Trojan.Fakealert.18565         21 Oktober 2010

Antivirus palsu special (pakai telor bebek, dua lagi)

 

Tua tua keladi, makin tua makin jadi. Mungkin itu pepatah yang secara umum sering dikatakan orang. Semakin bertambah usia seseorang, maka semakin matang dalam bertindak dalam menjalani kehidupan.

 

Mungkin begitu pula terhadap perkembangan spyware/trojan yang satu ini. Siapa tidak kenal “antivirus palsu”, yang sejak tahun 2008 sudah banyak menyebar ke seantero jagat dunia dengan berbagai macam variasi yang ada. Dan kali ini kami kembali mendapatkan virus serupa yang telah menyebar dan mampu menginfeksi komputer korban dan sekali lagi mampu membodohi pengguna komputer.

Dengan tampilan dan modus yang baru mirip antivirus dari Microsoft yaitu : Windows Defender/Microsoft Forefront/Security Essential, trojan/spyware ini mencoba beraksi dengan sangat meyakinkan.

 

Dengan update terbaru, Dr.Web Antivirus mendeteksi sebagai varian Trojan.Fakealert.18565. (lihat gambar 1)

 

Gambar 1, Dr.Web mendeteksi sebagai Trojan.Fakealert.18565

 

Aksi Virus

 

Beberapa aksi yang di-lakukan oleh trojan/spyware tersebut yaitu :

ü  Scan komputer dan memberikan informasi palsu bahwa program antivirus ini mendeteksi adanya virus/trojan/rootkit. Berharap dapat membodohi user bahwa di komputer terdapat banyak virus dan harus segera dibersihkan. (lihat gambar 2)

 

Gambar 2, Virus melakukan scan dan deteksi palsu

 

ü  Guna lebih meyakinkan korbannya, Fakealert akan memberikan informasi bahwa ia mendeteksi adanya koneksi, remote dan transfer data ke komputer lain (palsu). Seolah-olah komputer sedang melakukan transfer data atau koneksi ke komputer lain yang tidak dikenal. (lihat gambar 3)

Gambar 3, Virus menginformasikan bahwa ada koneksi dan transfer data.

 

ü  Sering muncul pesan peringatan adanya spyware pada komputer terus menerus tiap beberapa menit. Hal ini agar dapat merepotkan dan mengganggu pengguna karena pesan muncul secara terus menerus. (lihat gambar 4)

Gambar 4, Pesan adanya spyware pada komputer

 

ü  Muncul peringatan pesan bahwa komputer sedang di-serang. Sengaja memberitahukan seolah system komputer di-serang. Jika di-klik pada “Remove All”, akan menuju halaman web pembuat antivirus palsu. (lihat gambar 5)

Gambar 5, Pesan bahwa komputer sedang di-serang

 

ü  Muncul pesan serangan worm (Mass-mailing worm). Memberitahukan bahwa e-mail anda telah penuh karena mendapat serangan worm. (lihat gambar 6)

Gambar 6, Pesan adanya serangan worm

 

ü  Kalau korbannya masih belum takut, muncul juga pesan kehilangan data. Memberitahukan anda bahwa anda akan kehilangan data seperti kartu kredit, telpon dan lain-lain. (lihat gambar 7)

Gambar 7, Pesan seolah kehilangan data

 

ü  Kalau korbannya cukup kuat “imannya” :p akan muncul lagi pesan Windows Error. Memberitahukan bahwa ada file system yang error atau crash. (lihat gambar 8)

Gambar 8, Pesan error yang muncul seolah system crash.

 

ü  Kalau korbannya jengkel dan memutuskan untuk menguninstal antivirus palsu ini, pertahanan sudah disiapkan. Antivirus palsu ini akan sangat sulit di uninstal oleh pemakai komputer yang cukup fasih sekalipun. Mirip seperti antivirus “beneran” yang profesional ia akan meminta key dahulu sebelum di-uninstall. Jika di-klik tombol “Get Uninstall Key” akan muncul halaman web palsu pembuat antivirus palsu. (lihat gambar 9)

Gambar 9, Tidak bisa di un-install karena meminta key.

 

ü  Muncul pesan promosi/jualan. Seolah memberikan solusi dari hal-hal yang terjadi pada komputer anda. Jika di-klik pada tombol “BUY”, maka akan muncul halaman web palsu pembuat antivirus palsu.

Gambar 10, Pesan solusi yang ditawarkan.

 

ü  Muncul halaman web pembuat antivirus palsu. Dengan meminta anda untuk membeli dengan  harga tertentu agar mendapat perlindungan antivirus, padahal palsu. (lihat gambar 11)

Gambar 11, Halaman web antivirus palsu

 

File Virus

 

File-file yang dibuat oleh virus yaitu :

ü  File utama, file yang aktif dan menginfeksi komputer :

C:\Documents and Settings\%user%\exe.exe

C:\Documents and Settings\%user%\Application Data\Desktop Security\Desktop Security 2010.exe

C:\Documents and Settings\%user%\Application Data\Desktop Security\SecurityCenter.exe

C:\Documents and Settings\%user%\Application Data\Desktop Security\SecurityHelper.exe

 

ü  File palsu, file yang di-download agar dapat terdeteksi sebagai virus, yaitu :

C:\Document and Setting\%user%\Local Settings\Temp\gdx_ae09.exe

C:\Document and Setting\%user%\Local Settings\Temp\rtfme.exe

C:\Document and Setting\%user%\Local Settings\Temp\hvipws9.exe

C:\Document and Setting\%user%\Local Settings\Temp\wdo9rm.exe

C:\Document and Setting\%user%\Local Settings\Temp\timem.exe

C:\Document and Setting\%user%\Local Settings\Temp\hardwh.exe

C:\Document and Setting\%user%\Local Settings\Temp\puzpup.exe

C:\Document and Setting\%user%\Local Settings\Temp\wwwsssgen.exe

C:\Document and Setting\%user%\Local Settings\Temp\protector2.exe  

 

Registri Virus

Virus hanya membuat beberapa registry dalam system anda, dan tujuan virus tersebut agar aktif secara otomatis ketika komputer anda dinyalakan.

 

     HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

 

    Desktop Security 2010 = C:\Document and settings\%user%\Application Data\Desktop security\Desktop Security 2010.exe

 

    Exe.exe = C:\Document and setting\%user%\exe.exe

 

Pembersihan Virus

 

1. Putuskan koneksi jaringan.

2. Matikan system restore.

3. Download dan jalankan Dr.Web CureIt, lakukan scan system. Anda dapat men-download pada link berikut : (lihat gambar 12)

http://www.freedrweb.com/download+cureit

Gambar 12, Dr.Web CureIt proses scan pada system

 

·         Klik 2x file yang telah anda download, hingga muncul pesan komputer yang sedang berjalan pada mode EPM (Enhanced Protection Mode), dan klik [OK].

·         Klik [OK] jika muncul notifikasi untuk menjalankan, kemudian klik [START] pada menu yang ditampilkan dan klik “Yes” pada notifikasi Start scan now ?. Maka Dr.Web akan melakukan proses scanning pada komputer anda dan akan memunculkan pesan jika terdapat virus, klik [Move]. Biarkan hingga selesai.

·         Restart komputer, jika diperlukan.

 

4. Perbaiki Registri yang telah di-rubah oleh virus. Salin script dibawah ini dengan menggunakan notepad.

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

 

[UnhookRegKey]

HKCR, .exe,,,”exefile”

HKCR, .txt,,,”txtfile”

HKCR, .reg,,,”regfile”

HKCR, .vbs,,,”VBSFile”

HKCR, exefile,,,”Application”

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

 

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Desktop Security 2010

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, Exe.exe

 

Gunakan notepad, simpan dengan nama “Repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).

Jalankan “repair.inf” dengan klik kanan, kemudian pilih install.

 

5. Hapus file temporary dan temporary internet file agar virus tidak mencoba aktif kembali. Gunakan tools agar dapat dengan mudah menghapus file temporary. Anda dapat mendownload tools tersebut pada link berikut (lihat gambar 13)

http://www.atribune.org/ccount/click.php?id=1

Gambar 13, Hapus temporary file dengan ATF Cleaner

 

6. Scan ulang dengan menggunakan antivirus yang sudah ter-update dan mampu mendeteksi varian virus ini.

 

Salam,

Ad Sap

info@vaksin.com

PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160

 

Ph : 021 3456850

Fx : 021 3456851