Just A Litle Part

Mega Test 5 Tools Conficker Network Detection

2009-05-05T19:27:00.001+08:00

Seiring dengan maraknya Swine Flu (Flu Babi) yang menyerang manusia dan menurut WHO sudah pada taraf kegentingan 4, bandara di seluruh dunia langsung bersiaga memantau para penumpang dari Meksiko dan Amerika Serikat. Kalau di dunia komputer yang menjadi sumber penyebaran virus adalah file yang terinfeksi virus, maka di dunia nyata, yang terinfeksi virus dan menjadi sarana penyebaran virus adalah manusia. Karena itu bandara menerapkan scanning atas penumpang yang dicurigai mengidap flu dengan menggunakan scanner suhu tubuh karena pengidap flu (apapun jenisnya) pasti mengalami peningkatan suhu tubuh karena badannya bereaksi atas adanya virus asing yang masuk. Sebenarnya prinsip di dunia komputer juga sama, kalau bandara menggunakan scanner suhu tubuh maka “bandara” di internet adalah router-router dan aplikasi yang digunakan bukan scanner tubuh manusia melainkan Firewall. Tetapi ada satu keunggulan yang dimiliki oleh dunia IT dibandingkan dunia manusia (jika dibandingkan) saat ini, dimana pada dunia manusia tidak mungkin (sangat sulit dan mahal) untuk dapat memantau seluruh manusia di satu kota dan menentukan siapa saja yang terinfeksi flu. Kalau di dunia IT kita bisa menggunakan scanner khusus untuk mendeteksi komputer mana saja yang terinfeksi virus sehingga dapat dilakukan antisipasi yang cepat dan efektif untuk menghadapi masalah virus.

Setelah melakukan test terhadap beberapa tools untuk membasmi Conficker, langkah berikutnya yang paling krusial jika anda administrator jaringan adalah mengidentifikasi komputer mana saja yang terinfeksi virus dan berusaha menyebarkan virus. Karena itu, Vaksincom melakukan pengetesan terhadap tools untuk mendeteksi komputer di jaringan yang terinfeksi Conficker dan berusaha melakukan penyebaran terhadap komputer dalam jaringan. Jika kita hanya melakukan pembersihan terhadap satu komputer saja tentu tidak masalah, tetapi bagaimana jika dalam jaringan anda terinfeksi komputer tetapi anda tidak tahu komputer mana yang terinfeksi, karena terkadang komputer yang menginfeksi jaringan kita tidak terduga-duga, misalnya komputer notebook yang sering dibawa pulang oleh pimpinan atau bagian yang sering dinas luar. Selain itu, jika kita memvonis komputer tertentu terinfeksi virus, tentunya kita harus memiliki bukti.

Conficker dan gejala (dalam jaringan....)

Jika pada mega test sebelumnya dijelaskan gejala conficker pada komputer tsb, maka kali ini kita harus mengatahui apa dampak conficker pada jaringan, sebagai berikut :

ü Berusaha mendownload dan mencoba akses pada 250 domain (conficker B) atau 50.000 domain (conficker C) yang random. Berikut beberapa domain yang random tsb :

aaidhe.net

barhkuuu.cn

cfhlglxofyz.biz

dtosuhc.org

elivvks.info

fsrljjeemkr.cc

gbmkghqcqy.ch

hudphigb.net

iqrzamxo.ws

jjhajbfcdmk.com

dst..................

ü Berusaha akses ke beberapa domain yang umum untuk mengecek waktu saat ini. Beberapa domain tsb yaitu :

baidu.com

google.com

yahoo.com

msn.com

ask.com

w3.org

aol.com

cnn.com

ebay.com

msn.com

myspace.com

facebook.com

rapidshare.com

ü Pada dasarnya virus ini berusaha melakukan penyebaran melalui default share windows menggunakan port 445, tetapi selain itu Conficker juga menggunakan port 1024 s/d 10000 untuk melakukan penyebaran pada jaringan komputer.

The Tools, Conficker Network Detection...

Dari beberapa tools yang ada, Vaksincom melakukan pengetesan beberapa tools yang familiar dan sering digunakan. Tools tsb dikeluarkan oleh beberapa vendor security untuk membantu mempermudah deteksi dari serangan Conficker pada jaringan anda.

Berikut beberapa tools yang tersedia sebagai berikut :

1) Wireshark

Wireshark/Ethereal merupakan salah satu dari sekian banyak tools Network Analyzer yang banyak digunakan oleh Network administrator untuk menganalisa kinerja jaringannya dan juga merupakan tools andalan Vaksinis (teknisi Vaksincom). Wireshark banyak disukai karena interfacenya yang menggunakan Graphical User Interface (GUI) atau tampilan grafis. Wireshark mampu menangkap paket-paket data/informasi yang berseliweran dalam jaringan yang kita “intip”. Semua jenis paket informasi dalam berbagai format protokol pun akan dengan mudah ditangkap dan dianalisa. Tools ini tersedia di berbagai versi OS, seperti Windows, Linux, Macintosh, dll.

Pada awal kemunculan dan perkembangan Conficker, tools ini merupakan “pelopor” tools yang digunakan oleh beberapa vendor security untuk menganalisa paket-paket data/informasi dalam jaringan dari serangan Conficker. Anda dapat mendownload wireshark pada alamat http://www.wireshark.org/download.html.

Pada saat instalasi, perhatikan untuk mengaktifkan dan menginstall plugin MATE (Meta Analysis Tracing Engine), karena secara default belum diaktifkan. Plugin ini dapat berfungsi untuk memfilter seluruh paket-paket data dari berbagai protocol yang lewat dalam jaringan. Selain itu dalam proses instalasi juga disertakan WinPcap. Lakukan instalasi WinPcap, WinPcap merupakan driver yang digunakan untuk membaca dan mem-filter lalu lintas paket data/informasi yang lewat. (lihat gambar 1)

Gambar 1, Wireshark in action

Untuk penggunaannya cukup mudah, pada saat anda menjalankan Wireshark, pilih saja tab Capture kemudian pilih list Interfaces. Pada pilihan capture interfaces, pilih yang sesuai dengan jaringan LAN/Ethernet card anda kemudian klik tombol start. Wireshark juga memiliki kemampuan untuk melakukan scan komputer antar segmen.

Untuk deteksi Conficker, lakukan filter dengan protocol NBNS (NetBIOS Name Service) kemudian perhatikan info yang diberikan, umumnya NBNS akan membaca hostname komputer tetapi jika NBNS membaca selain hostname komputer dalam hal ini adalah domain-domain yang dituju oleh Conficker, maka source IP tsb merupakan komputer yang terinfeksi dan berusaha untuk menyebarkan dan mengupdate dirinya.

2) Nmap

Nmap (Network Mapper) merupakan salah satu tools eksplorasi jaringan, dan secara eksklusif menjadi salah satu andalan yang sering digunakan oleh administrator jaringan. Dengan Nmap kita dapat melakukan penelusuran ke seluruh jaringan dan mencari tahu service apa yang aktif pada port yang lebih spesifik. Nmap merupakan salah satu tools yang paling banyak digunakan untuk melakukan scanning jaringan dan terkenal sebagai tool yang multi platform, cepat dan ringan. Nmap berjalan pada semua jenis OS, baik mode console maupun grafis. Hebatnya lagi, tidak seperti Wireshark, Nmap juga melakukan scanning pada celah keamanan MS08-067 yang di eksploitasi oleh Conficker sehingga dapat membantu administrator menentukan komputer mana saja yang masih memiliki celah keamanan yang dapat dieksploitasi oleh Conficker. Selain itu, Nmap juga memiliki satu keunggulan yang mungkin membuat administrator jaringan besar jatuh cinta, ia dapat melakukan scanning komputer antar segmen.

Terhadap kemunculan dan perkembangan Conficker, Nmap dengan bantuan source code dari Tillman Werner dan Felix Leder dari The Honeynet Project, telah merilis versi baru dengan tambahan fitur deteksi terhadap komputer yang terinfeksi Conficker. Anda dapat mendownload versi terbaru pada alamat http://nmap.org/download.html.

Proses instalasi Nmap cukup mudah, sama halnya seperti wireshark, Nmap juga melakukan instalasi terhadap WinPcap (jika belum terinstall). Jika sudah terinstall WinPcap, biasanya akan terjadi error dan proses instalasi WinPcap sebaiknya di lewatkan saja. (lihat gambar 2)

Gambar 2, NMAP yang juga mampu memantau jaringan tidak kalah dari Wireshark

Untuk penggunaannya, baik mode console maupun GUI, kita tetap menggunakan perintah command. Penggunaan command untuk mendeteksi Conficker ada 2 cara :

- Scan jaringan dengan membaca port 139 & 445 (lebih cepat) :

nmap -p 139,445 -T4 --script p2p-conficker,smb-os-discovery,smb-check-vulns --script-args checkconficker=1,safe=1 192.168.1.1/24 (contoh dengan jaringan IP 192.168.1…..)

- Scan jaringan dengan membaca seluruh port yang digunakan Conficker (agak lambat) :

nmap -p - -T4 --script p2p-conficker,smb-os-discovery,smb-check-vulns --script-args checkall=1,safe=1 192.168.1.1/24 (contoh dengan jaringan IP 192.168.1….)

3) Retina Network Security Scanner (Conficker Worm)

Walaupun agak terlambat dan diluncurkan menjelang 1 April 2009, sebagai salah satu vendor keamanan komputer, eEye Digital Security juga ikut meluncurkan tools khusus dan gratis untuk mendeteksi keberadaan Conficker dalam jaringan. Tools ini didesain untuk mendeteksi keberadaan Conficker dan sekaligus mendeteksi vulnerability windows tsb dari celah keamanan Windows Server Service (patch MS08-067). Anda dapat mendownload tools ini pada alamat http://www.eeye.com/html/downloads/other/ConfickerScanner.html.

Proses instalasi sangat mudah dan cepat, anda cukup menjalankan file instalasi yang dilanjutkan perintah-perintah selanjutnya hingga selesai. (lihat gambar 3)

Gambar 3, Eeye yang merupakan pakar vulnerability Windows meluncurkan Retina Scanner untuk Conficker.

Bagi pengguna umum, tools Retina dari Eeye relatif lebih mudah dibandingkan Wireshark dan Nmap, saat anda menjalankan tools ini anda dapat langsung memilih target yang diinginkan baik single IP maupun dengan range IP. Jika sudah, anda dapat langsung klik tombol scan. Jika sudah selesai akan muncul box pesan tanda selesai. Hasil dari scan tsb terdapat 4 kategori yaitu :

- Not Tested (biasanya dikarenakan port 445 tertutup/disable, sehingga tidak bisa scan)

- Infected (komputer terdeteksi terinfeksi Conficker)

- Patched (komputer bersih dan sudah di patch MS08-067)

- Vulnerable (komputer bersih tetapi belum di patch, rawan terinfeksi Conficker)

Sayangnya tools ini hanya membaca port 139 dan 445, sehingga sangat sulit jika komputer yang terinfeksi tidak mengaktifkan port tsb (File and Printer Sharing). Selain itu, Retina tidak dapat melakukan scanning antar segmen dan juga tidak memantau port 1024 – 10.000 yang di eksploitasi oleh Conficker.

4) SCS (Simple Conficker Scanner)

Tools simple dan canggih buatan Tillman Werner dan Felix Leder dari The Honeynet Project, yang pada saat awal diluncurkan banyak digunakan oleh Vaksincom untuk mendeteksi IP – IP ISP Indonesia yang terinfeksi Conficker ini menjadi rujukan beberapa vendor untuk membuat tools sejenis. Mereka membuat tools conficker network scanner dari bahasa Python yang kemudian beserta source code-nya dipublish secara bebas. Tercatat beberapa vendor seperti Nmap, eEye dan Foundstone menggunakan source code yang kemudian di compile dan dijadikan plugin tools masing-masing vendor untuk digunakan mendeteksi conficker. Tools ini dapat didownload pada alamat http://www.4shared.com/get/95921961/d7727fab/scs.html .

SCS tidak perlu diinstall, anda hanya perlu akstrak pada folder/drive yang anda tentukan saja. Tetapi untuk menjalankan SCS anda perlu meng-install Nmap. Hal ini dikarenakan SCS membutuhkan driver paket monitoring data. (lihat gambar 4)

Gambar 4, Simple Conficker Scanner yang simple tetapi canggih

Untuk penggunaannya, SCS menggunakan mode console atau command prompt. Pada mode command prompt, pindah pada folder scs kemudian ketik perintah berikut :

“scs [IP_Awal] [IP Akhir]” , contoh : C:\scs>scs 192.168.1.1 192.168.1.255

Sama seperti Retina, SCS hanya membaca port 139 dan 445 saja.

5) Conficker Detection Tool (MCDT)

Melalui salah satu divisi-nya yaitu Foundstone, McAfee ikut merilis salah satu tools network untuk mendeteksi keberadaan conficker. Tools yang juga menggunakan source dari Tillman Werner dan Felix Leder dari The Honeynet Project, merupakan pengembangan dari team Foundstone yang didesain untuk mendeteksi keberadaan komputer yang terinfeksi conficker, dan telah dipublish secara gratis. Anda dapat mendownload pada alamat http://www.mcafee.com/us/enterprise/confickertest.html .

Tools ini tidak perlu diinstall, anda hanya perlu ekstrak pada direktori / drive yang anda tentukan saja. (lihat gambar 5)

Gambar 5, Conficker Detection Tool in action

Untuk penggunaannya pun cukup mudah, saat anda menjalankan tools ini anda dapat langsung memilih range target yang diinginkan. Bahkan anda dapat melakukan scanning jika terdapat beberapa segmen pada jaringan komputer anda, hal ini yang tidak terdapat pada Retina. Tetapi sayangnya tools ini tidak melakukan pemeriksaan pada celah keamanan MS08-067 yang di eksploitasi Conficker seperti Nmap dan Retina. Berbeda dengan Retina, tools ini memiliki 3 kategori hasil scan yaitu :

- INFECTED (komputer terinfeksi conficker)

- Not infected (komputer bersih atau tidak terinfeksi)

- Not tested (biasanya dikarenakan port 445 tertutup/disable, sehingga tidak bisa scan)

Sama seperti halnya Retina dan SCS, tool ini hanya membaca port 139 dan 445 (File Printer Sharing) dan tidak melakukan pemantauan atas port 1024 – 10.000 yang di eksploitasi oleh Conficker.

Hasil Perbandingan.....

Dari beberapa tools tsb, kami me-review dan membuat tabel perbandingan-nya sebagai berikut :

Keterangan	*Wireshark*	*Nmap*	*Retina*	*SCS*	*MCDT*
Modus Program/Aplikasi	Installer	Installer	Installer	Portable	Portable
Modus Penggunaan	GUI	Command	GUI	Command	GUI
Deteksi Port 139	√	√	√	√	√
Deteksi Port 445	√	√	√	√	√
Deteksi Port 1024 s/d 10000	√	√	-	-	-
Status Deteksi Conficker	Broadcast	√	√	√	√
Kecepatan Scan (1-3)	1	1	3	2	3
Scan antar segmen/segmen lain	√	√	-	√	√
Scan vulnerability (patch MS08-067)	-	√	√	-	-

Dari hasil pengujian yang dilakukan oleh lab Vaksincom, terlihat bahwa tidak ada tools yang sempurna. Masing-masing tools memiliki kelebihan dan kekurangannya masing-masing. Nmap walaupun memiliki fitur yang paling lengkap tetapi memiliki kelemahan pada sisi penggunaan yang masih menggunakan command dan kecepatan scan yang lambat dibanding tools yang lain. Sementara MCDT merupakan tools yang sangat simple tanpa instalasi serta proses scan cukup cepat memilki kelemahan tidak dapat berfungsi dengan baik jika port 445 ditutup/disable (File and Printer Sharing di non aktifkan) dan tidak melakukan pemeriksaan pada celah keamanan MS08-067 yang dieksploitasi oleh Conficker.

thx to vaksin[dot]com

Conficker.C, Bom waktu atau April Mop ?

2009-05-05T19:25:00.000+08:00

Tanpa bantuan Lembaga Survei manapun, tentunya para pengguna komputer sepakat bahwa Conficker merupakan virus jawara yang paling banyak menyebar di dunia, terumasuk Indonesia. Virus yang mengeksploitasi celah keamanan RPC Dcom MS 08-067 secara de facto telah membuat pusing semua pengguna komputer, khususnya administrator jaringan karena kemampuannya menyebar di jaringan dengan sangat efektif dan untuk membasmi virus ini sangat sulit. Untuk mengeyahkan Conficker dari komputer yang terinfeksi sangat sulit karena ia menempel pada proses Windows svchost yang jika di stop akan menyebabkan komputer restart. Jadi sekali menginfeksi komputer ibarat orang kalau digigit tokek, kata nenek tidak akan lepas sampai ada geledek menyambar :P./P>

Celakanya, rupanya pembuat Conficker tidak mudah puas dengan “prestasinya” dimana varian A dan B berhasil menginfeksi belasan juta komputer di seluruh dunia. Terakhir muncul Conficker.C yang memberikan ancaman baru bagi pengguna komputer, dimana pada tanggal 1 April 2009 seluruh komputer yang terinfeksi Conficker.C ini akan secara serentak menghubungi 50.000 situs di internet untuk mengupdate dirinya. Jika anda bertanya, mengapa 50.000 situs, dan bukan 500 situs. Bukankah bisa gempor membuat 50.000 situs ? Jawabannya adalah justru pembuat Conficker ini ingin membuat gempor para vendor antivirus karena dia belajar dari pengalaman dimana varian awalnya mengupdate ke ratusan situs, tetapi karena situs-situs tersebut di blok atas permintaan vendor antivirus maka Conficker A dan B dapat dikatakan “layu sebelum berkembang” karena misinya mengupdate dirinya gagal. Kalau virus Conficker A dan B yang “layu sebelum berkembang” saja sudah mampu membuat para korbannya babak belur dan menginfeksi belasan juta komputer di seluruh dunia, lalu apa yang akan dilakukan virus Conficker.C kalau berhasil “mekar” pada tanggal 1 April 2009 nanti ? Berdoa saja semoga ini hanya menjadi April Mop dan pembuat Conficker.C ini tidak melakukan update atau updatenya gagal. Tetapi yang jelas, secara teknis semua komputer yang terinfeksi Conficker.C dan terkoneksi ke internet sudah dapat dipastikan akan menghubungi 50.000 situs untuk mengupdate dirinya.

Pengguna Gaptek dan Provider Cuek

Jika anda bertanya, bagaimana sebenarnya Conficker menyebar. Caranya mudah saja, Conficker belajar dari Amway atau CNI untuk menyebarkan dirinya. Karena sifatnya worm, ia hanya perlu menginfeksi satu komputer saja di jaringan dan kemudian komputer tersebut akan melakukan scanning terhadap seluruh komputer dijaringannya dan menginfeksi semua komputer yang bisa di infeksinya. Lalu, jika komputer yang di infeksinya terkoneksi ke jaringan lain, ia akan kembali melakukan scanning dan menginfeksi komputer di jaringan lain. Hal ini berjalan terus menerus tanpa henti.

Celakanya, salah satu sumber penyebaran Conficker adalah komputer-komputer yang terkoneksi ke ISP internet baik secara dial up atau broadband. Dimana jika satu pelanggan terinfeksi oleh Conficker, maka ia akan berusaha terus menerus menginfeksi komputer lain yang terkoneksi melalui jaringan dan ISP yang sama. Perlu anda ketahui, yang dimaksud ini tidak terbatas pada dial up dan broadband konvensional tetapi juga broadband 3G. Vaksincom melakukan scanning pada salah satu jaringan 3G Broadband milik provider terbesar Indonesia pada tanggal 31 Maret 2009 dan menemukan banyak komputer-komputer yang terinfeksi Conficker. (lihat gambar 1)

Gambar 1, Conficker mampu menyebar melalui jaringan broadband ISP 3G

Apa yang mungkin terjadi ?

Jika kita belajar dari kasus-kasus infeksi virus yang secara serempak digunakan untuk menyerang satu situs tertentu, kita bisa melihat contoh virus MyDoom yang pada tanggal 1 Februari 2004 berhasil memberikan “kiamat” (down) bagi situs Santa Cruz Operation karena di Ddos oleh jutaan komputer yang terinfeksi virus MyDoom. Sebabnya SCO di Ddos kemungkinan adalah karena dua hal, pertama karena SCO berseteru dengan para pengguna Linux dan yang kedua adalah karena mereka pada tanggal 27 Januari 2004 menawarkan US $ 250.000 bagi siapapun yang bisa memberikan informasi untuk menangkap pembuat virus MyDoom. Sebenarnya situs Microsoft juga sempat di Ddos oleh MyDoom pada tanggal 3 Februari 2004, tetapi “untung” tidak sampai mengakibatkan “kiamat” bagi situs Microsoft. Apakah Ddos ini disebabkan karena Microsoft juga mengeluarkan sayembara hadian US $ 250.000 bagi yang bisa membantu menangkap pembuat virus MyDoom …. Hanya pembuat MyDoom yang tahu. Yang jelas, Microsoft juga mengeluarkan sayembara US $ 250.000 bagi yang bisa membantu menangkap pembuat Conficker.

Cerita lain dari MyDoom adalah pada tanggal 26 Juli 2004 MyDoom juga menyerang 3 search engine terpopuler saat itu, Google, AltaVista dan Lycos dan serangan ini berhasil mengganggu beberapa fungsi search Google dan mengakibatkan kelambatan yang signifikan pada situs AltaVista dan Lycos.

Selain Ddos pada situs, kira-kira hal apa yang mungkin dilakukan oleh virus Conficker.C pada 1 April 2009 nanti ? Kalau virus Conficker.C tidak memiliki kebiasaan buruk dan hanya melakukan Ddos dan menggunakan komputer korbannya untuk mengirimkan SPAM, kerugian yang mungkin kita alami adalah lalu lintas internet akan sangat padat dan kemungkinan para pengguna internet pada 1 April 2009 akan mengalami kelambatan koneksi. Baik karena Ddos, penyebaran ulang varian baru Conficker ataupun karena SPAM yang disebarkan oleh komputer-komputer yang terinfeksi Conficker.

Tetapi jika pembuatnya memiliki niat jahat seperti mencuri data komputer korbannya dan menjual kepada pihak yang berminat, maka kasus serupa dengan “Goshnet” bukan tidak mungkin akan terjadi. Maka jika anda pengguna komputer yang terkoneksi ke internet dan memiliki data penting yang kalau hilang bisa membuat anda nangis bombay, Vaksincom menyarankan anda untuk melakukan backup atas data anda. Jika anda memiliki data yang conficential dan di incar orang seperti rahasia negara atau sejenisnya, khususnya untuk pekerja di kedutaan besar. Sebisa mungkin hindari menggunakan jaringan internet tanpa perlindungan yang memadai dalam berkomunikasi dan jangan sekali-kali mencampurkan komputer yang memproses data classified dengan data pribadi anda. Ingat jaringan internet adalah jalan umum yang bisa dilalui siapa saja dan jika anda mengobrol di jalan umum, kemungkinan untuk didengar orang lain sangat besar. Usahakan menggunakan jalan khusus seperti VPN, atau kalau mampu seperti Presiden Obama menggunakan jaringan GSM khusus yang terpisah dari umum untuk komunikasi Barrackberrynya (Sectera Edge).

Preventif

Vaksincom menyarankan para pengguna komputer Indonesia melakukan tindakan-tindakan berikut dalam mengantisipasi kemungkinan terburuk serangan Conficker.C :

Lakukan PATCH semua OS di komputer-komputer jaringan anda dengan lengkap. Khusus untuk antisipasi virus Conficker perhatikan bahwa patch MS 08-067 terinstal dengan baik dan benar.
BACKUP data penting anda, baik di komputer masing-masing maupun di database server. Ingat, file yang di backup ditempatkan terpisah dari komputer yang di backup dan jangan sekali-kali di simpan di harddisk yang sama dengan komputer yang di backup. Kalau bisa miliki satu harddisk backup USB atau kalau mau murah backup ke CD / DVD.
Hindari menyalakan komputer yang tidak terpakai pada saat pulang kantor, apalagi komputer tersebut terhubung ke internet secara broadband karena sangat rentan digunakan untuk Ddos, menyebarkan virus atau spam.
Jika anda memiliki database server, webserver atau mailserver yang harus dinyalakan 24 jam. PASTIKAN semua patch sudah terinstal dengan baik dan lindungi dengan aplikasi sekuriti yang memadai.
Jika anda ingin pendekatan “paranoid”, matikan semua komputer dan internet pada malam ini 31 Maret 2009 dan jangan hidupkan internet sampai besok pagi kira-kira jam 10.00 atau sampai anda dengan persis apa yang akan dilakukan oleh Conficker.C besok.
Jika anda pelanggan Vaksincom, hubungi teknisi@vaksin.com atau cs@vaksin.com untuk mendapatkan tools khusus scan jaringan dari infeksi Conficker.

MEGA Tes 8 Tools Conficker Killer

2009-05-05T19:24:00.000+08:00

Virus Conficker yang juga dikenal dengan nama Kido atau Downadup rasanya sudah pasti akrab di telinga administrator komputer di tahun 2009 ini. Salah satu jenis virus berkategori worm yang melakukan penyebaran yang sangat dahsyat dan memiliki dampak yang sangat serius bagi komputer di jaringan.

Karena itu, vendor sekuriti berlomba-lomba mengeluarkan tools dan “mengklaim” diri sebagai yang paling baik dan paling ampuh untuk membasmi Conficker. Yang menjadi pertanyaan bagi pengguna komputer yang menjadi korban Conficker tentunya simple, apakah semua tools tersebut sesuai janjinya ? Apakah seperti Carrie Underwood yang sudah cantik dan suaranya merdu, seperti William Hung yang agak culun, suara pas-pasan dan juga tidak bisa nari (tetapi tetap ngetop J) atau seperti Susan Boyle yang sudah berumur dan tampangnya pas-pasan …. tetapi mampu membuat Simon Cowell ternganga J. Kali ini Vaksincom akan mengadakan test atas beberapa tools yang tersedia di internet dan semuanya bisa didapatkan secara Gratis.

Dan apa kesimpulan akhir dari hasil pengetesan ini, apakah benar semua tools bisa membasmi Conficker sampai ke akar-akarnya atau masih memerlukan beberapa tambahan pekerjaan manual, silahkan lihat pada tabel perbandingan yang Vaksincom berikan dan kesimpulan pada akhir artikel ini.

Conficker dan gejalanya

Sebelumnya, mari kita lihat kembali beberapa gejala komputer terinfeksi Conficker :

ü Tidak bisa akses domain name web security & tidak bisa update antivirus

Ini salah satu ciri khas dari conficker. Coba cek dengan akses pada beberapa web security semisal www.microsoft.com, www.kaspersky.com dan www.norman.com. Bandingkan dengan akses melalui ip dari web tsb, http://65.55.12.249 (microsoft), http://195.27.181.34 (kaspersky) dan http://87.238.48.130 (norman). Jika browser anda tidak bisa mengkases situs tersebut di atas dengan mengetikkan alamat situsnya TETAPI bisa diakses jika mengetikkan alamat Ipnya, maka anda perlu “hakul” yakin bahwa komptuernya terinfeksi Conficker (99 %).

Hal ini dilakukan oleh Conficker dengan cara melakukan patch pada DNS Query, sehingga jika mengakses DNS tertentu akan diblok oleh conficker.

ü Mematikan dan men-disabled beberapa Service Windows

Untuk memudahkan infeksi secara efektif, Conficker mematikan beberapa services seperti Automatic Updates (wuauserv), Background Intelligent Transfer Service (BITS), Error Reporting Service (ERSvc), Help and Support (helpsvc), Security Center (wscsvc).

ü Membuat service baru dan berjalan dengan mendompleng svchost

Hal ini bertujuan agar mudah aktif dan menginfeksi komputer lain serta mendownload file virus.

ü Membuat rule firewall baru

Hal ini digunakan agar conficker dapat keluar (menginfeksi komputer lain) dan masuk (update virus baru) dengan mudah. Conficker menggunakan port antara 1024 s/d 10000. jika port yang digunakan virus sama dengan program aplikasi kita, maka aplikasi tersebut akan terganggu.

ü Membuat scheduled task

Hal ini digunakan agar tetap running pada komputer yang terinfeksi. Agar optimal, Conficker membuat beberapa scheduled task agar running setiap saat.

ü Disable Show Hidden File & System Restore

Hal ini digunakan agar korban tidak mudah melakukan pembersihan pada virus yang sudah masuk dan berhasil menginfeksi komputer maupun drive flash / external.

ü Disable System Restore

Berfungsi agar komputer korbannya tidak dapat mengembalikan komputer ke setting awal sebelum di infeksi Conficker. Seperti kita ketahui, System Restore merupakan fitur pada Windows XP / vista yang berfungsi seperti mesin waktu yang dapat menolong kita jika terjadi salah instal / terinfeksi virus dimana hanya dengan beberapa klik kita dapat mengembalikan setting komputer pada hari / waktu sebelum komputer terinfeksi virus / salah instal.

Here are The Tools, Conficker Killer...

Dari beberapa tools yang ada, Vaksincom mereview beberapa tools yang familiar dan sering digunakan. Tools tsb terdapat 2 kategori, yaitu tools secara umum yang dikeluarkan oleh vendor seperti Kaspersky AVP Removal Tools, Microsoft Malicious Software Removal Tools, Stinger besutan Mc Afee dan Norman Malware Cleaner. Catatan khusus untuk Norman Malware Cleaner, selain berfungsi untuk membersihkan Conficker juga sekaligus berfungsi untuk membersihkan dan membasmi virus lain dan Norman Malware Cleaner tidak hanya membasmi file virus saja tetapi juga melakukan pembenahan komputer lebih jauh seperti repair host dan repair registry.

Selain itu, Vaksincom membandingkan tool khusus untuk penanganan virus conficker saja yang tidak dapat digunakan untuk membersihkan virus lain.

Berikut beberapa tools yang tesedia sebagai berikut :

1) Kaspersky AVP Removal Tool

Merupakan tools andalan dari Kaspersky Lab yang dibuat sebagai tools pengganti antivirus. Anda dapat mendownload secara gratis. Tetapi sayangnya, tools ini harus diinstall terlebih dahulu sebelum menggunakannya, sehingga jika komputer sudah terinfeksi virus akan sangat sulit jika virus memblok instalasi tools atau aplikasi sekuriti. Untuk conficker / kido, AVP sudah menyertakan database-nya. Desain interface sangat mirip dengan interface antivirus-nya. Sayang tidak bisa untuk repair registry, repair service dan repair host yang diubah oleh virus. (lihat gambar 1)

Gambar 1, Kaspersky AVP Removal Tools

2) Norman Malware Cleaner

Dibandingkan versi sebelumnya, tools GRATIS buatan Norman www.norman.com ini mengalami kemajuan yang pesat. Tools ini dapat dijadikan alternatif jika komputer terinfeksi virus, karena mampu mengembalikan registry, service dan host yang dibuat oleh virus/spyware. Untuk conficker, tools ini dapat dijadikan alternatif pembersihan. Sayangnya jika tools ini memiliki masa expire (± 14 hari), jadi anda diharuskan untuk mendownload versi yang terbaru dari website norman http://norman.com/Virus/Virus_removal_tools/24789/. Adapun aksi yang dapat dilakukan Norman Malware Cleaner adalah :

- Menghentikan proses virus yang sedang berjalan.

- Memberishkan file virus dari media (Flash Disk, Harddisk etc), termasuk komponen ActiveX dan BHO (Browser Helper Object) yang banyak di eksploitasi oleh Spyware.

- Menemukan dan membasmi rootkit.

- Mengembalikan nilai registri yang dirubah oleh virus (tidak tersedia pada removal tools lain)

- Membersihkan perubahan pada hosts file (tidak tersedia pada removal tools lain).

- Membenarkan rule Windows Firewall yang dibuat oleh virus.

Lihat gambar 2 dibawah untuk melihat Norman Malware Cleaner menjalankan aksinya.

Gambar 2, Norman Malware Cleaner in action

3) McAfee AVERT Stinger

Bagi anda pengguna McAfee, tentunya familiar dengan nama ini. Stinger buatan AVERT yang sempat menjadi salah satu pelopor tools pembersih virus andalan para pengguna komputer dimasa awal kemunculannya.

Sayangnya, perkembangan tools ini agak lambat sehingga mendapatkan saingan banyak tools-tools baru. Untuk conficker, stinger sudah menyertakan databasenya. Masih memiliki desain yang simple seperti dulu tetapi jika digunakan untuk membasmi Conficker, terkadang agak sulit jika virus sudah menginjeksi file system windows dan gagal dibersihkan. (lihat gambar 3)

Gambar 3, Stinger in action

4) Microsoft Malicious Software Removal Tool

Tools milik Microsoft yang dapat dijadikan sebagai alternatif scan virus saja. Tools ini dapat didownload secara otomatis setiap bulan dengan fitur automatic updates windows yang ada. Lokasi file ini berada pada C:\WINDOWS\system32, dengan nama MRT.exe. Tools ini memiliki fitur scan yang dapat disesuaikan dengan yang anda inginkan. Jika menemukan virus yang aktif di memory, MRT akan meminta user untuk restart. Walaupun dapat mendeteksi conficker, tetapi tools ini digunakan hanya untuk scanning virus saja, tanpa merepair registry yang sudah dibuat oleh virus. (lihat gambar 4)

Gambar 4, MWMSRT - Microsoft Windows Malicious Software Removal Tools

Sedangkan beberapa tools yang khusus dibuat untuk membasmi conficker adalah sebagai berikut :

1) KidoKiller (Kaspersky)

Tools khusus buatan Kaspersky Lab untuk virus Conficker. Tools ini sudah masuk revisi 3 yaitu mendeteksi virus conficker versi C/III. Fiturnya pun ditambah terus agar mampu mendeteksi dan mendelete scheduled task, serta mampu mngembalikan system restore. Kelebihan tools ini yaitu mampu mengembalikan fungsi DNS Query tanpa harus restart komputer. Tools ini berjalan pada modus command prompt. Berbeda dengan symantec, tools ini hanya scanning pada path tertentu saja yang dicurigai terinfeksi conficker, sehingga waktu scanning menjadi lebih cepat. (lihat gambar 5)

Gambar 5, KidoKiller by Kaspersky

2) Fix Downad (Trend Micro)

Tools keluaran Trend Micro untuk mengatasi conficker ini sayangnya tidak menyertakan database / patternnya saat di download, sehingga kita harus mendownload terlebih dahulu pattern / database-nya. Kelebihannya database / pattern tsb dapat scanning dari virus/worm lain, sehingga dapat membersihkan virus lain. Jika tools lain hanya terdiri dari satu file, tools ini memilki beberapa file baik exe maupun file lain yang ternyata terdiri dari pengecekan database / pattern, pengecekan schedule task, pengecekan patch windows, pengecekan virus, pengecekan registry dan pengecekan services. Walau terdiri dari banyak file, kita cukup menjalankan saja 1 file bat (batch file), yang kemudian akan mengeksekusi file lain. (lihat gambar 6)

Gambar 6, FixTOOL Worm_Downad oleh TrendMicro

3) W32.Downadup Removal (Symantec)

Sesuai dengan namanya, tools ini dibuat oleh perusahaan antivirus Symantec untuk mengatasi virus conficker/downadup/kido. (lihat gambar 7)

Gambar 7, Downad Removal Tool by Symantec

Sekilas tools ini sangat simple, hanya ada menu start, cancel dan about. Tools ini tidak memiliki opsi scanning drive yang diinginkan. Untuk scanning, tools ini mampu mematikan proses virus, mendelete file virus dan memperbaiki registry yang sudah diubah oleh virus. Sayangnya tools ini tidak menghapus schedule task yang dibuat oleh virus, tidak menghapus rule firewall yang dibuat oleh virus dan tidak mengembalikan system restore kembali normal. Tetapi seperti guru SD saya, tools ini memberikan “nasehat” kepada user agar segera melakukan patching windows dengan MS08-067.

Gambar 8, “Nasehat” yang diberikan oleh Downad Removal Symantec

4) EConfickerRemover (ESET/NOD32)

Tidak mau ketinggalan, ESET juga mengeluarkan tools khusus conficker bagi penggunanya. Tools ini sangat sederhana, sebenarnya kalau sederhana dan ampuh itu yang dicari. Tetapi yang terjadi adalah sangking sederhanya sehingga anda harus menjalankan melalui command prompt. Tools ini selain dapat mematikan proses virus dan mendeletenya, tetapi tidak ada hal khusus lain yang dilakukan. (lihat gambar 9)

Gambar 9, EconfickerRemover by Eset

MEGA Test Conficker Tools

Adapun hasil perbandingan 8 tools tersebut adalah sebagai berikut : (lihat tabel 1 dan 2)

Kategori Tools Umum :

Kategori	Keterangan	Kaspersky	Norman	McAfee	Microsoft
		AVP Removal Tool	Malware Cleaner	AVERT Stinger	Malicious Removal Tool
Virus Umum	Penggunaan	Instalasi	Portable	Portable	Portable
	Virus/Spyware	√	√	√	√
	Repair Host	-	√	-	-
	Repair Registry	-	√	-	-
	Update Definisi	√	√	√	√
Conficker	Matikan Proses Virus	√	√	√	√
	Delete Virus	√	√	√	Restart
	Delete Schedule Task	-	-	-	-
	Repair Service Windows	-	√	-	-
	Delete Service Virus	-	√	-	-
	Delete Rule Firewall	-	-	-	-
	Fix DNS Query	-	Restart	-	Restart
	Enable System Restore	-	-	-	-
	Repair Show Hidden	-	-	-	-

Tabel 1, Perbandingan Conficker Tools kategori tools umum

Kategori Tools Khusus :

Kategori	Keterangan	Kaspersky	TrendMicro	Symantec	Eset (NOD32)
		KidoKiller	Fix Downad	W32.Downadup Removal	Conficker Remover
Umum	Penggunaan	Portable	Portable	Portable	Portable
	Virus/Spyware	-	√	-	-
	Repair Host	-	-	-	-
	Repair Registry	-	-	-	-
	Update Definisi	-	√	-	-
Conficker	Matikan Proses Virus	√	√	√	√
	Delete Virus	√	√	√	Restart
	Delete Schedule Task	√	√	-	-
	Repair Service Windows	-	-	Restart	-
	Delete Service Virus	√	√	-	-
	Delete Rule Firewall	-	-	-	-
	Fix DNS Query	√	Restart	Restart	Restart
	Enable System Restore	√	-	-	-
	Repair Show Hidden	√	-	√	-

Tabel 2, Perbandingan Conficker Tools kategori khusus

Dari hasil pengetesan yang dilakukan oleh lab Vaksincom, baik tools khusus maupun tools umum dapat dilihat bahwa Norman Malware Cleaner membersihkan lebih lengkap dibandingkan tools umum lain karena melakukan “Repair Host”, “Repair Registry”, “Repair Service Windows” dan “Delete Service Virus” yang tidak dilakukan oleh Tools umum lainnya. Tetapi Norman Malware Cleaner tidak melakukan “Delete Schedule Task” yang dibuat oleh virus dan hal ini dilakukan oleh Kaspersky KidoKiller dan TrendMicro Fix Downad.

TrendMicro Fix downad dan Kaspersky Kido Killer tidak melakukan Repair Host dan Repair Registry.

Ada satu keunggulan Kaspersky Kido Killer dimana ia bisa melakukan Fix DNS Query tanpa mengharuskan Windows Restart dimana tools lain setelah fix DNS Query mengharuskan Windows restart.

Jadi dapat disimpulkan bahwa Norman Malware Cleaner menjadi pemenang untuk tools umum dan Kaspersky Kido Killer menjadi pemenang di kategori tools khusus.

Adapun beberapa perubahan yang dilakukan oleh Conficker yang perlu menjadi perhatian sekalipun anda sudah menggunakan tools pembersihan adalah sebagai berikut :

- Schedule Task

Hapus schedule task yang sudah dibuat oleh virus. (lihat gambar 10)

Gambar 10, Schedule Task yang dibuat oleh Conficker

- Rule Firewall

Delete rule firewall yang dibuat oleh virus. (lihat gambar 11)

Gambar 11, Hapus Rule Firewall yang dibuat oleh Conficker

- Repair Registry

Repair registry yang dirubah oleh virus (service windows yang mati dan show hidden file). Buat script pada notepad, kemudian save as menjadi repair.inf.

[Version]

Signature="$Chicago$"

Provider=Vaksincom

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, Hidden, 0x00000001,1

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden, 0x00000001,1

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL, CheckedValue, 0x00000001,1

HKLM, SYSTEM\CurrentControlSet\Services\BITS, Start, 0x00000002,2

HKLM, SYSTEM\CurrentControlSet\Services\ERSvc, Start, 0x00000002,2

HKLM, SYSTEM\CurrentControlSet\Services\wscsvc, Start, 0x00000002,2

HKLM, SYSTEM\CurrentControlSet\Services\wuauserv, Start, 0x00000002,2

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Applets, dl

HKCU, Software\Microsoft\Windows\CurrentVersion\Applets, ds

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, dl

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, ds

HKLM, SYSTEM\CurrentControlSet\Services\Tcpip\Parameters, TcpNumConnections

- Clean temporary file

Bersihkan temporary file, gunakan disk cleanup atau dapat menggunakan tools cleaner seperti ATF Cleaner.

Tips Pencegahan...

Dari hasil tes, walaupun sudah dibersihkan tetapi virus/worm ini masih mudah masuk dikarenakan beberapa faktor sebagai berikut :

- Autoplay/Autorun Windows

Lakukan pencegahan dengan men-disable fungsi autoplay. Fungsi ini memudahkan conficker masuk dan menginfeksi komputer.

- Default Share Windows

Fungsi ini memudahkan virus/worm berusaha masuk melalui jaringan dengan mudah. Matikan fungsi ini jika tidak diperlukan. Sebagai alternatif jika masih diperlukan gunakan password komputer (baik lokal maupun jaringan) yang unik dan tidak standar/biasa serta kombinasi angkadan huruf.

- Patch Windows

Selalu rajin patch windows. Hal ini akan mencegah dari serangan virus saat koneksi internet. Akan lebih baik jika meng-aktifkan Automatic Updates.

- Install Antivirus dan Update

Terakhir, lakukan instalasi antivirus dan selalu pastikan terupdate dengan baik.

Jika anda mengalami infeksi Conficker yang membandel dan sudah mecoba berbagai macam cara tetapi masih belum tuntas. Mungkin karena sudah gemas sampai anda memformat komputer-komputer di jaringan tetapi setelah dihubungkan ke jaringan kembali terinfeksi. Ada baiknya anda pertimbangkan untuk meminta bantuan support dari vendor antivirus anda. Bagi pengguna Norman Virus Control for Corporate dapat menghubungi teknisi Vaksincom untuk mendapatkan support onsite Free.

thx to vaksin[dot]com

Hati-hati Phishing YM mengincar account Yahoo anda

2009-03-23T16:41:00.000+08:00

Mau tahu “ular berbisa” versi Messenger yang sedang marak beredar di internet ? Salah satu teknik yang paling mudah untuk menjerat korban phishing adalah menggunakan rekayasa sosial yang tepat, dan kalau hal ini dilakukan oleh orang yang mengerti hukum, maka hal ini akan mengakibatkan banjir phishing di internet. Kali ini yang menjadi korban adalah para pengguna Messenger, baik Yahoo Messenger maupun MSN Messenger.

Jika anda pernah menerima pesan di Yahoo Messenger seperti dibawah ini :

Gambar 1, Pesan yang dikirimkan oleh Phishing YM
Hey chck my yahoo flicker account… uploaded some pics  http://www.summer-picz.com
Hi there…. Come check my pictures… different kind of pics of me WILD and CRAZY  http://www.summer-picz.com

Dan jika anda klik link tersebut maka anda akan diarahkan pada website phishing yang telah disiapkan (lihat gambar 2)

Gambar 2, Situs Phishing yang akan ditampilkan oleh website pencuri Account Yahoo Messenger

JANGAN sekali-kali anda masukkan Yahoo Email dan Password anda karena rekening YM anda akan langsung diketahui. Sekali Account Yahoo anda diketahui, secara teknis banyak sekali hal-hal berbahaya yang dapat dilakukan tanpa sepengetahuan anda. Seperti mengirimkan Phishing, SPAM, email fitnah sampai mengubah data pemilik Account. Terlebih jika anda memiliki akses berharga pada Account YM anda seperti administrator mailinglist dengan jumlah anggota yang besar, account produk-produk Yahoo dan lainnya.

Mengapa orang bisa tertipu ?

Jika anda “merasa” belum pernah tertipu dan bertanya-tanya, kok keterlaluan banget yah, orang bisa tertipu begitu mudah ? Jawabannya selain karena “kurang teliti” karena mengira situs yang dikunjungi adalah situs milik Yahoo tetapi sebab lain yang utama adalah karena yang mengirimkan pesan tersebut adalah kontak anda yang ada di Yahoo Messenger. Tentunya anda percaya bahwa teman anda tidak mungkin mencelakakan anda dengan menjebak anda ke situs phishing (kalau benar ada rasanya keterlaluan banget deh ). Jadi, kalau anda menerima pesan seperti di atas, jangan mengamuk dulu sama teman anda. Masalahnya, pesan YM tersebut rupanya tidak dikirimkan oleh teman anda, melainkan karena Account Yahoonya telah diketahui dan digunakan untuk mengirimkan pesan yang menggiring semua kontak untuk mengklik link yang membuka halaman web yang meminta Yahoo Mail dan password. SEGERA minta teman anda untuk mengganti Password YM dan memeriksa dengan teliti apakah data pendukung rekening Yahoonya masih sesuai dengan dirinya. Kalau masih sesuai, “mungkin” rekening Yahoo tersebut masih bisa digunakan. Tetapi kalau anda was-was dan ingin menerapkan paranoid mode, ganti rekening Yahoo anda dengan yang baru dan jangan lupa lengkapi login Yahoo anda dengan “Sign in Seal” dan selalu perhatikan alamat situs Yahoo setiap kali memasukkan username dan password.

Siapa yang baca Term and Conditions ?

Jika ditanya, apakah anda membaca dengan seksama Terms and Conditions setiap kali anda menginstal software atau menggunakan satu layanan di internet ? Dapat dikatakan 99 % akan menjawab TIDAK. Nah, kelemahan inilah yang dimanfaatkan oleh T P Ltd, perusahaan yang menjadi dalang dari semua ini.

T P Ltd adalah satu perusahaan yang menggunakan domisili hukum Panama. Dan perusahaan ini sudah melindungi dirinya dengan perangkat hukum yang baik karena dia sudah mencantumkan bahwa anda setuju account Yahoo Anda digunakan untuk tujuan promosi dalam Term and Conditions yang tercantum linknya di halaman depan situs forgery tersebut. (yang kami yakin anda yang pernah masuk situs tersebutpun belum tentu ingat ada kalimat “- By logging in you accept Terms and Conditions-”, apalagi megklik dan membaca linknya. Berikut ini kutipan salah satu point dalam “Terms and Conditions” :

By using our service/website you hereby fully authorize T P Ltd to send messages of a commercial nature via Instant Messages and E-Mails on behalf of third parties via the information you provide us.

Firefox – Internet Explorer – Safari

Satu hal yang menarik dan Vaksincom alami dalam mengakses situs forgery ini menggunakan beberapa browser yang berbeda seperti Firefox, Internet Explorer dan Safari adalah :

Secara default (tanpa setting khusus) browser Firefox versi 3.0.6 relatif lebih aman dari browser Internet Explorer versi 7.0.6001.18000 dan Safari versi 3.2.1.

Mengapa ?

Situs Firefox memberikan peringatan berulang-ulang setiap kali mengakses situs forgery yang rasanya agak “keterlaluan” kalau sampai pengguna firefox sampai bisa tertipu oleh situs ini. Jadi, saat pertama kali Vaksincom masuk ke situs www.holiday-picz.com langsung mendapatkan peringatan berwarna Merah dengan gambar icon polisi memegang rambu lalulintas “dilarang masuk” (coba kurang jelas bagaimana pesan yang diberikan :P) bahwa situs ini dilaporkan BERBAHAYA dan dipalsukan dan hanya dua tombol yang mudah di klik : (lihat gambar 2)

Gambar 2, Peringatan yang diberikan oleh Firefox jika kita ingin mengakses situs forgery www.holiday-picz.com

Get me out of here ! Yang kalau di klik akan membawa anda keluar dari situs berbahaya tersebut.
Why was this site blocked ? Yang kalau di klik akan memberikan informasi lebih jauh mengenai web forgery dan phishing

Hanya saja kalau anda tetap keukeuh dan ingin mengakses situs tersebut, anda dapat mengklik kalimat kecil di pojok kanan “Ignore this warning” anda baru bisa mengakses situs tersebut (lihat gambar 3). Itupun masih tetap dengan adanya pita berwarna merah berisi peringatan dari Firefox “Reported Web Forgery !”. Kemungkinan pengguna Firefox dan tetap bisa terjebak memasukkan Alamat email dan password adalah karena “gatal” ingin mengklik dan memasukkan segala sesuatu tanpa membaca atau karena pengguna tersebut kurang mengerti Bahasa Inggris. (tapi harusnya kan mengerti yah, kalau merah itu berarti bahaya, mana ada gambar polisi galak bawa rambu verboden … kok masih diterabas …. Kaya naik motor ajah :P).

Gambar 3, Situs Holiday-picz.com yang ditampilkan oleh Firefox tetap memberi peringatan Web Forgery

Bandingkan dengan tampilan situs ini di Internet Explorer dan Safari (gambar 4 dan 5)

Gambar 4, Internet Explorer 7 langsung menampilkan situs Forgery ini tanpa peringatan apapun

Gambar 5, Safari juga menampilkan situs forgery ini tanpa peringatan apapun.

Menurut perkiraan Vaksincom, secara tidak langsung karena Yahoo Messenger secara default akan membuka setiap link menggunakan Internet Explorer sehingga menyebabkan tingginya korban dari web foegery ini.

Celakanya, Vaksincom mendapatkan laporan bahwa TP Ltd ini sangat kreatif dan selalu memperbaharui situs forgerynya dengan pesan yang makin hari makin canggih. Selain itu, bukan hanya Yahoo Messenger saja yang menjadi korbannya, tetapi juga MSN Messenger. Dalam artikel berikut, Vaksincom akan memberikan hasil pengetesan Lab menggunakan Account Yahoo messenger dan bagaimana mendeteksi Account Yahoo anda sedang dipakai dan terakhir yang tidak kalah menarik, ada perusahaan game online internet yang populer di Indonesia dengan anggota ratusan ribu pengguna ternyata menggunakan jasa TP Ltd dalam menyebarkan iklan gamenya.

thx to vaksin[dot]com

Virus yang membuat komputer anda banjir Shortcut

2009-03-23T16:40:00.000+08:00

Di tengah gencarnya virus-virus Confiker melanda dunia persilatan jaringan, maka ada sebuah virus lokal yang tidak mau kalah untuk unjuk gigi. Virus ini penulis dapatkan secara tidak sengaja, ketika sedang beranjang sana di sebuah tempat kerja sahabat dekat, dia mengeluh kok banyak banget sih shortcut di komputernya.

Setelah diamati memang benar banyak sekali file-file shortcut yang bertebaran di setiap folder yang ada di dalam komputernya, seperti Microsoft.lnk, dan juga file shortcut dengan nama seperti nama folder yang dimiliki. Akhirnya dengan naluri vaksinis yang tidak bisa mendengar ada virus baru yang tidak terdeteksi oleh antivirus, maka dengan segera keluhan tersebut langsung dianalisa lebih lanjut dan dibuatkan cara mengatasinya.

Norman Virus Control mendeteksi virus ini sebagai Worm:PIF/Starter.A (lihat gambar 1) :

Gambar 1, Norman Security Suite mendeteksi virus Shortcut sebagai Worm:PIF/Starter.A

Ciri-ciri dari virus tersebut adalah :

Di folder My Documents terdapat sebuah file yang bernama database.mdb, dan ternyata ini adalah file induknya.
File Autorun.inf, Thumb.db, Microsoft.lnk di setiap driver, folder dan flash disk sampai pada SUB Folder yang ke-2.
Membuat File Duplikat setiap folder dengan extensi .lnk, maksimal 5 nama folder pertama, misalnya kalau di C:\Windows ada banyak maka hanya akan diambil 5 nama pertama saja. Dan berlaku sampai sub folder yang ke-2 (lihat gambar 2)

Gambar 2, Aksi virus Shortcut memalsukan folder

Mematikan fungsi dari file Registry (lihat gambar 3)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]

"DisableRegistrytools"=dword:00000001

Gambar 3, Pesan yang ditampilkan jika mengakses Registry Edit

Menambahkan value di registry :

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]

"Explorer"="Wscript.exe //e:VBScript \"C:\Documents and Settings\Administrator\My Documents\database.mdb\""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]

"WinUpdate"="Wscript.exe /e:VBScript \"C:\WINDOWS\:Microsoft Office

Update for Windows XP.sys\""

Untuk script yang terakhir mungkin sekali ini hanya script untuk mengecoh saja, tetapi

dalam prakteknya kita harus mendeletenya. Jika pada saat kita LogOn komputer, maka

akan didapat message error seperti di bawah ini (lihat gambar 4)

Gambar 4, Pesan error yang ditampilkan saat logon karena gagal loading script.

Yang membuat kita menjadi geram adalah banyak sekali shortcut yang dibuat oleh virus tersebut. Dan hebatnya virus tersebut kalau cara penanganannya tidak tepat maka akan kembali lagi dan lagi. Oleh sebab itu ada beberapa cara yang harus dilakukan untuk memberantas virus yang menyebalkan ini :

Matikan proses dari file WSCRIPT yang terletak di C:\Windows\System32, dengan cara menggunakan tools seperti CProcess, HijackThis atau dapat juga menggunakan Task Manager dari windows.

Sebelumnya matikan dulu proses SYSTEM RESTORE.

Setelah dimatikan proses dari Wscript tersebut, kita harus mendetele atau merename dari pada file tersebut agar tidak digunakan (untuk sementara) lagi oleh virus tersebut. Sebagai catatan, kalau kita merename dari file Wscript.exe tersebut dengan automatis akan dikopikan lagi di folder tersebut, oleh sebab itu kita harus mencari di mana file Wscript.exe yang lainnya biasanya ada di C:\Windows\$NtServicePackUninstall$, C:\Windows\ServicePackFiles\i386. Tidak seperti virus-virus VBS lainnya, kita bisa mengganti Open With dari file VBS menjadi Notepad, virus ini berextensi MDB yang berarti adalah file Microsoft Access. Jadi Wscript akan menjalankan file DATABASE.MDB seolah-olah dia adalah file VBS. (Virus pintar kan)

Wscript.exe //e:VBScript \"C:\Documents and Settings\Administrator\My Documents\database.mdb\""

Delete file induknya yang ada di C:\Documents and Settings\\My Documents\database.mdb, agar setiap kali komputer dijalankan tidak akan meload file tersebut. Dan jangan lupa kita buka juga MSCONFIG, disable perintah yang menjalankannya.

Sekarang kita akan mendelete file-file Autorun.INF. Microsoft.INF dan Thumb.db. dengan cara, klik tombol START, ketik CMD, pindah ke drive yang akan dibersihkan, misalnya drive C:\, maka yang harus kita lakukan adalah

Ketik C:\del Microsoft.inf /s = perintah ini akan mendelete semua file microsoft.inf di seluruh folder di drive C: , kalau mau pindah drive tinggal diganti nama drivenya saja contoh : D:\del Microsoft.inf /s

Untuk file autorun.inf, ketik C:\del autorun.inf /s /ah /f = perintah akan mendelete file autorun.inf (syntax /ah /f digunakan karena file tersebut memakai attrib RSHA, begitu juga untuk file Thumb.db lakukan juga hal yang sama. (lihat gambar 5)

Gambar 5, Perintah mendelete file lnk yang diciptakan virus.

Untuk mendelete file-file selain 4 file terdahulu, kita harus mencarinya dengan cara Search file dengan ekstensi .lnk ukurannya 1 KB, Pada “More advanced options”, pastikan option “Search system folders” dan “Search hidden files and folders” keduanya telah dicentang.

Harap berhati-hati, tidak semua file shortcut / file LNK yang berukuran 1 KB adalah virus, kita dapat membedakannya dari iconnya, size dan Type. Untuk shortcut yang diciptakan virus iconnya selalu menggunakan icon "folder", ukuran 1 KB dengan Type "Shortcut". Sedangkan folder yang benar harusnya tidak memiliki "size" dan Typenya adalah "File Folder". Contoh di bawah, gambar bagian kiri folder dengan nama "Music", "Video", "Programs", "Documents" dan "Compressed" sebenarnya adalah shortcut yang memalsukan diri sebagai icon folder yang diciptakan oleh virus dan harus dihapus karena memiliki size 1 KB dan Type "Shortcut". Sedangkan Folder dengan nama "Compressed", "Documents", "Music", "Programs", "Video" dan "Virus" yang tidak memiliki Size dan Type "File Folder" adalah folder asli yang namanya dicatut oleh virus. Sedangkan gambar kanan, shortcut yang asli dari program memiliki icon khusus sesuai icon programnya. (lihat gambar 6)

Gambar 6, Shortcut yang dibuat virus akan menyerupai icon folder, tetapi memiliki Size 1 KB dan Type "Shortcut"

Fix registry yang sudah di ubah oleh virus. Untuk mempercepat proses perbaikan registry salin script dibawah ini pada program “notepad” kemudian simpan dengan nama "Repair.inf". Jalankan file tersebut dengan cara:

- Klik kanan repair.inf

- Klik Install

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

[del]

HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Winupdate

HKCU,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, explorer

Thx to vaksin[dot]com

Antivir palsu

2009-03-23T16:38:00.000+08:00

Artikel Chip November 2008

Serigala berbulu domba. Ungkapan ini patut di ingat-ingat oleh para pengguna komputer yang mendadak mendapatkan peringatan bahwa di komputernya di temukan virus / spyware dan langsung ditawarkan removalnya saat itu juga. Peringatan yang muncul banyak variasinya, dari perubahan wallpaper, muncul pesan di “system icons” di pojok kanan bawah layar komputer (sebelah jam) atau pesan pop up. (lihat gambar 1 dan 2)

Gambar 1, Scareware Antivirus-2008 yang merubah Wallpaper komputer korbannya menjadi peringatan palsu adanya spyware dan menawarkan removal yang sebenarnya palsu.

Gambar 2, Peringatan palsu adanyaSpyware yang ditampilkan oleh Antivirus 2008

Istilah yang diberikan pada program antivirus gadungan ini adalah Rogue Scanner, Advance Antivirus atau Scareware. Dikatakan sebagai scareware karena cara kerjanya yang menakut-nakuti korbannya bahwa komputernya terinfeksi virus dan spyware dengan tingkat bahaya yang sangat tinggi dan disarankan untuk mendownload antivirus gadungan (yang sebenarnya juga spyware) ke situs yang telah dipersiapkan terlebih dahulu. Jika korban berhasil ditakuti dan masuk ke situs yang telah dipersiapkan, ia akan ditawari untuk membeli antivirus gadungan dan membayar dengan kartu kreditnya. Kemungkinan besar korbannya ini akan terperdaya karena memang aplikasi scareware dan situs-situs pendukung ini sudah dipersiapkan dengan baik dan tampilan aplikasi dan websitenya terlihat cukup profesional. Dimana tampilan scareware tersebut tidak kalah dengan tampilan program antivirus terkini dan hebatnya situs yang dikunjungipun memiliki sistem penerimaan pembayaran dengan kartu kredit yang online. Masalahnya adalah, sebenarnya peringatan tentang belasan virus yang berhasil di deteksi oleh scareware tersebut adalah peringatan palsu, dimana sebenarnya tidak ada virus yang dimaksudkan di komputer korban. Namanya juga scareware (ingat scarecrow, patung-patungan palsu untuk manakuti burung (gagak) supaya tidak memakani padi) tujuan utamanya adalah menakuti korbannya untuk tujuan komersial dan celakanya cara yang dipakai kurang terpuji dengan memberikan peringatan virus palsu. Selain itu, jika korbannya setuju untuk mendownload program scareware yang ditawarkan. Maka ibarat kata pepatah, “Sudah Jatuh Tertimpa Tangga” …. (di gigit anjing lagi :P) maka selain membayar untuk sesuatu yang tidak perlu, kemungkinan besar kartu kredit yang digunakan untuk membeli scareware tersebut akan dijadikan sebagai sasaran fraud. Banyak laporan yang menyebutkan bahwa biaya yang ditagihkan ke kartu kredit tidak sesuai dengan yang tertera pada saat transaksi dan bisa beberapa kali lipat. Karena itu sebaiknya anda segera memblokir kartu kredit tersebut dan mengganti dengan yang baru untuk menjaga kemungkinan digunakan untuk fraud.

Metode infeksi

Scareware akan datang dalam banyak alternatif :

Mengeksploitasi celah keamanan (Java Script) browser waktu mengunjungi website tertentu sehingga akan terinstal secara otomatis dan menampilkan peringatan palsu.
Menawarkan scan malware gratis atau tune up sistem komputer gratis.
Email, dalam hal eksploitasi email pembuat virus ini cukup kreatif. Adapun bentuk-bentuk email yang terdeteksi adalah sebagai berikut :

Kartu ucapan / greeting card. Email yang datang juga memiliki banyak varian, baik yang datang dalam lampiran bervirus (biasanya di kompres / zip) maupun hanya link download yang memanfaatkan fitur “drive by download”.
Breaking News dari CNN atau situs berita yang lain.
Menawarkan film porno artis ternama seperti Angelina Jolie yang dikombinasikan dengan baik sekali dengan rekayasa sosial pada situs You Tube. Dimana file yang mengandung virus seakan-akan harus di download sebagai codec (file yang diperlukan untuk menonton file film di You Tube). Lihat artikel http://vaksin.com/2008/0808/anjelina-jolie2/anjelina-jolie2.html
Datang dalam lampiran terkompres seperti yang terakhir ditemui Vaksincom datang sebagai email konfirmasi pengiriman barang dari UPS yang meminta kita mencetak invoice .doc yang sebenarnya adalah file virus karena memiliki ekstensi ganda (ups_letter.doc.exe). Supaya lampiran ini tidak diblok di mailserver ia di kompres terlebih dahulu dengan nama “ups_letter.zip”. (lihat gambar 3)

Gambar 3, Cara terbaru scareware menyebarkan dirinya dengan mengirimkan dirinya sebagai lampiran melalui email.

Ada puluhan varian scareware

Sebenarnya seberapa gawat sih masalah scareware ini dan seberapa banyak varian scareware ini ? Pada awalnya Vaksincom mengira scareware ini seperti kata pepatah “hangat-hangat tahi ayam”, paling dalam waktu beberapa bulan akan menghilang dan digantikan oleh spyware / malware lainnya. Dan varian scareware ini meskipun cukup banyak tetapi menurut perkiraan Vaksincom tidak akan melebihi belasan varian. Tetapi kenyataannya sangat mengejutkan, karena ternyata sampai saat ini sudah tedeteksi 85 scareware yang beredar di internet yang lengkap dengan infrastruktur pendukungnya seperti website dan sistem pembayaran online. Beberapa nama yang digunakan juga cukup menjebak seperti Antivirus XP 2008, Antivirus XP 2009, Vista Antivirus 2008, WinFixer, Spyware Stormer, Smart Antivirus 2008, Smart Antivirus 2009, PC-Antispyware, MS Antispyware, MS Antivirus, IE Antivirus, ID Defender, Antivirus 2008, Antivirus 2009 dan masih banyak lagi. Melihat hal ini dapat disimpulkan bahwa pembuat scareware ini cukup terorganisir, profesional, ditunjang oleh back up finansial yang kuat dengan motif ekonomi dan bukan hanya melakukan hit and run seperti pembuat virus.

Beberapa ciri scareware yang sedang aktif

Beberapa ciri scareware yang saat ini sedang marak menyebar di internet adalah sebagai berikut :

Jika komputer korbannya mendapatkan peringatan adanya malware tetapi tidak melakukan tindakan seperti mendownload scareware yang disarankan, maka komputer tersebut akan terus menerus mendapatkan peringatan pop up windows yang meninformasikan adanya malware di komputernya. Dalam beberapa kasus, bahkan komputer korban “dikerjai” seperti drive C: dihilangkan dari Windows Explorer dan menghilangkan folder-folder baik di harddrive lokal maupun folder sharing di jaringan sehingga makin menambah kepanikan pengguna komputer korbannya.
Scareware ini sulit di deteksi antivirus karena ia akan selalu mengupdate dirinya dan melakukan release ulang guna mencegah deteksi program antivirus.
Menurut pantauan Vaksincom, saat ini banyak scareware sudah mampu menginfeksi Widnwos Vista, jadi korbannya tidak hanya terbatas pada Windows XP / 2000 saja.
Walaupun anda sudah klik [Cancel] atau [X] untuk menutup box dialog ketika ditanyakan apakah mau mendownload scareware, aksi yang dilakukan TETAP akan mendownload scareware. Bahkan beberapa scareware secara otomatis mendownloadkan dan menginstalkan dirinya ke komputer korbannya.
Anda tidak dapat menghentikan proses download yang berlangsung, sekalipun anda menutup browser anda karena proses download akan berlangsung di background (tidak terlihat). Salah satu cara yang cukup efektif untuk menghentikan download adalah menggunakan key [Alt][F4].
Administrator jaringan di korporat dapat mempertimbangkan memblok akses ke situs-situs download scareware seperti winfixer.com, winantivirus.com, systemdoctor.com tetapi seperti kita ketahui jumlah scareware yang mencapai lebih dari 80 pada saat ini dan dalam waktu singkat akan mencapai lebih dari 100 scareware membuat proses blokir website scareware ini sangat melelahkan. Salah satu cara yang efektif mengatasi infeksi scareware adalah menggunakan filter jaringan yang dipasang di router backbone internet anda seperti Norman Network Protector yang akan melakukan scanning seluruh traffic yang masuk ke jaringan intranet baik itu traffic http, smtp, pop maupun ftp. Dengan adanya Network Protector ini pengguna jaringan akan terlindung dari download dan upload scareware maupun malware tanpa perlu melakukan perubahan pada setting komputer karena scanner ini berfungsi sebagai bridge (transparent proxy). (lihat gambar 4)

Gambar 4, NNP yang mampu mendeteksi dan menghentikan scareware yang secara otomatis mendownload dirinya pada protokol http, smtp, pop dan ftp

Bagaimana cara menghindari dan mengatasi scareware

Jika anda menanyakan bagaimana cara menghindari dan mengatasi scareware, jawabannya mungkin klasik. Pastikan komputer anda dilindungi program antivirus / spyware yang terupdate dan jangan sembarangan memilih antivirus yang belum anda kenal. Kalau anda paranoid hindari email html (set sebagai plain text saja) untuk mencegah kesalahan karena klik pada email html yang memicu download scareware. Jangan sembarangan menggunakan software atau scanner online yang tidak anda ketahui kompetensinya. Lakukan patch (penambalan celah keamanan) secara teratur, usahakan untuk melakukan automatic patch pada OS anda jika komputer anda memiliki hubungan ke internet.

Jika komputer anda sudah terinfeksi scareware, satu hal yang paling penting anda lakukan adalah “putuskan hubungan ke internet”, hal ini penting untuk mencegah scareware mengupdate dirinya. Gunakan Norman Security Suite dengan update terakhir yang bisa anda dapatkan pada DVD / CD Chip terbaru untuk membasmi scareware ini.

thx to vaksin[dot]com & Chip

Virus nomor 1 di Indonesia, injeksi file exe/com/scr

2009-03-23T16:35:00.000+08:00

Kalau Conficker dapat dikatakan sebagai worm nomor satu di Indonesia, maka predikat virus yang paling merepotkan dan paling banyak ditemui Vaksincom di Indonesia pantas di sandang oleh Sality. Virus yang disinyalir berasal dari Taiwan / Cina ini secara meyakinkan menempati ranking pertama dalam infeksi virus yang diterima oleh Vaksincom bersama-sama dengan Conficker.

Memang menyebalkan jika semua program kita ikut dimakan oleh virus [di infeksi], disamping sulit dalam memberantas virusnya terkadang juga file yang sudah di injeksi tersebut tidak dapat digunakan alias rusak setelah di scan dan dibersihkan oleh antivirus, alhasil harus reinstall semua program yang error atau download ulang file yang sudah di injenksi tersebut.

Salah satu virus yang akan menginjeksi file exe/com/scr ini adalah W32/Sality.AE (lihat gambar 1)

Gambar 1, Norman Security Suite dapat mendeteksi Sality.AE dengan baik

Ukuran file yang sudah terinfeksi W32/Sality.AE akan bertambah besar beberapa KB dan file yang sudah terinfeksi W32/Sality.AE ini masih dapat di jalankan seperti biasa. Biasanya virus ini akan mencoba untuk blok program antivirus atau removal tools saat dijalankan serta mencoba untuk blok task manager atau “registry editor” Windows. Untuk mempermudah dalam proses penyebarannya selain memanfaatkan “File Sharing” dan “Default Share” virus ini juga akan memanfaatkan media Flash Disk dengan cara membuat file acak yang mempunyai ekstensi exe/com/scr/pif serta menambahkan file autorun.inf yang memungkinkan virus dapat aktif secara otomatis setiap kali user mengakses Flash Disk.

Untuk blok task manager atau Registry tools, W32/Sality.AE ini akan membuat string pada registry berikut:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system

DisableRegistryTools
DisableTaskMgr

Pada saat file yang terinfeksi W32/Sality.AE, ia akan mendekrip dirinya dan mencoba untuk kopi beberapa file *.dll (acak) file DLL kemudian akan menginjeksi file lain yang aktif di memori serta file lain yang terdapat di komputer dan jaringan (file sharing) serta menginfeksi file *.exe yang terdapat dalam list registry berikut sehingga memungkinkan virus dapat aktif secara otomatis setiap kali komputer dinyalakan.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache

Berikut beberapa contoh file *.dll yang akan di drop oleh W32/Sality.AE.

C:\Windows\system32\syslib32.dll
C:\Windows\system32\oledsp32.dll
C:\Windows\system32\olemdb32.dll
C:\Windows\system32\wcimgr32.dll
C:\Windows\system32\wmimgr32.dll

Selain membuat file DLL, sality juga akan membuat file *.sys [acak] di direktori “C:\Windows\system32\drivers” [contoh: kmionn.sys]

Blok Antivirus dan software security

Seperti yang sudah dijelaskan di atas bahwa untuk mempermudah proses penyebaran ia juga akan mencoba untuk mematikan proses yang berhubungan dengan program security khususnya antivirus dengan cara mematikan proses yang mempunyai nama dibawah ini:

ALG	InoRPC
aswUpdSv	InoRT
avast! Antivirus	InoTask
avast! Mail Scanner	ISSVC
avast! Web Scanner	KPF4
AVP	LavasoftFirewall
BackWeb Plug-in - 4476822	LIVESRV
bdss	McAfeeFramework
BGLiveSvc	McShield
BlackICE	McTaskManager
CAISafe	navapsvc
ccEvtMgr	NOD32krn
ccProxy	NPFMntor
ccSetMgr	NSCService
F-Prot Antivirus Update Monitor	Outpost Firewall main module
fsbwsys	OutpostFirewall
FSDFWD	PAVFIRES
F-Secure Gatekeeper Handler Starter	PAVFNSVR
fshttps	PavProt
FSMA	PavPrSrv
PAVSRV	Symantec Core LC
PcCtlCom	Tmntsrv
PersonalFirewal	TmPfw
PREVSRV	tmproxy
ProtoPort Firewall service	UmxAgent
PSIMSVC	UmxCfg
RapApp	UmxLU
SmcService	UmxPol
SNDSrvc	vsmon
SPBBCSvc	VSSERV
WebrootDesktopFirewallDataService	WebrootFirewall
	XCOMM

Selain mematikan proses antivirus di atas, ia juga akan berupaya untuk blok agar user tidak dapat mengakses web dari beberapa antivirus berikut:

Cureit
Drweb
Onlinescan
Spywareinfo
Ewido
Virusscan
Windowsecurity
Spywareguide
Bitdefender
Panda software
Agnmitum
Virustotal
Sophos
Trend Micro
Etrust.com
Symantec
McAfee
F-Secure
Eset.com
Kaspersky

W32/Sality.AE juga akan mencoba untuk merubah regisrty berikut:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Setting\"GlobalUserOffline" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"EnableLUA" = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xxx [xxx adalah acak, contoh : abp470n5]
HKEY_CURRENT_USER\Software\[USER NAME]914
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMI_MFC_TPSHOKER_80
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPFILTERDRIVER

Selain itu ia juga akan mencoba untuk merubah beberapa string registry Windows Firewall berikut dengan menambahkan value dari 0 menjadi 1:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center

AntiVirusDisableNotify
AntiVirusOverride
FirewallDisableNotify
FirewallOverride
UacDisableNotify
UpdatesDisableNotify

dan membuat key “SVC” serta string berikut dengan value 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc

AntiVirusDisableNotify
AntiVirusOverride
FirewallDisableNotify
FirewallOverride
UacDisableNotify
UpdatesDisableNotify

Tak cuma itu W32/s\Sality.AE juga akan menghapus key “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ALG”.

ALG atau Application Layer Gateway Service adalah services yang memberikan support untuk plug-in protokol aplikasi dan meng-enable konektivitas jaringan / protokol. Service ini boleh saja dimatikan. Dampaknya adalah program seperti MSN Messenger dan Windows Messenger tidak akan berfungsi. Service ini bisa dijalankan, tetapi hanya jika menggunakan firewall, baik firewall bawaan Windows atau firewall lain. Jika tidak komputer yang terinfeksi virus ini akan mengalami celah keamanan yang serius.

Blok akses “safe mode”

Dalam rangka “mempertahankan” dirinya, W32/Sality.AE juga akan mencoba untuk blok akses ke mode “safe mode” sehingga user tidak dapat booting pada mode “safe mode” dengan menghapus key yang berada di lokasi di bawah ini :

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

Injeksi file exe/com/scr

Tujuan utama dari virus ini adalah mencoba untuk menginjeksi program instalasi dan file yang mempunyai ekstensi exe/com/scr yang ada di drive C - Y terutama file hasil instalasi (file yang berada di direktori C:\Program Files) dan file-file portable (file yang langsung dapat dijalankan tanpa perlu instal), ia juga akan menginfeksi file yang mempunyai ekstensi “.exe” yang terdapat dalam list registry berikut sehingga memungkinkan virus dapat aktif secara otomatis setiap kali komputer dinyalakan.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache

File yang berhasil di injeksi biasanya ukurannya akan bertambah sekitar 68 - 80 KB dari ukuran semula. Program yang telah terinfeksi ini akan tetap dapat di jalankan seperti biasa sehingga user tidak curiga bahwa file tersebut sebenarnya telah di infeksi oleh W32/Sality.AE. Salah satu kecanggihan Sality adalah kemampuannya menginjeksi file tumpangannya sehingga ukuran file bervirus tidak seragam, jelas lebih sulit diidentifikasi dibandingkan virus lain yang menggantikan file yang ada sehingga ukuran filenya akan sama besar.

Harap berhati-hati, tidak semua program antivirus dapat membersihkan file yang sudah terinfeksi W32/Sality.AE, bisa-bisa file tersebut akan rusak setelah di scan dan di bersihkan oleh antivirus tersebut.

Tidak mau kalah dengan virus mancanegara lain, untuk memperlancar aksinya ia akan mencoba untuk melakukan koneksi ke sejumlah alamat web yang sudah ditentukan dengan tujuan untuk memanggil/mendownload trojan/virus lainnya yang di sinyalir merupakan varian dari versi sebelumnya yang memungkinkan virus ini dapat mengupdate dirinya.

[http://]pedmeo222nb.info

[http://]pzrk.ru

[http://]technican.w.interia.pl

[http://]www.kjwre9fqwieluoi.info

[http://]bpowqbvcfds677.info

[http://]bmakemegood24.com

[http://]bperfectchoice1.com

[http://]bcash-ddt.net

[http://]bddr-cash.net

[http://]btrn-cash.net

[http://]bmoney-frn.net

[http://]bclr-cash.net

[http://]bxxxl-cash.net

[http://]balsfhkewo7i487fksd.info

[http://]buynvf96.info

[http://]89.119.67.154/tes[xxx]

[http://]oceaninfo.co.kr/picas[xxx]

[http://]kukutrustnet777.info/home[xxx]

[http://]kukutrustnet888.info/home[xxx]

[http://]kukutrustnet987.info/home[xxx]

[http://]kukutrustnet777.info

[http://]www.kjwre9fqwieluoi.info

[http://]kjwre77638dfqwieuoi.info

http://mattfoll.eu.interia.pl/[sensor]

http://st1.dist.su.lt/l[sensor]

http://lpbmx.ru/[sensor]

http://bjerm.mass.hc.ru/[sensor]

http://SOSiTE_AVERI_SOSiTEEE.[sensor]

Mengeksploitasi Default Share dan Full Sharing

W32/Sality.AE akan menyebar dengan cepat melalui jaringan dengan memanfaatkkan default share windows atau share folder yang mempunyai akses full dengan cara menginfeksi file yang mempunyai ekstensi exe/com/scr. Karena itu, Vaksincom menyarankan pengguna komputer untuk menonaktifkan Default Share (C$, D$ .. dst) dan hindari Full Sharing folder anda di jaringan.

Selain menyebar dengan menggunakan jaringan, ia juga akan memanfaatkan flash disk yakni dengan cara kopi dirinya dengan nama file acak dengan ekstensi exe/cmd/pif serta membuat file autorun.inf agar dirinya dapat aktif secara otomatis tanpa harus menjalankan file yang sudah terinfeksi virus, selain itu ia juga akan menginfeksi file yang mempunyai ekstensi exe/com/scr yang terdapat dalam flash disk tersebut.

Selain itu Sality.AE juga akan menambahkan string [MCIDRV_VER] dan DEVICEMB=xxx, dimana xxx menunjukan karakter acak ke dalam file C:\Windows\system.ini. (lihat gambar 2 dan 3)

Gambar 2, File system.ini sebelum di ubah oleh W32/Sality.AE

Gambar 3, File system.ini setelah di ubah oleh W32/Sality.AE

Cara membersihkan W32/Sality.AE

Putuskan hubungan komputer yang akan dibersihkan dari jaringan dan internet
Matikan System Restore selama proses pembersihan berlangsung.
Matikan Autorun dan Default Share. Silahkan download file berikut kemudian jalankan dengan cara:
- Klik kanan repair.inf
- Klik install

http://www.4shared.com/file/82762498/f5dc1edd/repair.html?dirPwdVerified=feea1d94

Matikan program aplikasi yang aktif di memori agar proses pembersihan lebih cepat terutama program yang ada dalam daftar startup.
Sebaiknya scan dengan menggunakan removal tools dengan terlebih dahulu merubah ekstensi dari removal tools tersebut dengan ekstensi lain [contoh: CMD] agar tidak di infeksi ulang oleh W32/Sality.AE. Dalam contoh di bawah, nama file “Norman_Malware_Cleaner.exe” di rename menjadi “Norman_Malware_Cleaner.cmd” supaya tidak di infeksi Sality. (lihat gambar 4)

Gambar 4, File “Norman_Malware_Cleaner.exe” yang telah di rename ekstensinya menjadi “Norman_Malware_Cleaner.cmd”, kotak biru

Selalu gunakan Norman Malware Cleaner terbaru untuk membersihkan dan membasmi virus baru. Download Norman Malware Cleaner terbaru dari “

http://download.norman.no/public/Norman_Malware_Cleaner.exe

Gambar 5, Gunakan Norman Malware Cleaner untuk mendeteksi dan membasmi Sality.

Catatan:

Agar removal tersebut tidak terinfeksi oleh W32/Sality.AE, Sebaiknya ubah ekstensi dari removal tools tersebut menjadi ekstensi lain [contohnya: CMD] (lihat gambar 4 di atas)
Sality.AE ini akan mencoba untuk menginfeksi file yang mempunyai ekstensi EXE dan SCR serta COM, file yang sudah berulang kali di infeksi oleh virus ini terkadang akan mengalami kerusakan jika dibersihkan oleh program antivirus, oleh karena itu jika terdapat program yang error setelah di scan oleh antivirus sebaiknya install ulang program tersebut.

PENTING !!!

Harap Backup data penting anda sebelum melakukan pembersihan virus. PT. Vaksincom tidak bertanggung jawab atas kerugian yang diakibatkan oleh proses pembersihan virus ini baik langsung maupun tidak langsung !!!

Agar komputer yang sudah terinfeksi W32/Sality.AE dapat booting “safe mode”, silahkan restore registry yang sudah di ubah oleh virus.

Silahkan download file berikut kemudian jalankan sesuai OS yang terinfeksi W32/Sality.AE tersebut.

http://www.4shared.com/file/82761423/934fb170/_2__Sality.htmldirPwdVerified=feea1d94

Fix registry lain yang di ubah oleh virus, silahkan download tools berikut kemudian jalankan file tersebut dengan cara:

Klik kanan repair.inf
Klik install

http://www.4shared.com/file/82874724/f485f1dd/repair.html?dirPwdVerified=3b1f2fa9

Restart komputer dan scan ulang dengan menggunakan removal tools untuk memastikan komputer telah bersih dari virus.
Untuk pembersihan optimal dan mencegah infeksi ulang sebaiknya install dan scan dengan antivirus yang dapat mendeteksi Sality dengan baik.

thx vaksin[dot]com

virus "bad brother"

2008-12-29T13:01:00.002+08:00

paste code berikut ke notepad.. kemudian save dengan nama remover.bat.. simpan ke drive C

code :

del C:\windows\bad1.exe /f
del C:\windows\bad2.exe /f
del C:\windows\bad3.exe /f
del C:\windows\system.exe /f
del C:\windows\bad1.exe /a /f
del C:\windows\bad2.exe /a /f
del C:\windows\bad3.exe /a /f
del C:\windows\system.exe /a /f

echo [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
echo "NoRun"=dword:00000000
echo [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
echo "NoFolderOptions"=dword:00000000
echo [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
echo "NoFolderOptions"=dword:00000000
echo [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
echo "DisableRegistryTools"=dword:00000000
echo [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System]
echo "DisableTaskMgr"=dword:00000000
echo [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
echo "DisableTaskMgr"=dword:00000000

untuk repair nya paste script di bawah ini ke notepad and save dengan repair.vbs... kemudian klik 2x

code :

dim rg,std,a,b,c,t
a = "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\"
b = "HKEY_LOCAL_MACHINE\Software\Microsoft\WIndows NT\Image File Execution Options\"
std = chr(34) & "%1" & chr(34) & " %*"
set rg=createobject("wscript.shell")

t=msgbox("repair g nih????)",36,"code:darkzeus")
if t = 6 then
do
sehat
loop until i = 1
else
sehat
end if

sub sehat()

rg.regwrite a & "System\DisableRegistryTools",0,"REG_DWORD"
rg.regwrite a & "System\DisableTaskMgr",0,"REG_DWORD"
rg.regwrite a & "System\DisableCMD",0,"REG_DWORD"
rg.regwrite a & "Explorer\NoFolderOptions",0,"REG_DWORD"
rg.regwrite b & "msconfig.exe\Debugger",""
rg.regwrite b & "regedit.exe\Debugger",""
rg.regwrite b & "cmd.exe\Debugger",""
rg.regwrite "HKEY_CLASSES_ROOT\.exe\","exefile"
rg.regwrite "HKEY_CLASSES_ROOT\.com\","comfile"
rg.regwrite "HKEY_CLASSES_ROOT\.bat\","batfile"
rg.regwrite "HKEY_CLASSES_ROOT\.lnk\","lnkfile"
rg.regwrite "HKEY_CLASSES_ROOT\.pif\","piffile"
rg.regwrite "HKEY_CLASSES_ROOT\exefile\shell\open\command\",std
rg.regwrite "HKEY_CLASSES_ROOT\batfile\shell\open\command\",std
rg.regwrite "HKEY_CLASSES_ROOT\comfile\shell\open\command\",std
rg.regwrite "HKEY_CLASSES_ROOT\lnkfile\shell\open\command\",std
rg.regwrite "HKEY_CLASSES_ROOT\piffile\shell\open\command\",std
end sub

semoga membantu.. thx to darkzeus @kaskus

I'm four2one.virus

2008-12-29T12:58:00.001+08:00

cara basminya

matikan koneksi inet
matikan system restore caranya ada di page 1
Restart PC masuk Save Mode, (tekan f6 atau f8 untuk masuk ke SAVE MODE saat windows boot), Masuk Control Panel Windows, kemudian klick Mouse, Seting Mouse pada pointer speed menjadi midle untuk Basmi Virus i’m four2one
gunakan PC MAV

http://pcmav.biz/

ato ansav

www.ansav.com

ato smadav

www.smadav.net
setelah Clean, Restart PC Dan Biarkan Masuk Ke windows Normal
Klik RUN, Masukkan Regedit.
Klik EDIT >FIND , pastikan anda memasukkan Keyword “Please Look at me” , setelah ditemukan lakukan delete registry tersebut.
Klik EDIT+FIND ,masukkan keyword “four2one”, kemudian delete lagi.
klo udah restart pc anda n lakukan langkah2 masalah yg terjadi setelah terkena virus (klo ansav msh eror linknya silahkan pakai smadav..cukup discan lalu pada tab infected registry value pilih select all n fix all)
lakukan basic computer maintenance

semoga membantu,..
thx to kocak_gober @kaskus

Tugas Metode Numerik. mission ascomplished..

2008-11-03T17:21:00.004+08:00

download link : tugas hamsir

masih belum selesai..
untuk jalaninnya harus di isi dulu kolom panjang and lebar luas nya..

link baru yg sudah jadi... download
silahkan di baca² dlu...
c'ma sempet kek gini aja nih..
litlebit busy..
thx

Tips Mencegah Komputer Terinfeksi Virus dari Removable Drive

2008-10-28T15:09:00.001+08:00

1. Matikan Autoplay drive
Windows XP Pro.
klik start-Run and ketik “gpedit.msc” enter.
klik group policy-user configuration-administrative templates system klik 2 kali turn off autoplay. klik enable.
Windows Xp Home.
karena windows Xp home tidak ada gpeditnya. jd pke software tweakUI.
masuk ke my computer-autoplay-types. uncheck (hilangin) dua2anya.
link download nya

2. Disable Script.
Berguna untuk mencegah script virus menginfeksi komputer anda. biasanya file2 tersebut berekstensi .Vbs

Download Link

3.Nonaktifkan Hide exstensions for known file type dari folder option.
Dan set view folder anda menjadi details. agar ketahuan mana file-file yang benar -benar dokumen dan mana file-file yang hanya menyamar sebagai icon dokumen.
Cara lain adalah mengganti icon dokumen anda menjadi icon yang unik.
klik tools-folder option-file type-pilih DOC-advance-change icon-pilih icon yang unik yang lain daripada icon doc default. jadi anda akan tau mana file doc yang asli dengan icon baru dan mana file virus yang menyamar dengan icon microsoft word.
lakukan hal yang sama pada file excel dan file yang sering dijadikan penyamaran oleh virus.

4. Gunakan FD Guard untuk mencegah file2 virus menginfeksi komputer anda ketika memasukan flashdisk ke dalam komputer. Amat Disarankan!!!
Software ini mencegah komputer tertular virus dari flashdisk dengan cara merename file" .Exe .Scr .Bat .Com .Vbs menjadi .Ex_ .Sc_ .Ba_ .Co_ .Vb_ jadi sebelum sepet nular file virusnya udah mati suri duluan.

kekurangan. cuma check root drive gak sampe folder.
dia juga ngerubah program .Exe yang di root drive walau bukan virus. tapi bisa dikembalikan dengan mengembalikan .Ex_ jadi .Exe
jadi saran saya pindahkan software yang di root drive ke dalam folder biar gak kena juga.
Baca Comment.txt untuk panduan penggunaan.
Download Link

Mengatasi Virus MSN / WLM

2008-10-28T14:59:00.002+08:00

Virus MSN merupakan virus yang cukup mengganggu. bila terinfeksi virus ini windows messenger anda akan mengirmkan message berupa link sebuah situs.

untuk membersihkanya ikuti langkah manual berikut:

masuk ke control panel - Add/Remove Programs.
Cari Toolbar888 dan klik Change/Remove untuk membuangnya
Pencet CTRL+ALT+DELETE untuk membuka task manger. cari kemudian mastikan process ini dengan cara klik kanan end process.

Update.exe
goll.exe
loadadv455.exe
drsmartload.exe
goll.exe
two.exe
vcncr.exe
rorjxk.exe
eyewblbby.exe
cgqrvrva.exe

Cari dah Hapus kedua Folder ini:

C:Program FilesCommon Files{28676FB5-0AE9-3081-1205-03030930003d}
C:Program FilesCommon Files{38676FB5-0AE9-3081-1205-03030930003d}

Cari dan Hapus File-File ini di dalam Folder C:Windows\system32\

goll.exe
drv.exe
loadadv455.exe
one.exe
two.exe

Di dalam Folder: C: Documents and Settings[current user]
(Current User merupakan nama account anda)
Cari dan Hapus File-File ini:

goll.exe
drv.exe
loadadv455.exe
one.exe
two.exe

Di dalam Drive: C: Cari dan Hapus File-File ini:

goll.exe
drv.exe
loadadv455.exe
one.exe
two.exe
drsmartload.exe

Update Antivirus anda dengan update definition terbaru dan lakukan full scan. sebelum melakukan full scanning matikan dahulu sytem restore. Jika anda belum memiliki anti virus NOD32 merupakan pilihan terbaik.
Anda mungkin perlu menginstall ulang MSN setelah membersihkan virusnya.
Cara diatas merupakan cara manual menghilangkan virusnya. Berikut adalah removal virus MSN. silahkan download MSN Virus Removal Tool atau MSN Fix. kemudian jalankan.
Download link 1 :

Code:

http://dli.sharekingdom.com/download/570/MSNVRl.exe/Antivirus

Download Link 2 :

Code:

http://www.mediafire.com/?m1xvtyjmjgt

MSN Fix.
Download link 1 :

Code:

http://dli.sharekingdom.com/download/570/MSNFix.zip/Antivirus

Download Link 2 :

Code:

http://www.mediafire.com/?oklluhvxnxt

Mengatasi virus kavo, kvxo-menyebabkan ym error, exit sendiri dan tidak bisa login

2008-10-28T14:58:00.001+08:00

Pernahkah ym anda exit sendiri ketika anda mecoba sign in id yahoo. atau keluar pesan error. bisa dipastikan anda tekena virus kavo.
Cara menghilangkannya:

Putuskan koneksi internet anda.
Matikan system restore, klik kanan my computer-properties-system restore-turn off system restore on all hard drive
Download removalnya.
Klik 2 kali file kavo_killer.exe
Klik gambar monsternya.
Klik OK.

Atau menggunakan kxvo fix. klik dua kali file Kxvo -fix.exe klik delete.

Code:

http://www.indowebster.com/Kavo_Removal.html

virus ym

2008-10-28T14:56:00.000+08:00

Trojan / virus ini amat menyebalkan karen secara terus menerus dalam interval waktu tertentu mengirimkan message dalam bahasa vietnam ke contact list kita.

Tutup Browser anda. Log out messenger / Putuskan koneksi internet.
Untuk mengaktifkan Fungsi regedit yang telah didisable virusKlik Start, Run and ketik perintahdibawah ini: (Tinggal copy – paste)REG add HKCUSoftwareMicrosoftWindowsCurrentVersionPolicies System /v DisableRegistryTools /t REG_DWORD /d 0 /f
Untuk Mengaktifkan Task Manager yang didisable virus: (Untuk menghilangkan procces kita memerlukan task manager, bisa juga menggunakan software lain)Klik Start, Run and ketik perintahdibawah ini: (Tinggal copy – paste)
REG add HKCUSoftwareMicrosoftWindowsCurrentVersionPolicies System /v DisableTaskMgr /t REG_DWORD /d 0 /f
Sekarang kita rubah default page Internet Expplorer melalui regedit.
Start>Run> ketik Regedit
Dari lokasi dibawah ini ganti default home pagenya dengan google.com atau kosongkan HKEY_CURRENT_USERSOFTWAREMicrosoftInternet ExplorerMain
HKEY_ LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerMain
HKEY_USERSDefaultSoftwareMicrosoftInternet ExplorerMain
Hentikan Process virusnya dengan menekan Ctrl + Alt + Del
End task process svhost32.exe . ( kemungkinan lebih dari satu-periksa dengan teliti)
Delete file svhost32.exe , svhost.exe dari folderWindows/ & temp/ directories. Atau gunakan fasilitas search windows explorer.
Masuk regedit cari dah delete key svhost yang ditemukan
Restart komputer anda dan komputer anda sudah bersih dari trojan / virus ini.

berikut adalah removal untuk menghilangkan trojan/virus
Download link :

Code:

http://dli.sharekingdom.com/download/570/RVY.vbs/Antivirus

bia tidak berhasil gunakan Norman mallware remover.

Code:

http://download.norman.no/public/Norman_Malware_Cleaner.exe

Mengatasi Search option yang hilang

2008-10-28T11:08:00.003+08:00

Pernah mengalami search option tidak muncul, yang ada cuma animated screen character saja. kemungkinan besar adalah adanya perubahan pada registry anda yang disebabkan oleh virus.
Untuk mengtasinya. lakukan hal berikut.
Klik Start - Run
ketik regsvr32 wshom.ocx enter
ketik regsvr32 jscript.dll enter
ketik regsvr32 urlmon.dll enter

Harddisk / Flashdisk Tidak bisa di klik 2x (muncul open with, error message)

2008-10-28T11:08:00.001+08:00

wah ga bsa di dobel klik nih FD nya...
"can't find *bla-bla-bla* .dll"

Pilih salah satu langkah berikut. tidak perlu semuanya dijalankan.

1. Klik kanan hardisk-properties-tools-check now- klik automatically fix file system errors-klik start.

2. Klik tools-folder option-view. klik show hidden files and folder. Hilangkan hide protected operating system file (recomended)
cari file autorun.inf di semua drive dan hapus.

3. Gunakan Flash Disinfector

Code:

http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

Untuk menghindari terinfeksi virus dari removable drive sebaiknya Matikan autoplay drive. Lihat #5 Tips Mencegah Komputer Terinfeksi Virus dari Removable Drive untuk lebih jelasnya.

Tambahan, bila anda mengklik 2x drive anda kemudian terbuka di new windows, maka gunakan cara ini agar ketika drive diklik 2 x akan terbuka di windows yang sama.
masuk regedit (klik start-run ketik regedit) masuk ke
HKEY_CLASSES_ROOT/Drive/Shell.
di sebelah kanan klik 2 (default) isinya harus none

YM ga nongol tulisannya.. ?

2008-10-28T11:07:00.000+08:00

jund: kmu dimana ?
someone : apa ?
jund: z.z.z. dimana kamu
someone: ga muncul tulisanmu jund...
jund: wew...

jadi inget temen yang sempet reinstal o/s gara² kek gini..

berikut langkah-langkah untuk mengatasi hal tersebut.

Klik Start - Run
ketik regsvr32 wshom.ocx enter
ketik regsvr32 jscript.dll enter
ketik regsvr32 urlmon.dll enter
ketik regsvr32 c:\Windows\System32\vbscript.dll enter

Bila tidak berhasil download script berikut ini. kemudian install di komputer anda. terus restart.

Code:

http://dli.sharekingdom.com/download/570/Scripten%20WinXP.exe/Antivirus

Kemudian Klik Start - Run

ketik regsvr32 c:\Windows\System32\vbscript.dll Enter.
atau download ini.

Code:

http://imac-252a.stanford.edu/programs/VBscript/scripten.exe

watch out...

2008-09-24T15:37:00.001+08:00

-= GoldenGhost Was Here =-

Hasil copy / paste teks komputer terinfeksi akan digantikan dengan desahan

Kalau Hellboy dalam pertarungannya menyelamatkan bumi harus menghadapi Pasukan Emas (Golden Army), maka pengguna internet Indonesia tanpa bantuan Hellboy harus menghadapi Hantu Emas (Golden Ghost). Bagi anda yang terinfeksi virus ini, harap berhati-hati karena ia akan merubah default page browser Internet Explorer ke www.playboy.com.

Saat ini virus lokal bukan saja sekedar membuat file duplikat, menyembunyikan file atau injeksi file data (Ms. Office) tetapi sudah sampai menginjeksi file executable (exe file) walaupun file yang diserang masih sebatas single file (bukan hasil file instalasi) media penyebarannya pun sudah semakin canggih bukan saja melalui media Flash Disk atau jaringan tetapi sudah menggunakan aplikasi email atau media chating seperti IRC walaupun virus lokal seperti ini masih jarang tetapi ini merupakan kemajuan yang sangat pesat.

Setelah kemunculan virus Maxtrox yang sempat membuat panik end user karena menyebabkan semua program tidak dapat dijalankan, kini muncul jenis virus baru yang sedang mengintai para mengguna komputer.

Virus ini mempunyai target akan menginjeksi file executable (exe) dan Norman Security Suite sudah dapat memperbaiki file yang sudah di injeksi tersebut.

Ciri-Ciri Virus

Ciri-ciri yang mudah dikenali dari virus ini adalah munculnya pesan error “16 bit MS-DOS Subsystem” pada saat komputer dinyalakan. (lihat gambar 1)

Gambar 1, Pesan error saat komputer dinyalakan

Merubah nama pemilik dan nama Organisasi komputer manjadi (lihat gambar 2)

- RegisteredOrganization = GoldenGhost.Inc

- RegisteredOwner = GoldenGhost

Gambar 2, Nama pemilik Windows yang sudah diubah virus

Menambahkan string -= GoldenGhost Was Here =- pada file C:\Boot.ini sehinga pada saat booting Windows akan muncul menu tambahan dengan nama GoldenGhost Was Here =- (lihat gambar 3)

Gambar 3, Menu tambahan saat komputer booting

Virus ini dibuat menggunakan program bahasa Visual Basic dan dikompres menggunakan UPX, ukuran Virus ini cukup besar sekitar 1,312 KB. Untuk mengelabui user ia akan menggunakan icon “Windows media player”. (lihat gambar 4)

Gambar 4, File induk W32/Agent.GYMR

Dengan update terbaru Norman Security Suite mendeteksi virus ini dengan nama W32/Agent.GYMR (lihat gambar 5)

Gambar 5, Norman Security Suite mendeteksi GoldenGhost sebagai W32/Agent.GYMR

File induk W32/Agent.GYMR

Pada saat file virus di jalankan ia akan membuat beberapa file induk yang akan dijalankan setiap kali komputer dihidupkan/restart di lokasi berikut:

C:\Windows\%folder%\%file%.exe (acak)
C:\Windows\system32\%folder%\%file%.exe (acak)

Berikut beberapa nama file yang akan di buat (acak)

devil.ocx
pluto.ocx
capiw.exe
dusiw.exe
gexuw.exe
GoldenGhost.exe
mamuv.exe
ridec.exe
msvbvm60.dll
heluh.exe
muxim.exe
quniw.exe
gutum.exe
helef.exe
kabuh.exe
mideg.exe
tixec.exe
vuvey.exe

Autostart Registry

Agar file tersebut dapat dijalankan secara otomatis, ia akan membuat string pada registry berikut:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run
- GoldenGhost =C:\%SystemRoot%\%Folder%\%File%.exe atau C:\%Windir%\folder%\%Files%.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- Shell = Explorer.exe C:\%SystemRoot%\%Folder%\%File%.exe atau C:\%Windir%\folder%\%Files%.exe

Blok Fungsi Windows

Untuk mempertahankan dirinya ia akan blok beberapa fungsi windows seperti:

Disable fungsi “paste”
Disable run
Disable Searh
Disable FolderOptions
Disable menu Recent Documents
Disble Klik kanan
Disable CMD
Disable RegistryTools
Disable TaskMgr
Tidak dapat menampilkan file yang disembunyikan

Untuk melakukan hal tersebut ia akan membuat string pada registry berikut:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

Hidden = 2
HideFileExt = 1
ShowSuperHidden= 0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies

Explorer = NoClose

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer

NoFInd

NoFOlderOption
NoRecentDocsMenu
NoRUn
NoSaveSettings
NoSetFolders
NoTrayContextMenu
NoViewContextMenu

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableCMD
- DisableRegistryTools
- DisableTaskMgr

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden

type = -

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt

type = -

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden

type = -

Virus ini juga akan membuat sting pada registri berikut :

HKEY_LOCAL_MACHINE\SOFTWARE\GoldenGhost.A

- AppAll = tupin.exe (random)

- AppMirc = heluh.exe (random)

- AppOther = quniw.exe (random)

- AppSetan = gutum.exe (random)

- AppUtama = muxim.exe (random)

- Lokasi = C:\WINDOWS\System32\config (random)

Selain blok fungsi Windows di atas, ia juga akan mencoba untuk blok tools security seperti proceexp, curr preoces, pocket killbox, security task manager serta tools lainnya.

Hapus file program antivirus

Selain itu ia juga akan mencoba untuk menghapus file dari program antivirus Norman Virus Control, Kaspersky dan McAfee yang mempunyai ekstensi *.exe, *.zip, *.dll.

Merubah informasi Windows

Untuk menunjukan eksistensinya ia akan merubah nama pemilik Windows menjadi :

- RegisteredOrganization = GoldenGhost.Inc

- RegisteredOwner = GoldenGhost

Dengan merubah string pada registry berikut:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion

- RegisteredOrganization = GoldenGhost.Inc

- RegisteredOwner = GoldenGhost

HKEY_CURRENT_USER\Software\Microsoft\MS Setup (ACME)\User Info

- DefCompany = GoldenGhost.Inc

- DefName = GoldenGhost

HKEY_USERS\S-1-5-21-2025429265-527237240-725345543-1003\Software\Microsoft\MS Setup (ACME)\User Info"

- DefCompany = GoldenGhost.Inc

- DefName = GoldenGhost

(lihat gambar 2 di atas)

Mengakses Playboy dan mengeluarkan teks nakal saat copy and paste

Selain merubah nama pemilik Windows, ia juga akan merubah alamat utama Internet Explorer menjadi http://www.playboy.com/ dengan terlebih dahulu membuat string pada registry berikut:

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

- Start Page = http://www.playboy.com/

Host file windows juga tak luput dari serangan virus ini yakni dengan manghapus isi dari file “C:\Windows\System32\Drivers\etc\host”. Selain menghapus isi file Host tersebut ia juga akan menambahkan string @echo off pada file “C:\autoexec.bat” dan menambahkan string -= GoldenGhost Was Here =- pada file “C:\boot.ini” sehingga setiap kali komputer booting akan muncul satu menu tambahan dengan nama GoldenGhost Was Here =-, jika menu ini dipilih maka komputer akan restart. (lihat gambar 3 di atas)

Merubah hasil Copy and Paste teks menjadi desahan

Virus ini juga akan menampilkan text Oohhh... Aughhhh... yess... babbby...!! setiap kali user copy paste isi text file. (lihat gambar 6 dan 7)

Gambar 6, Teks yang di [copy] adalah “The type of the file system is FAT”

Gambar 7, Hasil [paste] yang seharusnya “The type of the file system is FAT” dirubah menjadi desahan “Oohhh ... Aughhhh... yess... babbby”

Membuat file duplikat dan menginjeksi EXE file

Virus ini juga akan membuat file duplikat disetiap folder yang di akses sesuai dengan nama folder tersebut atau sesuai dengan caption text dari suatu file / aplikasi yang dijalankan. (lihat gambar 8)

Gambar 8, File duplikat yang dibuat oleh virus

Selain membuat file duplikat, virus ini juga akan mencoba untuk menginjeksi file yang mempunyai ekstensi EXE, ukuran file yang berhasil di injeksi ini akan bertambah sekitar 1.312 KB dari ukuran semula, sehingga jika user menjalankan file tersebut maka secara otomatis akan menjalankan dirinya, dengan update terbaru Norman Security Suite sudah dapat memperbaiki setiap file yang di injeksi.

“Error 16 bit MS-DOS Subsystem”

Setiap kali komputer dinyalakan virus ini akan memunculkan pesan “error 16 bit MS-DOS Subsystem”, pesan error ini juga akan mucul setiap berapa menit sesuai dengan waktu yang sudah ditentukan serta membuat file duplikat (random) di direktori “C:\Windows” yang kemudian file yang sudah dibuat tersebut akan dihapus kembali.

Media penyebaran

Virus ini akan berusaha untuk join kesejumlah channel IRC seperti Surabaya, Jakarta, Medan, Bandung, Jogja, Malang, Solo, Sembarang dengan menggunakan aplikasi chat IRC dengan terlebih dahulu melakukan koneksi ke salah satu server IRC berikut punch.va.us.dal.net, rumble.fl.us.dal.net, mozilla.se.eu.dal.net, swiftco.wa.us.dal.net, haarlem.nl.eu.undernet.org dan plasa.id.allnetwork.org dalam rangka menyebarkan dirinya.

Berikut beberapa pesan yang akan dikirimkan :

nick, free picture indonesia sex double klik url
nick Ada info baru ne Marshanda, Agnes Monica, Dian Sastro, Bunga.C Dah Berani Bugil, Untuk liat Fotonya double klik url
artis indonesia nude, double klik url
nick , indo artis majalah playboy double klik url
nick mo liat artis majalah playboy indo
nick indonesia free porn, double klik url
ce bangsa indo, double klik

Karena itu, para pengguna IRC harap berhati-hati dan jangan mudah percaya janji-janji gombal yang menyebar di IRC. Mengharapkan gambar, anda malah akan mendapatkan virus.

Selain menyebar dengan menggunakan media chating (IRC), ia juga akan menggunakan flash disk sebagai media penyebaran dirinya dengan membuat file duplikat dengan ciri-ciri:

Icon Windows Media Player
Ukuran 1.312 KB
Ekstensi EXE
Type File “Application”

Menghapus file pada flash disk

Aksi terakhir yang dilakukan adalah mencoba untuk menghapus file yang mempunyai ekstensi *.mov,*.wmv, *.3gp, *.avi, *.mpg, *.mpeg pada drive E:\

Cara membersihkan W32/Agent.GYMR

Matikan proses virus. Untuk mempercepat proses penghapusan gunakan tools “Ice Sword”. Blok proses yang mempunyai icon Windows Media Player kemudian klik kanan pada proses tersebut dan klik “Terminate Process”. Silahkan download tools tersebut di alamat berikut : (lihat gambar 9)

http://www.4shared.com/file/62289467/cf8da562/Ice_Sword_v122.html?dirPwdVerified=feea1d94

Gambar 9, Gunakan program Ice Sword untuk menghentikan proses virus

Repair registry yang sudah di ubah / dibuat oleh virus. Untuk mepercepat perbaikan registri salin script dibawah ini pada program "notepad" kemudian simpan dengan nama "repair.vbs" kemudian jalankan file tersebut dengan klik 2x file repair.vbs.

Dim oWSH: Set oWSH = CreateObject("WScript.Shell")

on error resume Next

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command\","""%1"" %*"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\scrfile\shell\open\command\","""%1"" /S"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\AlternateShell","cmd.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell","Explorer.exe"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\system",""

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOrganization","Your Organization"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOwner","YourOwner"

oWSH.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page","about:Blank"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\type","Group"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\type","checkbox"

oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\type","checkbox"

oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\GoldenGhost")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetFolders")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoTrayContextMenu")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoViewContextMenu")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSaveSettings")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRecentDocsMenu")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Nofind")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCMD")

oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools")

oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\GoldenGhost.A\")

Hapus file induk dan file duplikat virus. Untuk mempercepat proses penghapusan gunakan search windows dengan terlebih dahulu menampilkan file yang tersembunyi. Jika folder option dan search belum muncul restart / logoff komputer terlebih dahulu. (lihat gambar 10)

Gambar 10, Menampilkan file yang tersembunyi

Setelah file ditemukan, hapus file yang mempunyai ukuran 1,312 KB. selain itu hapus juga file :

- devil.ocx = 1 KB

- pluto.ocx = 1 KB

- GoldenGhost.exe =1 KB

Hapus string @echo off pada file [C:\Autoexec.bat]
Hapus string -= GoldenGhost Was Here =- pada file [C:\boot.ini]
Restore Host File Windows dengan menggunakan tools Hoster.

Silahkan download tools tersebut di alamat berikut:

http://www.4shared.com/file/62290120/73265114/HostsXpert.html?dirPwdVerified=feea1d94

Untuk merestore host file windows, klik tombol "Restore MS Host File " pada tools HosterExpert tersebut. (lihat gambar 9)

Gambar 11, Mengembalikan Host File Windows dengan Hoster

Jika menggunakan antivirus Norman / Mcafee / Kaspersky sebaiknya install ulang antivirus tersebut kemudian scan komputer untuk memastikan komputer benar-benar bersih dari virus. Bagi pengguna Norman yang membutuhkan support untuk masalah antivirus anda, silahkan hubungi support@vaksin.com untuk mendapatkan bantuan dari teknisi Vaksincom (gratis) dengan menunjukkan Kartu Lisensi.

Norman Virus Contol disinfected W32/Agent.GYMR

Update terbaru Norman Security Suite sudah dapat memperbaiki setiap file yang diinjeksi oleh W32/Agent.GYMR. Silahkan download antivirus Noman atau removal tools berikut.

Download antivirus Norman

http://www.norman.com/Download/Trial_versions/

Download removal tools

http://www.4shared.com/file/63315440/4932579b/AgentGYMR_Cleaner.html?dirPwdVerified=feea1d94

sumber vaksin.com

Oprek o/s XP

2008-07-25T10:44:00.000+08:00

1. Memperbaiki Instalasi (Repair Install)

Jika Windows XP Anda rusak (corrupted) dimana Anda tidak mempunyai sistem operasi lain untuk booting,
Anda dapat melakukan perbaikan instalasi (Repair Install) yang bekerja sebagaimana setting (pengaturan)
yang awal.

- Pastikan Anda mempunyai kunci (key) Windows XP yang valid.
- Keseluruhan proses akan memakan waktu kurang lebih 1/2 atau 1 jam, tergantung spek komputer Anda.
- Jika Anda dimintai password administrator, sebaiknya Anda memilih opsi perbaikan (repair) yang kedua,
bukan yang pertama.
- Masukkan CD Windows XP Anda dan lakukan booting dari CD tersebut.
- Ketika sudah muncul opsi perbaikan kedua R=Repair, tekan tombol R
Ini akan memulai perbaikan.
- Tekan tombol F8 untuk menyetujui proses selanjutnya "I Agree at the Licensing Agreement"
- Tekan tombol R saat direktori tempat Windows XP Anda terinstal. Biasanya C:\WINDOWS
Selanjutnya akan dilakukan pengecekan drive C: dan mulai menyalin file-file.
Dan secara otomatis restart jika diperlukan. Biarkan CD Anda dalam drivenya.
- Berikutnya Anda akan melihat sebuah gambar "progress bar" yang merupakan bagian dari perbaikan,
dia nampak seperti instalasi XP normal biasanya, meliputi "Collecting Information, Dynamic Update,
Preparing Installation, Installing Windows, Finalizing Installation".
- Ketika ditanya, klik tombol Next
- Ketika ditanya untuk memasukkan kunci, masukkan kunci (key) Windows XP Anda yang valid.
- Normalnya Anda menginginkan tetap berada dalam nama Domain atau Workgroup yang sama.
- Komputer akan restart.
- Kemudian Anda akan mempunyai layar yang sama sebagaimana pengaktifan sistem ketika instalasi normal.
- Register jika Anda menginginkannya (biasanya tidak diperlukan).
- Selesai

Sekarang Anda bisa log in dengan account Anda yang sudah ada.

________________________________________ _______________________ ________________________________________ _______________________

2. NTOSKRNL Rusak atau Hilang (Missing or Corrupt)

Jika Anda mendapati pesan error bahwa "NTOSKRNL not found" / NTOSKRNL tak ditemukan, lakukan:
- Masukkan CD Windows XP dan booting dari CD tersebut.
- Pada saat muncul opsi R=Repair yang pertama, tekan tombol R.
- Tekan angka sesuai dengan lokasi instalasi Windows yang ingin diperbaiki yang sesuai.
- Biasanya #1
- Pindahlah ke drive CD Drive Anda berada.
- Tulis: CD i386
- Tulis: expand ntkrnlmp.ex_ C:\Windows\System32\ntoskrnl.exe
- Jika Windows XP Anda terinstal di tempat lain, maka ubahlah sesuai dengan lokasinya.
- Keluarkan CD Anda dan ketikkan EXIT

________________________________________ _______________________ ________________________________________ _______________________

3. HAL.DLL Rusak atau Hilang (Missing or Corrupt)

Jika Anda mendapatkan error berkenaan dengan rusak atau hilangnya file hal.dll, ada kemungkinan
file BOOT.INI mengalami salah konfigurasi (misconfigured).

- Masukkan CD Windows XP dan booting dari CD tersebut.
- Pada saat muncul opsi R=Repair yang pertama, tekan tombol R.
- Tekan angka sesuai dengan lokasi instalasi Windows yang ingin diperbaiki yang sesuai.
- Biasanya #1
- Tulis: bootcfg /list
Menampilkan isi/masukan pada file BOOT.INI saat ini
- Tulis: bootcfg /rebuild
Memperbaiki konfigurasi dari file BOOT.INI
- Keluarkan CD Anda dan ketikkan EXIT

________________________________________ _______________________ ________________________________________ _______________________

4. NTLDR atau NTDETECT.COM tak ditemukan (NTLDR or NTDETECT.COM Not Found)

Jika Anda mendapati error bahwa NTLDR tak ditemukan saat booting:

a. Untuk partisi tipe FAT
- Silakan Anda melakukan booting dari disket Win98 Anda dan salinlah file NTLDR atau NTDETECT.COM
dari direktori i386 ke drive induk/akar (root) C:\

b. Untuk partisi tipe NTFS
- Masukkan CD Windows XP dan booting dari CD tersebut.
- Pada saat muncul opsi R=Repair yang pertama, tekan tombol R.
- Tekan angka sesuai dengan lokasi instalasi Windows yang ingin diperbaiki yang sesuai.
- Biasanya #1
- Masukkan password administrator jika diperlukan.
- Masukkan perintah berikut, dimana X: adalah alamat drive dari CD ROM Anda (Sesuaikan!).
- Tulis: COPY X:\i386\NTLDR C\:
- Tulis: COPY X:\i386\NTDETECT.COM C:\
- Keluarkan CD Anda dan ketikkan EXIT

Semoga bermanfaat..

Repair windows tanpa format

2008-07-23T13:51:00.003+08:00

pagi waktu menuju ke TKP... tiba² hp geter²... "jun komputer nya mba' sri error... blue screen"
wah error lg nih... segera sesampainya di TKP langsung melihat barang bukti.. hehe.. kek BUSER aj nih..
pas gw nyalain kompnya.... jreeeng.. muncuL kata² sakti "Windows could not start because the following files is missing or corrupt
\WINDOWS\SYSTEM32\CONFIG\SYSTEM "
wah .. apa yaah commandnya.. lupa ui... coba tlpn tmn² dlu .. kali aja ad yg inget...

"tuuuut...tuuuut.. tuuuuut..
Mr.X : ya halo..
☼ : mas... ganggu nih... lg repot ga...
Mr.X : ga'.. knp jun..
☼ : anu.. mau tanya command nya untuk repair windos ap ya.. lupa nih...
Mr.X : o0o... gini jun... kemungkinan windosmu... bla..bla..bla.... trus ntr bla.. bla...bla..
☼ : *buset ga nyambung nih... * o0o iya mas makasih...

tlpn ke yg lainnya lagi dagH...
*nsp ST12.. aku masih sayang...*
Mr.Z : halo... pagi...
☼ : pagi mas... lg sibuk ga ?
Mr.Z : ga juga sih... knp jun...
☼ : tau command repair windos ga... .
Mr.Z : umm... yang mana yaaa itu...
☼ : *GUBRAAKK !!! * itu ... yg pijit R pas instal windos nya.
Mr.Z : o0o... klo ga salah mesti di rename apa nya gtu jun.. lupa aku...
☼ : o0o rename yaa... system ya.. ic²... makasih mas...
Mr.Z : iya sama²...
*yg ini masih mending lpa tapi inget juga nyambung dikit :) *

akhirnya gw rename system nya.. .trus di copy system yg baru dari cd windos nya...
berikut langkah² ya :

Direktori \WINDOWS\SYSTEM32\CONFIG rusak atau hilang

MuncuL Tulisan :

"Windows could not start because the following files is missing or corrupt
\WINDOWS\SYSTEM32\CONFIG\SYSTEM or \WINDOWS\SYSTEM32\CONFIG\SOFTWARE"

- Masukkan CD Windows XP dan booting dari CD tersebut.
- Pada saat muncul opsi R=Repair yang pertama, tekan tombol R.
- Tekan angka sesuai dengan lokasi instalasi Windows yang ingin diperbaiki yang sesuai.
- Biasanya #1
- Masukkan password administrator jika diperlukan.
- Tulis: cd \windows\system32\config
- Berikutnya tergantung di bagian mana letak terjadinya kerusakan:
- Tulis: ren software software.rusak ATAU ren system system.rusak ( klo ga bsa di rename coba di check disk dlu drive C: nya )
- Berikutnya lagi juga tergantung di bagian mana letak terjadinya kerusakan:
- Tulis: copy \windows\repair\system
- Tulis: copy \windows\repair\software
- Ketikkan EXIT

kemudian boot biasa ke hard disk.. jgn ke cd lg...
jreeeeeng.... windows nya ud bisa jalan lagi... horeeee...
ups... driver² nya kok tanda tanya ????
iya .. coz system nya kan di ganti yg baru... jd ya mesti di instal driver nya lagi.. untuk sound,vga, pci, dll

tapi file² and data kita ga ilang.. 100% masih ad ....
program instalan juga tetep jalan....

selamat mencoba