Berbagai jenis virus telah kita dengar atau bahkan dihadapkan langsung bagi pengguna komputer. Virus komputer ini merupakan program yang dibuat untuk menggandakan dan merusak sistem yang ada. Biasanya komputer akan menjadi lambat dan kacau cara kerjanya. Sebelumnya kami sempat posting tentang Virus Komputer terganas di dunia namun Dewasa ini virus tersebut dibuat lebih canggih dan tidak merusak program yang ada. Sangat canggihnya bahkan sampai ada yang menyerang Dunia Perbankan. Seperti apa Virus canggih pencuri uang dalam perbankan tersebut, silahkan simak artikel dibawah ini.
1. Zeus v3
Para peretas asal Eropa Timur menggunakan virus komputer yang rumit untuk menyedot tabungan dari ribuan nasabah bank Inggris, demikian kata pakar internet seperti yang dikutip The Telegraph, Rabu (11/8). Versi terbaru dari virus ganas 'Zeus' yang tidak terlacak oleh 'firewall' tradisional itu dilaporkan telah berhasil menggondol 675.000 Poundsterling dari kira-kira 3000 nasabah 'online' dari sebuah bank Inggris.
Sejak Juli dana itu ditransfer dari akun-akun online milik perusahaan maupun perorangan. Para ahli internet dari M86 Security, yang khusus menangani permasalahan 'online', mengungkapkan virus itu bekerja dengan mengecek jumlah uang dalam sebuah akun, mencurinya, dan menutupi jejak dengan menampilkan rekening bank palsu kepada nasabah. Perusahaan keamanan internet yang bermarkas di California dan Inggris itu membongkar rencana jahat tersebut ketika berhasil masuk ke dalam 'server command' para maling yang berbasis di Eropa Timur dan menemukan daftar transfer uang.
Para pakar itu kemudian membuat laporan yang menjelaskan proses serangan itu dan menginformasikannya kepada polisi maupun bank yang bersangkutan dua pekan silam. Mereka juga mengakui serangan itu akan terus berlanjut. Virus 'Zeus' yang mengincar rekening bank pertama kali muncul tiga tahun lalu. Versi terbarunya, 'Zeus v3', tidak hanya mencuri data 'login', kata kunci, dan detail bank, tetapi juga bisa mentransfer uang dari rekening yang diinginkan.
"Ini adalah versi yang paling rumit dari virus Zeus dan tidak bisa dideteksi oleh piranti lunak keamanan tradisional," kata Bradley Anstis, wakil presiden bidang teknis pada M86 kepada The Times. Virus itu pun ternyata tidak hanya terdapat di area-area 'lampu merah' seperti situs-situs judi atau ****o tetapi juga di situs yang lebih populer seperti mesin pencari, blog, atau situs berita.
Tahun lalu virus itu ditemukan pada sebuah iklan di laman web New York Times. M86 Security mengatakan komputer nasabah bank online tertular virus itu dari laman-laman web resmi melalui 'lubang' di Internet Explorer dari Microsoft atau aplikasi-aplikasi dari Adobe Reader. Begitu komputer terinfeksi, virus yang termasuk 'spyware Trojan' itu bersembunyi dalam 'browser' pengguna komputer sampai tersambung ke rekening bank mereka.
Virus itu akan mulai bekerja ketika nasabah mengecek rekening mereka lalu memeriksa jumlah rekening itu. Jika rekening itu berisi lebih dari 800 Poundsterling maka virus itu mulai memindahkan uang itu secara tersembunyi ke 'rekening sementara', sebuah rekening yang dimiliki oleh nasabah resmi yang juga telah dibajak para peretas itu. Bank-bank utama Inggris menolak untuk berkomentar terkait kemungkinan nasabah mereka menjadi salah satu korban para peretas Eropa Timur itu. Organisasi perdagangan Inggris (United Kingdom Payments Administration) mengatakan korban kejahatan perbankan secara online meningkat 18 persen tahun lalu menjadi 59,7 juta Poundsterling.
2. Citadel
1. Zeus v3
Para peretas asal Eropa Timur menggunakan virus komputer yang rumit untuk menyedot tabungan dari ribuan nasabah bank Inggris, demikian kata pakar internet seperti yang dikutip The Telegraph, Rabu (11/8). Versi terbaru dari virus ganas 'Zeus' yang tidak terlacak oleh 'firewall' tradisional itu dilaporkan telah berhasil menggondol 675.000 Poundsterling dari kira-kira 3000 nasabah 'online' dari sebuah bank Inggris.
Sejak Juli dana itu ditransfer dari akun-akun online milik perusahaan maupun perorangan. Para ahli internet dari M86 Security, yang khusus menangani permasalahan 'online', mengungkapkan virus itu bekerja dengan mengecek jumlah uang dalam sebuah akun, mencurinya, dan menutupi jejak dengan menampilkan rekening bank palsu kepada nasabah. Perusahaan keamanan internet yang bermarkas di California dan Inggris itu membongkar rencana jahat tersebut ketika berhasil masuk ke dalam 'server command' para maling yang berbasis di Eropa Timur dan menemukan daftar transfer uang.
Para pakar itu kemudian membuat laporan yang menjelaskan proses serangan itu dan menginformasikannya kepada polisi maupun bank yang bersangkutan dua pekan silam. Mereka juga mengakui serangan itu akan terus berlanjut. Virus 'Zeus' yang mengincar rekening bank pertama kali muncul tiga tahun lalu. Versi terbarunya, 'Zeus v3', tidak hanya mencuri data 'login', kata kunci, dan detail bank, tetapi juga bisa mentransfer uang dari rekening yang diinginkan.
"Ini adalah versi yang paling rumit dari virus Zeus dan tidak bisa dideteksi oleh piranti lunak keamanan tradisional," kata Bradley Anstis, wakil presiden bidang teknis pada M86 kepada The Times. Virus itu pun ternyata tidak hanya terdapat di area-area 'lampu merah' seperti situs-situs judi atau ****o tetapi juga di situs yang lebih populer seperti mesin pencari, blog, atau situs berita.
Tahun lalu virus itu ditemukan pada sebuah iklan di laman web New York Times. M86 Security mengatakan komputer nasabah bank online tertular virus itu dari laman-laman web resmi melalui 'lubang' di Internet Explorer dari Microsoft atau aplikasi-aplikasi dari Adobe Reader. Begitu komputer terinfeksi, virus yang termasuk 'spyware Trojan' itu bersembunyi dalam 'browser' pengguna komputer sampai tersambung ke rekening bank mereka.
Virus itu akan mulai bekerja ketika nasabah mengecek rekening mereka lalu memeriksa jumlah rekening itu. Jika rekening itu berisi lebih dari 800 Poundsterling maka virus itu mulai memindahkan uang itu secara tersembunyi ke 'rekening sementara', sebuah rekening yang dimiliki oleh nasabah resmi yang juga telah dibajak para peretas itu. Bank-bank utama Inggris menolak untuk berkomentar terkait kemungkinan nasabah mereka menjadi salah satu korban para peretas Eropa Timur itu. Organisasi perdagangan Inggris (United Kingdom Payments Administration) mengatakan korban kejahatan perbankan secara online meningkat 18 persen tahun lalu menjadi 59,7 juta Poundsterling.
2. Citadel
Citadel merupakan virus yang dibuat dari source code Zeus, salah satu virus yang juga cukup canggih. Bedanya Citadel memang dibuat khusus untuk menyerang internet banking. Virus Citadel mulai ditemukan pada Januari 2012 lalu, sejak itu program jahat ini terus dikembangkan hingga mencapai versi tercanggihnya di Oktober 2013. Hingga kini virus tersebut diduga masih beredar dengan bebas.
3. Tinba
Awalnya metode yang digunakan Tinba masih tergolong biasa, bahkan bisa dikatakan sedikit jadul dibanding dengan virus sejenisnya. Tapi pada Januari 2013 ditemukan versi baru Tinba yang lebih canggih, bahkan bisa mengakali sitem otentifikasi dua arah dari bank.
"Saat korban mengakses halaman bank mereka, Tinba akan menampilkan halaman yang sangat mirip dengan bank tersebut," tulis Klein. Namun saat mencoba login ke dalam halaman tersebut, pengguna justru ditampilkan halaman yang error. Di sinilah proses pencurian data dimulai.
4. Eurograbber
Eurograbber kali pertama ditemukan oleh lembaga keamanan bernama Check Point Software Technologies, kemudian dibantu juga oleh lembaga lain dari Israel bernama Versafe. Mereka mengatakan bahwa program jahat ini memang dirancang untuk menyerang sektor perbankan.
Dalam operasinya virus itu tidak hanya menyerang melalui komputer, tapi juga menyusup ke dalam ponsel pintar para calon korbannya. Setelah berhasil masuk, ia akan mendownload beberapa komponen aplikasi untuk bisa beraksi. Eurograbber pertama kali ditemukan di Italia, kemudian menyebar ke sejumlah wilayah Eropa seperti Jerman, Belanda dan Spanyol. Setidaknya ada ribuan korban dari 30 bank berbeda yang berhasil diinfeksi virus.
5. SpyEye
SpyEye dikatakan hebat karena berhasil menghindari berbagai sistem proteksi. Bahkan virus ini dikatakan tergolong cerdik, hingga sulit mendeteksinya saat transaksi berlangsung. "Mereka tahu bagaimana untuk membuat transaksi yang seolah-olah terjadi. Jelas sekali, orang-orang ini (pembuat-red) mengetahui lebih dari sekadar memahami internet banking," kata David Marcus, Director of Advanced Research and Threat Intelligence McAfee, seperti dikutip detikINET dari CRN.
6. Gozi-Prinimalka
Kalau Eurograbber menyerang sistem perbankan, maka Gozi-Prinimalka dibuat untuk menghajar sistem internet banking di Amerika Serikat. Trend Micro berhasil menangkap dan menganalisa Gozi-Prinimalka, setelah dibedah ternyata program jahat ini punya beberapa keunikan dibanding aplikasi sejenisnya.
Untuk mencuri informasi dari korbannya, virus ini akan terlebih dahulu membuat backdoor menggunakan eklpoitasi Java Script. Ada dua backdoor yang akan dibuat, BKDR_URSNIF.B dan BKDR_URSNIF.DN keduanya sama-sama terkoneksi secara real time dengan sistem kendali virus tersebut. Data yang dicuri virus ini pun tak hanya yang tersimpan di dalam hardisk, tapi juga memori sementara yang disimpan di dalam browser.
Di Amerika virus ini setidaknya sudah membuat resah 3 instansi perbankan, mereka adalah TDBank, Firstrade, Options Xpress. Ketiganya kemudian melakukan perbaikan sistem untuk menangkis serangan tersebut.
7. High Roller
Virus terakhir yang menyebarkan cukup banyak teror adalah High Roller. Konon ini adalah salah satu serangan terbesar di industri perbankan dunia. Tidak seperti program jahat lainnya yang hanya menyerang secara sembunyi-sembunyi, High Roller bisa melancarkan serangan dengan membabi buta dari berbagai arah.
Virus ini semakin sulit dilacak karena tidak memiliki Comand Center dalam bentuk fisik. Pelaku cukup cerdas untuk membuat sistem kendali ini di 'awan', sehingga sulit dilacak. Pada dasarnya High Roller dibuat dari gabungan virus Zeus dan SpyEye, kemudian di dalamnya juga ada beberapa teknik pencurian informasi konvensional yang biasa terjadi di dunia maya.
Teknologi canggih yang dimiliki High Roller membuatnya cukup sulit diberangus, bahkan hingga saat ini. Oleh sebab itu seluruh pihak perbankan disarankan untuk tetap waspada.
"Dengan menggunakan sistem cloud, High Roller memiliki teknik penyerangan yang baru. Mereka sulit dianalisa dan sulit untuk dideteksi keberadaannya," kata Chris Silveira, Manager of Fraud Intelligence dari Guardian Analytics.
Semakin canggih pertahanan sebuah system, semakin canggih juga cara kerja peretas untuk membongkar pertahanan system tersebut. Sepertinya Hitam Putih Dunia akan selalu melekat sepanjang zaman.
Ini hanya skenario bayangan tetapi mungkin saja terjadi :LHOO !!! ... Saya mau Data Recovery kok malah kamu instal Antivirus, bukannya harddisknya malah tambah rusak nanti. Kamu mau nipu saya yah. PLOK ..... PLOK. Ampun pak, saya ngga nipu, tetapi ini memang virusnya yang malsuin peringatan Windows.
Kalau komputer anda terinfeksi virus / malware obatnya antivirus,
kalau harddisk rusak dan korup tentu obatnya program Data Recovery dimana diusahakan semaksimal mungkin untuk tidak menjalankan harddisk yang rusak tersebut supaya kerusakan tidak bertambah parah. Namun kalau anda terkena kasus seperti yang di bawah ini, dimana anda membawa harddisk yang “menurut” pesan yang timbul mengalami kerusakan fatal seperti : (lihat gambar 5 – 11 di bawah)
kalau harddisk rusak dan korup tentu obatnya program Data Recovery dimana diusahakan semaksimal mungkin untuk tidak menjalankan harddisk yang rusak tersebut supaya kerusakan tidak bertambah parah. Namun kalau anda terkena kasus seperti yang di bawah ini, dimana anda membawa harddisk yang “menurut” pesan yang timbul mengalami kerusakan fatal seperti : (lihat gambar 5 – 11 di bawah)
- Harddrive rotational speed decreased by 20 %. (yang kira-kira artinya motor harddrive mengalami penurunan kinerja / kerusakan)
- Disk Drive c:\ is unreadable.
- Drive C initializing error (tetapi lucunya kok komputernya bisa jalan padahal system Windowsnya ada di drive C).
- GPU RAM Temperature is cirtically high. (ngga ngerti kok temperatur RAM yang tinggi .... harusnya kan prosesor yang temperaturnya tinggi).
- Critical Error. Harddrive Error.
- Windows detected a harddisk problem. A potential disk failure may causes loss of files, applications and documents stored on the hard disk. It’s highly recommended to scan and solve HPP problems before continue using this PC.
Lalu oleh teknisi toko komputer anda lantas instal antivirus, jangan anda langsung marah dan teknisinya di tampol dulu. Karena dalam kasus ini teknisinya bukan mau menipu anda menginstalkan antivirus ke komputer yang harddisknya rusak. Tetapi memang ada virus yang memalsukan peringatan Windows seakan-akan harddisk anda mengalami kerusakan parah. Untuk detailnya silahkan ikuti artikel yang dibuat oleh Aj Tau dibawah ini. Dan jika anda teknisi komputer yang mendapatkan kasus ini, tidak perlu pakai helm anti gaplok sewaktu membasmi virus ini :p karena Vaksincom memberikan Tools untuk membasmi virus ini.
=====================================
Trend penyebaran virus saat ini lebih di dominasi oleh virus yang mempunyai kemampuan menginjeksi file aplikasi seperti file dengan ekstensi EXE, COM atau SCR sebut saja virusW32/Alman, W32/Sality, W32/Virut atau W32/Ramnit serta masih banyak virus lainnya dengan varian yang cukup banyak. Maraknya penyebaran virus saat ini mengharuskan kita lebih waspada terhadap kemungkinan-kemungkinan virus lain yang setiap saat mengintai. Perlu langkah cermat untuk mengantisipasi agar tidak menjadi korban salah satunya dalam memilih program antivirus dan “rupanya” hal ini merupakan celah baru yang dapat di manfaatkan oleh virus untuk menyebarkan dirinya dengan cara memalsukan dirinya sebagai program keamanan (baca: antivirus). Fake antivirus atau yang lebih dikenal dengan sebutan Antivirus palsu mempunyai tampilan yang tidak kalah menarik seperti program antivirus pada umumnya yang dilengkapi dengan berbagi fitur Internet Security seperti Firewall atau Privacy Tools. Dalam hal deteksi juga cukup “Baik” karena mampu mendeteksi virus-virus yang tidak dapat di deteksi oleh program antivirus pada umumnya, tetapi anda jangan terkecoh karena semua peringatan yang muncul adalah PALSU, ujung-ujungnya kita diminta untuk mengirimkan sejumlah uang untuk mendapatkan versi full nya agar dapat menghapus virus “palsu” tersebut.
Program antivirus palsu atau lebih dikenal dengan istilah Scareware saat ini sudah mencapai puluhan jenis. Kurang nya pengetahuan user terhadap perkembangan virus menjadi penyebab mudahnya antivirus gadungan ini menyebar. Dari sekian banyak program scareware yang menyebar salah satunya adalah W32/FakeAV.AESL demikian Norman Security Suite mendeteksi virus ini (lihat gambar 2). Program gadungan ini akan menyamarkan dirinya sebagai tools “Data Recovery” yang di dalamnya berisi fitur untuk melakukan pemeriksaan terhadap komputer Anda seperti pemeriksaan kondisi Hard Disk, Memory, Registry serta Operating System Anda. (lihat gambar 1)
Gambar 1, Tampilan antar muka W32/FakeAV.AESL
Gambar 2, Hasil deteksi Norman Malware Cleaner
File induk
Tools gadungan ini dibuat dengan menggunakan bahasa pemograman Visual C++. Pada saat file antivirus gadungan tersebut di jalankan, ia akan membuat beberapa file induk berikut yang akan di aktifkan pada saat computer di nyalakan :
ü C:\Documents and Settings\All Users\Application Data
o 6DSS92c31Apgjk.exe dengan ukuran 563 KB
o BFwoCYFrNlwR.exe dengan ukuran 619 KB
o 6DSS92c31Apgjk , ukuran file 1 KB
ü C:\Document and settings\user\desktop\Data Recovery.lnk (lihat gambar 3)
Gambar 3, File induk W32/FakeAV.AESL
Untuk mengelabui user, ia juga akan menyisipkan sebuah icon pada taskbar yang jika icon tersebut di klik (double click) akan mengaktifkan dirinya (lihat gambar 4)
Gambar 4, Icon W32/FakeAV.AESL
Registri Windows
Agar antivirus gadungan ini dapat aktif secara otomatis pada saat komputer dinyalakan, ia akan membuat beberapa string pada registri Windows berikut:
- hkey_users\S-1-5-21-842925246-1383384898-1343024091-1003\software\microsoft\windows\currentversion\run
- BFwoCYFrNlwR.exe = C:\Documents and Settings\All Users\Application Data\BFwoCYFrNlwR.exe
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- BFwoCYFrNlwR.exe = C:\Documents and Settings\All Users\Application Data\BFwoCYFrNlwR.exe
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\BFwoCYFrNlwR
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\BFwoCYFrNlwR\DEBUG
o Trace Level
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\6DSS92c31Apgjk\DEBUG
o Trace Level
Blok fungsi Windows
Untuk memperlancar aksinya, ia akan blok beberapa fungsi Windows seperti :
- Disable Registry
- Disable TaskMgr
- Disable Folder Options
- Disable Deskop
- Tidak dapat mengganti wallpaper Windows
- SaveZoneInformation
- LowRiskFileTypes
Untuk melakukan hal tersebut ia akan membuat beberapa registri berikut:
o HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop
- NoChangingWallPaper
o HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations
- LowRiskFileTypes = .zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;.scr;
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments
- SaveZoneInformation
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- NoDesktop
- NoFolderOptions
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableRegistryTools
- DisableTaskMgr
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer
- NoFolderOptions
-
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
- DisableRegistryTools
- DisableTaskMgr
Menampilkan peringatan palsu
Seperti kebayakan antivirus gadungan, Tools gadungan W32/FakeAV.AESL juga akan menampilkan peringatan-peringatan palsu seolah-olah komputer tersebut bermasalah seperti yang terlihat pada gambar berikut : (lihat gambar 5 - 11)
Gambar 5, Peringatan palsu W32/FakeAV.AESL
Gambar 6, Peringatan palsu W32/FakeAV.AESL
Gambar 7, Peringatan palsu W32/FakeAV.AESL
Gambar 8, Peringatan palsu W32/FakeAV.AESL
Gambar 9, Peringatan palsu W32/FakeAV.AESL
Gambar 10, Peringatan palsu W32/FakeAV.AESL
Gambar 11, Peringatan palsu W32/FakeAV.AESL
Rakus memakan memori
Hal yang paling mengganggu yang dilakukan oleh virus ini adalah, akan menampilkan peringatan-peringatan palsu secara terus-menerus yang mengakibatkan resource memori komputer terkuras habis dan menyebabkan komputer menjadi hang/crash. (lihat gambar 12)
Gambar 12, Peringatan palsu W32/FakeAV.AESL
Registrasi Palsu
Untuk mengatasi masalah tersebut, Anda harus melakukan registrasi terlebih dahulu untuk mendapatkan software full version dengan mencantumkan alamat email serta kode aktivasi yang Anda miliki, jika Anda tidak mempunyai kode aktivasi scareware ini akan menuntun Anda untuk melakukan registrasi melalui internet, ujung-ujung nya anda diminta untuk transfer sejumlah uang, alhasil bukannya software full version yang Anda dapatkan dengan harapan dapat menghilangkan masalah di komputer anda tapi yang anda dapatkan adalah program virus. (lihat gambar 13)
Gambar 13, Registrasi palsu untuk mendapatkan ”Full Version”
Menghapus program
Aksi lain yang dilakukan oleh W32/FakeAV.AESL adalah menghapus semua program aplikasi yang sudah terinstall sehingga user akan kesulitan untuk menjalankan program aplikasi tersebut. (lihat gambar 14)
Gambar 14, W32/FakeAV.AESL menghapus program aplikasi
Jebakan W32/FakeAV.AESL
Hati-hati dengan jebakan yang dipasang oleh W32/FakeAV.AESL, jika anda yakin telah terinfeksi virus ini sebaiknya anda jangan langsung menghapus file temporary (baik menggunakan tools maupun secara manual) karena virus ini akan memindahkan semua file program aplikasi yang di hapus tersebut ke folder temporary tepatnya di direktori [C:\Documents and Settings\%user%\Local Settings\Temp\smtmp].
Menyembunyikan file/folder
Sudah jatuh tertimpa tangga, itulah perumpamaan yang dapat digambarkan bila komputer kita sudah terinfeksi virus ini. Setelah berhasil ”memporakporandakan” program aplikasi, ia juga akan menyembunyikan file/folder disemua drive sehingga makin mempersulit user untuk mengakses komputer dan mematikan virus tersebut. (lihat gambar 15)
Gambar 15, W32/FakeAV.AESL menyembunyikan file/folder
Cara membersihkan W32/FakeAV.AESL
- Lakukan pembersihan pada mode ”safe mode”
- Disable ”System Restore” untuk sementara selama proses pembersihan dilakukan
- Matikan proses virus dengan nama [6DSS92c31Apgjk.exe]. Untuk mematikan proses ini sebaiknya gunakan tools selain Task Manager, seperti ProceeXP (http://technet.microsoft.com/en-us/sysinternals/bb896653)
- Repair registry Windows yang sudah dibuat oleh virus. Untuk mempercepat proses penghapusan salit script dibawah ini pada program notepad kemudian simpan dengan nama REPAIR.INF. Install dengan cara: Klik kanan REPAIR.INF | Klik INSTALL
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee 2012
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,ShowSuperHidden,0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,SuperHidden,0x00010001,1
HKLM, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1
HKLM, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0x00010001,0
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Run, BFwoCYFrNlwR.exe
HKU, S-1-5-21-842925246-1383384898-1343024091-1003\software\microsoft\windows\currentversion\run, BFwoCYFrNlwR.exe
HKLM, SOFTWARE\Microsoft\ESENT\Process\BFwoCYFrNlwR
HKLM, SOFTWARE\Microsoft\ESENT\Process\6DSS92c31Apgjk
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop, NoChangingWallPaper
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Associations, LowRiskFileTypes
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Attachments, SaveZoneInformation
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDesktop
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoFolderOptions
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system, DisableRegistryTools
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system, DisableTaskMgr
- Hapus file yang dibuat oleh virus
- C:\Documents and Settings\All Users\Application Data
o 6DSS92c31Apgjk.exe
o BFwoCYFrNlwR.exe
o 6DSS92c31Apgjk
- C:\Document and settings\%user%\desktop\Data Recovery.lnk (%user%, menunjukan user yang digunakan saat login Windows)
Catatan:
Sebelum melakukan penghapusan, tampikan file yang tersembunyi dengan merubah Folder Options berikut:
o Pilih opsi “Show hidden files and folders”
o Hilangkan tanda centang pada opsi “Hide extension for known file types”
o Hilangkan tanda centang pada opsi “Hide protected operating system files (Recommended)” (lihat gambar 16)
Gambar 16, Folder Options
- Tampilkan file yang disembunyikan dengan cara:
- Klik tombol [Start]
- Klik [RUN]
- Pada dialog box RUN ketik CMD kemudian tekan tombol [enter]
- Pindahkan posisi kursor pada drive yang akan di periksa (contohnya: jika drive yang akan diperiksa adalah drive [C:\] maka ketik perintah C: kemudian klik tombol [Enter]
- Kemudian ketik perintah ATTRIB -S -H -R /S /D kemudian tekan tombol [Enter]
- Tunggu sampai proses selesai dilakukan
- Lakukan langkah yang sama pada drive lain (lihat gambar 17)
Gambar 17, Menampilkan file/folder yang disembunyikan
- Untuk Mengembalikan program instalasi yang di hapus oleh W32/FakeAV.AESL copy file yang berada di direktori [C:\Documents and Settings\%user%\Local Settings\Temp\smtmp] ke direktori [C:\Documents and Settings\All Users\Start Menu]
- Scan ulang dengan menggunakan antivirus yang up-to-date untuk memastikan komputer benar-benar bersih dari virus
Tools FakeAV
Kembali Vaksincom menghadirkan tools antivirus dengan nama Anti FakeAV -01 : (lihat gambar 18)
Gambar 18, Anti FakeAV -01
Berikut beberapa fungsi Anti FakeAV -01:
- Mematikan proses virus
- Menghapus file induk virus
- Fix Registry
- Menampilkan file/folder yang disembunyikan
- Mengembalikan file/program aplikasi yang di hapus (dengan catatan anda belum menghapus file temporary)
- Proteksi agar komputer tidak terinfeksi W32/FakeAV.AESL
Download Anti FakeAV disini. http://www.vaksin.com/2012/0212/FakeAV/FakeAV%20Tools.zip
