Virus Baru - Harap berhati-hati, Virus YM dan Skype, Lady_Eats_Her_Shit di You Tube
Info Virus terbaru baru saya kutip dari "vaksin.com". Harap berhati-hati ya,
Ibarat Joeniar Arief yang mengatakan bahwa pengguna internet sangat “Rapuh” terhadap serangan "virus". Maka kini pengguna Messenger khususnya Yahoo Messenger dan Skype yang mendapatkan giliran menghadapi kiriman virus yang memalsukan dirinya seakan-akan sebagai pesan otentik yang dikirimkan oleh kontak dalam YM / Skype anda. Tetapi jangan sekali-kali anda mengklik link yang diberikan, sekalipun dikirimkan oleh teman anda di YM / Skype yang terpercaya karena sebenarnya pesan tersebut bukan dikirimkan oleh teman anda, melainkan oleh Penghianat Cinta ....... alias virus yang berhasil menginfeksi komputer teman anda. (lihat gambar 1). Selain mampu menyebar melalui YM dan Skype, virus ini juga menyebar melalui Flash Disk menggunakan fasilitas Autorun dan memiliki kemampuan mengupdate dirinya.
Gambar 1, Pesan YM yang memalsukan video dari You Tube
Menurut pantauan terbaru Vaksincom tanggal 10 Februari 2009, link tersebut mulai di update oleh pembuat virus dan nama filenya diganti menjadi “Your_Dad_Has_Shit_Fetish_Too.PIF” (lihat gambar 2):
Gambar 2, Nama file yang di download diganti oleh virus.
Norman Security Suite mendeteksi virus ini dengan nama Worm:Coutsonif.A (lihat gambar 3)
Gambar 3, Norman Security Suite cegah download dan mendeteksi virus ini sebagai Worm:Coutsonif.A
Ada beberapa point yang menarik dari virus ini dan perlu diperhatikan sebagai berikut :
1.
YM dan Skype, pengirim pesan dengan link bervirus adalah kontak pada YM / Skype anda. Tentunya penerimanya tidak menduga temannya akan sengaja mencelakakan dirinya dengan mengiriminya virus. Tetapi karena virus ini yang mengirimkan dirinya ke semua kontak, hal ini juga dapat merusak nama baik korban virus ini.
2.
You tube, supaya penerima link percaya dan tidak waspada, maka link yang dikirimkan seolah-olah video You Tube yang sampai saat ini file video aman dari file eksekusi / virus. Dan resiko tertinggi hanyalah tidak mendapatkan video saja.
3.
Menggunakan pemalsuan link, dimana link yang tercantum pada pesan YM tidak sesuai dengan link yang dituju yang mengarahkan pada situs download gratis Rapidshare yang digunakan untuk menyimpan file virus.
4.
Menggunakan file sharing gratis Rapidshare untuk menyebarkan dirinya, hal ini sangat efektif dan efisien karena tidak membutuhkan usaha tinggi dan infrastruktur / bandwidth Rapidshare sangat baik untuk menyebarkan file virus.
5.
Menggunakan situs penyimpanan file gratis sehingga mudah diakses oleh calon korbannya dan mudah di update oleh pembuat virus, baik dari sisi biaya dan usaha. Sekaligus relatif aman bagi pembuat virus karena agak sulit baik secara waktu dan tenaga untuk mengetahui siapa yang bertanggungjawab atas file yang di upload, dibandingkan dengan melakukan hosting di website tertentu.
Belum tuntas kasus virus Conficker yang sampai saat ini masih menjadi “momok” bagi pengguna komputer terutama bagi mereka yang mempunyai koneksi internet / jaringan dimana dalam upaya menyebarannya akan memanfaatkan satu celah keamanan dari Widows yakni MS08-067 [http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx]. Untuk informasi lebih lanjut dan bantuan menghadapi Conficker silahkan hubungi Vaksincom atau klik url http://vaksin.com/2009/0109/conficker2/conficker2.htm
Pasti Anda sudah tidak asing dengan aplikasi chat seperti Skype / Yahoo Messager yang memungkinkan Anda untuk berkomunikasi dengan teman atau rekan kerja. Kemudahan yang di dapat dari aplikasi ini tidak luput dari incaran sang pembuat virus untuk menyebarkan virus dengan cara mengirimkan dirinya ke semua kontak yang ada dalam alamat aplikasi tersebut dengan menyertakan alamat link untuk mendownload sesuatu, hal ini juga pernah terjadi pada kasus virus Sohanad [http://vaksin.com/2008/0508/sohanad-vietnam/Sohanad-Dloader.html]
Jika anda menerima pesan yang di kirim melalui Ym atau SkyPe yang menyertakan link http://studyguide102.com/Organic/YouTube/ShitLady sebaiknya jangan Anda klik apalagi menjalankan file yang di download karena saat ini sedang menyebar satu virus yang akan memanfaatkan media chat, dan parahnya lagi virus ini selain memanfaatkan aplikasi chat seperti Yahoo Messager juga akan memanfaatkan aplikasi chat lainnya seperti ICQ maupun SkyPe. Untuk mengelabui user ia akan memalsukan alamat download file dengan menyertakan alamat Youtube. Jika klik alamat tersebut secara otomatis akan mendownlad satu file dengan nama Lady_Eats_Her_Shit-_www.youtube.com yang di upload di www.rapidshare.com, jadi sebenarnya anda tidak mendownload file tersebut dari YouTube melainkan dari alamat www.rapidshare.com. File ini mempunyai ukuran sebesar 130 KB yang dibuat dengan menggunakan Program Bahasa Visual C++ . (lihat gambar 4)
Jika file yang berhasil di download tersebut dijalankan, secara otomatis ia akan membuat nama file acak dengan ekstensi *.tmp dan *.exe yang akan di simpan di direktori [C:\Documents and Settings\%user%\Local Settings\Temp] dengan nama yang berbeda-beda, contohnya : A415.tmp atau 034.exe serta drop file dengan nama Lady_Eats_Her_Shit--www.youtube.com, kemudian virus ini akan mengeksekusi salah satu file .tmp dan .exe yang telah di drop tersebut. Pada saat file yang mempunyai ekstensi .tmp di jalankan maka ia akan mengkopi file tersebut menjadi nama file lain yakni vshost.exe yang mempunyai ukuran 122 KB, file ini akan di simpan di setiap root drive [c:\ atau d:\]
Selain membuat file di atas, ia juga akan membuat beberapa file lain diantaranya:
*
C:\autorun.inf [all drive]
*
C:\RECYCLER\S-1-5-21-9949614401-9544371273-983011715-7040\winservices.exe
*
C:\WINDOWS\system32\sysmgr.exe
*
C:\WINDOWS\TEMP\5755.tmp
*
c:\windows\system32\crypts.dll
*
c:\windows\system32\msvcrt2.dll
Modifikasi Registry
Agar ia dapat aktif secara otomatis pada saat komputer aktif ia akan membuat string pada registri berikut:
*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
o
Microsoft(R) System Manager = C:\WINDOWS\system32\sysmgr.exe
*
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
o
Windows Service help = C:\RECYCLER\S-1-5-21-9949614401-9544371273-983011715-7040\winservices.exe
Virus ini juga akan memanfaatkan fitur autorun Windows dengan membuat file [autorun.inf] di setiap root drive dan di Flash Disk, pembuatan file ini di maksudkan agar ia dapat aktif secara otomatis setiap kali user mengakses drive / Flash Disk. File Autorun ini berisi script untuk menjalankan file [vshost.exe]. (lihat gambar 5)
Gambar 5, File autorun.inf memungkinkan virus aktif secara otomatis.
Virus ini juga akan membuat string dibawah ini yang mengakibatkan user hanya di perbolehkan membuka “maksimal” 11 layar aplikasi.
*
HKEY_CURRENT_USER\SessionInformation
o
ProgramCount = 11
Virus ini juga akan membatasi penggunaan port hanya sampai 8000 port dengan terlebiih dahulu membuat string pada registry berikut
*
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters
o
MaxUserPort = 8000
Dan menghapus value yang ada di registry berikut:
*
HKEY_CURRENT_USER\AppEvents\Schemes\Apps\Explorer\BlockedPopup\.current
*
HKEY_CURRENT_USER\AppEvents\Schemes\Apps\Explorer\EmptyRecycleBin\.Current
*
HKEY_CURRENT_USER\AppEvents\Schemes\Apps\Explorer\Navigating\.Current
*
HKEY_CURRENT_USER\AppEvents\Schemes\Apps\Explorer\SecurityBand\.current
Otomatis Update
Virus ini akan mencoba melakukan koneksi ke sejumlah alamat yang telah ditentukan dengan tujuan untuk memperbaharui dirinya:
66 .90 .103 .169:99 / a .exe
66 .90 .103 .169:6666 / lsass .exe
66 .90 .103 .169:443 / crss .exe
TCP:72.249.94.146:7008 Port:27
TCP:127.0.0.1:1092 Port:30
TCP:66.90.103.169:99 Port:29
TCP:66.90.103.169:6666 Port:30
TCP:66.90.103.169:443 Port:30
Port 80 IP:83.133.127.5
Port 80 IP:68.180.151.74
Port 25 IP:127.0.0.1
Port 80 IP:65.55.21.250
TCP:83.133.127.5:443 Port:17
TCP:65.54.186.47:443 Port:17
Port 80 IP:87.248.208.54
TCP:89.149.254.14:443 Port:21
Port 80 IP:64.4.33.7
Port 80 IP:207.46.11.121
Port 80 IP:65.54.186.47
Port 80 IP:88.221.26.64
TCP:65.55.16.123:443 Port:28
TCP:92.122.112.124:443 Port:28
TCP:92.122.112.124:443 Port:28
TCP:88.221.165.186:443 Port:29
TCP:88.221.165.186:443 Port:29
TCP:83.133.127.5:443 Port:18
TCP:89.149.254.14:443 Port:22
TCP:65.55.16.123:443 Port:27
TCP:65.54.186.47:443 Port:27
TCP:92.122.112.124:443 Port:27
TCP:92.122.112.124:443 Port:28
TCP:88.221.165.186:443 Port:28
TCP:89.149.254.14:443 Port:21
Media Penyebaran
Untuk menyebarkan dirinya ia akan memanfaatkan beberapa media seperti Flash Disk dengan cara membuat file vshost.exe, agar file ini dapat aktif pada saat user mengakses Flash Disk ia akan menambahkan file autorun.inf , dimana file autorun.inf ini akan menjalankan file vshost.exe tersebut.
Selain menggunakan media Flash Disk, ia juga akan memanfaatkan media Chat seperti Yahoo Messager atau SkyPe dengan cara mengirimkan link virus span style="font-style:italic;">"Worm:Coutsonif.A" ke semua kontak yang ada pada aplikasi Yahoo Messager atau SkyPe tersebut.
Pada komputer yang sudah terinfeksi virus span style="font-style:italic;">"Worm:Coutsonif.A" ini, ia mengirimkan dirinya menggunakan fitur YM “Send Message to Group” dengan tujuan supaya semua kontak di YM menerima link yang berisi virus. (lihat gambar 6)
Gambar 6, Coutsonif menggunakan fasilitas YM “Send Message to Group” untuk menyebarkan dirinya ke semua kontak YM pada komputer yang terinfeksi.
Ciri-ciri pesan yang di kirim oleh Virus Coutsonif.A ke computer target (lihat gambar 1 di atas) :
*
Alamat pengirim = ID komputer yang terinfeksi virus
*
Pesan = Lady form YouTube gets paid to EAT HER SHIT http://studyguide102.com/Organic/YouTube/ShitLady
Pada saat link tersebut di klik maka akan membuka layar Internet Explorer baru yang akan dialihkan ke alamat www.rapidshare.com kemudian akan mendownload sebuah file dengan nama Lady_Eats_Her_Shit--www.youtube.com.
Cara mengatasi Coutsonif.A
1.
Disable “System Restore” selama proses pembersihan.
2.
Disable autorun windows, agar virus tidak dapat aktif secara otomatis saat akses ke drive /flash disk.
*
Klik tombol “start”
*
Klik “run”
*
Ketik “GPEDIT.MSC”, tanpa tanda kutip. Kemudian akan muncul layar “Group Policy”
*
Pada menu “Computer Configuration dan User Configuration”, klik “Administrative templates”
*
Klik “System” (lihat gambar 7)
*
Klik kanan pada “Turn On Autoplay”, pilih “Properties”. Kemudian akan muncul layar “Tun on Autoplay propeties”
*
Pada tabulasi “Setting”, pilih “Enabled”
Gambar 8, Cara menonaktifkan Autorun.
*
Pada kolom “Tun off Autoplay on” pilih “All drives”
*
Klik “Ok”
3.
Matikan proses virus span style="font-style:italic;">"Worm:Coutsonif.A" , gunakan tools “security task manager” kemudian hapus file [sysmgr.exe, vshost.exe, winservices.exe, *.tmp]
Catatan:
*.tmp menunjukan file yang mempunyai ekstensi TMP [contoh: 5755.tmp]
*
Klik kanan pada file tersebut dan pilih “Remove”
*
Pilih opsi “Move File to Quarantine”
*
Klik “OK” (lihat gambar 9)
Gambar 9, Mengapus proses virus
4.
Repair registry yang sudah diubah oleh virus span style="font-style:italic;">"Worm:Coutsonif.A" . Untuk mempercepat proses penghapusan silahkan salin script dibawah ini pada program notepad kemudian simppan dengan nama repair.inf. Jalankan file tersebut dengan cara:
*
Klik kanan repair.inf
*
Klik Instal
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKCU, SessionInformation, ProgramCount, 0x00010001,3
HKCU, AppEvents\Schemes\Apps\Explorer\BlockedPopup\.current,,,"C:\WINDOWS\media\Windows XP Pop-up Blocked.wav"
HKCU, AppEvents\Schemes\Apps\Explorer\EmptyRecycleBin\.Current,,,"C:\Windows\media\Windows XP Recycle.wav"
HKCU, AppEvents\Schemes\Apps\Explorer\Navigating\.Current,,,"C:\Windows\media\Windows XP Start.wav"
HKCU, AppEvents\Schemes\Apps\Explorer\SecurityBand\.current,,,"C:\WINDOWS\media\Windows XP Information Bar.wav"
[del]
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Microsoft(R) System Manager
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, bMaxUserPortWindows Service help
HKLM, SYSTEM\CurrentControlSet\Services\Tcpip\Parameters, MaxUserPort
5.
Hapus file virus "Worm:Coutsonif.A" berikut:
*
C:\vshost.exe [all drive]
*
C:\autorun.inf [all drive]
*
C:\RECYCLER\S-1-5-21-9949614401-9544371273-983011715-7040\winservices.exe
*
C:\Documents and Settings\%user%\Local Settings\Temp
#
A415.tmp [acak]
#
034.exe [acak]
#
Lady_Eats_Her_Shit--www.youtube.com
*
C:\WINDOWS\system32\sysmgr.exe
*
C:\WINDOWS\TEMP\5755.tmp
*
C:\windows\system32\crypts.dll
*
C:\windows\system32\msvcrt2.dll
6.
Untuk pembersihan "Worm:Coutsonif.A" optimal dan mencegah infeksi ulang silahkan gunakan antivirus yang dapat mendeteksi dan membasmi virus ini. up-to-date. Anda juga dapat download tools Norman Malware Cleaner di : (lihat gambar 10)
http://download.norman.no/public/Norman_Malware_Cleaner.exe
Gambar 10, Gunakan Norman Malware Cleaner untuk membasmi Coutsonif.A
vaksin.com
Recent Posts
- Vaksin Virus Komputer | Autorun.AEEQ
- virus komputer | Ciri - Ciri W32/Sadra.A | Sandra Dewei Bugil dot Exe
- [ VAKSIN VIRUS KOMPUTER ] - Worm:Coutsonif.A
- VIRUS KOMPUTER - W32/Conficker.DV ( Antara Cina dan Rusia, kita kena virus )
- [ AVIRA PREMIUM ] - Free Download Lisensi gratis Avira AntiVir Premium untuk 6 bulan
Recent Comments
[ VAKSIN VIRUS KOMPUTER ] - Worm:Coutsonif.A
VIRUS KOMPUTER - W32/Conficker.DV ( Antara Cina dan Rusia, kita kena virus )
Vaksin Virus Komputer - "Virus W32/Conficker.DV ( Antara Cina dan Rusia", kita kena virus )sangat-sangat mengganggu perkerjaan di kantorku. Semua unit terserang "virus W32/Conficker.DV ( Antara Cina dan Rusia, kita kena virus )". entah dari mana , sebagai teknisi PC, saya mencoba, untuk
Gejala-gejala W32/Conficker.DV :
1. Username Login di Active Directory (AD) Windows terkunci berulang-ulang. Jadi meskipun sudah terkunci (lock) dan dibuka oleh Admin, tetapi terkunci lagi.
2. Komputer mendapatkan pesan error Generic Host Process.
3. Komputer tidak bisa mengakses situs-situs tertentu seperti www.microsoft.com, www.symantec.com, www.norman.com, www.clamav.com, www.grisoft.com, www.avast.com dan www.eset.com dengan pesan “Address not Found” tetapi jika situs-situs tersebut di akses dari alamat IPnya akan bisa diakses. Dan situs-situs lain tidak ada gangguan berarti.
4. Update definisi antivirus terganggu karena akses ke situs antivirus diblok.
5. Banyak aplikasi tidak berfungsi dengan baik. Khususnya aplikasi yang memanfaatkan jaringan dan menggunakan port 1024 s/d port 10.000
silahkan donload definisi dan "pencegahan W32/Conficker.DV ( Antara Cina dan Rusia, kita kena virus )" : klik download
[ AVIRA PREMIUM ] - Free Download Lisensi gratis Avira AntiVir Premium untuk 6 bulan
Virus , trojan , worm yang tergolong malware yang meracuni Kompi Kita, kini bisa sekali kibas untuk memba minya, avira berbaik hati untuk membagikan Free Download Lisensi gratis Avira AntiVir Premium untuk 6 bulan , Kali ini ada lagi tips kita bisa mendapatkan lisensi Avira Antivir Premium 8 untuk masa pemakaian 6 bulan.
Dibandingkan dengan Avira Free Personal, maka Avira Premium edition menambahkan beberapa fitur, seperti AntiSpyware, webGuard, Rescue system, proses update yang lebih cepat dan lainnya.
Berikut fasilitas selengkapnya dari Avira Antivir Premium :
* AntiVir protection against viruses, worms and Trojans
* AntiDialer protection against expensive dialers
* AntiRootkit protection against hidden rootkits
* Faster Scanning up to 20% faster
* New User Interface
* AntiPhishing protection against phishing
* AntiSpyware protection against spyware and adware
* WebGuard protection against malicious websites
* AntiDrive-by stops malware downloads while surfing
* RescueSystem creates a bootable rescue CD
* Enhanced email protection for POP3 and SMTP
* Fast Premium update server
Bagaimana cara mendapatkan Lisensinya ?
1. Silahkan mengunjungi halaman Promosi Avira
2. Kemudian isi beberapa form dibawahnya
3. Setelah lengkap, klik lizenz anfordern
4. Maka selang beberapa menit kemudian, lisensi key HBEDV.KEY ke email yang sudah dituliskan diatas
Jika belum mempunyai Master installasi Avira Antivir Premium, silahkan download disini : Avira Antivir Premium 8.2.0.373 ( 22 MB) untuk Windows 2000, XP, XP 64 Bit, Vista 32 Bit dan 64 Bit. Ketika menginstall antivirus ini, maka akan ada menu untuk memilih/mencari licensi key jika kita sudah mendapatkannya.
Jika ingin mengupdate manual Avira Antivirus, maka bisa membaca artikel berikut ( yang juga disertakan beberapa tempat download update : Tips Update antivirus Avira Antivir
Silahkan di Donload ya ....
say ulang :
Lisensi / key Avira AntiVir Premium untuk 6 bulan : klik
Master Avira AntiVir Premium untuk 6 bulan
Labels
Archives
Daftra Blog Asik
Berita Terkini
Catatan Tragedi Dunia
Gosip Selebritis
Daftar Tanaman Obat
Tentang Kesehatan
Hiburan
Download mp3
Lirik Musik
Video Lucu
Kumpulan Kata Mutiara
Pariwisata Bali
Hotel & Villa Bali
Age Bali
the balinese
Tari Pendet
g-land surf
Villa In Bali
Ngopi di Bali
Hotel List
Football Center
Berita Bola
Info Bola
Football Videos
Klasemen
Klasemen Liga Inggris
Klasemen Liga Italia
Klasemen Liga Indonesia
Klasemen Liga Jerman
Jadwal Liga
Jadwal Liga Italia
Jadwal Liga Spanyol
Jadwal Liga Inggris
Top Skor
Top Skor Liga Inggris
Top Skor Liga Spanyol
Top Skor Liga Italia
Pict Football
Live GOL
Moto GP
MOTO GP mania
Klasemen MotoGP
Jadwal Moto GP
IT & Teknologi
Virus Komputer
PHP & Mysql
FOREX
Laptop DELL
Dunia Teknologi
Info Laptop & PC
Info HP
HP Nokia
Network
LINUX
Network 1