HOT NEWS

VIRUS W32/Dewi.161081.A Sang Perawan injeksi file JPEG

Kamis, 21 Februari 2008

KAMIS, 21 FEBRUARI 2008

Rupanya pembuat virus tidak mau kalah dengan Padi yang mempopulerkan Sang Penghibur. Selama bulan Januari – Februari 2008 komunitas komputer Indonesia dipusingkan oleh satu virus yang lebih dikenal dengan nama Sang Perawan. Virus ini sebenarnya merupakan virus lama yang pernah muncul pertengahan tahun 2007,tetapi pada awal tahun 2008 ini muncul beberapa variannya dan celakanya mayoritas antivirus mancanegara maupun antivirus lokal baik tidak mampu mendeteksi dengan baik sehingga Sang Perawan leluasa wara wiri sampai hari ini.

Satu hal yang memusingkan dari Sang Perawan adalah aksinya “mengerjai” file JPG dan file .exe komputer yang di infeksinya sehingga tidak bisa dibuka, kecuali di edit kembali satu per satu menggunakan Hex Editor.

Kabar baiknya, kembali Yayat dari Chanal Yogya beraksi membuatkan toolsnya untuk merepair file ini. Satu bukti bahwa program apapun di tangan orang yang baik akan dapat membantu dan menolong banyak orang http://chanal.biz/blog/?p=58 bagi anda yang terbantu dengan tools ini, jangan lupa untuk memberikan komentar di blog tersebut :).

Kita tentu tahu dengan kasus virus Zulanic (Delf.ZFA) yang akan enkrip file menjadi BMP sehingga file tersebut tidak dapat dibuka. Sayangnya AV yang ada saat ini masih belum bisa dekrip ulang file tersebut. Mujurnya banyak programer lokal yang sudah membuat tools yang dapat decript ulang file yang sudah diubah tersebut. BMP2DOC, Av-EL_v1.0_Setup atau TOOLS recovery merupakan tools-tools yang dapat digunakan untuk decript kembali file yang sudah diubah oleh virus ZulAnic (Delf.ZFA).

Klik link berikut untuk lebih detail mengenai virs Zulanic (Delf.ZFA) http://vaksin.com/2007/0707/zulanick.htm


Setelah ZulAnic pergi, kini giliran Dinda Dewi / Sang Perawan yang beraksi dengan kemampuan menginjeksi file. Memang virus ini berbeda dengan virus ZulAnic (Delf.ZFA) karena Sang Perawan ini tidak sampai enkrip file yang menjadi targetnya tetapi hanya menambahkan kode virus tersebut kedalam body virus, kode ini akan disisipkan di awal header file tersebut sehingga masih bisa di perbaiki. Sayangnya untuk saat ini masih belum ditemukan tools yang dapat memperbaiki sekaligus semua file yang di injeksi tersebut karena rata-rata antivirus yang di uji hanya dapat mengkarantina atau menghapus file tersebut. (lihat gambar 1)

Gambar 1, Contoh file yang sudah di injeksi oleh Sang Perawan / Dewi161081A atau VBTroj.GZH


Bagaimana caranya untuk mengembalikan file JPG yang sudah di injeksi tersebut?, silahkan baca point pembersihan pada artikel ini.


Sampai saat virus Dinda Dewi sudah menelurkan 2 varian. Untuk varian pertama Norman sudah mengenali virus ini sebagai W32/Dewi.161081A sedangkan untuk varian kedua dikenali sebagai VBTroj.GZH. (lihat gambar 2)

Gambar 2, Norman Virus Control mendeteksi Sang Perawan sebagai VB.Troj.GZH dan W32/Dewi


Kedua virus ini dibuat dengan menggunakan Visual Basic, untuk varian pertama akan mempunyai ukuran sebesar 301 KB sedangkan untuk varian kedua mempunyai ukuran 96 KB. Untuk mengelabui user kedua virus ini akan menggunakan icon gambar (JPG) seolah-olah merupakan file image, tetapi jika anda tampilkan file secara “Detail” (View – Detail) maka akan terlihat bahwa file ini mempunyai type sebagai “Application” bukan JPEG Image. (lihat gambar 3)


Gambar 3, File induk VBTroj.GZH dan W32/Dewi.161081.A


Pada saat virus ini aktif kedua varian ini akan membuat beberapa file yang akan dijalankan setiap kali komputer dinyalakan. Berikut beberapa file yang akan dibuat :

  • C:\Sang Perawan.exe (file ini akan dibuat disetiap ROOT Drive termasuk di Flash Disk)

  • C:\Documents and Settings\%User%\Start Menu\Programs\Startup

    • Startup.exe

  • C:\Documents and Settings\All Users\StartMenu\Programs\Startup

    • Startup.exe

  • C:\Windows\OLD8.tmp

  • C\WINDOWS\LastGood\regedit.exe

  • C:\WINDOWS\LastGood\pchealth\helpctr\binaries\msconfig.exe

  • C:\WINDOWS\LastGood\system32\taskmgr.exe

  • C:\WINDOWS\PCHealth\HelpCtr\Binaries\OLD5.tmp

  • C:\WINDOWS\system

    • spoolsv.exe

    • svchost.exe

Blok Fungsi Windows

Tidak seperti kebanyakan virus yang menyebar, W32/Dewi.161081.A tidak akan melakukan blok terhadap fungsi Windows sehingga lebih mudah untuk menghentikan proses virus tersebut.

W32/Dewi.161081.A juga tidak membuat string pada registri Windows. Untuk memastikan agar dirinya dapat aktif ia akan membuat file duplikat pada “Startup” folder.

  • C:\Documents and Settings\%User%\Start Menu\Programs\Startup

    • Startup.exe

  • C:\Documents and Settings\All Users\StartMenu\Programs\Startup

    • Startup.exe

Berbeda dengan varian pertama, untuk varian kedua tetap akan melakukan blok terhadap beberapa fungsi Windows seperti :

  • Task Manager

  • Regedit

  • Folder Option

  • Run

  • Find

Registri Windows

Untuk blok fungsi Windows di atas, VBTroj.GZH akan membuat string pada registri berikut :

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

- NoFind

- NoFolderOption

- NoRun

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Advanced

- Hidden

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

- DisableRegistryTools

- DisableTaskMgr

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

- NoFind

- NoFolderOptions

- NoRun

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system

- DisableRegistryTools

- DisableTaskmgr

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group PolicyObjects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System

- DisableRegistryTools

- DisableTaskmgr

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\GroupPolicy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System

- DisableRegistryTools

- DisableTaskmgr

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

- ShowSuperHidden = 0

- SuperHidden = 1

- HideFileExt = 1

- Hidden = 2


Untuk memastikan agar dirinya aktif setiap kali komputer dijalankan selain dengan membuat file duplikat di folder “Startup”, VBTroj.GZH juga akan membuat beberapa string pada registri berikut :

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

    • spoolsv.exe =C:\WINDOWS\system\spoolsv.exe

    • svchost.exe = C:\WINDOWS\system\svchost.exe

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

    • spoolsv.exe = C:\WINDOWS\system\spoolsv.exe

    • svchost.exe = C:\WINDOWS\system\svchost.exe

Injeksi file gambar (JPG)

Sasaran utama virus ini adalah akan mencoba untuk menginjeksi file gambar, tetapi tidak semua file gambar akan di serang. File yang menjadi target untuk saat ini adalah file yang gambar yang mempunyai format JPG (JPEG Image) saja dengan menambahkan kode virus ke dalam body file yang akan disisipkan di awal header file tersebut. Ukuran file yang sudah di injeksi tersebut akan bertambah sebesar 301 KB atau 96 KB dari ukuran semula tergantung dari varian yang menginfeksi komputer.

Selain menginjeksi file JPG tersebut, kedua varian virus ini juga akan membuat file diuplikat disetiap folder dan sub folder. Proses pembuatan file duplikat dan injeksi file JPG inilah yang menyebabkan komputer yang sudah terinfeksi menjadi berat karena alokasi memori digunakan oleh virus ini.

File duplikat yang dibuat tersebut akan mempunyai ciri-ciri:

  • Menggunakan icon JPEG Image (JPG)

  • Ukuran file 301 KB atau 96 KB (tergantung varian virus)

  • Type File “Application”

  • Mempunyai nama file yang sama dengan folder / sub folder tempat file duplikat tersebut dibuat. (lihat gambar 4)

Gambar 4, File duplikat yang dibuat oleh W32/Dewi161081.A

Salah satu cara yang dapat anda lakukan untuk memastikan apakah file JPG anda sudah di injeksi adalah dengan menampilkan file menjadi “Thumbnail” atau dengan membuka file JPG tersebut.

Untuk menampilkan file menjadi “Thumbnail” lakukan langkah dibawah ini (lihat gambar 5 dan 6) :

  • Buka Windows Explorer

  • Klik menu “File”

  • Klik “Thumbnails”


Gambar 5, Menampilkan file secara “Thumbnail” (file sudah di injeksi virus)


Gambar 6, Menampilkan file secara “Thumbnail” (file sebelum di injeksi virus)

Cara membersihkan virus VBTroj.GZH dan W32/Dewi.161081.A

  1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan

  2. Disable “System Restore” selama proses pembersihan.

  3. Matikan proses virus yang aktif di memori. Untuk mematikan proses virus ini anda dapat menggunakan tools “Process Explorer”, silahkan download di alamat berikut :

http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

Kemudian matikan proses virus yang mempunyai nama file berikut dengan icon JPEG Image (JPG), lihat gambar 7.

  • Startup.exe

  • Svchost.exe

  • Spoolsv.exe

Gambar 7, Mematikan proses virus Sang Perawan di memori

  1. Hapus registri yang sudah dibuat oleh virus. Untuk mempermudah proses penghapusan silahkan copy script berikut pada Notepad kemudian simpan dengan nama REPAIR.INF. Jalankan file tersebut dengan cara:

    1. Klik kanan REPAIR.INF

    2. Klik Install

[Version]

Signature="$Chicago$"

Provider=Vaksincom

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1

[del]

HKLM, Software\Microsoft\Windows\CurrentVersion\Run, spoolsv.exe

HKLM, Software\Microsoft\Windows\CurrentVersion\Run, svchost.exe

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, spoolsv.exe

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, svchost.exe

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NOFind

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NORun

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NOFind

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NORun

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp

HKCU, Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr

HKLM, Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

HKLM, Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

HKLM, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Network, NOPrintSharing

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Advanced, Hidden

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\WinOldApp

  1. Hapus file induk dan file duplikat yang dibuat oleh VBTroj.GYH atau dengan ciri-ciri:

  • Menggunakan icon JPEG Image (JPG)

  • Ukuran file 301 KB atau 96 (tergantung varian)

  • Type File “Application”

Untuk mempermudah proses pencarian file tersebut, sebaiknya gunakan fungsi “Search” .

  • Klik “Start” menu

  • Klik “Search”

  • Klik “for files or folders”

  • Pada layar “Search Results” klik “All files and Folders”

  • Pada kolom “All or part of the file nameisi dengan *.EXE

  • Pada kolom Look in :, pastikan sudah di set ke fix drive hard Disk Anda

  • Klik What Size is it?”

    • Pilih opsi “Specify size (in KB)

    • Isi At Most

    • Isi 302

  • KlikSearch”

  • Jika ditemukan hapus file duplikat dan file induk yang mempunyai ciri-ciri di atas. (lihat gambar 8)

Gambar 8, Mencari file duplikat virus


Catatan:

Sesuaikan ukuran yang ada pada menu “What size is it” dengan ukuran file virus yang menginfeksi komputer Anda.

  1. Untuk mengembalikan file JPG yang sudah di injeksi oleh virus Anda dapat menggunakan tools Hex Editor yang berfungsi untuk menghapus script yang sudah dibuat oleh virus tersebut. Langkah ini memang akan memakan waktu yang cukup lama karena Anda harus menghapus script tersebut perfile karena saat ini masih belum ada tools yang dapat merepair file yang sudah di injeksi tersebut secara keseluruhan.

Silahkan download tools Hex Editor pada link dibawah ini :

http://www.topshareware.com/Free-Hex-Editor-transfer-38240.htm

Setelah program tersebut berhasil di install kemudian jalankan program tersebut dan lakukan langkah berikut : (lihat gambar 9 - 11)

  • Klik menu “File”

  • Klik “Open”

  • Kemudian pilih salah satu file JPG yang akan di perbaiki

Gambar 9, Aplikasi Hex Editor

  • Blok Script yang dimulai dari baris 00000000 – 00027530

Gambar 10, Blok script yang akan di hapus

  • Setelah script tersebut diblok, klik kanan dan pilih “CUT”

  • Setelah menghapus script tersebut pastikan pada baris 00000000 dimulai dengan huruf FF (ΓΏ).

Gambar 11, File JPG yang sudah di perbaiki

  1. Untuk pembersihan optimal dan mencegah infeksi ulang, scan dengan Norman Virus Control yang sudah dapat mendeteksi virus ini dengan baik.

Microsoft Pilih Hillary, Google dan Yahoo Pilih Obama

Kamis, 07 Februari 2008

KAMIS, 07 Januari 2008


Di lembah silikon, perseteruan antara Hillary Clinton dan Barrack Obama juga cukup panas. Microsoft condong ke Hillary, sedangkan Google ke Obama.

Hal itu dilihat dari jumlah donasi yang dialirkan karyawan masing-masing perusahaan ke dua bakal calon presiden dari Partai Demokrat tersebut. Sedangkan secara resmi sebagai perusahaan, Microsoft maupun Google nampaknya memilih posisi netral.

jumlah donasi paling besar dari karyawan Microsoft mengalir ke Senator New York Hillary Clinton, mantan ibu negara yang kini ingin menjadi calon presiden dari Partai Demokrat. Sedangkan karyawan Google, dan juga Yahoo, lebih banyak mengalirkan dana mereka ke Barrack Obama.

Total jenderal, karyawan Microsoft menyumbangkan hampir USD 130.000 untuk Clinton. Sedangkan yang menyumbang ke Obama hanya sekitar USD 68.000.

Di sisi Google, karyawan perusahaan raksasa situs pencarian ini menyumbangkan lebih dari USD 97.000 ke Obama. Untuk Clinton, karyawan Google hanya mengalirkan USD 46.000.

Karyawan Yahoo, yang perusahaannya sedang diminati Microsoft, menyumbangkan USD 24.000 lebih ke Obama. Sedangkan untuk Clinton, hanya terkumpul dana USD 15.00-an.

Satu hal yang unik, karyawan Google tak ada sepeserpun mengirimkan uangnya untuk kandidat dari Partai Republik Mitt Romney. Karyawan Yahoo juga tak mengeluarkan uang satu sen pun untuk Mike Huckabee dan John McCain dari Partai Republik.

Berikut daftar bakal calon presiden Amerika Serikat dan jumlah donasi yang diterimanya dari tiga besar Google, Microsoft dan Yahoo:

Hillary Clinton (Demokrat)
Microsoft USD 129,734
Google USD 46,610
Yahoo USD 15,600

Barack Obama (Demokrat)
Google USD 97,771
Microsoft USD 68,005
Yahoo USD 24,288

Ron Paul (Republik)
Microsoft USD 54,111
Google USD 41,342
Yahoo USD 9,435

Mitt Romney (Republik)
Microsoft USD 19,805
Yahoo USD 600
Google USD 0

John McCain (Republik)
Microsoft USD 8,210
Google USD 1,550
Yahoo USD 0

Mike Huckabee (Republik)
Microsoft USD 750
Google USD 400
Yahoo USD 0

(sumber: detikinet.com wsh / wsh )

Mengenang Yahoo Sebelum Kudeta Google

Kamis, 07 Januari 2008


Jerry Yang dan David Filo adalah sosok di balik Yahoo. Pada usia 20 tahunan dan masih kuliah di Stanford University, dua pemuda ini tenggelam dalam proyek situs internet impiannya dan membangun cikal bakal Yahoo. Semula, situs mereka dinamakan 'Jerry's Guide to the World Wide Web'. Namun mereka kemudian mengganti namanya dan lahirlah Yahoo di tahun 1994.

Pada akhir tahun 1994 itu, Yahoo mulai diminati banyak pengguna internet. Menyadari potensi situsnya, Jerry dan David mendaftarkan Yahoo pada bursa saham di tahun 1996. Tak dinyanya, saham Yahoo langsung melonjak 154 persen dalam waktu sehari saja. Dalam tempo tiga tahun, Yang dan Filo pun jadi jutawan dengan masing-masing telah memiliki kekayaan raksasa, US$ 8 miliar.

Harus diakui pada era 1990an tersebut, Yahoo jadi portal internet yang jaya. Di tahun 1997, mereka juga mulai membuat Yahoo Mail yang membuat nama Yahoo makin menjulang di dunia maya.

Semuanya tampak seperti mimpi indah sampai lahirnya kompetitor kecil yang saat itu belum terkenal, Google, yang cikal bakalnya dimulai di tahun 1996. Google menawarkan layanan mesin cari yang menurut Mark Malseed, penulis 'The Google Story', lebih baik dari semua mesin cari internet lainnya.

Runtuhnya Kejayaan

Pertarungan head to head antara Yahoo dan Google pun akhirnya tak terhindarkan. Laju Google, pelan tapi pasti tak bisa terbendung. Pada tahun 2000, bisnis mesin cari Internet sudah mulai dikuasai Google. Bahkan saking populernya, kosa kata Google pun masuk ke kamus bergengsi, Oxford English Dictionary.

Kini di tahun 2008, Google telah menjelma menjadi kekuatan bisnis internet yang jauh lebih kuat daripada Yahoo. Pada kuartal empat tahun 2007 misalnya, Google membukukan keuntungan sampai US$ 1,21 miliar. Sementara Yahoo dalam kurun waktu yang sama, 'hanya' meraih profit sebesar US$ 206 juta.

Di tahun 2008 ini, Google juga diperkirakan akan menguasai pasar mesin cari dengan prosentase 65,1 persen sementara Yahoo berada jauh di belakang dengan raihan pangsa pasar 22 persen saja. Menilik fakta-fakta tersebut, menarik dilihat bagaimana Yahoo menanggapi tawaran pembelian Microsoft, utamanya dalam meraih kembali kejayaan mereka yang perlahan meredup.

(sumber : detikinet.com fyk / dwn )

Google Kok 'Panas', Microsoft Mau Ngasih Duit ke Yahoo?

Kamis, 07 Januari 2008


Raksasa industri search engine Google mengecam tawaran Microsoft. Menurutnya, upaya akuisisi Yahoo oleh Micrososft tersebut sebagai sebuah tindakan yang mengancam kebebasan pengguna Internet dalam menggunakan instant messaging dan akun e-mail alternatif.

Tak kurang dari Chief Legal Officer Google, David Drummond, secara resmi mengatakan bahwa tawaran "permusuhan" yang disampaikan oleh Microsoft kepada Yahoo meningkatkan berbagai pertanyaan yang mengganggu.

"(Tawaran akuisisi) ini lebih dari sekedar transaksi finansial, sebuah perusahaan mengambil alih perusahaan lainnya," tegas Google seperti disampaikan oleh Drummond.

Dalam tulisannya di blog resmi perusahan Google, Drummond mengajukan pertanyaan bernada was-was, kalau-kalau kombinasi Microsoft dan Yahoo tersebut akan memberikan keuntungan bagi pelaku monopoli bisnis software PC (Microsoft - red.) untuk melakukan limitasi kepada konsumer dalam hal kebebasan menggunakan e-mail, IM dan layanan web-based lainnya dari kompetitor.

Sementara itu, petinggi Microsoft Steve Ballmer mengatakan bahwa kombinasi antara Microsoft dengan Yahoo justru akan memberikan alternatif kepada pemasang iklan, yang selama ini 70 persen mengarah ke Google.

( sumber : detikinet.com dbu / dbu )

 
 
 
eXTReMe Tracker
Powered By Blogger