.

Harap menjadi perhatian juga bahwa virus ini juga menghancurkan data di Flash Disk yang terkoneksi pada komputer yang terinfeksi.

Kamasutra sebenarnya merupakan virus lama yang pertama kali muncul pada bulan Januari 2006 dengan penyebaran utama melalui email dan jaringan intranet memanfaatkan lampiran-lampiran berbau pornografi yang dapat membawa fantasi penerima email ini "melayang" jauuh seperti "sex video",  "F*ckin Kama Sutra Pics" dan "ready to be F*CKED" guna menipu penerima email menjalankan virus ini.

Viking

Selain Kamasutra, virus yang perlu menjadi perhatian adalah Viking. Sama seperti Kamasutra, Viking merupakan virus lama yang muncul di awal tahun 2006 dan tetap bertahan sampai hari ini. Jika pada bulan Agustus Viking sama sekali tidak terdengar suaranya, tetapi pada bulan September - Oktober 2007 Viking melejit ke posisi 4 (9,595 / 11,52 %) sehingga perlu diwaspadai penyebarannya. Salah satu hal yang sangat penting dan menjadi sebab mengapa Viking mampu bertahan hidup dan menyebar di jaringan komputer adalah metode penyebarannya yang sangat cerdik dan sulit dibasmi secara tuntas. Sekali virus Viking berhasil menginfeksi satu saja komputer di jaringan, maka hampir dapat dipastikan ia akan berhasil menginfeksi banyak komputer lain di dalan jaringan dan makin kuat bertahan di jaringan. Rahasianya adalah pada metode infeksinya yang sangat liat sebagai berikut :

• Menggantikan semua file dengan ekstensi .exe sehingga setiap kali komputer korban (termasuk komputer lain dalam jaringan) menjalankan suatu aplikasi dengan ekstensi .exe akan menjalankan virus ini.

• Mengeksploitasi admin$ dan ipc$ pada OS Windows dalam menyebarkan dirinya. Viking akan menggunakan account administrator dan guest dalam usahanya menyebarkan dirinya melalui jaringan. Seperti kita ketahui admin$ dan IPC$ adalah hidden sharing yang diaktifkan komputer yang terhubung ke jaringan. Dan hal ini diketahui dengan baik oleh pembuat virus Viking.

Cara yang efektif untuk mencegah hal ini adalah dengan melakukan restrict anonymous pada registry HKEY_LOCAL_MACHINE-System-CurrentControlSet-Control-Lsa dan melindungi komputer  dengan firewall sebagai aplikasi  tambahan pada antivirus anda. ...... ella....ella.....eh...eh...eh

Postcard.exe

Selain virus-virus yang termasuk dalam Top 20 paling banyak muncul di Indonesia, ada satu virus yang cukup menarik dan berpotensi untuk menyebar khususnya pada event hari raya dan menjelang akhir tahun. Virus yang satu ini juga merupakan modifikasi dari virus lama Ecard.exe atau W32/Nuwar@mm. Bedanya adalah tampilan E-Card ini yang sangat canggih dan sangat sulit dibedakan dengan aslinya. Sebagai contohnya lihat gambar 2 dibawah ini.

Gambar 2, Virus yang memanfaatkan event Lebaran dan menyaru sebagai kartu ucapan dari Hallmark

Seperti yang anda lihat, bahkan bagian pengirim (From) juga dipalsukan oleh virus seakan-akan dari Hallmark. Selain itu, link "send one" (yang berwarna biru) juga dibiarkan sama seperti aslinya dengan alamat aslinya : http://www.hallmark.com/webapp/wcs/stores/servlet/category1|10001|10051|-102001|

-102001|ecards|unEcardandMore|E-Cards?lid=unEcardandMore

Satu-satunya tampilan yang membedakan bahwa email tersebut adalah palsu dan bukan dari Hallmark adalah link untuk melihat kartu ucapan "Too see it, click here". Jika "here" (yang berwarna biru) di klik, maka link yang akan ditampilkan adalah http://136.165.48.***/~mohamed/postcard.exe dan otomatis akan menjalankan virus postcard. (Saat ini link tersebut sudah tidak aktif).

Hal yang perlu menjadi perhatian adalah :

• Rekayasa pemalsuan email yang sangat canggih dan sangat mirip dengan aslinya sehingga hanya penerima email yang sangat teliti yang menyadari bahwa email ini palsu.

• Pembuat virus mengetahui bahwa banyak administrator mailserver "garis keras" sudah memblok semua lampiran. Jangankan .exe, beberapa  administrator sudah mulai memblok lampiran .JPG dan .ZIP / .RAR yang memang cukup marak digunakan oleh virus untuk menyebarkan dirinya. Tetapi untuk mengatasi hal ini pembuat virus mengandalkan link html yang notabene tidak diblok oleh mailserver dan menyebarkan virus melalui "drive by download".

• Setelah event Lebaran, akhir tahun juga menjadi saat dimana para pengguna internet mengirimkan kartu ucapan. Dan sudah dapat dipastikan virus ini akan bermetamorfosis menjadi kartu ucapan Natal dan Tahun Baru atau bahkan kartu ucapan Ulang Tahun, Anniversary atau perayaan lain. Sebagai informasi tambahan, selain Hallmark, virus ini juga mencatut website-website pengiriman kartu ucapan terkenal lain seperti American Greetings, Blue Mountain dan lainnya.

Jika penyebaran virus ini meluas, Vaksincom akan melakukan pengetesan lebih jauh dan membuatkan artikel mengenai virus ini karena potensi ancaman yang ditimbulkannya cukup tinggi.

Adapun Grafik Malware Top Indonesia untuk September - Oktober 2007 adalah seperti terlihat dalam gambar 3 dan tabel 1 dibawah ini :

Gambar 3, Grafik Malware Top Indonesia Sept - Okt 2007

Tabel 1, Top 20 Malware Indonesia

Chip Spesial Security - Oktober 2007, Test 9 antivirus Terbaik di Indonesia

Bagi anda yang tertarik pada bidang sekuriti, majalah Chip pada 5 Oktober 2007 telah menerbitkan Chip Spesial Security yang isinya mengkhususkan pada pembahasan masalah security komputer seperti Wireless Security (teknik terbaik membentengi jaringan Nirkabel anda), Internet Banking (kemudahan versus keamanan) dan satu review yang patut ditunggu-tunggu adalah Uji Perbandingan 9 Antivirus Terbaik dimana 9 merek antivirus terbaik di Indonesia seperti AVG, bitDefender, F-Prot, F-Secure, Kaspersky Antivirus, McAfee, Nod32, Norman Virus Control dan Symantec Norton Antivirus.

Siapa yang menjadi antivirus terbaik di Indonesia menurut pengetesan independen Team Chip dan berhak menggunakan logo Chip Tip Choice Security ? :).

http://forum.chip.co.id/pengumuman-global/84439-telah-beredar-chip-spesial-security.html (Cover Depan Chip Spesial Security)

http://forum.chip.co.id/images/chip/Daftar_Isi_CHIP_Spesial_Security.pdf (Daftar Isi Chip Spesial Security)

Salam,

Aa Tan

info@...

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

Ph : 021 345 6850

Fx : 021 345 6851

Seminar Serangan Malware 2007, Trend 2008 dan Antisipasinya
21 Juni 2007, Club House Pavilion - Jakarta

Vaksincom kembali mengadakan seminar tahunan di bulan November 2007. Thema seminar seperti tahun-tahun sebelumnya adalah evaluasi Malware tahun 2007, Trend 2008 dan antisipasinya. Tetapi, sejalan dengan perkembangan IT di Indonesia dimana penerapan IT terhadap dunia usaha dalam arti memberikan nilai tambah / value added yang nyata terhadap dunia usaha masih rendah dan orang IT masih berada dalam dunianya sendiri. Karena itu, PT. Vaksincom dalam seminar kali ini bekerjasama dengan komunitas makan-makan dari dunia maya Jalansutra yang menurut pengamatan Vaksincom berhasil menerapkan nilai tambah IT, khususnya internet terhadap dunia nyata, yaitu komunitas makan-makan itu sendiri. Saat ini, komunitas Jalansutra memiliki member lebih dari 10.000 anggota yang tersebar di seluruh dunia dan semuanya adalah penggemar makan-makan dan jalan-jalan. Mengelola komunitas nirlaba sebesar ini dengan penambahan member rata-rata 5 member per hari memerlukan kiat tersendiri dimana banyak suka duka moderator milis yang sering di protes membernya karena harus mengakomodasi seribu satu kepentingan seperti tidak boleh berjualan, promosi terselubung dan harus menjaga etika. Karena itu salah satu pembicara tambahan yang ditampilkan dalam seminar kali ini adalah salah satu moderator milis Jalansutra Irvan Kartawiria yang akan memberikan kiat dan suka duka mengelola milis besar dan superaktif ini.

Selain itu, tentunya tidak melupakan inti dari seminar ini yaitu sekuriti maka ada satu pembawa acara seminar Harijanto Pribadi, dosen sebuah STMIK di Jakarta yang dalam kesehariannya menjadi penanggungjawab dan administrator NAP dan ISP yang memiliki cabang di Jakarta, Semarang dan Cirebon. Makanan sehari-hari administrator ISP adalah melindungi dan menjaga keamanan jaringannya dari serangan tangan-tangan jahil, salah satunya adalah Ddos yang merupakan serangan yang tidak dapat dihentikan karena umumnya server penyerang berada di luar kontrol administrator dan memang harus bisa dihadapi dengan baik oleh siapapun yang ingin eksis di dunia maya. Salah satu contoh kasus nyata yang akan dipaparkan adalah serangan Ddos terhadap satu situs lokal yang traffic Ddos bulanannya mencapai bilangan Terabyte dan hosting besar seperti Yahoo Hosting, Bluehost (yang mengklaim memiliki anti Ddos) dan beberapa hosting lokal angkat tangan atas serangan ini dan menolak hosting dengan beban Ddos sebesar itu. Artikel karya Harijanto yang sangat populer adalah "Memisahkan bandwidth lokal dan internasional menggunakan Mikrotik + Limiter" dan buku "Server Email dial up menggunakan Linux".

Onno W Purbo tentunya merupakan pembicara favorit komunitas IT Indonesia yang selalu mengingatkan peserta seminarnya untuk selalu tawakal berdoa sebelum mencoba trik-trik hacking :P. Aktivis IT level dunia yang rendah hati ini hampir setiap tahun meluangkan waktunya untuk memberikan sharing pada seminar yang diadakan oleh Vaksincom guna memberikan kontribusi atas perkembangan sekuriti di Indonesia.

Vaksinis (teknisi) dari Vaksincom Adang Juhar Taufik (Aj Tau) dan Antonius Alfons Tanujaya (Aa Tan) akan memberikan informasi teranyar dan mendalam mengenai penyebaran virus di Indonesia, baik lokal maupun internasional dan cara mengatasi dan mencegahnya. Serta tentunya evaluasi perkembangan virus di Indonesia selama tahun 2007 dimana salah satu topik panas yang akan menjadi bahasan adalah aksi virus Kespo yang menghancurkan data dan bagaimana cara mengembalikan data tersebut ditambah dengan issue-issue anyar seperti virus Postcard.exe yang berhasil menembus pertahanan administrator mailserver sekalipun sudah memblok semua lampiran email tidak hanya file eksekusi seperti .exe, .pif, .scr dll tetapi juga memblok lampiran .jpg, .zip dan .rar.

Detail Event ini adalah sebagai berikut :

Thema
Evaluasi Serangan Malware 2007, Trend 2008 dan Antisipasinya

Waktu
08.00 s/d 16.00
Rabu, 21 November 2007

Tempat
Club House Apartemen Pavilion, Jl. K.H. Mas Mansyur Kav 24, Jakarta 10220

Biaya
Rp. 380.000,- (Tiga Ratus Delapan Puluh Ribu) per peserta.
Pelunasan sebelum tanggal 10 November 2007 mendapatkan diskon Rp. 90.000,- hanya membayar Rp. 290.000,-

Jumlah Peserta
100 (seratus) peserta Maksimal.
Perhatian !! Ini bukan marketing gimmick karena Club House Pavilion hanya mampu menampung maksimal 100 peserta.

Biaya Seminar Sudah Termasuk :
- Sertifikat
- Lunch (1 kali) dan Coffee Break (2 kali) prepared by Jalansutra Community, percaya deh orang JS pasti tahu dimana ada makanan enak dan akan diboyong ke lokasi seminar
- Lisensi Norman Virus Control for Corporate network (Business Edition) untuk maksimal 50 (lima puluh) PC dalam jaringan (server dan workstation) + update definisi dan engine 1 (satu) bulan. Termasuk satu kali kunjungan support instalasi oleh Vaksinis (teknisi Vaksincom) ke kantor anda
- Doorprize by MSI dan Jamupuspo, Motherboard, MP3 Player, Healthy Food etc

Pendaftaran hubungi :
Desi atau Maharani cs@... dan info@...
Jl. Tanah Abang III / 19E - Jakarta 10160
Ph : 021 3456850 Fx : 021 3456851

Sponsor
- Official Media : Majalah Chip
- DataUtama (NAP, ISP dan Hosting)
- Alfa Artha Andaya, Distributor MSI di Indonesia
- Jamupuspo, produsen makanan kesehatan PaceTea
- Jalansutra, Komunitas Jalan-jalan dan makan-makan terbesar Indonesia

Gambar 1, Brosur Seminar

Foto 2, Club House Pavilion Tennis Court View

Foto 3, Club House Pavilion Inside View

Salam,

Aa Tan

info@...

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

Ph : 021 345 6850

Fx : 021 345 6851

Mohon maaf atas kesalahan ketik.

Harusnya :

Seminar Serangan Malware 2007, Trend 2008 dan Antisipasinya

21 November 2007, Club House Pavilion

Point penting yang perlu menjadi perhatian bagi yang berminat ikut adalah :

Biaya
Rp. 380.000,- (Tiga Ratus Delapan Puluh Ribu) per peserta.
Pelunasan sebelum tanggal 10 November 2007 mendapatkan diskon Rp. 90.000,- hanya membayar Rp. 290.000,-

Jadi, daftar dan lunasi sebelum 10 November 2007.

Salam,

Alfons

Seminar, Workshop dan Lomba Membersihkan Virus di Yogyacomtech
5 November 2007, Yogya Expo Center - Yogyakarta

Klik disini untuk informasi Acara Seminar Tahunan PT. Vaksincom di Jakarta, Club House Pavilion, 21 November 2007.

Dalam rangka turut memeriahkan Yogyakomtek 2007, PT. Vaksincom bekerjasama dengan MSI, Elex Media Komputindo dan Wirabuana Komputer mengadakan acara Seminar, Workshop dan Lomba membersihkan virus di Yogyakomtek - Yogyakarta pada tanggal 5 November 2007. Yogyakomtek yang diadakan pada tanggal 3 - 7 November 2007 di Yogya Expo Center juga dimeriahkan dengan acara yang di koordinir oleh team Elex Media Komputindo seperti :

• Workshop Citizen Journalism (3 November 2007)

• Membuat blog (3 November 2007)

• Windows & Linux Hacking (4 November 2007, biaya Rp. 50.000,-)

• Bagaimana cara optimalkan kamera saku (4 November 2007, biaya Rp. 25.000,-)

• Foto Digital Kreatif Photoshop Cs3 (6 November 2007, biaya Rp. 25.000,-)

• Merancang dan membangun Hotspot (7 November 2007, biaya Rp. 50.000,-)

• Internet Marketing dan SEO (7 November 2007, biaya Rp. 50.000,-)

Dapatkan 1 (satu) buah Notebook dari MSI untuk pemenang Lomba membersihkan virus di Yogya !!

Adapun detail acara sekuriti yang akan diadakan oleh PT. Vaksincom tanggal 5 November 2007 adalah :

1. Pukul 10.00 s/d 12.00

• Seminar Evaluasi Malware 2007, Trend 2008 dan antisipasinya dibawakan oleh Alfons Tanujaya (Antivirus Specialist PT. Vaksincom)

• Tips cara menangkal virus lokal dan membuat tools virus removal oleh Adang Juhar Taufik (Senior Vaksinis PT. Vaksincom) dan Yayat (Pembuat tools YAV, programmer)

• Biaya seminar Rp. 25.000,-
  Biaya sudah termasuk Sertifikat

2. Pukul 13.00 s/d 15.00

   • Workshop Instalasi Norman Virus Control for Corprate Network dibawakan oleh Adang Juhar Taufik.

     • Workshop ini akan memberikan cara step by step instalasi Norman Virus Control, antivirus No. 1 di Indonesia menurut pengetesan Majalah Chip Spesial Security. Sehingga seluruh komputer anda di jaringan terproteksi oleh perlindungan antivirus Norman secara otomatis dan "hanya" satu komputer yang terhubung ke internet untuk melakukan update dan komputer lainnya di intranet / jaringan akan terupdate secara otomatis dari komputer server antivirus tersebut.

     • Juga akan dipraktekkan langsung bagaimana menginstal antivirus ke seluruh komputer di jaringan tanpa harus melakukan proses instalasi manual ke setiap komputer.

     • Manajemen Antivirus Jaringan memberikan kemampuan untuk memonitor status antivirus di jaringan dan melakukan pengaturan dari server antivirus, hal ini akan meningkatkan efeisiensi dan efektivitas administrator.

     • Banyak tips juga akan diberikan seperti bagaimana membuat "Statistik" insiden virus menggunakan Norman Virus Control yang akan secara otomatis memberikan informasi virus apa saja yang menginfeksi jaringan anda, IP komputer, nama file dan user.

   • Biaya Workshop Rp. 280.000, sudah termasuk :

     • Lisensi Norman Virus Control for Corporate + update 3 (tiga) bulan untuk maksimal 50 (lima puluh) komputer dalam jaringan.

     • Sertifikat Workshop trainig sebagai Vaksinis.

     • Souvenir PT. Vaksincom, stand Handphone.

     • Manual workshop.

     • MAsing-masin petiap peserta selama workshop berhak menggunakan 1 (satu) buah PC yang terhubung ke jaringan untuk praktek langsung.

3. Pukul 15.30 s/d 19.00

   • Lomba membersihkan virus
     Setelah sukses diadakan di Jakarta (lihat laporan event lomba Lomba membersihkan virus di JCC Jakarta http://vaksin.com/2007/0907/ICT%20Competition%202007.htm) lomba membersihkan virus kini diadakan di Yogyakarta. Dalam event ini, siapapun yang merasa dirinya jago membersihkan virus dipersilahkan datang untuk menghadapi tantangan Vaksincom membersihkan virus dari komputer yang terinfeksi virus. Tidak mau kalah dengan Jakarta, jawara lomba membersihkan virus ini akan mendapatkan hadiah langsung 1 (satu) buah Notebook MSI dari sponsor.

   • Biaya lomba membersihkan virus Rp. 50.000,- per orang.

Untuk pendaftaran lomba, silahkan hubungi :

Rudy atau Dian

Jl. Tompeyan No. 24 Telp / Fax : (0274) 521131

Otniel Telp : (0274) 557441 Fax : (0274) 484542

Wahyu, SMS : 085228867077

Salam,

Aa Tan

info@...

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

Ph : 021 345 6850

Fx : 021 345 6851

Artikel Majalah Chip Juni 2007

Email dapat dikatakan sebagai killer application di dunia internet, layaknya SMS di dunia seluler, penetrasinya sangat luarbiasa dan hampir setiap penguna internet memiliki dan memiliki minimal satu email sebagai alat komunikasi. Dari sudut kecanggihan, banyak aplikasi lain yang jauh lebih canggih dari email, seperti website (blog), forum, Instant Messenger dan VOIP. Tetapi karena kemudahan dan penetrasi email yang sangat tinggi terhadap pengguna internet dan keterbatasannya yang terkadang malah menjadi kelebihannya, maka posisi email tidak tergantikan dan penetrasinya makin hari makin tinggi. Tetapi tidak dapat dipungkiri, kepopuleran email tentunya mengundang pihak-pihak yang ingin menyalahgunakan email ini untuk kepentingannya, seperti menyebarkan virus dan spam. Jika masalah virus dapat dikatakan sebagai masalah yang "terutama" dialami oleh pengguna OS Windows, masalah spam notabene menjadi ancaman bagi semua OS, tidak perduli anda menggunakan Windows, Linux, Macintosh atau OS apapun, siapapun yang bisa menerima email akan menerima spam.

Spam tidak memberikan ancaman secara langsung seperti merusak sistem komputer atau data seperti virus, tetapi secara nyata spam menyebabkan pemborosan luar biasa pada bandwidth dan sumber daya untuk mengelola spam ini. Pada kasus tertentu spam dapat menyebabkan kerugian finansial secara lagnsung jika digabungkan dengan aktivitas phishing.

Catch All Account

Jika anda administrator domain mailserver, ada suatu pilihan menarik yang dapat anda lakukan dalam melakukan setting mailserver anda. Catch All. Dengan fasilitas Catch All, semua email yang masuk ke domain anda akan diterima baik yang ditujukan ke alamat yang valid maupun yang tidak. Apa tujuan dari pengaktifan Catch All ini ? Tujuannya adalah agar semua email yang ditujukan ke alamat domain anda dapat diterima dengan baik dan diteruskan ke alamat yang telah ditentukan (biasanya alamat administrator mail server), termasuk alamat email yang salah atau typo. Misalnya domain anda hanya memiliki email di sales@..., tetapi terkadang pelanggan salah mengirimkan ke marketing@... atau secara tidak sadar salah ketik saels@.... Jika anda tidak mengaktifkan Catch All, maka email ke dua alamat ini tidak akan pernah anda terima, bagi orang marketing, hal ini tentu merupakan kehilangan peluang yang besar sehingga mereka akan memilih untuk menerima saja semua email yang masuk ke domainnya. Tetapi, tujuan yang baik di tangan orang yang jahat malah menjadi bencana. Vaksincom pernah mengaktifkan fasilitas Catch All ini dan akibatnya, setiap hari email yang diterima jumlahnya puluhan ribu dan dalam waktu 3 minggu kuota mailbox melewati 2 GB. Selidik punya selidik, ternyata hal tersebut diakibatkan oleh account Catch All yang membengkak dan konyolnya 99 % dari email yang masuk ke account Catch All tersebut adalah SPAM.

Rupanya para spammer melakukan dictionary attack dalam mengirimkan spam. Jadi setiap kali mendapatkan satu domain yang aktif, maka secara spammer akan membuat koleksi email ke domain tersebut dan mengirimi alamat-alamat yang umum digunakan oleh suatu domain dan membomnya dengan spam. Bagi spammer, bandwidth bukan merupakan persoalan baginya karena komputer yang digunakan untuk spam adalah komputer orang lain yang berhasil dikuasainya secara remote setelah terinfeksi virus.

Open Relay

Sebenarnya sudah banyak sekali usaha yang dilakukan oleh perusahaan antispam untuk mengatasi penyebaran spam dan salah satu inisiatif yang berhasil menekan angka spam dengan cukup signifikan (pada waktu itu) adalah membuat daftar mailserver Blacklist. Seperti kita ketahui, adalah "terlarang" bagi setiap pembuat mailserver untuk membuka akses "open relay for public" di mailservernya karena hal ini akan disalahgunakan oleh spammer untuk mengirimkan spam menggunakan mailserver tersebut. Dan sekali mailserver tersebut mengirimkan spam dan terdeteksi oleh perusahaan antispam dan IP mailserver tersebut dimasukkan dalam daftar blacklist, jangan harap mailserver anda bisa mengirimkan email lagi karena mailserver lain akan menolak semua email dari IP mailserver anda kecuali IP mailserver anda dicabut dari blacklist. Strategi ini kelihatannya efektif dan tidak terpatahkan yah J, tetapi sayangnya yang menjadi lawan dari perusahaan antispam ini adalah spammer yang juga ahli komputer sehingga spammer lalu mencari cara untuk mengalahkan perlindungan ini. Dan kabar buruknya, beberapa tahun terakhir ini cara melindungi spam dengan blacklist sudah sangat menurun efektivitasnya.

 Tanya kenapa ??

Dalam perkembangan terbaru, ternyata spammer berkolaborasi dengan pembuat virus dalam menyebarkan spam. Jadi, komputer yang terinfeksi oleh virus dikuasai secara remote oleh spammer melalui virus lalu komputer tersebut digunakan sebagai mailserver untuk menyebarkan spam. Jika alamat IP komputer yang terinfeksi virus dan menyebakran spam ini diblok oleh Blacklist, maka spammer langsung menggunakan alamat IP lain karena penyebaran virus yang luarbiasa tinggi dengan korban mencapai ratusan ribu, maka jumlah komputer yang bisa digunakan untuk menyebarkan spam ini sangat luarbiasa banyaknya. Jika IP komputer yang terinfeksi virus di blok, yang kerepotan bukan spammer, tetapi pemilik IP tersebut, yang setelah diteliti ternyata adalah IP-IP komputer yang memiliki koneksi broadband (Adsl, Cable, Leasedline dst) dan rata-rata merupakan IP milik ISP. Jadilah ISP yang kemudian adminnya kerepotan melakukan permintaan ke Blacklist untuk mengeluarkan IP yang dimilikinya dari daftar Blacklist supaya IP tersebut dapat mengirimkan email kembali. Sebaliknya spammer dengan santainya tinggal memliih IP baru yang lain untuk melakukan spam. 

Spoofing mail address

Salah satu "dosa" besar dari aplikasi email adalah tidak adanya perlindungan terhadap pemalsuan alamat email pengirim, jadi setiap pengirim email dapat memalsukan alamat email pengirim dan hal ini dimanfaatkan dengan baik oleh spammer. Jadi siapapun dapat mengirimkan email dengan alamat pengirim billgates@.... Hal ini di eksploitasi dengan maksimal oleh spammer sehingga perlindungan Blacklist dan Whitelist menjadi kurang efektif mengatasi spoofing email address.

Image Based Spam

Salah satu teknologi utama yang digunakan oleh perusahaan antispam adalah dengan mendeteksi isi email dan mengkategorikannya sebagai spam jika mengandung kata-kata tertentu seperti Viagra, XXX, Xanax dan seterusnya. Hal ini juga diatasi oleh spammer dengan mengirimkan spam di email dalam bentuk gambar. Antispam tidak mau kalah dengan menggunakan program OCR (Onscreen Character Recognition) untuk menscan isi gambar dan memblok spam, tetapi spammer kembali membalas dengan mengaburkan tulisan dan memberikan garis-garis pengaman pada gambar spamnya (seperti pengamanan yang dilakukan pada kertas uang). Tidak cukup sampai disana, spammer yang teranyar kini melakukan pemotongan pada gambar2 pesan spamnya dan diacak sehingga ketika di scan OCR tidak akan terdeteksi sebagai spam tetapi ketika sampai ke penerima email, gambar-gambar acak tersebut secara otomatis akan menyusun dirinya menjadi satu dan dapat terbaca dengan baik oleh penerima spam. Beberapa spammer bahkan sekarang mengupload potongan-potongan spamnya dalam website dan ketika email spam datang secara otomatis potongan gambar-gambar yang disimpan di beberapa website akan di download dan digabungkan menjadi satu gambar spam. 

Gambar 1, Contoh Image Based Spam

Challenge

Pengamanan lain yang umum digunakan oleh antispam adalah dengan melakukan challenge. Jadi, pertama kali anda mengirimkan email, secara otomatis email tersebut akan ditunda dan pengirim email akan menerima email konfirmasi (challenge) apakah benar anda telah mengirimkan email. Jika benar, anda harus membalas email challenge tersebut dan email anda akan dimasukkan ke dalam whitelist. Tetapi metode ini memiliki kelemahan seperti merepotkan jika harus melakukan konfirmasi membalas email challenge, bagaimana kalau email challenge ini malah masuk ke spam mailbox atau tidak diterima dengan baik ? Bagaimana kalau alamat email yang telah di approve tersebut di spoof ?

Salam,

Aa Tan

info@...

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

Ph : 021 345 6850

Info Seminar Seminar Serangan Malware 2007, Trend 2008 dan Antisipasinya
21 November 2007, Club House Pavilion - Jakarta

Berapa biaya yang anda perlukan untuk menghadapi serangan DDos terhadap ISP dan korporat besar ? Gunakan Firewall dan anti DDos seharga US $ 10.000 ? US $ 50.000 ? Anda akan terkejut jika mendapati bahwa solusi hardware dan software yang sangat handal sebagai perangkat anti Ddos untuk menghadapi Ddos kelas Terabyte per bulan hanya membutuhkan biaya kurang dari Rp. 10.000.000,-. Perpaduan Mikrotik dan Linux server sebagai Honeypot dapat menyelamatkan bisnis dan kantong anda dan solusi ini terbukti live sampai hari ini.

Ingin tahu lebih jauh ?

Harijanto Pribadi, dosen sebuah STMIK di Jakarta yang dalam kesehariannya menjadi penanggungjawab dan administrator NAP dan ISP yang memiliki cabang di Jakarta, Semarang dan Cirebon. Makanan sehari-harinya adalah melindungi dan menjaga keamanan jaringannya dari serangan tangan-tangan jahil, salah satunya adalah Ddos yang merupakan serangan yang tidak dapat dihentikan karena umumnya server penyerang berada di luar kontrol administrator dan memang harus bisa dihadapi dengan baik oleh siapapun yang ingin eksis di dunia maya. Salah satu contoh kasus nyata yang akan dipaparkan adalah serangan Ddos terhadap satu situs antivirus lokal yang traffic Ddos bulanannya mencapai bilangan Terabyte dan hosting besar seperti Yahoo Hosting, Bluehost (yang mengklaim memiliki anti Ddos) dan beberapa hosting lokal angkat tangan atas serangan ini dan menolak hosting dengan beban Ddos sebesar yang mencapai beberapa TeraByte per bulan.

Artikel karya Harijanto yang sangat populer adalah "Memisahkan bandwidth lokal dan internasional menggunakan Mikrotik + Limiter" dan buku "Server Email dial up menggunakan Linux".

Selain itu, Pakar Kuliner dari Jalansutra yang menjadi penyedia konsumsi tidak mau kalah dan unjuk gigi dengan menampilkan makanan terbaik untuk Coffee Break dan Makan siang sebagai berikut :

Aneka roti tua dari Tan Ek Tjoan
Tan Ek Tjoan adalah salah satu roti klasik di Jakarta, diedarkan oleh puluhan penjaja bersepeda atau bergerobak dorong kaca. Toko roti ini telah puluhan tahun berjualan dan kualitas roti yang dihasilkan sangat konsisten. Disajikan pada pagi hari untuk pengganjal perut peserta seminar yang belum sarapan.

Kopi Aroma Bandung
Aroma adalah salah satu roaster tua yang tetap konsisten di jalurnya. Dipegang oleh generasi kedua, Aroma membanggakan proses penyimpanan kopinya selama beberapa tahun sebelum proses penggorengan dan proses penggorengannya masih menggunakan kayu karet. Disajikan dalam bentuk kopi tubruk, Espresso, Americano dan Cappuccino.
Selain kopi juga akan disajikan Tehi Hitam dari salah satu perkebunan teh terbaik di Indonesia.

Asinan Bonbin
Asinan dari Cikini ini secara pakem bisa diklasifikasikan sebagai asinan Jakarta. Asinan segar dengan irisan sayur asin, timun, langkio, kol, kerupuk mie dan taburan kacang ini dijamin membangkitkan selera mereka yang memakannya.

Sop Kaki Sapi Tanah Abang (dan daging)
Sop kaki sapi ini dipilih karena kuahnya yang mantap serta potongan daging dan irisan kaki sapinya yang bersih nan lembut namun tidak lembek. Sop Kaki Sapi ini menjadi unik karena disajikan dengan acar berbentuk asinan kol, membalance gurihnya sop ini.

Nasi Uduk Jeng Qumay Cinere

Gado-gado Bonbin

Es Cincau dan Jahe Cikini

Aneka Kue Tradisional dari petak 9 

Semuanya ini dipersembahkan oleh Vaksincom hanya untuk anda, pelanggan korporat dan komunitas IT Indonesia. Onno W. Purbo, Irvan Kartawiria, Adang Juhar Taufik dan Alfons Tanujaya juga akan memberikan presentasi yang tidak kalah menghebohkan. Tempat terbatas hanya untuk 100 orang. Saat ini telah terisi 60 peserta yang sudah membayar.

Detail Event ini adalah sebagai berikut :

Thema
Evaluasi Serangan Malware 2007, Trend 2008 dan Antisipasinya

Waktu
08.00 s/d 16.00
Rabu, 21 November 2007

Tempat
Club House Apartemen Pavilion, Jl. K.H. Mas Mansyur Kav 24, Jakarta 10220

Biaya
Rp. 380.000,- (Tiga Ratus Delapan Puluh Ribu) per peserta.
Pelunasan sebelum tanggal 10 November 2007 mendapatkan diskon Rp. 90.000,- hanya membayar Rp. 290.000,-

Jumlah Peserta
100 (seratus) peserta Maksimal.
Perhatian !! Ini bukan marketing gimmick karena Club House Pavilion hanya mampu menampung maksimal 100 peserta.

Biaya Seminar Sudah Termasuk :
- Sertifikat
- Lunch (1 kali) dan Coffee Break (2 kali) prepared by Jalansutra Community, percaya deh orang JS pasti tahu dimana ada makanan enak dan akan diboyong ke lokasi seminar
- Lisensi Norman Virus Control for Corporate network (Business Edition) untuk maksimal 50 (lima puluh) PC dalam jaringan (server dan workstation) + update definisi dan engine 1 (satu) bulan. Termasuk satu kali kunjungan support instalasi oleh Vaksinis (teknisi Vaksincom) ke kantor anda
- Doorprize by MSI dan Jamupuspo, Motherboard, MP3 Player, Healthy Food etc

Pendaftaran hubungi :
Desi atau Maharani cs@... dan info@...
Jl. Tanah Abang III / 19E - Jakarta 10160
Ph : 021 3456850 Fx : 021 3456851

Transfer pembayaran ke :
BCA Tanah Abang II
A/C : 654 033 9251
A/N : PT. Vaksincom

Sponsor
- Official Media : Majalah Chip
- DataUtama (NAP, ISP dan Hosting)
- Alfa Artha Andaya, Distributor MSI di Indonesia
- Jamupuspo, produsen makanan kesehatan PaceTea
- Jalansutra, Komunitas Jalan-jalan dan makan-makan terbesar Indonesia

Brosur Seminar

Salam,

Aa Tan

info@...

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

Ph : 021 345 6850

Fx : 021 345 6851

Worm.VBWorm.NUJ          19 November 2007

Moontox Bro, Rontokbro yang "montok" dan "cinta" Indonesia

By: Hacker/Cracker Indonesia ]
---- Paraysutki #VM Community ----
[ SEND TO MALAYSIA/AUSTRALIA

Hentikanlah kebobrokan kalian --
Apa kalian tau rasanya menjadi manusia yang sia-sia?
Apa kalian tau rasanya setiap saat dihina dan tidak mampu merasakan kesenangan kalian?
Apa kalian tau betapa sakitnya kami (TKI) yang disiksa dan di perlakukan seperti binatang oleh majikan kalian? ditendang,dipukuli,dicaci maki,dihina,tidak digajih,dan pulang dengan anggota tubuh yg cacat? itulah yang kami dapatkan sehari-hari selama bekerja di sana
Aku yakin selama hidup kalian tidak pernah sedikitpun merasakan rasa sakit itu?

Wahai kalian yang ada di bumi ini
Kalian yang telah memojokanku dan Kalian yang telah merusak semua kesenanganku
Kalian hanya melihatku sebagai anak yang menyedihkan yang harus kalian singkirkan
kalian hanya memberiku satu-satunya jalan untuk membalas keputusan yang telah kalian buat

...Terima kasih...
kini kalian akan melihat darah di kedua tanganmu yang tak akan pernah bisa di bersihkan
dan kini aku akan hadir membangkitkan generasi yang lemah dan tak berdaya untuk melawan
!!! Bangkitlah Indonesia Raya, Bangsa dan Tanah Airku !!!

JIka di layar pc anda muncul sebuah jendela Internet Explorer dengan judul berwarna merah MONTOX BRO [B-2] (lihat gambar 1), sebaiknya anda berhati-hati, virus ini dapat menyebabkan komputer menjadi lambat dan banyak melakukan perubahan di system registry Windows. Selain itu virus ini akan berupaya untuk menyebarkan dirinya melalui email. Bagi Anda yang sudah terinfeksi virus ini jangan mencoba untuk menjalankan file "Baca_Gue_Goblok.bat" karena berisi perintah untuk format drive selain drive C.

Gambar 1, Pesan yang ditampilkan oleh VBWorm.NUJ saat pc dinyalakan

Dilihat dari Script yang ada kemungkinan besar virus ini berasal dari kota Palangkaraya dan sudah menelurkan 3 varian. Isi dari virus ini lebih ditunjukan kepada komunitas pembuat virus Brontok serta berisi kecaman terhadap beberapa negara, salah satunya adalah negara yang sering mengklaim produk budaya Indonesia sebagai miliknya.

Virus ini dapat menyebar dengan suskes di kota Palangkaraya dan mulai merambah ke kota-kota lainnya. Virus ini mempunyai ukuran file sekitar 49 KB dan dibuat dengan menggunakan program bahasa "Visual Basic" dan menggunakan icon Folder. Norman Virus Control mendeteksi virus ini sebagai VBWorm.NUJ (lihat gambar 2 dibawah ini).

Gambar 2, Norman mendeteksi MoontoxBro sebagai Worm.VBWorm.NUJ

File induk VBWorm.NUJ

Sebagai upaya untuk menjaga eksistensinya, VBWorm.NUJ akan mencoba untuk membuat beberapa file induk, file ini akan mempunyai ciri-ciri:

• Menggunakan icon "Folder"
• Ukuran file 49 KB
• Ekstensi EXE
• Type File "Application", tetapi jika file tersebut sudah menginfeksi komputer maka virus ini akan merubah type file dari "Application "menjadi "File Folder"

Berikut beberapa file induk yang akan dibuat oleh VBWorm.NUJ

• C:\Windows\services.exe è file ini akan aktif di memori
• C:\Dokument penting
• program-software.exe è aktif di memori
• My Download.exe èaktif di memori
• Music Indo.exe è aktif di memori
• C:\Dokument penting

-       Data Word.exe

-       kumpulan Film porno.exe

-       My Photo.exe

-       Photo-photo Porno.exe

• C:\mesage from indonesia.htm èakan di tampilkan setiap kali komputer dinyalakan
• C:\Indonesia-Raya.mid è berisi lagu kebangsaan Indonesia Raya
• C:\send to hell.vbs èscript untuk  mengirimkan dirinya melalui Outlook
• C:\Baca_GUe_Goblok.cmd è berisi script untuk Format hard Disk (selain driveC:\)
• C:\Autorun.exe  dan autorun.inf è untuk menyebarkan dirinya secara otomatis setiap kali akses ke Folder atau ke Flash Disk (file ini akan dibuat disemua drive)

Catatan:
Untuk folder "Dokument Penting" beserta isinya akan dibuat disetiap Drive termasuk dimedia "Flash Disk" hal ini digunakan sebagai upaya untuk menyebarkan dirinya.

Pada saat VBWorm.NUJ tersebut aktif maka secara otomatis akan mencoba untuk mengirimkan dirinya dengan memanfaatkan auto send program Microsoft Outlook, perhatikan gambar dibawah ini : (lihat gambar 3)

Gambar 3, Pesan yang ditampilkan VBWorm.NUJ pada saat akan mengirimkan email virus

Metode virus lokal ini menyebarkan dirinya menggunakan autosend dari Outlook membatasi penyebarannya, khususnya jika korbannya tidak menggunakan Outlook atau menggunakan webmail seperti di warnet atau komputer lab. Beda dengan virus mancanegara yang mampu menggunakan SMTP server sendiri dalam mengirimkan dirinya sehingga tidak tergantung pada mail client. Dalam hal ini terlihat perbedaan pandangan / kemampuan programmer Indonesia dalam hubungan dengan infrastruktur internet yang kelihatannya masih kalah dibadingkan dengan programmer luar yang cukup fasih dalam mengeksploitasi infrastruktur internet untuk penyebaran dirinya.

Aktif pada "Safe Mode" dan "Safe Mode with Command Prompt"

Agar VBWorm.NUJ dapat aktif setiap kali komputer dinyalakan, ia akan membuat string pada registry berikut :

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• GoToHell = C:\Send To Hell.vbs
• indoHack = C:\Dokument Penting\My Download.exe
• indosoft = C:\Dokument Penting\Program-Software.exe
• message = C:\Message From Indonesia.htm
• paraycity = C:\Dokument Penting\Music Indo.exe

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug
• debugger = C:\WINDOWS\service.exe

Selain aktif pada mode "Normal" VBWorm.NUJ juga akan mencoba untuk aktif pada mode "safe mode", untuk memastikan dirinya dapat aktif pada mode"safe mode" ini, ia akan membuat string  pada registry berikut:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
• System = C:\WINDOWS\service.exe
• Userinit =

C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\service.exe

Agar VBWorm.NUJ terkesan susah dibersihkan, VBWorm.NUJ juga akan mencoba untuk atif pada mode "safe mode with command prompt" dengan membuat string pada registry berikut:

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
• AlternateShell = cmd.exe C:\Dokument Penting\My Download.exe
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot
• AlternateShell = cmd.exe C:\Dokument Penting\My Download.exe
• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot
• AlternateShell = cmd.exe C:\Dokument Penting\My Download.exe

VBWorm.NUJ juga akan mencoba untuk menumpang pada setiap file executable (exe/com/bat/pif/scr/lnk) dengan membuat string pada regsitry berikut dengan tujuan agar setiap kali user mencoba untuk menjalankan executable tersebut maka secara otomatis akan mengaktifkan dirinya dengan menjalankan file "C:\Windows\service.exe".

• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command
• Default = "C:\WINDOWS\service.exe" "%1" %*
• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\piffile\shell\open\command
• Default = "C:\WINDOWS\service.exe" "%1" %*

• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command
• Default = "C:\WINDOWS\service.exe" "%1" %*
• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile\shell\open\command
• Default = "C:\WINDOWS\service.exe" "%1" %*
• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shell\open\command
• Default = "C:\WINDOWS\service.exe" "%1" %*

Mengganti Task Manager, Regedit dan Solitaire dengan game FreeCel

Untuk menjaga eksistensinya, VBWorm.NUJ akan mencoba untuk blok beberapa fungsi Windows seperti Folder Option/regedit/maupun Task Manager dengan menggantinya dengan program game seperti yang pernah dilakukan oleh varian FaceCool, untuk melakukan hal tersebut VBWorm.NUJ akan mencoba untuk membuat string pada registry berikut :

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe

-       debugger = C:\WINDOWS\system32\freecell.exe (lihat gambar 4)

Gambar 4, Game "FreeCell" sebagai pengganti Regedit"

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe

-       debugger = C:\WINDOWS\system32\sol.exe (lihat gambar 5)

Gambar 5, Game "Solitaire" sebagai pengganti System Restore"

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe

-       debuger = C:\WINDOWS\system32\spider.exe (lihat gambar 6)

Gambar 6, Game "Spider" sebagai pengganti task manager"

• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer

-       DisableMSI =1

-       LimitSystemRestoreCheckpointing = 1

• HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore

-       DisableConfig

-       DisableSR

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore

-       DisableCOnfig = 1

-       DisableSR = 1

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

-       NoFolderOptions

-       NORun

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system

-       DisableRegistryTools

-       DisableTaskMgr

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

-       NoFolderOption

-       NoRun

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

-       DisableRegistryTools

-       DisabletaskMgr

·         HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

-       Hidden = 0

-       HideFileExt = 1

-       ShowSuperHidden = 0

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN

-       text = @shell32.dll,-30501

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

-       text = @shell32.dll,-30500

Blok Website security

VBWorm.NUJ akan mencoba untuk melakukan blok terhadap website security dengan merubah file Host Windows yang berada dilokasi "C:\WINDOWS\system32\drivers\etc\Host" (lihat gambar 7). Metode ini cukup mengkhawatirkan karena jika digabungkan dengan teknik Phishing akan mampu menjadi rekayasa sosial yang mampu mengelabui pengguna internet banking. Sekalipun yang dilengkapi dengan pengamanan Token / kalkulator PIN.

Gambar 7, URL yang akan diblok oleh VBWorm.NUJ

Pesan dari pembuat virus  

Salah satu aksi yang aka dilakukan oleh VBWorm.NUJ adalah akan menampilkan sebuah kendela Internet Explorer setiap kali komputer dinyalakan dengan menjalankan file C:\Message From Indonesia.htm yang diiringingi dengan lagu kebangsaan Indonesia Raya.

Berikut petikan pesan yang akan ditampilkan dari Internet Explorer

Untuk melakukan hal ini, VBWorm.NUJ akan mencoba untuk membuat string pada registry berikut:

·         HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

o    Start Page = C:\Message From Indonesia.htm

VBWorm.NUJ juga akan mencoba untuk merubah nama perusahaan dan nama pemilik Windows dengan membuat string pada registry berikut:

·         HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0

o    ProcessorNameString = Core 2 Duo Extreme

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

o    RegisteredOrganization = Paraysutki #VM Community

o    RegisteredOwner = W32.Moontox.Bro [B-2]

o    ProductId = Hacker@Cracker@Indonesia

File Exe berubah menjadi File Folder

VBWorm.NUJ tidak akan membuat file duplikat tetapi, ia pandai memanipulasi setiap file exe (aplikasi) yang tidak berbahaya seolah-olah merupakan file virus, dengan cara merubah type file dan informasi dari file exe tersebut menjadi "File Folder" hal ini lah yang justru akan membahayakan user, apalagi untuk user awam sehingga user (yang tidak menggunakan antivirus) dengan sengaja akan menghapus file tersebut termasuk file yang sebenarnya bukan file virus, karena seperti yang kita tahu bahwa sebuah folder tidak akan mempunyai ukuran, celah ini lah yang akan dimanfaatkan oleh pembuat virus VBWorm.NUJ, perhatikan gambar 8 dan 9 dibawah ini

Gambar 8, File .exe yang diubah iconnya oleh VBWorm.NUJ sehingga dikira virus (sebenarnya bukan file virus)

Gambar 9, File induk Virus (berukuran 49 KB)

Untuk melakukan hal tersebut, VBWorm.NUJ akan membuat string pada registry berikut:

·         HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile

            - Default = file folder

            - InfoTip = file folder

            - NeverShowExt

            - TileInfo = file folder

·         HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\DefaultIcon

-       Default = %SystemRoot%\System32\shell32.dll,4

·         HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory

-       AlwaysShowExt = FIle Folder

-       InfoTip = File Folder

-       NeverShowExt = File Folder

VBWorm.NUJ juga akan membut string pada registry berikut:

·         HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSIServer

-       Description = !!! Sory ya Ngk boleh buka Aplication Microsoft (.msi) Kecuali buka Executable (.exe) !!!

-       imagePath = Go To Vagina

-       ObjectPath = Dasar Buaya Darat

-       DisplayName = WIndows Installer

-       start = 4

-       type = 4

·         HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc

-       description = !!! Maaf yee Fitur Security Center gue Non aktifkan dulu...biar aman !!!

-       imagepath= Go To Mak Erot

-       objectpath = LocalMoontox

-       DisplayName =Security Center

-       start = 4

-       type = 4

·         HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Alerter

-       description = !!! Hi..hi..hi biar ngak ketauan gue non aktif aja fitur ini (:-p) wee !!!

-       imagepath = Mulutmu Harimaumu

-       objectpath = Mulutmu Harimaumu

-       DisplayName = Alerter

-       DependOnService = LanmanWorkstation

-       start = 4

-       type = 4

·         HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry

-       Start = 4

-       Type = 4

·         HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ansavgd

-       Description = !!! ANSAV kga Mempan sama Moontox Bro (>_<)

-       Imagepath = Go To Mak Erot

-       ObjectName = !!! Kasian Dech lo, Cape dech !!!

-       start = 4

-       type = 4

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srservice

-       Description = !!! Tak akan kubiarkan kau mengembalikan keadaan !!!

-       Display name = System Restore Service

-       imagepath = %SystemRoot%\System32\svchost.exe -k netsvcs (ok)

-       start = 4

-       stop = 4

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srservice\Parameters

-       ServiceDll = C:\WINDOWS\service.exe

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole

-       EnableRemoteConnect = N

Menyebar melalui Flash Disk/Email

Sebagai media penyebaran, VBWorm.NUJ akan mencoba untuk menggunakan media Flash Disk dengan menggunakan fasilitas Autoplay dengan terlebih dahulu akan membuat file Autorun.inf dan folder "Dokument Penting" dengan nama file berikut:

• C:\Dokument penting
• program-software.exe
• My Download.exe
• Music Indo.exe
• Data WOrd.exe
• kumpulan Film porno.exe
• My Photo.exe
• Photo-photo Porno
• C:\Autorun.exe
• C:\Autorun.inf

Untuk mempercepat jangkauan penyebarannya, VBWorm.NUJ akan menggunakan internet dengan memanfaatkan Email. Untuk  mengirimkan dirinya melalui email ini VBWorm.NUJ akan mencoba untuk menjalankan script yang ada pada file C:\Send To Hell.vbs, sayangnya virus ini masih menggunakan SMTP dari komputer yang terinfeksi hal secara terus menerus akan mengakses program Outlook (perhatkan gambar dibawah).

Berikut contoh email yang akan dikirim oleh VBWorm.NUJ

To : acak

Attachment : C\Dokument Penting\Kumpulan Film Porno.exe

Body : Nieh saya beri koleksi Video Porno gue

Subject :Film Porno geratis

Format Drive

Hati-hati jika komputer Anda sudah terinfeksi VBWorm.NUJ, sebaikya hapus file C:\Baca_Gue_Goblok.bat, karena script ini berisi perintah untuk format Drive selain Drive C:\, perhatikan gambar 10 dan 11 dibawah ini:

Gambar 10, Perintah tersembunyi format harddisk dalam file Baca_Gue_Goblok.bat

Gambar 11, Perintah tersembunyi dalamm file Baca_Gue_Goblok.bat (jika dijalankan)

Cara membersihkan VBWorm.NUJ

1.     Putuskan komputer yang akan dibersihkan dari jaringan

2.     Matikan proses virus yang aktif dimemori. Untuk mematikan proses virus ini anda dapat menggunakan tools killvb, silahkan download tools tersebut pada link http://www.compactbyte.com/brontok/killvb.zip.

3.     Hapus registry yang dibuat oleh virus. Untuk mempercepat proses penghapusan silahkan salin script dibawah ini pada program "Notepad" kemudian simpan dengan nama repair.vbs, jalankan file tersebut

Dim oWSH: Set oWSH = CreateObject("WScript.Shell")

on error resume Next

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\scrfile\shell\open\command\","""%1"" /S"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\regfile\shell\open\command\","regedit.exe %1"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\DefaultIcon\","%1"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\infotip","prop:FileDescription;Company;FileVersion;Create;Size"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\TileInfo","prop:FileDescription;Company;FileVersion"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\type
","checkbox"

oWSH.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden","0x00000000"

oWSH.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start page","About:blank"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug\debugger",""

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\","Application"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile\","Screen Saver"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell","Explorer.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\
CurrentVersion\RegisteredOrganization","Organization"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\
RegisteredOwner","Owner"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductId","Your ID"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System","0"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\AeDebug\debugger","0"

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\DisableMSI")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer\
LimitSystemRestoreCheckpointing")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Nofind")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\DisableMSI")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoClose")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NORun")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp\")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr")

oWSH.RegDelete("HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCMD")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
System\NoDispApprearancePage")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\NeverShowExt")

oWSH.RegDelete("HKEY_CLASSES_ROOT\exefile\NeverShowExt")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\policies\Microsoft\system\DisableCMD")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Msconfig.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit32.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RegistriEditor.exe")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe\")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\GoToHell")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\IndoHack")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\INdosoft")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\massage")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\parayCity")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\EnableRemoteConnect")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ansavgd")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\NeverShowExt")

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\type","Checkbox"

oWSH.Regwrite "HKEY_LOCAL_MACHINESOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\type","Checkbox"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\text","Hide file extentions for known file types"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Text","Hide protected operating system files (recommended)"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSIServer\Description","Adds, modifies, and removes applications provided as a Windows Installer (*.msi) package. If this service is disabled, any services that explicitly depend on it will fail to start."

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSIServer\ImagePath","C:\WINDOWS\system32\msiexec.exe /V"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSIServer\ObjectName","LocalSystem"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Description","Monitors system security settings and configurations."

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\ImagePath","%SystemRoot%\System32\svchost.exe -k netsvcs"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\ObjectName","LocalSystem"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Alerter\Description","Monitors system security settings and configurations."

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Alerter\ImagePath","%SystemRoot%\System32\svchost.exe -k netsvcs"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Alerter\ObjectName","LocalSystem"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srservice\Description","Performs system restore functions. To stop service, turn off System Restore from the System Restore tab in My Computer->Properties"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\srservice\Parameters\ServiceDll",
"C:\WINDOWS\system32\srsvc.dll"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\AlwaysShowExt",""

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Directory\InfoTip","prop:DocComments"

4.     Hapus file induk yang dibuat oleh virus disemua drive termasuk flash disk dengan terlebih dahulu menampilkan file/folder yang sudah disembunyikan.

Jika menu "Folder Options" masih belum muncul, Log off komputer terlebih dahulu kemudian login ulang. Setelah menu "Folder Options" muncul, baru munculkan file/folder yang sudah disembunyikan, seperti terlihat pada gambar 12 dibawah ini:

Gambar 12, Menampilkan file/folder yang disembunyikan

Kemudian cari dan hapus file induk yang dibuat oleh VBWorm.NUJ dengan ciri-ciri sebagai berikut:

• Icon "Folder"
• Ukuran file 49 KB
• Ekstensi EXE
• Type File "Application"

5.     Untuk pembersihan optimal dan mencegah infeksi uleng gunakan antivirus yang up-to-date dan dapat mengenali virus ini dengan baik.

Ikuti Seminar Evaluasi Malware 2007, Trend 2008 dan Antisipasinya pada tanggal 21 November 2007 yang dibawakan oleh Onno W. Purbo dan makanan berkelas dari Jalansutra. Lihat informasi lengkap dan pendaftaran di http://vaksin.com/2007/1007/seminar%202007.htm

Aj Tau

info@...

PT. Vaksincom

Jl. Tanah Abang III/19E

Jakarta 10160

Ph : 021 345 6850

just test

W32/Banload.RYQ          29 November 2007

Anak Kost jadi Ninja. Pesin dan Kangen Rest in Peace

 

Kelihatannya pembuat virus memiliki hobi baca komik Jepang. Hanya satu bulan setelah virus Battosai (W32/Autorun.AD) mengganas, ibarat tidak mau kalah muncul virus baru yang menamakan dirinya Cyber Ninja yang mengusung jagoannya Naruto. Kalau sebentar lagi penggemar Avatar akan unjuk gigi dengan membuat virus, maka dunia VM (Virus Maker) mungkin perlu diganti namanya jadi Animax :P.

 

Jika anda salah satu penggemar anime & manga Naruto, maka sebaiknya berhati-hati, karena telah menyebar salah satu virus lokal yang familiar dengan menggunakan nama cYberNINJA. Mengikuti trend yang sedang beredar saat ini, dimana Naruto adalah manga yang terkenal dan sedang naik daun di seluruh dunia. Serial manga ini bercerita seputar kehidupan tokoh utama, Naruto Uzumaki, seorang ninja remaja dari desa Konoha yang berisik, hiperaktif dan ambisius dalam meraih cita-citanya menjadi seorang Hokage, pemimpin tertinggi sebuah desa.

 ---------------------------------------

This place is not enough for us

Rest In Peace.. Pesin

Rest In Peace.. Kangen

---------------------------------------

Ya, begitulah salah satu script yang ada pada file virus cYberNINJA. Dan kemungkinan besar, si pembuat virus mempunyai hubungan dengan pembuat virus kangen dan pesin.

 

Norman mengenali virus ninja tersebut dengan nama W32/Banload.RYQ. (lihat gambar 1)

Gambar 1, Norman Virus Control mendeteksi Cyberninja sebagai W32/Banload.RYQ

 

 

Karakteristik Virus

 

Seolah seperti ninja yang pintar untuk mengelabui musuhnya, virus ini menggunakan icon gambar dengan ekstensi .jpg sebagai media untuk mengelabui pengguna komputer menjalankan file virus tsb. (lihat gambar 2)

 

                                                             

Gambar 2, Icon gambar dengan ekstensi .jpg

 

 

Jika user sudah meng-klik file virus tsb, maka akan terbuka jendela aplikasi microsoft word (tidak berfungsi jika menggunakan aplikasi office lain seperti openoffice), yang berisi tentang curahan hati atau unek-unek si CyBer Ninja, yang mirip dengan virus kangen yang masih bertemakan cinta. Lihat gambar 3)

 

 

 

Gambar 3, Unek-unek Cyber Ninja

 

Kemudian dalam beberapa saat setelah itu akan terbuka jendela Internet Explorer (sekaligus menandakan bahwa komputer telah terinfeksi). Jendela ini akan terus terbuka dalam beberapa saat kemudian, seolah telah dibuat timer repeat atau dibuat schedule task. (lihat gambar 4)

Gambar 4, Pesan yang ditampilkan virus Cyber ninja pada Internet Explorer

 

Jika kita mengklik pada link Antivirus.exe, akan di redirect ke website http://historyni***.tk/ yang mirip dengan website Friendster (lihat gambar 5). Hati-hati !! Website ini adalah palsu dan bukan website Friendster yang seharusnya www.friendster.com.

Gambar 5, Website palsu Friendster yang dipalsukan

 

Jika sudah terinfeksi, virus ini menggunakan icon shuriken (sebuah senjata lempar khas ninja) sebagai media pengenalan dirinya, serta membuat file virus pada setiap folder / drive yang diakses user dengan ukuran 35 kb. (lihat gambar 6)

Gambar 6, Icon my documents & recycle bin yang berubah menjadi shuriken perhatikan file virus "artis Hot.jpg" yang berukuran 35 kb

 

Sama seperti halnya virus kangen, cyber ninja cukup baik dan tidka destruktif seperti Kespo dan "hanya" mennyembunyikan file dokumen Microsoft Word komputer korbannya dan kemudian akan membuat file duplikat virus dengan ekstensi  .zip (lihat gambar 7)

 

                                                                                    Gambar 7, File word di hidden, dan file duplikat dengan ekstensi . zip

 

Selain itu, cursor pun akan berkedip-kedip dan bergerak kesana kemari bak seorang ninja, mengubah tulisan start menu menjadi Ninja, serta mengubah nama Drive C: menjadi Ninja Devil. (lihat gambar 8)

 

 

                                Gambar 8, Mengubah nama drive menjadi Ninja Devil

 

Dan jika anda berada dalam jaringan LAN, dan berusaha untuk browse ke komputer yang lain dan mengeksekusi sebuah file misalnya antivirus, maka virus akan akan membuat  komputer restart.

 

File Virus & Penyebarannya

Saat terinfeksi, virus mempunyai 2 file induk, yaitu :

o    C:\WINDOWS\SPOOL32.EXE

o    C:\WINDOWS\system32\WINWORD.EXE

 

Tetapi kemudian akan membuat file duplikat saat kita mengakses sebuah folder/drive tertentu, sehingga akan lebih mudah menyebar dan menggandakan dirinya. Beberapa file duplikat tersebut diantaranya sebagai berikut :

Selain itu virus juga menyertakan beberapa file, seperti :

o    C:\WINDOWS\Help.htm (yang jika terinfeksi virus ini akan setiap saat selalu terbuka)

o    C:\WINDOWS\exe.ico (icon yang digunakan pada semua type file application)

Ciri-ciri file virus, yaitu :

·         Menggunakan icon gambar (jika sudah terinfeksi menggunakan icon shuriken)

·         Berukuran 35 kb

·         Ber-type application

·         Untuk file duplikat disertakan ekstensi jpg untuk mengelabui user

Untuk file duplikat dokumen dengan ekstensi zip

Sama seperti virus lokal lain, virus ninja pun akan menyebar melalui media usb flash / removable. Selain menyertakan sebuah file duplikat, Cyber Ninja juga akan membuat 2 file yaitu autorun dan SETUP (untuk lebih mudah menginfeksi komputer lain dengan menggunakan fitur autoplay windows). (lihat gambar 9)

Gambar 9, File Autorun dan Setup yang dibuat oleh virus Cyber Ninja.

Manipulasi Registry

Untuk mempertahankan keberadaannya, virus membuat string registry pada startup windows, yaitu :

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run,

Microsoft Word = C:\WINDOWS\system32\WINWORD.EXE

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run,

Printer Cpl = C:\WINDOWS\SPOOL32.EXE

Walaupun tidak mematikan fitur windows seperti msconfig, task manager dan folder options, tetapi virus telah mematikan fungsi registry editor (regedit), dengan membuat string registry, yaitu :

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System,

DisableRegedit = 1 (lihat gambar 10)

Gambar 10, Registry editor yang di disable oleh virus

• HKEY_CLASSES_ROOT\regfile\shell\open\command

(Default) = cmd.exe /c del "%1"

Selain itu virus juga tidak menghilangkan fitur folder options, tetapi virus membuat string agar file exefile tidak ditampilkan walaupun kita sudah mengilangkan pilihan cheklist ini. Virus membuat string, yaitu :

• HKEY_CLASSES_ROOT\exefile

NeverShowExt =

Icon shuriken yang dijadikan sebagai icon file executable pada semua type file application juga dibuat oleh virus pada string registry berikut :

• HKEY_CLASSES_ROOT\exefile\DefaultIcon

(Default) = C:\WINDOWS\exe.ico

Virus pun mengubah beberapa registry file, seperti :

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion

LegalNoticeText            = Komputer Anda terinfeksi NINJA kunjungi site berikut untuk mendapatkan manual cara menghapusnya www.historyninja.tk

LocalNoticeCaption       = NINJACYber ComuNity bsi

RegisteredOrganization = NINJA CybeR CoMUNITY

RegisteredOwner           = NINJA DEVIL

Cara Pembersihan Virus

1. Putuskan hubungan komputer dari jaringan [disarankan lakukan pembersihan melalui mode "Safe Mode"]
2. Jika menggunakan Windows ME/XP, matikan [System Restore] selama proses pembersihan.
3. Matikan proses virus W32/Banload.RYQ, gunakan tool pengganti task manager karena seperti security task manager. Silahkan download dari www.download.com.
4. Hapus string yang dibuat oleh virus, untuk lebih cepatnya copy script dibawah ini pada program notepad. Untukmemanggil program notepad kami sarankan anda menjalankan file tersebut pada menu RUN dengan mengetik perintah "notepad" hal ini disebabkan karena virus ini akan menyembunyikan file pada Start menu | programs, setelah itu simpan file tersebut dengan nama repair.inf, kemudian jalankan file tersebut  dengan cara:

o    klik kanan nana file "repair.inf"

o    klik install

[Version]

Signature="$Chicago$"

Provider=Vaksincom - Naruto

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SOFTWARE\Classes\exefile\DefaultIcon,,,""%1" %"

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

HKCU, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Microsoft Word

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Printer Cpl

HKLM, SOFTWARE\Classes\exefile, NeverShowExt

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion, LegalNoticeText

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion, LocalNoticeCaption

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion, RegisteredOrganization

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion, RegisteredOwner

5. Hapus file induk serta file duplikat yang dibuat oleh cyber ninja dimana file tersebut mempunyai ciri-ciri sebagai berikut :

-       Ukuran file 35 KB

-       Berekstensi jpg.exe dan zip.exe

-       Type file application

Catatan : untuk mempermudah penghapusan dapat menggunakan fasilitas [search]

6. Tampilkan semua data yang di hidden dengan menggunakan dos command prompt

§  Klik [start]

§  Klik [run]

§  Ketik [cmd]

§  Pada dos prompt, ketik perintah attrib -s -h /s /d, kemudian tekan enter [sebelumnya pastikan anda berada pada direktori C:\], contoh C:\>attrib -s -h /s /d

§  Untuk mengambalikan file yang disembunyikan di drive lain, lakukan langkah di atas tetapi sebelumnya anda ganti terlebih dahulu lokasi drive yang akan di cek [contoh D:\>attrib -s -h /s /d]

7. Untuk pembersihan yang optimal sebaiknya gunakan antivirus yang sudah dapat mengenali virus ini dengan baik.

Ad Sap

info@...

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

Ph : 021 345 6850

Chip Magazine Awarded Norman Virus Control as Best Antivirus 2007

Chip Indonesia www.chip.co.id, biggest IT magazine in Indonesia (licensed from Chip Germany) testing 9 best antivirus on its October 2007 Special Edition and the final result is Norman Virus Control win the test over 8 antivirus in Indonesia and deserve to use logo Chip TIP Choice Security.

The special edition which focusing in review and information about security product in Indonesian market is called "CHIP Spesial Security" (no typo here, spesial is Indonesian word for special J).

Goto :

http://forum.chip.co.id/pengumuman-global/84439-telah-beredar-chip-spesial-security.html for the front page

http://forum.chip.co.id/images/chip/Daftar_Isi_CHIP_Spesial_Security.pdf for magazine content.

This magazine talk all about security such as Wireless Security, the best technique to guard your wireless connection, How to exploit Internet Banking protection & how to protect it and what really worth to wait and become one of Chip specialty is Testing of 9 Best Antivirus in Indonesia. Chip tester team is well known by their competency and independency in testing IT hardware and software product which used by customers as a guideline to buy IT hardware or software product.

Antivirus and virus background in Indonesia.

Security is one of the most dinamic field in IT world and especially antivirus is even more dynamic since virus threat is keep appearing in a count of hour, sometimes ….. minute. Not like yesterday, caused by internet penetration all over the world, virus threat now become borderless. Where an email virus in Eastern Europe this morning in no time will arrive in America, Asia or other continents.

But still there is some uniqueness in Indonesia, where internet penetration is very low compared to other South East Asia country such as Malaysia, Thailand and Singapore ……  except Myanmar off course :P. The uniqueness is that even Indonesia have 20 million internet users of 250 million people, there are only 5 million internet connection account established from Indonesian ISP's (Data from APJII, Indonesian ISP Association). So where did the 15 million users accessing internet ? The answer is Cybercafe or Warung Internet (Warnet) where there are more than 10.000 Cybercafe spread all over Indonesia. What is the relationship of this with virus spreading in Indonesia ?

As we know, computer users who did not have their own PC need to store their data and caused by this, most of computer user in Indonesia minimum have one Flash Disk (USB Flash Disk). And the bad news is these flash disks is actively connecting between computers. After plugged to Cybercafe's computer, then the user will copy / paste data to other computer at office or at home. So if a Cybercafe's computer infected by a virus, it will automatically infect "any" Flash disk plugged in to it, this will make the Flash disk become virus host where this virus will automatically infect any computer this Flash disk plugged in to later on.

But wait !! ………. Where did antivirus vendor go, isn't it their job? No, they are working day and night fightning virus from all over the world. The problem is Indonesian cyber community aka VM (Virus Maker) is very active writing and spread new viruses on the average of 2 – 3 virus per day. And most of it spread through Flash Disk. This rate of virus appearance gives antivirus vendor a headache since the VM is actively monitoring antivirus's detection to his virus and actively spread new virus variant everytime his old virus been detected by antivirus vendor. This become endless war.

9 Best Antivirus

9 best antivirus tested by Chip is AVG from Grisoft, bitDefender, F-Prot, F-Secure, Kaspersky Antivirus, McAfee, Nod 32, Norman Virus Control and Symantec Norton Antivirus. These antiviruses will run to detect and clean virus from Windows Vista.

Aspects considered to give points are : (look at the scanned file, pages 16 and 17)

1.       Interface (10 %) (interface)

2.       Additional feature (10 %) (Feature Ekstra)

3.       Detection (50 %) (deteksi)

4.       Protection (30 %) (proteksi)

Detection.

From all of 9 candidates, only 3 antivirus can detect all the virus samples. Norman Virus Control, Kaspersky and NOD 32 give 100 % detection of all the virus sample tested and get 41 point. Kaspersky get additional points of 2 because it can detect compressed virus in RAR archive "protected" by password where NOD32 and Norman cannot. So from detection result Kaspersky is ahead of Norman and NOD32 by 2 points.

Interface and Additional Feature.

From additional Feature and Interface, Kaspersky got 8 (interface) and 5 (additional feature) point, total 8 + 5 + 43 = 56.

NOD32 got 3.5 (interface) and 7.5 (additional feature), total 3.5 + 7.5 + 41 = 52.

Norman got lowest point, 3 (interface) and 5 (additional feature), total 3 + 5 + 41 = 49.

Protection.

Good antivirus must have the ability to protect virus to run even if its run purposely by computer users. Most of recent viruses  pretend to be "innocent" file and changed its icon (executable) into innocent / harmless icon such as MS Word, MS Excel, Folder and JPEG icon. Thats why protection from running virus accientally (social engineered virus) is important since its become last line of defense when the computer users tricked by "reengineered icon".

From this point, Kaspersky and NOD32 in default setting "still" allow  known virus to run where Norman DISALLOW. So, even if virus changed its icon to MS Word, Excel, folder or JPEG, Norman still not allow users to run it and even give warning that the file runned is a virus and stopped it.

From protection point of view, Norman got 25 point where Kaspersky and NOD32 got 15.

Final

So the final position is NOD32 in third position with total 67 point, Kaspersky in the second place with 73 point and get Chip Tip Value Security and The Winner is …. Norman with 74 point ang Norman is allow to use a logo of CHIP Tip Choice Security.

Regards,

Aa Tan

info@...

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

Ph : 021 345 6850

Fx : 021 345 6851

VBS/Smalltroj.XSR          18 Desember 2007

Buka file inf (Regedit) langsung Log Off, buka MSConfig dapat Notepad

Salah satu virus yang cukup merepotkan dan saat ini sedang menyebar adalah jenis VBS/Smalltroj.XSR. Virus ini sebenarnya dibuat dengan menggunakan VBScript, suatu program sederhana tetapi mempunyai kemampuan yang patut diperhitungkan. Ukuran virus ini lumayan kecil sekitar 9 KB dan tetap mengusung icon VBS. Harap berhati-hati jika virus ini sudah mulai menginfeksi komputer maka ia akan melakukan serangkaian perubahan pada registry diantaranya akan merubah type file dari "VBScript Script file" menjadi "Microsoft Word Document" dan merubah icon "VBS" menjadi icon "MS Word", inilah salah satu rekayasa sosial yang akan digunakan oleh VBS/Smaltroj.XSR. Dilengkapi dengan kemampuan untuk membuat file duplikat disetiap folder dan subfolder, file duplikat ini akan dibuat jika di dalam folder tersebut terdapat file dengan ekstensi XLS/DOC/ZIP/RAR/PDF atau  file gambar, khusus untuk file dengan ekstensi DOC  akan disembunyikan.

Dengan update terbaru Norman Virus Control sudah dapat mendeteksi virus ini dengan baik (lihat gambar 1)

Gambar 1, Norman Virus Control mendeteksi virus VBS/Smalltroj.XSR

Setelah virus tersebut  menginfeksi komputer ia akan membuat beberapa file induk yang diantaranya akan dijalankan setiap kali komputer dinyalakan / restart, file ini akan dibuat secara acak disetiap Drive/folder/subfolder. Berikut beberapa file induk yang akan di buat oleh VBS/Smalltroj.XSR :

• Autorun.inf
• Dataku.vbs
• New File.vbs
• Money.vbs
• Hasil.vbs
• Readme.vbs
• C:\Windows\System.vbs
• C:\Windows\readme.vbs
• C:\Documents and Settings\%user%\My Documents\Cerita 17.txt.vbs
• C:\Documents and Settings\%user%\Application Data\Adobe.vbs

Agar file tersebut dapat dijalankan secara otomatis setiap kali komputer dinyalakan / restart ia akan membuat string pada registry berikut:

• HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Adobe = C:\Document and settings\%user%\Favorites\adobe.lnk

Untuk mempertahankan dirinya, ia akan blok beberapa fungsi windows seperti:

• Registry editor
• Msconfig
• Task manager
• Cmd
• Menu Run
• Folder Options

Untuk melakukan hal tersebut ia akan membuat beberapa string pada registry berikut:

·         HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

§  NoFileAssociate

§  NoFind

§  NoFolderOptions

§  NoRun

·         HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

§  DisableCMD

§  DisableRegedit

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system

§  DisableTaskmgr

·         HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

§  HideFileExt = 1

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden

§  CheckedValue = 2

§  DefaultValue = 2

Mengganti program maintenance komputer dengan Notepad.

Jangan kaget jika setiap kali mencoba untuk menjalankan regedit / msconfig / cmd / taskmanager bahkan saat anda mencoba untuk melakukan instalasi program / software yang akan muncul adalah program notepad, karena hal ini juga di lakukan untuk antisipasi agar dirinya susah untuk di bersihkan. Untuk melakukan hal tersebut ia akan membuat string pada registr berikut :

·         HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe

§  Debugger = Notepad.exe

·         HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe

§  Debugger = Notepad.exe

·         HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe

§  Debugger = Notepad.exe

·         HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe

§  Debugger = Notepad.exe

·         HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TaskMgr.exe

§  Debugger = Notepad.exe

·         HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\attrib.exe

§  Debugger = Notepad.exe

·         HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\install.exe

§  Debugger = Notepad.exe

·         HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe

§  Debugger = Notepad.exe

Logoff jika akses Regedit / VBS file

Dalam rangka melindungi dirinya dari pembasmian, virus ini menambahkan blok akses file INF/VBS dan Registry file sehingga jika user menjalankan file yang mempunyai ekstensi tersebut maka komputer akan langsung logoff. Untuk melakukan hal tersebut ia akan membuat string pada registry berikut:

·         HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\Shell\Edit\Command

§  Default = logoff.exe

·         HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\Shell\Install\Command

§  Default = logoff.exe

·         HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\Shell\open\Command

§  Default = logoff.exe

·         HKCR\inffile\shell\Install\command

§  Default = logoff.exe

·         HKCR\regfile\shell\open\command

§  Default = logoff.exe

·         HKCR\VBSFile\Shell\Edit\Command

§  Default = logoff.exe

Membuat file duplikat dengan ekstensi VBS

Sebagai penutup dan merupakan target utama adalah ia akan mencoba untuk menyembunyikan file MS Word (.DOC). Untuk mengelabui user ia akan membuat file duplikat sesuai dengan nama file yang disembunyikan tersebut dengan ciri-ciri (lihat gambar 2) :

• Icon MS Word
• Ukuran file 9 KB
• Ekstensi DOC.VBS (ekstensi VBS ini akan disembunyikan)
• Type file "Microsoft Word Document"

Gambar 2, File duplikat virus VBS/Smalltroj.XSR

Untuk merubah icon file / type file dan menyembunyikan ekstensi VBS ini, ia akan merubah string pada registry berikut:

• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile
• Default = Microsoft Word Document
• NeverShowExt
• FriendlyTypeName = Microsoft Word Document
• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\DefaultIcon
• Default = C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\wordicon.exe,1

Selain itu VBS/Smalltroj.XSR juga akan membuat file duplikat disetiap folder / subfolder jika di dalam folder / subfolder tersebut terdapat file yang mempunyai ekstensi XLS/ZIP/RAR/PDF atau file gambar (file aslinya tidak akan disembunyikan) dengan ciri-ciri (lihat gambar 3) :

• Icon MS.Word
• Ukuran file 9 KB
• Ekstensi VBS (ekstensi VBS ini akan disembunyikan)
• Type file "Microsoft Word Document"

Gambar 3, File duplikat VBS/Smalltroj.XSR

Sebagai media penyebaranya ia akan menggunakan flash disk (usb) dengan membuat file berikut dengan ukuran 9 kb dan menggunakan icon MS Word.

• Autorun.inf
• Dataku.vbs
• New File.vbs
• Money.vbs
• Hasil.vbs

Serta membuat file duplikat disetiap folder/subfolder, file duplikat ini akan dibuat jika di dalam folder/subfolder tersebut terdapat file yang mempunyai ekstensi DOC/XLS/ZIP/RAR/PDF atau file gambar.

Agar VBS/Smalltroj.XSR ini dapat aktif secara otomatis setiap kali user akses  ke dalam Drive/Flash Disk, ia akan memanfaatkan file Autorun.inf dimana di dalam file tersebut akan terdapat script untuk menjalankan file virus (Dataku.vbs), berikut script yang ada pada file Autorun.inf. (lihat gambar 4)

Gambar 4, Script AutoRun.inf VBS/Smalltroj.XSR

Cara membersihkan VBS/Smalltroj.XSR :

1. Matikan proses virus yang aktif dimemori (file wscript.exe). Untuk mempermudah dalam mematikan proses tersebut Anda dapat menggunakan tools pengganti task manager seperti Proceexp

http://download.sysinternals.com/Files/ProcessExplorer.zip

2. Ubah kembali string INF file pada registry karena untuk menghapus sisa registry ini kita akan tetap menggunakan file repair.inf. Perubahan ini dilakukan karena virus ini akan blok akses ke file INF file registry maupun file vbs.

Untuk merubah string tersebut dapat menggunakan tools pengganti registry editor seperti RegAlizer, silahkan download  di alamat

http://www.safer-networking.org/files/regalyz.exe

Setelah program tersebut berhasil di install dan dijalankan kemudian telusuri lokasi HKEY_CLASSES_ROOT\inffile\shell\Install\command dan HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\command kemudian ganti string default menjadi C:\Windows\System32\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1

Catatan:
Jika komputer anda terinstall Windows NT/2000 ganti script Windows menjadi Winnt

3. Hapus sisa string registry yang dibuat virus. Untuk mempercepat proses penghapusan silahkan copy script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf. Jalankan file tersebut dengan cara:

·         Klik kanan repair.inf

·         Klik Install

Berikut script yang harus Anda copy:

[Version]

Signature="$Chicago$"

Provider=Vaksincom

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SOFTWARE\Classes\exefile\DefaultIcon,,,"%1"

HKLM, SOFTWARE\Classes\VBSFile,,,"VBScript Script file"

HKLM, SOFTWARE\Classes\VBSFile\DefaultIcon,,,"C:\WIndows\System32\WScript.exe,2"

HKLM, SOFTWARE\Classes\VBSFile\Shell\Edit\Command,,,"C:\WIndows\system32\notepad.exe %1"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden,UncheckedValue,0x00010001,1

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden,CheckedValue,0x00010001,0

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden,DefaultValue,0x00010001,0

HKLM, SOFTWARE\Classes\VBSFile, FriendlyTypeName,0,"@C:\Windows\System32\wshext.dll,-4802"

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Adobe

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDesktop

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFileAssociate

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderoptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoRun

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableCMD

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system, DisableTaskmgr

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TaskMgr.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\attrib.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\install.exe, Debugger

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe, Debugger