Virus komputer Virut menyebabkan berbagai gangguan seperti file yang rusak dan sistem operasi yang tidak stabil. Cara menanggulanginya adalah dengan menghapus proses virus, membersihkan file terinfeksi, memperbaiki driver, dan menghapus entri registry yang ditambahkan virus.
3. STUXNET
Kalau ditanya, virus apa yang bisa menandingi “petasan hijau” alias tabung gas 3
kg yang sering meleduk dan memakan korban jiwa yang banyak sekali dalam
beberapa bulan terakhir ini. Jawabannya adalah satu virus yang bernama
Stuxnet. Mungkin pembaca tidak terlalu mengerti kalau dibilang Stuxnet, tetapi
kalau di bilang Winsta, kemungkinan besar para administrator IT pernah
mendengar tentang hal ini, walaupun tidak sampai mengalami luka bakar tetapi
setidaknya pernah lembur gara-gara virus Winsta ini. Lalu apa hebatnya
siWinsta ini ? Salah satu sebabnya adalah aksinya yang spektakuler
menggelembungkan ukuran dirinya sehingga harddisk sebesar apapun
kapasitasnya akan penuh sehingga pengguna komputer kebingungan, kok
harddisknya penuh yah. Dan hebatnya lagi, proses Stuxnet ini menggunakan
file dll sehingga di load sebagai driver yang sah dari Realtek. Sehingga proses
mendeteksi dan membasmi virus ini menjadi cukup sulit ... lha... harus
menonaktifkan driver. Indonesia termasuk negara dengan infeksi Winsta
terbesar, sehingga para pengguna komputer yang “mendadak” mendapatkan
message “Low Disk Space” janga buru-buru beli harddisk dulu, tetapi periksa
dulu apakah komputer anda terinfeksi virus Winsta atau tidak.
Virus ini termasuk ke dalam klasifikasi virus yaitu TROJAN
5. FILE VIRUS
Bagi anda pengguna internet, sebaiknya cukup waspada
jika mengunjungi alamat website yang mengindikasi
konten porno atau pengguna yang
mengunduh software crack, karena bisa saja ternyata file
tersebut justru memiliki script trojan “Stuxnet”.
Jika anda sudah terlanjur menjalankan file tersebut, maka
“Stuxnet” telah berhasil menginfeksi komputer, dan akan
membuat beberapa file sebagai berikut :
ü C:WINDOWSsystem32winsta.exe
ü C:WINDOWSsystem32driversmrxcls.sys
ü C:WINDOWSsystem32driversmrxnet.sys
File “winsta.exe” yang dibuat akan membengkak
sebesar sisa ruang harddisk yang ada, sehingga
menyebabkan harddisk menjadi penuh (biasa-nya drive C
atau system dari OS). Sedangkan filemrxcls.sys dan
mrxnet.sys merupakan file aktif yang digunakan untuk
menginfeksi komputer dan perangkat lain yang terkoneksi
(seperti USB Flash/removable drive).
Winsta.exe sendiri sebenarnya adalah file asli Windows
yang berguna. WinStation Monitor, yaitu salah satu tools
dari Microsoft yang digunakan pada Windows 2000 untuk
melakukan monitoring Terminal Service pada sesi client.
Lokasi file tersebut juga seharusnya berada
pada C:ProgramFilesResourceswinsta.exe.
6. GEJALA & EFEK VIRUS
Beberapa gejala dan efek yang terjadi jika
anda terinfeksi trojan “Stuxnet” adalah sebagai
berikut :
Harddisk komputer-komputer di jaringan
kompak mendadak penuh dan
mendapatkan peringatan “Low Disk
Space”. File winsta.exe yang bertambah
besar menyesuaikan sisa ruang harddisk yang
anda miliki (drive C atau system OS).
1 . File Winsta bertambah besar, menyesuaikan sisa ruang harddisk yang ada
7. GEJALA & EFEK VIRUS
Karena sisa ruang harddisk yang kosong,
tentunya akan menimbulkan notifikasi dari
system windows yang menginformasikan
bahwa sisa ruang harddisk anda sudah
kosong.
2. Peringatan Low Disk Space yang disebabkan oleh membengkaknya Winsta sehingga
menghabiskan sisa ruang harddisk
8. GEJALA & EFEK VIRUS
Karena ruang harddisk yang sudah kosong, maka
anda tidak bisa menyimpan data atau
menjalankan program tertentu yang
membutuhkan sisa ruang harddisk /
menggunakan cache.
Komputer akan terasa hang/lambat dan bahkan
jika anda terkoneksi jaringan akan terputus, hal ini
dikarenakan “Stuxnet” yang menginfeksi
komputer dan menginjeksi file system. Beberapa
file system windows yang menjadi korban infeksi
adalah :
1.
2.
3.
Svchost : file yang berhubungan dengan koneksi
jaringan, dengan menginfeksi file ini maka jaringan
akan terputus.
Lsass : membuat komputer hang dan lambat serta
restart sendiri, dilakukan dengan menginfeksi file ini.
Spoolsv : tidak bisa mencetak data lewat printer,
hal ini dilakukan dengan menginfeksi file ini.
9. METODE PENYEBARAN VIRUS
Trojan
“Stuxnet” memanfaatkan dengan
baik penggunaan usb atau pun share
jaringan yang full akses. Trojan akan
melakukan infeksi komputer secara
otomatis, karena dengan membuat 2 file
yang akan ter-eksekusi dengan baik yaitu
:
Ø ~WTR[angka_acak].tmp
Ø ~WTR[angka_acak].tmp
10. MODIFIKASI REGISTRY WINDOWS
Beberapa modifikasi registry yang dilakukan oleh virus “bekol” antara lain
sebagai berikut :
Menambah Registry
1)
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMRxCls
2)
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesMRxNet
3)
HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesMRxNet
4)
HKEY_LOCAL_MACHINESYSTEMControlSet001ServicesMRxCls
5)
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY_
MRXCLS
6)
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetEnumRootLEGACY
_MRXNET
7)
HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_MR
XCLS
8)
HKEY_LOCAL_MACHINESYSTEMControlSet001EnumRootLEGACY_MR
XNET
11. Saran Pencegahan
Saran Untuk mencegah (bukan mengobati) :
Perbaiki AV and security kalian dengan anti virus
yang handal, seperti : KIS 2011 FREE 3700 DAY
Nih virus stuxnet dari flashdisk yang kedelete
otomatis sama KIS 2011 FREE 3700 DAY.
(baru dimasukan USBnya, stuxnet langsung kedelete,
"belum discan".)
12. VIRUT
Beberapa hari yang lalu kena virus, akhirnya merelakan beberapa
data dan tugas yang sangat penting harus hilang dan harus format
harddisk atau install ulang, sialnya adalah kompie yang telah diinstall
ulang kembali terjangkit virus. seperti pada judul, nama virus yang
menyerang adalah virut.
virut menyerang hampir semua exe, dll, dan file-file lain yang
bersifat executable. yang paling menyesakkan, virut menyerang
logonui.exe. file logonui.exe adalah file yang dipergunakan
windows untuk menjalankan aplikasi login saat start up, atau saat
log off, atau switch user.
aplikasi logon ui akan mengeluarkan error memory refference, dan
sebetulnya bisa diatasi dengan menset Data Execution Prevention.
penanganan ini meskipun memungkinkan kita masuk ke windows,
tapi tidak menghentikan penyebaran virus.
saya sendiri menyadari kalau terjangkit virut beberapa hari yang
lalu. terlanjur rusak sistem operasi, maka langsung saja diformat
ulang untuk yang kedua kali. langkah kali ini sedikit berbeda, yakni
:
1. hapus semua file di system restore pada harddrive
2. install ulang windows,
3. install antivirus (saya menggunakan AVAST free),
4. scan virus.
Untuk lebih lanjut KLIK tombol NEXT.....
13. VIRUS VIRUT
Virus akan melakukan serangan SPAM kepada IP-IP yang
terdapat pada data komputer pada server zombie. Secara
khusus, virus menyerang IP yang menggunakan MX (Mail
Exchanger) dengan memiliki account user pada beberapa
alamat e-mail, yaitu :
1.
2.
3.
4.
5.
yahoo.com
web.de
hotmail.com
gmail.com
aol.com
15. File Virus
Varian W32/Virut.DG memiliki beberapa file virus yang diantaranya sebagai
berikut :
C:Documents and Settings%user%reader_s.exe
C:Documents and Settings%user%%user%.exe
C:WINDOWSfontsservices.exe
C:WINDOWSSoftwareDistributionDownload[random_folder][nama_rand
om].tmp
C:WINDOWSsystem32reader_s.exe
C:WINDOWSsystem32servises.exe
C:WINDOWSsystem32regedit.exe
C:WINDOWSsystem32[angka_random].tmp (beberapa file)
C:WINDOWSTempVRT[angka_random].tmp (beberapa file)
C:WINDOWSTemp~TM[angka_random].tmp (beberapa file)
C:WINDOWSTemp[angka_random].exe (beberapa file)
C:WINDOWSTemp[nama_acak].dll (beberapa file)
Salah satu file virus menyamarkan dirinya sebagai “PE Explorer”, PE Explorer
merupakan salah satu tools yang dibuat oleh perusahaan Heaven Tools.
16. Mengubah Registry
Windows
Agar dapat aktif pada saat menjalankan Windows, virus membuat string registry pada :
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
22951 = C:WINDOWSsystem32[nama_random].tmp.exe
reader_s = C:WINDOWSsystem32reader_s.exe
Regedit32 = C:WINDOWSsystem32regedit.exe
servises = C:WINDOWSsystem32servises.exe
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion PoliciesExplorerRun
servises = C:WINDOWSsystem32servises.exe
exec = C:WINDOWSfontsservices.exe
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun
reader_s = C:Documents and Settingsklasnichreader_s.exe
servises = C:WINDOWSsystem32servises.exe
HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPolicies ExplorerRun
servises = C:WINDOWSsystem32servises.exe
HKEY_CURRENT_USERSoftwareMicrosoftWindows NTCurrentVersion Windows
load = C:WINDOWSsystem32servises.exe
run = C:WINDOWSsystem32servises.exe
Agar tidak mudah diidentifikasi oleh user, virus membuat string registry pada :
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
ExplorerAdvancedFolderHiddenSHOWALL
CheckedValue = 0
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersion
ExplorerAdvancedFolderHiddenNOHIDORSYS
CheckedValue = 0
17. Mengubah Registry
Windows
Selain itu, virus menambahkan dan mengubah string registry pada firewall:
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccess
ParametersFirewallPolicyStandarProfileAuthorizedApplicationsList
??C:WINDOWSsystem32winlogon.exe =
??C:WINDOWSsystem32winlogon.exe:*:enabled:@shell32.dll,-1
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesSharedAccess
ParametersFirewallPolicyStandardProfile
EnableFirewall = 0
HKEY_LOCAL_MACHINESOFTWAREPoliciesMicrosoftWindowsFirewall
StandardProfile
EnableFirewall = 0
18. Cara Pembersihan Virus
Matikan System Restore (XP/ME) (pada saat digunakan)
Hapus dan matikan proses virus yang aktif. Gunakan Norman Malware Cleaner untuk
mematikan sekaligus menghapus virus. Anda dapat mendownload pada link berikut:
http://normanasa.vo.llnwd.net/o29/public/Norman_Malware_Cleaner.exe
Sebaiknya anda men-download pada komputer yang masih bersih atau simpan file
tersebut dengan extension file executable lain seperti com atau cmd.
Sebelum anda menjalankan file Norman Malware Cleaner, sebaiknya ubah terlebih
dahulu extension file tersebut menjadi com atau cmd, atau anda kompress file
tersebut menjadi zip. Jalankan file yang berada dalam zip atau yang sudah
berubah menjadi com atau cmd.
Norman Malware Cleaner mampu menghapus virus, membersihkan file yang
terinfeksi virus, serta memperbaiki driver yang terinfeksi. Setelah selesai proses
pembersihan, disarankan segera restart komputer.
Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat
menggunakan script registry dibawah ini.
[Version]
Signature="$Chicago$"
Provider=Vaksincom Gendong Virut Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
19. Cara Pembersihan Virus
[UnhookRegKey]
HKLM,
SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHidden
SHOWALL, CheckedValue, 0x00010001, 1
HKLM,
SYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStand
ardProfile, EnableFirewall, 0x00010001, 1
[del]
HKCU, SoftwareMicrosoftWindowsCurrentVersionRun, reader_s
HKCU, SoftwareMicrosoftWindowsCurrentVersionRun, servises
HKCU, SoftwareMicrosoftWindowsCurrentVersionPoliciesExplorerRun
HKCU, SoftwareMicrosoftWindows NTCurrentVersionWindows, load
HKCU, SoftwareMicrosoftWindows NTCurrentVersionWindows, run
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionRun, reader_s
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionRun, servises
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionRun, 22951
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionRun, Regedit32
HKLM, SOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorerRun
HKLM,
SOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHidden
NOHIDORSYS
HKLM,
SYSTEMCurrentControlSetServicesSharedAccessParametersFirewallPolicyStand
arProfileAuthorizedApplicationsList, ??C:WINDOWSsystem32winlogon.exe
HKLM, SOFTWAREPoliciesMicrosoftWindowsFirewall
Gunakan notepad, kemudian simpan dengan nama “Repair.inf” (gunakan pilihan
Save As Type menjadi All Files agar tidak terjadi kesalahan).
20. Cara Pembersihan Virus
Sebagai antisipasi jika masih belum bisa terkoneksi dalam jaringan atau
network drive masih error, sebaiknya replace driver network yaitu file “ndis.sys”
(berukuran 179 kb) dan “TCPIP.SYS” (berukuran 351 kb) dari komputer yang
belum terinfeksi. Biasanya file tersebut berada pada
C:WINDOWSsystem32driver dan C:WINDOWSsystem32dllcache
Kembalikan hosts file yang sudah terinfeksi. Replace file “hosts” (berukuran 1
kb) dari komputer yang belum terinfeksi. Biasanya berada pada
C:WINDOWSsystem32driveretc. Anda bisa juga menggunakan tools
perubah hosts file yaitu “HostsXpert”. Anda dapat mendownload pada link
berikut: http://www.funkytoad.com/download/HostsXpert.zip
Pada hostsxpert anda dapat me-restore kembali hosts file seperti semula.
Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya
menggunakan antivirus yang ter-update dan dapat mendeteksi dan
membasmi virus ini dengan baik.
21. Replace/Inject Network
Driver
Salah satu akibat yang ditimbulkan oleh virus ini
adalah berusaha menggantikan file network
ataupun menginjeksi file tersebut. Driver network
yang berusaha digantikan adalah :
1)
2)
ndis.sys
TCPIP.sys
Akibat yang ditimbulkan adalah rusaknya driver
network walaupun sudah anda re-install driver
sehingga komputer tersebut tidak dapat terkoneksi
pada jaringan.
22. Fungsi Yang
Dimatikan
Windows Firewall dimatikan dan diproteksi. Hal ini
dilakukan untuk mencegah akses pengguna
komputer mengaktifkan kembali Firewall.
File aplikasi/executable tidak bisa dijalankan,
baik karena ukuran sudah berubah maupun
karena telah terinfeksi virus. Biasanya jika anda
ingin menjalankan suatu program baik program
antivirus ataupun program aplikasi lainnya, akan
muncul error saat dijalankan.
Tidak bisa melakukan share folder ataupun share
drive. Hal ini dilakukan untuk mencegah akses
share dari komputer lain.