Kontribusi Berita dan Konten

Anda dapat mengirimkan konten ataupun berita yang ingin anda tayangkan di situs PPHP. Berita ataupun konten yang anda kirimkan akan kami periksa terlebih dahulu sebelum ditayangkan. Silahkan login melalui form di bawah ini atau registrasi jika belum menjadi anggota dengan mengisi data anda dengan lengkap. Pastikan kotak isian yang bertanda (*) terisi dengan benar. Dengan mengirimkan berita/content kepada PPHP berarti anda sudah membaca dan menyetujui persetujuan untuk menjadi kontributor.


belum menjadi anggota? daftar disini
×

Registrasi User

Silahkan isi form di bawah ini dengan mengisi data anda dengan lengkap. Pastikan kotak isian yang bertanda (*) terisi dengan benar. Dengan mengirimkan berita/content kepada PPHP berarti anda sudah membaca dan menyetujui persetujuan untuk menjadi kontributor.

×

Aturan persetujuan pengiriman konten

Pengunjung yang terhormat, Pengiriman berita/konten ke situs PPHP diharapkan dan diharuskan memenuhi persetujuan yang ada seperti dibawah ini. Hal ini dilakukan untuk menghindari hal-hal yang tidak diinginkan dan juga untuk menjaga keakuratan data yang nantinya akan tersimpan di situs ini. Adapun beberapa point yang harus diperhatikan antara lain:

Saya setuju, lanjutkan ke pendaftaran atau login

×
Home  » 

Info Virus [Urgent]

Virus Depok yang memanipulasi diri sebagai folder windows

Dibawah sinar bulan purnama
Hati susah jadi senang
Gitar berbunyi riang gembira
Jauh malam dari petang

Dibawah sinar bulan purnama
Hati sedih tak dirasa
Si miskinpun yang hidup sengsara
Semalam hidup bersuka

Satu tahun terakhir ini penyebaran virus lokal masih menjadi sorotan utama setiap kalangan para pengguna komputer, dimulai dari sejarah Kangen, Kumis, Tabaru, Rontokbro, Romdil dan yang sedang berkembang saat ini adalah virus hasil evolusi Rontokbro yakni Mybro.

Walaupun penyebaran virus non lokal sempat muncul [pada kasus small.KI] dimana virus ini setiap tanggal 3 tiap bulannya akan mencoba untuk merusak semua file office [ms.word atau ms.excel] Vaksincom mengingatkan pada para pengguna komputer untuk membackup data pentingnya secara teratur karena sampai hari ini Small.KL / Kamasutra masih banyak menyebar dan akan menghapus file Office korbannya setiap tanggal 3 setiap bulan. dan file yang dikompresi (menggunakan ZIP dan RAR) sehingga ukuran file menjadi 1 KB dan jika file tersebut dibuka yang tersisa hanya sebuah tulisan (Data error), tetapi hal itu belum berhasil menggeser kedudukan virus lokal yang beredar selama ini.

Dari sekian banyak virus lokal yang menyebar mempunyai karakteristik yang berbeda-beda tetapi yang pasti tujuan mereka sama dan tentu “sangat” merugikan kita semua. Virus lokal termasuk virus yang cepat beradaptasi, kenapa dikatakan demikian ? Karena ia akan mencoba untuk menyesuaikan dirinya sesuai dengan “trend” dan kebiasaan yang dilakukan oleh user (terutama user yang awam terhadap komputer), seperti menyamarkan icon dari file yang terinfeksi, seperti menggunakan bentuk icon Folder atau icon file MS Word dimana sebenarnya dirinya adalah file executable dengan ekstensi .exe.

Virus lokal juga kental dengan aroma “percintaan” entah itu perasaan “suka” ataupun “duka”, sebut saja kangen, pesin atau fawn dan masih banyak lagi termasuk virus W32/Lightmoon.A yang mulai menyebar pada awal bulan Maret 2006 dan dilihat dari script virus ini dibuat oleh seseorang yang berasal dari kota “DEPOK”. Pada saat ini Norman Virus Control sudah mendeteksi varian Lightmoon sampai dengan varian ke empat W32/Lightmoon.D

Sama seperti kebanyakan virus lokal yang beredar, dimana Lightmoon juga akan menyamarkan icon dari file yang terinfeksi yakni dengan menggunakan icon “folder” tetapi mempunyai ekstensi .scr dengan ukuran 39 KB. Hal ini dimaksudkan agar dapat mengelabui user, karena setting default dari windows adalah menyembunyikan ekstensi dari setiap file, sehingga user sulit membedakan antara “folder” dan “file” yang memalsukan diri sebagai folder.

Jika diaktifkan, Lightmoon.A aktif akan membuat beberapa file induk untuk dijalankan pertama setiap komputer dinyalakan diantaranya :

· C:\Windows\Java\Clases\bin\Csrss.exe

· C:\Windows\system32\Mysqld-nt.cmd

· C:\WINDOWS\Brico.cmd

· C:\Windows\system32\APPLOG\Sys\Winlogon.exe

· C:\Windows\command.com

· C:\windows\systask.exe

· C:\Windows\system32\run32dll.exe

· C:\windows\syetm32\remotesp.cmd

· C:\windows\system32\dllchace\%string%\MSOWCF.cmd

· C:\WINDOWS\COMMAND\SETRAMD.cmd


Selain itu Lightmoon.A juga akan membuat file dengan format DATA %user login% .SCR di direktori C:\ dan C:\Documents and Settings\%user%\My Documents

Catatan: %user login% adalah user yang digunakan pada saat login windows [contoh : data administrator.scr]

Sebagai penunjang Lightmoon.A akan membuat string pada registri agar virus ini dapat “langsung” aktif setiap kali komputer dinyalakan.

· HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

o MooNlight=C:\Windows\system32\mysqld-nt.com

o payLoad=C:\Documents and settings\%user%\My Documents\Msg to Titts.txt

· HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

o ObjectDock = C:\WINDOWS\Brico.cmd

Pesan untuk Titta

Pada saaat komputer dinyalakan Lightmoon.A akan menampilkan sebuah program notepad yang berisi satu pesan untuk sesorang dengan nama “Titta”, dengan isi seperti berikut :

”Titta.... gw belom kawin ko,

yang ydht bilang itu Cuma gosip

gw masih di depok, gw kuliah di ***

Gw perlu kabar & telp lo... kasih tau ydht ya

gw masih menghadap kan elo :{

gw perlu kepastian hat1 gw ... gw cape

gw ga pernah marah sama lo

Titta.....,

bye

Untuk melakukan hal tersebut Lightmoon.A akan membuat string pada registry key untuk menjalanakan file yang ada di direktori C:\Documents and settings\%user%\My Documents\Msg to Titts.txt

· HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

o payLoad=C:\Documents and settings\%user%\My Documents\Msg to Titts.txt

Media Penyebaran

Dalam rangka memperbanyak dirinya Lightmoon.A akan berusaha untuk secara terus menerus mengakses Floppy Drive [Disket] untuk mengkopikan sebuah file dengan format (DATA %user login%.scr), dimana %user login%.scr adalah user name yang digunakan untuk login windows, contohnya: jika user name yang digunakan adalah administrator maka virus ini akan membuat file DATA ADMINISTRATOR.SCR pada disket. Selain menyebar melalui Disket Lightmoon.A juga akan menyebar melalui UFD (USB Flash Drive) dan File sharing.

Disable system security

Untuk mempermdah penyebaran dirinya, Lightmoon.A akan mencoba untuk mematikan beberapa fungsi windows termasuk menyembunyikan “folder option”, sehingga file yang statusnya hidden (tersembunyi) tidak ditampilkan sehingga mempersulit dalam proses pembersihan dan justru sebaliknya akan mempermudah user untuk menjalankan file bervirus tersebut, karena user tidak dapat membedakan file virus dan file asli hal ini disebabkan karena setiap ekstensi file akan disembunyikan, untuk melakukan hal tersebut Lightmoon.A akan membuat string pada registry key

§ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

o NoFolderOptions = 1

Selain menyembunyikan folder option, Lightmoon.A juga akan mencoba untuk memblok akses registy editor, msconfig, task manager dan cmd dengan metode yang berbeda dari virus lain, yaitu dengan cara “membelokkan” akses dari fungsi tersebut [registry editor, msconfig, task manager dan cmd] agar menjalankan file virus Lightmoon.A yang telah ditentukan, sehingga jika user mencoba untuk menjalankan fungsi windows tersebut maka secara tidak langsung telah menjalankan virus tersebut, untuk melakukan hal itu Lightmoon.A akan membuat perubahan pada registri sebagai berikut :

· HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

o Msconfig.exe

§ debugger = C:\WINDOWS\system32\remotesp.cmd

o Regedit.exe

§ debugger = C:\WINDOWS\command.com

o cmd.exe

§ debugger = C:\WINDOWS\system32\MySqld-nt.cmd

o taskmgr.exe

§ debugger = C:\WINDOWS\Brico.cmd

· HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system

o DisableRegistryTools=1

Selain mencoba untuk manipulasi fungsi Windows diatas, Lightmoon.A juga akan mencoba memanipulasi “Folder Windows” yang terletak di direktori C:\windows dengan cara menyembunyikan folder C:\Windows dan untuk mengelabui user Lightmoon.A akan membuat file duplikat sesuai dengan nama file yang disembunyikan tersebut tetapi dengan ekstensi .scr dan “hebatnya” walaupun ekstensi dari file tersebut adalah .scr tetapi tipe file yang ditampilkan bukan “screen saver” tetapi “file folder”, sehingga user beranggapan bahwa file tersebut adalah “Folder” bukan “applikasi”. Jika user menjalankan file “duplikat” tersebut, maka isi dari folder Windows tersebut akan tetap ditampilkan, walaupun demikian sebenarnya virus tersebut telah dijalankan.

Jika diteliti lebih dalam anda akan tahu bahwa file tersebut sebenarnya berupa “file aplikasi” karena file tersebut akan mempunyai ukuran yakni sebesar 39 KB, dimana kita ketahui bahwa suatu folder “seharusnya” tidak akan mempunyai ukuran.

Sebenarnya Lightmoon.A juga berusaha untuk menyembunyikan “Control Panel” tetapi hal ini “belum berhasil” dilakukan karena ada “kesalahan” pada string yang dibuat, yakni:

§ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

o NoControlPanel = 0

§ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

o WinOldApp

§ Disable = 0

Selain itu Lightmoon.A juga akan memblok beberapa tools yang biasa digunakan untuk mematikan proses virus yang sedang aktif di memori dengan cara membaca “Caption Windows” atau berdasarkan nama “aplikasi”, antara lain : Pocket killbox, Hijackthis, ProceXp atau Security Tasks Manager

Aktif pada mode “safe mode” dan “safe mode with command prompt”

Rupanya sudah menjadi “trend” masa kini, dimana virus lokal yang beredar selama ini masih dapat aktif walau komputer booting pada mode “safe mode”, sebenarnya hal ini pertama kali diprakarsai oleh virus “Rontokbro” dimana “Rontokbro” inilah yang membuka jalan agar program yang mereka ciptakan masih dapat aktif walau komputer boting pada mode “safe mode”. Lightmoon.A juga akan melakukan hal yang sama dengan menambahkan string pada registry :

§ \HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

o Shell=explorer.exe, "C:\WINDOWS\COMMAND\SETRAMD.cmd"

Selain aktif melalui mode “safe mode” Lightmoon.A juga akan aktif pada mode “safe mode with command prompt”

Aksi lain yang dilakukan oleh Lightmoon.A adalah mencoba untuk mengusai “mouse” dengan menggerakkan kursor secara “acak” dan “biasanya” hal ini akan dilakukan pada jam 9.00 disertai suara seseorang yang sedang membacakan beberapa bait “puisi”.

Lightmoon.A cukup sulit untuk dibasmi, dari beberapa tools yang digunakan tidak memberikan pengaruh apa-apa bahkan tools tersebut akan diblok, selain itu proses dari virus ini akan sulit untuk dimatikan. Lightmoon.A juga tergolong cukup pintar walaupun masih tergolong virus yang dibuat menggunakan “Visual Basic” tetapi rupanya ia sudah memperhitungkan bahwa jika user melakukan perubahan pada file msvbvm60.dll yang berada didirektori C:\Windows\system32 dengan tujuan membasminya.

Untuk mencegah pembasmian dengan rename msvbvm60.dll Lightmoon.A mencoba melindungi dirinya dengan berbagai macam cara, diantaranya:

§ Menyembuyikan “Folder option”, sehingga user tidak dapat menampilkan file yang telah disembunyikan.

§ Menyembuyikan folder C:\WINDOWS

§ Menyembunyikan file msvbvm60.dll yang ada didirektori C:\Windows\system32

§ Membuat backup file msvbvm60.dll pada direktori C:\WINDOWS\system32\winup dengan status file tersebut akan disembunyikan.

Bukan itu saja, jika user berhasil merubah file msvbvm60.dll yang ada didirektori C:\Windows\System32, Lightmoon.A akan tetap aktif, lalu bagai mana ia melakukannnya? Rupanya Lightmoon.A akan menggunakan file msvbvm60.dll yang pernah dibuat sebelumnya (di direktori C:\Windows\system32\winup) kemudian ia akan mencoba untuk kopi ulang file msvbvm60.dll tersebut ke direktori C:\Windows\System32. Hmmm, hal ini mengilhami Vaksincom untuk melakukan hal yang sama dalam mereduksi kerugian yang dilakukan Mybro merename msvbvm60.dll :).

Sebagai penutup Lightmoon.A akan berusaha untuk membuat file duplikat dengan ciri-ciri:

§ Menggunakan icon folder

§ Ext. exe

§ Type file “application”

§ Ukuran file 39 KB

Info Lainnya :

· Seperti virus lokal lainnya, moonlight akan menduplikasi file/folder data dgn nama yang sama dan dengan extension .scr, dan akan menyembunyikan file/folder aslinya,

· Untuk mengetahui sedini mungkin coba cek komputer Anda, apakah ada file/folder dengan extension .scr dengan kapasitas 35 kb atau 39 kb dan menduplikasi folder C:\WINDOWS menjadi C:\WINDOWS tetapi mempunyai kapasitas file (mis ; C:\WINDOWS ----à 39 kb).

· Jika diketemukan mohon agar koneksi ke jaringan (LAN) diputus agar tidak menyebar ke komputer lain... tks


Muhammad Arif

Sumber : Vaksincom



Artikel Lain

PERHITUNGAN ANALISA KELAYAKAN USAHA
Penggunaan: UPJA Mesin Perontog (Power Thresher)

Diasumsikan bahwa:

kg/jam
HP
tahun
jam/hari
hari/tahun
per orang
orang
%
kg

1. Biaya Tetap

2. Biaya Tidak Tetap

3. Benefit Cost Ratio

4. Break Event Point
ton/tahun
hektar/tahun
hektar/musim

5. Pay Back Period
tahun
tahun
×