Trojan:W32/Autorun.AQK           16 Januari 2008

Tati My Love

 

Duhai Adinda tercinta ----

Perjalanan tiga hari tiga malam mengarungi samudera

-------Seumur hidup diri ini takkan lupa

 

Jika anda menemukan file dengan nama tati.my.love.txt pada Flash Disk atau tiba-tiba semua folder berubah mempunyai ekstensi SCR (Screen Saver) segera lakukan pengecekan terhadap komputer Anda karena kemungkinan Autorun.AQK sudah menginfeksi komputer anda.

 

Virus dengan ukuran 198 KB ini secara umum sebenarnya tidaklah terlalu jahat karena tidak sampai merusak data. Dia hanya menyembunyikan folder/subfolder dan akan membuat file duplikat di dalam Flash Disk. Namun menurut pantauan Vaksincom di forum tanya jawab virus resmi Vaksincom http://forum.vaksin.com, virus Tati.my.love merupakan virus yang paling banyak menyebar di Indonesia. Sebenarnya Tati sudah menyebar sejak Desember 2007, dan diperkirakan ribuan komputer di Indonesia sudah terinfeksi virus ini dan puncak penyebarannya adalah kuartal pertama tahun 2008.


Untuk mengelabui user ia akan menggunakan icon menyerupai Folder dengan ukuran 198 KB (lihat gambar 1), Norman Virus Control dengan update terakhir sudah dapat mendeteksi virus ini dengan nama Trojan:W32/Autorun.AQK. (lihat gambar 2)


Gambar 1, File induk Trojan:W32/Autorun.AQK menggunakan icon folder

 

Gambar 2, Norman Virus Control mendeteksi virus Tati sebagai W32/Autorun.AQK


Jika virus ini sudah menginfeksi komputer, ia akan membuat beberapa file induk dengan nama tati.exe di 2 lokasi yakni:

  • C:\Windows

  • C:\Documents and Settings\All Users\Start Menu\Programs\Startup

Trojan:W32/Autorun.AQK juga akan membuat string pada registry berikut sehingga jika user akses ke Drive maka secara tidak langsung akan menjalankan dirinya:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9bc849ac-6d5f-11dc-b18f-00016ccdd524}\Shell\AutoRun\command

    • Default = tati.exe

  • HKEY_USERS\S-1-5-21-527237240-2052111302-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9bc849ac-6d5f-11dc-b18f-00016ccdd524}\Shell\AutoRun\command

    • Default = tati.exe

Untuk varian awalnya W32/Autorun.AQK tidak akan melakukan blok terhadap fungsi Windows sehingga lebih mudah untuk dibersihkan.


Memalsukan diri sebagai folder

Harap berhati-hati, jika anda menemukan folder yang agak aneh (Folder dengan ekstensi SCR, Type “Screensaver”, ukuran 198 KB) di dalam flash disk sebaiknya jangan di jalankan karena W32/Autorun.AQK akan melakukan penipuan dengan membuat file duplikat di dalam flash disk tersebut disetiap folder dan subfolder. Perlu anda ketahui, Folder yang asli tidak akan memiliki ukuran (size), Type = File Folder dan tidak memiliki ekstensi. File duplikat yang dibuat akan mempunyai nama file yang sama dengan nama folder aslinya tetapi mempunyai ekstensi .SCR (screen saver) sedangkan folder asli tersebut akan disembunyikan. Perhatikan gambar dibawah 3 ini

 

Gambar 3, File duplikat menyerupai folder dibuat oleh W32/Autorun.AQK


Autorun.AQK juga akan membuat file Autorun.inf dan file tati.exe pada Flash Disk dengan tujuan agar virus dapat aktif secara otomatis dengan hanya mencolokkan Flash Disk tersebut ke komputer. File Autorun.inf ini berisi script untuk menjalankan file tati.exe tersebut. (lihat gambar 4)


Gambar 4, Isi file Autorun.inf yang dikopikan ke Flash Disk


Virus ini juga akan membuat sebuah file dengan nama tati.my.love.txt yang berisi ungkapan perasaan kepada sang kekasih (lihat gambar 5).


]

Gambar 5, Isi file tati.my.love.txt


Cara membersihkan Trojan:W32/Autorun.AQK

  1. Matikan “system restore” selama proses pembersihan berlangsung (jika anda menggunakan Windows XP). Disarankan untuk melakukan pembersihan virus pada Safe Mode.

  2. Matikan proses virus dengan nama tati.exe (icon Folder). Untuk mematikan proses virus tersebut silahkan gunakan tools seperti “proceexp”. Tools ini dapat di download di alamat :

http://download.sysinternals.com/Files/ProcessExplorer.zip

(lihat gambar 6)

Gambar 6, Gunakan Process Explorer untuk mematikan proses W32/Autorun.AQK

  1. Cari dan hapus file dengan nama tati.exe didirektori

    • C:\Windows

    • C:\Documents and Settings\All Users\Start Menu\Programs\Startup

  2. Hapus file duplikat yang dibuat pada Flash Disk Anda. Untuk mempercepat proses penghapusan, Anda dapat menggunakan menu “Search Windows”. Sebelum melakukan pencarian sebaiknya tampilkan terlebih dahulu file/folder yang disembunyikan. Berikut cara untuk menampilkan file/folder yang disembunyikan dan mencari file virus.


    • Buka [Windows Explorer]

    • Klik menu [Tools], kemudian klik [Folder Options]

    • Pada layar “Folder Options”, klik tabulasi [View]

    • Pada folder [Hidden files and folders], hilangkan tanda centang pada opsi [Hide extensions for known file types] dan [Hide protected operating system files (recommended)] (lihat gambar 7)

Gambar 7, Menampilkan file/folder yang disembunyikan


    • Klik tombol [Ok]

    • Untuk mencari dan menghapus file virus, buka Windows Explorer, kemudian klik kanan di lokasi Flash Disk, kemudian klik “Search...”

    • Setelah muncul layar “Search Result”, pada kolom “All or part of the file name” isi dengan ekstensi *.SCR

    • Pada kolom “Look in” pastikan sudah menuju ke lokasi Flash Disk yang akan di periksa.

    • Klik menu “What size is it”, kemudian pilih opsi “Specify size (in KB)

      • Pilih “at most”

      • Isi dengan ukuran “198”

    • Klik menu “More Advanced option”, kemudian pilih opsi

      • Searh system folders

      • Search hidden files and folders

      • Search subfolders

    • Kemudian klik tombol “Search” untuk memulai proses pencarian

(lihat gambar 8)

Gambar 8, Mencari file duplikat W32/Autorun.AQK

    • Setelah berasil ditemukan, hapus file virus yang mempunyai ukuran 198 dengan ekstensi SCR (Screen Saver) dengan icon “Folder”

  1. Tampilkan kembali file/folder yang sudah disembunyikan oleh virus pada Flash Disk Anda dengan cara:

    • Klik [Start] menu

    • Klik [Run]

    • Pada dilaog box [Run] ketik “CMD” tanpa tanda kutip, kemudian tekan tombol [Ok].

    • Setelah muncul Dos Prompt, pindahkan kursor ke lokasi Flash Disk. Contoh jika Flash Disk anda adalah E: maka ketika perintah E: kemudian tekan tombol [Enter].

    • Setelah kursor berada di drive E (Flash Disk), ketik perintah

ATTRIB –s –h /s /d (lihat gambar 9)



Gambar 9, Mengembalikan file / folder yang disembunyikan oleh virus

  1. Untuk pembersihan optimal dan mencegah infeksi ulang, install dan scan dengan Norman Virus Control yang terupdate dan sudah mengenali virus ini dengan baik.

Salam,

Aj Tau

info@vaksin.com


PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160


Ph : 021 345 6850

Fx : 021 345 6851