Rabu, 03 November 2010

Junk Virus pada Flashdisk

Muncul banyak file aplikasi pada flashdisk anda?? Berarti computer anda sudah terkena virus “W32/Rontokbro.GOL”. Virus ini juga mencatat seluruh alamat email si target. Virus ini merupakan jenis virus local yang pada umumnya dibuat dengan program Visual Basic (VB). Virus ini menjadi inspirasi para pembuat virus local.
Walaupun namanya mulai surut ia tetap menjadi inspirasi tersendiri bagi para pembuat virus lokal saat ini, walaupun virus lokal saat ini mempunyai daya serang yang berbeda-beda tetapi ada sebagian taktik atau ciri khas yang biasa digunakan oleh virus Rontokbro seperti  melumpuhkan fungsi Windows, membuat file duplikat sampai aktif pada mode “safe mode” atau “safe mode with command prompt”.

File induk W32/Rontokbro.GOL
Pada saat user menjalankan file yang sudah terinfeksi maka akan menampilkan jendela Windows Explorer kemudian akan membuat beberapa file induk yang akan di aktifkan secara otomatis pada saat komputer dinyalakan. Agar tidak dicurigai oleh user untuk setiap file induk yang dbuat akan mempunyai nama yang sama dengan nama file system Windows seperti [smss.exe, winlogon.exe, services.msc atau lsass.exe] tetapi jika anda jeli maka dengan mudah akan diketahui bahwa sebenarnya file tersebut merupakan file virus hanya dengan melihat lokasi penyimpanan file tersebut, berikut beberapa file yang akan dibuat oleh W32/Rontokbro.GOL

File induk W32/Rontokbro.GOL
Pada saat user menjalankan file yang sudah terinfeksi maka akan menampilkan jendela Windows Explorer kemudian akan membuat beberapa file induk yang akan di aktifkan secara otomatis pada saat komputer dinyalakan. Agar tidak dicurigai oleh user untuk setiap file induk yang dbuat akan mempunyai nama yang sama dengan nama file system Windows seperti [smss.exe, winlogon.exe, services.msc atau lsass.exe] tetapi jika anda jeli maka dengan mudah akan diketahui bahwa sebenarnya file tersebut merupakan file virus hanya dengan melihat lokasi penyimpanan file tersebut, berikut beberapa file yang akan dibuat oleh W32/Rontokbro.GOL (lihat gambar 1)

 Gambar 1, W32/Rontokbro.GOL membuka Windows Explorer pada saat menjalankan file virus

  • C:\Documents and settings\%user%\Local Settings\Application Data
-          Winlogon.exe
-          services.exe
-          lsass.exe
-          smss.exe
-          inetinfo.exe
-          Diah84.Yitn.oss.txt
-          csrss.exe
  • C:\Windows\Inf\Yitnoss.exe
  • C:\Documents and settings\%user%\Start Menu\Programs\Startup\YITNO.pif
  • C:\Documents and Settings\%user%\Templates\B.Yitnoss.com

Agar file tersebut dapat dijalankan secara otomatis, ia akan membuat beberapa string pada registry berikut

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
-          X84-YitnoDiah = "C:\Documents and Settings\%user%\Local Settings\Application Data\smss.exe"

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
-          Diah-YitnosX84 = "C:\WINDOWS\INF\Yitnoss.exe"

Melumpuhkan fungsi Keamanan pada Windows
Untuk mempertahankan dirinya, ia akan melumpuhkan beberapa fungsi Windows seperti Task Manager, Regedit atau Folder Options dengan tujuan untuk mempersulit user melumpuhkan dirinya, selain itu komputer akan restart secara otomatis setiap kali user menjalankan tools, file atau folder yang mempunyai nama tertentu (biasanya berhubungan dengan security). Berikut beberapa string yang akan dibuat oleh virus untuk melumpuhkan beberapa fungsi Windows tersebut:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
-          NoFolderOptions

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
-          DisableMD
-          DisableRegistryTools

Aksi lain yang digunakan oleh virus ini adalah merubah isi dari file Autoexec.bat dengan menambahkan string PAUSE (lihat gambar 2)

Gambar 2, W32/Rontokbro.GOL merubah file Autoexec.bat

Media penyebaran
Sebagai upaya untuk menyebarkan dirinya, ia akan memanfaatkan removable disk termasuk Flash Disk dengan membuat sebuah file dengan nama DATA %user%.exe (%user% ini merupakan nama account user saat login Windows) serta membuat file duplikat di setiap folder dan subfolder dengan nama yang sama dengan folder/subfolder tersebut.

Cara mengatasi W32/Rontokbro.GOL

1.    Disable "System Restore" (Windows XP/Vista/Windows 7) selama proses pembersihan dilakukan
2.    Matikan  proses yang aktif di memory, Norman Security Suite Pro yang dilengkapi dengan fitur Advanced System Reporter yang dirancang khusus untuk mengetahui dan monitoring proses yang aktif di memori serta mempunyai kemampuan untuk mematikan proses virus sekaligus menghapus registry startup dari virus tersebut menjadi salah satu tools alternatif yang dapat digunakan untuk mengganti tools Task Manager  yang diblok oleh W32/Rontokbro.GOL.

Berikut langkah untuk mematikan proses virus yang aktif di memori dengan menggunakan Advanced System Reporter (lihat gambar 3)

-          Pada aplikasi Advanced System Reporter, klik tabulasi “Other”
-          Klik kanan pada file virus [lsass.exe, services.exe dan winlogon.exe atau file lain] yang berada di direktori “C:\Documents and settings\%user%\Local Settings\Application Data”
-          Klik “Terminate Process”
-          Klik “Yes”

Gambar 3, Norman Advance System Reporter

            Untuk menghapus registry autostart yang dibuat oleh virus, lakukan langkah berikut

-          Klik tabulasi “Autostart”
-          Klik kanan file virus [smss.exe dan Yitnoss.exe] atau file lain yang berada didirektori “C:\Documents and settings\%user%\Local Settings\Application Data”
-          Klik “Terminate Process” jika proses tersebut masih aktif
-          Kemudian klik “Remove Autorun” untuk menghapus registry autostart yang telah dibuat oleh virus (lihat gambar 4)

 Gambar 4, Gunakan Advance System Reporter untuk menghapus proses virus

3.    Pulihkan registri yang sudah diubah oleh virus, untuk mempercepat proses pemulihan silahkan salin script berikut pada program notepad kemudian simpan dengan nama REPAIR.INF, Install file tersebut dengan cara [Klik kanan REPAIR.INF | Install]

[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, X84-YitnoDiah
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Diah-YitnosX84
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableCMD
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

4.    Hapus file induk dan file duplikat yang dibuat oleh virus dengan menggunakan fungsi Search Windows  di semua Drive termasuk Removable Disk [Flash Disk] (lihat gambar 5)


Gambar 5, Gunakan fasilitas Search Windows untuk mencari dan menghapus file virus secara manual jika antivirus anda tidak mengenali virus ini.

Kemudian hapus file berikut:
  • C:\Documents and settings\%user%\Local Settings\Application Data
-          Winlogon.exe
-          services.exe
-          lsass.exe
-          smss.exe
-          inetinfo.exe
-          Diah84.Yitn.oss.txt
-          csrss.exe
  • C:\Windows\Inf\Yitnoss.exe
  • C:\Documents and settings\%user%\Start Menu\Programs\Startup\YITNO.pif
  • C:\Documents and Settings\%user%\Templates\B.Yitnoss.com

Hapus juga file/folder berikut:

C:\Documents and settings\%user%\Local Settings\Application Data
-          84-DiahLove-Yitn-oss
-          Yitn.oss-3-27
-          Yitn.oss-3-31
-          Diah84.Yitn.oss.txt

5.    Untuk pebersihan optimal silahkan install dan scan dengan antivirus yang up-to-date,  anda juga dapat menggunakan tools Norman Malware Cleaner, silahkan download di alamat berikut:
           Http://www.norman.com/support/support_tools/58732/en



sumber:
http://www.vaksin.com/
http://www.vaksin.com/2010/0910/rontokbro/rontokbro.html

Diposting oleh di 6 komentar:
Label:

Kiat Belanja Online

Belanja online adalah istilah yang dipakai ketika kita membeli barang melalui internet. Cara pembayarannya biasanya melalui kartu atau transfer bank. Belanja online sudah merupakan hal yang sangatlah lazim dan biasa di era global ini. Dengan belanja online orang bisa membeli barang dari belahan bumi manapun tanpa harus datang ke tempat penjualannya. Belanja online ini sangat memudahkan bagi banyak orang. Dengan kemudahannya tersebut, jumlah pengguna fasilitas ini senakin bertambah tiap tahunnya.
Namun masih banyak pengguna Internet yang belum percaya dengan tingkat keamanan di Internet. Banyak berita tentang pencurian nomor kartu kredit. Memang benar banyak penggunaan nomor kartu kredit yang tidak sah. Akan tetapi nomor kartu kredit tersebut bukan dicuri atau disadap secara online, akan tetapi didapatkan dengan cara lain. Cara yang paling mudah adalah menjadi kasir di sebuah tempat usaha (toko, restoran, hotel). Ketika seorang pengunjung membayar dengan kartu kredit, maka nomor, nama, dan keterangan lain dapat langsung dicatat. Selain itu diberitakan ada software yang dapat menghasilkan nomor kartu kredit yang valid.

Trust (Kepercayaan)
Sebenarnya kepercayaan (trust) lebih diutamakan daripada mebuat sistem yang memiliki keamanan seratus persen (100%). Selain sulit untuk dicapai (bahkan ada yang mengatakan tidak mungkin dapat dicapai), transaksi lebih menekankan kepada kerpecayaan. Ketika kita belanja secara konvensional di toko pun, kita sebenarnya melakukan transaksi berdasarkan kepercayaan.
Kredibilitas penjual dan/atau pembeli merupakan salah satu penjamin keamanan. Percayakah Anda kepada seseorang yang tiba-tiba mengirimkan email meminta agar anda mengirimkan sejumlah uang ke rekening milik orang tersebut. Percayakah Anda kepada saran-saran atau instruksi yang diberikan oleh sebuah situs web yang tidak memiliki latar belakang yang jelas.

Sumber Lubang Keamanan
Lubang keamanan dapat terjadi di beberapa tempat; pada sistem operasi (operating system, OS), pada aplikasi (misalnya database), dan pada jaringan komputer (network).
Lubang keamanan pada OS di sisi pengguna (client) biasanya dieksploitasi dengan menyisipkan trojan horse, yaitu program yang dapat dikendalikan dari jarak jauh. Contoh trojan horse yang cukup terkenal adalah Back Orifice (BO) dan Netbus, yang dapat menangkap ketikan anda, mengirimkan berkas (yang berisi nomor kartu kredit atau data-data pribadi lainnya) dari hardisk anda, dan bahkan memformat hardisk anda. Trojan horse ini disisipkan melalui berbagai cara, seperti misalnya dengan mengirimkan sebagai attachment email atau aplikasi yang dijalankan ketika anda mengunjungi situs web tertentu.
Lubang keamanan pada OS di sisi penjual atau pemberi jasa (server) dapat dimanfaatkan untuk menyadap data-data pelanggannya (client). Misalnya berkas yang berisi data kartu kredit pelanggan dapat diambil dari jarak jauh. Jika lubang ini dieksploitasi, maka bisa saja data-data seluruh pelanggan dari server tersebut jatuh ke tangan penyadap.

Payment Gateway
Jika seorang pelanggan ingin melakukan transaksi secara online, maka dia akan memberikan nomor kartu kreditnya kepada penjual. Jika pelanggan tersebut berbelanja ke beberapa tempat, maka nomor kartu kreditnya akan tercatat di beberapa tempat tersebut. Dengan kata lain, nomor kartu kreditnya ada dimana-mana. Jika tempat-tempat dimana dia berbelanja memiliki kredibilitas dan keamanan yang tinggi maka tidak ada masalah. Namun dengan banyaknya dia memberikan nomor kartu kredit, maka resiko adanya penyalahgunaan kartu kredit menjadi lebih besar.


Untuk mencegah masalah-masalah yang timbul dalam berbelanja online ada beberapa hal yang dapat dilakukan, yaitu:
1.       Gunakan Piranti Lunak Keamanan Berbayar yang Lengkap dan Up-to-date
Carilah piranti lunak keamanan yang bukan hanya memberikan perlindungan dasar dari virus dan spyware, tapi juga membantu mendeteksi serangan berbahaya sebelum terjadi. Saat ini, sudah tidak cukup lagi mengandalkan solusi antivirus sederhana, namun juga harus ada firewall dua-arah, enkripsi password, toolbar anti-phishing dan update yang berkala.

Piranti lunak keamanan Anda harusnya mengandung fitur terbaru teknologi berbasis reputasi yang mampu mendeteksi malware dan melampaui kemampuan solusi keamanan tradisional.

2.       Belanja di Situs dengan SSL
Yakinkan Anda hanya melakukan belanja di situs atau penjual online yang menawarkan transaksi aman. Beberapa situs menampilkan label 'certified secure' dengan logo atau sertifikat online yang muncul di situs atau saat Anda hendak membayar. Sertifikat yang bisa dipercaya, dikeluarkan oleh beberapa organisasi seperti Verisign. DigiCert dan Go Daddy. Apa artinya sertifikat itu? Ini berarti situs tersebut menggunakan keamanan Secure Sockets Layer (SSL).
Selain sertifikat yang disebut sebelumnya, situs lain yang menawarkan transaksi via SSL kadang hanya menyebutkan 'Secure Transaction' atau 'We offer Secure Sockets Layer (SSL) technology' diimbuhi dengan gambar gembok.
Jika tempat Anda berbelanja tak menawarkan SSL, sebaiknya Anda mencari tempat belanja lainnya.

3.       Waspadai Phishing dan Pharming
Kedua istilah itu mengacu pada teknik penipuan online untuk mencuri informasi keuangan pribadi seperti nomor kartu kredit.
Phishing adalah email penipuan yang seakan-akan berasal dari sebuah toko, bank atau perusahaan kartu kredit. Email ini mungkin mengajak Anda untuk melakukan berbagai hal -- misalnya memverifikasi informasi kartu kredit, meng-update password dan lainnya.
Harus dipahami bahwa perusahaan yang sah tidak akan melakukan hal itu melalui email. Jika Anda menerima email dengan permintaan semacam itu, hapus saja!
Nah, yang agak lebih sulit untuk dideteksi adalah Pharming. Ini mengacu pada sebuah halaman web palsu yang dibuat oleh penipu sehingga mirip halaman akhir dari sebuah situs belanja.
Jika Anda mengklik checkout, Anda akan dibawa pada halaman milik sang penipu dan diminta untuk memasukkan data-data pribadi.
Cara paling baik untuk melindungi diri dari Phishing dan Pharming, adalah dengan memiliki piranti lunak keamanan yang ter-update.
Sebagai tambahan, pastikan Anda mengetikkan secara manual halaman web toko online di browser Anda. Jangan mengklik lewat tautan yang ada di email atau tempat lain.

4.       Berbelanjalah di Tempat Ramai
Ada sejumlah situs besar --termasuk Google, Yahoo, MSN, Amazon dan CNET-- yang menyediakan layanan pencarian dan akses ke berbagai situs berbelanja terpercaya. Selain berguna untuk membanding-bandingkan, setiap situs itu juga memiliki sistem rating berdasarkan kepuasan pembeli.
Bahkan, ada juga situs yang menyediakan review dari sesama pengguna. Sehingga, Anda bisa tahu situs belanja mana yang mengantarkan barang dengan baik, tepat waktu dan tepat barang, serta bagaimana mereka menangani pengembalian barang.
Jika Anda punya pusat perbelanjaan (dalam arti fisik) yang jadi tempat favorit, berbelanjalah di situsnya. Nyaris semua toko besar saat ini sudah menyediakan layanan online.

5.       Kredit, Jangan Debit
Ini satu tips belanja online yang patut didengarkan: gunakan kartu kredit, bukan kartu debit. Lho, kenapa? Karena kartu kredit biasanya sudah dilengkapi dengan perlindungan terhadap penipuan, kiriman yang hilang dan barang yang rusak serta berbagai masalah lainnya. Pastikan penyedia kartu kredit Anda menawarkan hal itu.

Masalah utama dari kartu debit, jika digunakan online, adalah bahwa kartu itu merupakan sambungan langsung ke rekening bank Anda. Jika penipu berhasil mencuri nomor kartu kredit mereka, bencana yang timbul mungkin tak terlalu besar. Tapi bayangkan jika yang bobol adalah kartu debit Anda.

6.       Perhatikan Hal-Hal Kecil
Ada beberapa hal lain yang harus diperhatikan saat belanja online:
·     Privacy Statements (Pernyataan soal kerahasiaan data) — periksa dan baca dulu kebijakan penjual online soal data pribadi Anda sebelum melakukan pembelian. Pastikan mereka tak akan menjual informasi pribadi pada pihak lain.
·     Return Policies (Kebijakan soal pengembalian barang) — Hal semacam ini lebih penting di belanja online ketimbang di dunia fisik. Baju hangat yang nampak berwarna biru laut di layar monitor bisa jadi akan terlihat biru tua saat sampai di tangan Anda. Akankah toko menerima pengembalian semacam ini? Adakah biaya terkait hal itu? Cari tahu sebelum Anda membeli.
·     Terms of Agreement (Kesepakatan) — Jika pembelian melibatkan layanan online, seperti PayPal, pastikan Anda memahami bahwa layanan itu juga akan melindungi Anda dari hal-hal buruk.
·     Gift Cards (Voucher Hadiah) — Saat ini makin hadiah dalam bentuk voucher makin disukai dan banyak membantu saat belanja di waktu yang sempit. Pastikan Anda mengetahui kebijakan dari setiap kartu. Beberapa perusahaan bahkan memiliki biaya bulanan atau tanggal kadaluwarsa untuk voucher belanja, yang membuat kertas itu hanya menjadi selembar kertas belaka jika tak segera digunakan.


sumber:
http://software-komputer.blogspot.com/2007/11/apa-itu-belanja-online.html
http://www.detikinet.com/read/2009/12/22/110530/1264184/323/7-tips-aman-belanja-online
http://ictfiles.com/detail/Networking/2009/12/24/sekuriti_belanja_online
Diposting oleh di 5 komentar:
Label:
Langganan: Postingan (Atom)