Photobucket

WELCOME

AndroBoard

.

Kamis

HATI-HATI! VIRGEAR MENGHAPUS SEMUA MP3!

01.09 Richi


HATI-HATI!
VIRGEAR MENGHAPUS SEMUA MP3!


Menipu, masih merupakan cara paling favorit yang dilakukan oleh virus-virus lokal dalam menggaet mangsanya. Tapi, masa sih hare gene masih ketipu sama virus? Ikuti kiat mengenalinya! Arief Prabowo

“WAH, ada lagu Agnes Monica yang “Matahariku””, sahutDencu. Karena itu lagu kesenangannya, tanpa ragu ia punlangsung menjalankannya dengan cara mengklik ganda filetersebut. Namun apa yang terjadi, bukan lagu Agnes yang iadapatkan, tapi semua file MP3 beserta file video kesayangan miliknya hilang dalam sekejap. Kok bisa? Itu salah satu tandanya telah terinfeksi oleh Virgear.

Tipuan Virgear

Virgear memang virus biasa saja, artinya ia tidak memiliki teknikinfeksi yang kompleks seperti halnya yang dilakukan virus lama Brontok maupun Maxtrox yang baru–baru ini menyebar.

Virgear dibuat menggunakan Visual Basic. Sampai tulisan ini dibuat, terdapat tiga varian dari Virgear yang kami dapat. Varian pertama yang kami temukan memiliki ukuran fi le sebesar 16.896 bytes, yang kemungkinan besar di-pack menggunakan UPX dan di-scramble untuk menyembunyikan identitas dari packer yang digunakan. Yang kedua, memiliki ukuran fi le sebesar 49.152 bytes, murni tanpa di-pack. Dan yang ketiga, atau Virgear.C, memiliki ukuran sebesar 19.968, yang juga kemungkinan besar di-pack menggunakan UPX dan di-scramble seperti halnya varian pertama.

Yang akan coba dibahas kali ini adalah varian Virgear.A. Walaupun sebenarnya perbedaan dari setiap varian tidaklah terlalu signifikan, hanya di nama–nama fi le virus yang digunakan untuk menyebar. Dan satu hal yang tidak berubah antara varian yang satu dengan yang lainnya adalah icon yang digunakan. Ia menggunakan icon yang mirip dengan file .MP3 milik aplikasi WinAmp. Yang dilakukannya ini cukup banyak menipu para korbannya. Walaupun sebenarnya hal ini tidak perlu terjadi, jika Anda mampu membedakannya antara file asli dan file virus.

Bersarang di System

Ia akan meng-copy-kan beberapa file yang merupakan duplikat dari dirinya ke direktori yang ia beri nama system. Direktori ini terletak di bawah direktori System32 milik Windows. Pada direktori tersebut akan terdapat beberapa file dengan nama VirGear.exe, smss.exe, Gazette.exe, Gazerock.exe, dan Nugen. exe. Direktori system dan kelima file tersebut ber-attribut hidden dan system, jadi secara setting-an default Windows tidak akan terlihat oleh kasat mata. Lalu, kelima file itu akan ia jalankan.

Untuk dapat aktif otomatis, ia membuat beberapa item baru di Registry Run dengan nama seperti Winamps, Nullsoft, JetAduio, CoolEditV2, dan AdobeAudition. Nama yang dibuat memang terlihat mirip dengan nama beberapa aplikasi multimedia. Tentu saja ini bertujuan untuk tidak membuat user curiga.

Saat user menjalankan file virus, ia akan mencoba untuk membuka file Clock.avi yang secara default terletak pada direktoriWindows untuk dijalankan pada Windows Media Player. Pada rutin virusnya terlihat bahwa fungsi ini akan diaktifkan apabila virus dijalankan bukan pada direktori induknya, yakni system.

Matikan UAC

Untuk melancarkan aksinya ia mengeset registry untuk tidak menampilkan file hidden dan system, serta menyembunyikan setiap extension yang dikenali oleh Windows. Selain itu, fungsi windows lainnya seperti System Restore dan Find/Search juga ia disable. Serta, ia pun mencoba untuk mematikan UAC (User Account Control) yang ada pada Windows Vista. Walaupun sebenarnya, virus ini tidak dapat berjalan mulus di Vista pada user account selain administrator, tentu saja karena terbentur masalah privilages yang lebih ketat dibandingkan operating system sebelumnya, terkecuali memang Anda dengan sengaja menjalankan dengan perintah “Run as administrator”.

Matikan Virus Lain

Untuk menjadi penguasa tunggal di komputer terinfeksi, ia mencoba untuk mematikan virus lain dengan memasukkan nama file yang dikenal sebagai nama file induk virus tersebut pada Registry Image File Execution Options, seperti kspoold. exe, HokageFile.exe, atau HOKAGE4.exe. Selain itu, ia pun menambahkan beberapa nama file lain seperti Setup.exe, In-stall.exe, msiexec.exe, regedit.exe, dan juga nama file antivirus termasuk PCMAV-CLN.exe dan PCMAV-RTP.exe.

Selain itu, virus ini juga menghalau user untuk masuk dalam modus safe-mode, dengan menghapus setingan yang berkaitan ini di Registry.

Timer Penyebaran

Virus ini memiliki komponen Timer. Salah satunya komponen Timer yang ia namakan Penyebaran. Timer ini diset untuk memiliki interval sebesar 60000ms. Ia bertugas untuk membuat file induk dan menyebarkan diri ke setiap drive yang ia temukan, termasuk Remote Drive. Artinya, ia juga dapat menyerang drive yang di share pada jaringan setempat.

Pada saat menyerang removable drive ataupun remote drive, ia akan menciptakan dua buah fi le baru dengan nama Autorun.inf dan Winamps.exe dengan attribut hidden dan system. Selain itu, sebuah direktori baru dengan nama My Music 2008 juga akan diciptakan, pada direktori tersebut akan berisi banyak sekali file MP3 palsu yang sebenarnya merupakan virus itu sendiri. Nama yang ia gunakan seperti Agnes_Monica_-_Mataha-riku__Ost._Jelita_.mp3 ,.exe, Dewiq_feat_Kaka_-_BeTe.mp3,.exe, dan masih banyak lagi yang lainnya. Dan nama – nama ini yang selalu di-update di setiap varian barunya.

Jika Anda lebih teliti, terdapat beberapa kejanggalan pada nama file tersebut. Contohnya pada virus ini, terdapat tanda titik setelah ekstensi, misalkan “Agnes Monica.mp3.”. Tanda titik tersebut mengisyaratkan bahwa sebenarnya terdapat extension asli dibelakang extension tersebut. Secara default Windows, extension asli ini tidak akan diperlihatkan, apalagi virus ini pun juga mengeset Windows untuk tidak menampilkan extension asli. Selanjutnya, Anda ubah tampilan Windows Explorer ke modus Details (View -> Details), di bagian Type akan terlihat tipedari file tersebut. File MP3 yang asli memiliki Type contohnya seperti “MPEG Layer 3 Audio File”, “MP3 Format Sound”, atau sejenisnya. Jika Type nya adalah Application, bisa dipastikan itu adalah virus. Selain itu, lihat juga tampilan dari fi le tersebut. Apabila file yang Anda curigai memiliki jumlah spasi yang sangat banyak terutama di bagian akhir, Anda juga harus waspada, karena bisa jadi diakhir spasi yang segitu banyak terdapat extension asli virus yang sebenarnya, misalkan seperti yang dilakukan oleh virus ini “Dewiq_feat_Kaka_-_BeTe.mp3 [%spasi yang sangat banyak%] ,.exe”. Terlihat bahwa extension asli file tersebut adalah EXE (executable) dan bukanlah MP3. Maka dari itu, lebih baik setting-lah Windows Explorer Anda dengan masuk ke menu Folder Options, lalu memilih “Show hidden files and folders”, serta menghapus centangan (v) pada “Hide extensions for known fi le types” dan “Hide protected operating system fi les (Recommended)”.

Cari dan Hapus!

Beberapa pembaca mengaku bahwa saat melakukan pembasmian menggunakan PCMAV, ia menghapus setiap file MP3 yang telah terinfeksi oleh virus ini. Padahal kenyataan sebenarnya adalah virus ini tidak menginfeksi atau lebih tepatnya menginjeksi masuk ke dalam file MP3 tersebut. Yang ia lakukan adalah mencari ke setiap penjuru drive akan keberadaan file MP3, jika ia menemukannya, maka akan langsung ia hapus dan digantikan dengan file virus dengan nama yang hampir mirip dengan nama file aslinya. Jadi, file MP3 Anda yang asli memang benar–benar dihapus oleh virus ini tanpa ampun. Dan sedihnya lagi, hal ini tidak ia lakukan hanya pada fi le MP3 saja, melainkan juga pada file .3GP, .AVI, .RM, .WMV, .ASF, .MPG, .MPEG, dan .MP4.

Basmi Virgear!

Silakan gunakan PCMAV yang telah disempurnakan ini. Dan dikarenakan virus ini dapat memblok PCMAV, Anda diharuskan merename terlebih dahulu file PCMAV-CLN.EXE sebelum digu-nakan, misalkan menjadi 123456.EXE ataupun nama lain dengan extension .EXE. Sementara untuk file yang telah terlanjur dihapus oleh virus ini, segeralah lakukan recovery.

Sumber : pcmedia.co.id
Read more »

PCMAV VS SMADAV

00.52 Richi


PCMAV VS SMADAV




Halo Pembaca! Tanpa bermaksud memprovokasi pendukung kedua antivirus lokal ini, saya hanya menjabarkan fitur-fitur sekaligus kelebihan dan kekurangan dari kedua antivirus ini. Tapi itu judulnya provokatif? Kan Cuma judul, isinya egak kok...hehehehe... Oke langsung saja, semenjak munculnya virus-virus produksi dalam negeri a.k.a virus lokal, dimana antivirus bikinan luar negeri kurang bertaring dalam membasminya, maka muncul antivirus produksi dalam negeri yang lebih efektif membasmi virus lokal beserta varian-varianya. Antivirus lokal yang cukup terkenal keampuhanya ada 3, mereka adalah PCMAV, ANSAV dan SMADAV. Saya akan membahas SMADAV dan PCMAV saja, karena saya tidak memiliki ANSAV (download ANSAV terbaru dimana sie?). Saya sendiri sudah memiliki sedikit pengalaman dalam menggunakan PCMAV (saya gunakan sejak versi RC16) dan SMADAV (saya gunakan sejak versi rev. 4). Saya menggunakan PCMAV 2.0d dan SMADAV rev 5 pada perbandingan ini.
User Interface
Buruk rupa, antivirus dibelah (halah!). User interface berperan penting untuk kemudahan,karena berkomunikasi langsung dengan pengguna. Berikut tampilan PCMAV 2.0d...



Tampilan PCMAV didominasi warna kuning-orange (sebenarnya saya lebih suka yang warna biru yang dipake v1 ke bawah). Interface PCMAV cukup komunikatif dan mudah dipahami. PCMAV menampilkan drive, folder dengan jelas dan mirip tampilan windows explorer. Sementara sidebar nya menampilkan opsi-opsi yang dapat dipilih pengguna serta informasi terkait dengan versi antivirus PCMAV. Secara umum, tampilan PCMAV sangat simple, sangat mudah digunakan bagi yang masih awam sekalipun. Bagaimana dengan SMADAV? Berikut screenshotnya...



SMADAV didominasi warna hijau dengan pemilihan menu menggunakan tab-tab (tabbed). SMADAV menampilkan drive, folder yang akan discan dengan cukup komunikatif, hanya saja SMADAV menambahkan bagian ”System Area”. Sidebar SMADAV terdapat dua bagian, yang pertama menampilkan opsi-opsi yang dapat dipilih pengguna untuk melakukan scanning dan yang kedua berisi informasi tentang antivirus SMADAV. Antivirus ini dilengkapi menu-menu yang cukup kompleks, detil namun masih cukup mudah digunakan oleh pemula sekalipun. SMADAV juga dilengkapi dengan bahasa indonesia sehingga cukup komunikatif dengan pengguna yang sebagian besar adalah orang indonesia.
Deteksi, Database & Update
Database/signature virus diperlukan agar antivirus mampu mengenali virus dan membasminya. Selain berbasis signature, ada juga metode yang disebut dengan “heuristic” dalam bahasa indonesia mungkin dapat diartikan “tingkah laku”. Antivirus berbasis heuristic ini mendeteksi virus berdasarkan tingkah laku virus (generic) dikomputer, metode ini diyakini lebih efektif dibandingkan dengan basis signature. Bagaimana dengan SMADAV dan PCMAV? Kedua antivirus ini memiliki heuristic yang cukup baik serta database signature virus yang cukup banyak (masing-masing dikisaran 2300-an dan 2800-an virus). Baik PCMAV (tanpa dikombinasikan dengan CLAMAV) atau SMADAV memiliki tingkat deteksi yang sangat baik untuk virus lokal, untuk virus luar yang cukup populer menyerang file *.exe (Alman,Viruut, sality) SMADAV lebih baik, mengapa? Saya pernah punya pengalaman, seorang teman minta dibersihkan flasdisknya dari virus-virusnya, saya langsung menggunakan PCMAV, dan virus lokal bersih. Saya masih kurang yakin, iseng-iseng saya lakukan scanning lagi dengan SMADAV, ternyata masih ada Alman dan viruut bercokol di flashdisk tersebut. Ada salah satu kelebihan PCMAV yang tidak dimiliki SMADAV, yaitu penggabungan database PCMAV dengan antivirus open source, CLAMAV. Dengan mendownload beberapa library yang diperlukan serta database antivirus CLAMAV, maka jadilah PCMAV+CLAMAV dengan database virus hingga 500 ribu lebih virus, sehingga berbagai macam virus luar maupun lokal mampu ditangani oleh gabungan PCMAV+CLAMAV. Kedua antivirus ini memiliki frekuensi update yang teratur. PCMAV dapat langsung mengupdate database antivirusnya jika terhubung dengan internet, sedangkan SMADAV harus meregistrasi dulu baru dapat melakukan live update.



Penanganan Virus
Seperti yang kita tau, biasanya tindak lanjut atas virus adalah dengan perintah “clean”,”delete”,”submit” atau “quarantine”. Clean yaitu membersihkan file yang terinfeksi tanpa menghapus file yang bersangkutan. Delete yaitu menghapus file yang terinfeksi atau file induk virus. Submit yaitu mengirimkan sample virus ke produsen antivirus untuk dianalisis. Quarantine adalah menangkap dan mengunci file virus atau bisa dikatakan memasukan virus dalam penjara. Bagaimana dengan SMADAV dan PCMAV? Kedua antivirus ini telah memiliki fitur penanganan yang lengkap. Berikut screenshot penanganan virus PCMAV...



File yang terdeteksi pada PCMAV tercantum dalam bentuk list dengan rincian nama file, nama virus dan informasi tambahan. Opsi yang tersedia untuk menindak lanjuti virus adalah Clean File System, Cure Files dan Quarantine. File yang di quarantine oleh PCMAV selanjutnya akan di submit ke prmbuat antivirus PCMAV untuk di analisis. Virus yang akan ditindak lanjuti harus deberi tanda checklist terlebih dahulu dan tersedia untuk memberi checklist ke semua virus yang terdeteksi serta kategori “virus suspected” untuk virus yang tidak diketahui. Secara umum, penanganan virus di PCMAV cukup sederhana. Bagi pengguna yang sudah advance, PCMAV menyediakan perintah-perintah untuk mendukung penanganan virus (ex: /FORCE, /REGSHELL, dst). Saran saya, akan lebih mudah dimengerti apabila opsi Cure Files dan lainya diubah dalam bahasa indonesia. Bagaimana penanganan virus oleh SMADAV? Berikut screenshotnya...



SMADAV menampilkan kotak dialog berbahasa indonesia berisi hasil scanning beserta keadaan komputer, hal ini menambah kenyamanan pengguna. Hasil scanning ditampilkan lebih detil oleh SMADAV dalam bentuk tab (tabbed) meliputi virus, registry dan hidden, hal ini sangat bermanfaat bagi pengguna bila ingin tau detil keadaan sistem operasi dan file-filenya. Opsi tindak lanjut hanya menyediakan “Fix All”, yang berarti mengijinkan SMADAV melakukan tindakan terbaik untuk virus yang terdeteksi. Jika pengguna beralih ke tab virus, registry atau hidden file, tersedia opsi yang lebih spesifik untuk tiap kategori seperti clean untuk virus, repair untuk registry dan unhide untuk hidden. Cukup kompleks, namun inilah keunggulan yang dimiliki SMADAV dibanding PCMAV.
Resource dan Kecepatan Scan
Saya berani menyatakan bahwa lebih dari 75% pengguna antivirus menyukai antivirus yang cepat dan hemat resource a.k.a ringan dan tidak membebani sistem. Bagaimana PCMAV dengan SMADAV? Kedua antivirus ini sangat ringan dan bersifat portabel. Saya menggunakan AMD Athlon X2 4400+ dengan 2GB memori untuk menguji berapa besar resource yang digunakan oleh kedua antivirus ini. PCMAV memakan memory sekitar 25mb dan prosesor load 25% saat melakukan scanning. SMADAV memakan memory sekitar 4,6mb dengan prosesor load diantara 18-20%. Kecepatan scan saya uji dengan melakukan scanning flashdisk kapasitas 1gb dengan 6020 file dan 971 folder. SMADAV cukup gegas, mampu menyelesaikan scanning tersebut dalam wakti 1 menit 2 detik, sangat cepat. PCMAV tampak kewalahan, scanning flashdisk tersebut diselesaikan oleh PCMAV dalam waktu 8 menit 2 detik. Keduanya diuji tanpa mengaktifkan fitur RTP (Real Time Protector) dan untuk PCMAV, tidak digabungkan dengan CLAMAV. Bisa disimpulkan, SMADAV lebih cepat dan lebih ringan.
Fitur Tambahan dan Dokumentasi
Sebuah antivirus biasanya dilengkapi dengan fitur-fitur tambahan untuk memudahkan pengguna untuk memperbaiki sistemnya. PCMAV dan SMADAV ini juga dilengkapi beberapa fitur tambahan. PCMAV hanya memiliki sedikit fitur tambahan, yaitu RTP (Real Time Protector) dan penggabungan database CLAMAV. Ukuran file PCMAV sekitar 5mb terdiri dari beberapa file dan folder. SMADAV datang dengan berbagai tool yang cukup bermanfaat dalam membasmi firus, sebut saja Process Manager, System Editor, Win Force dan Smad Lock. Fitur-fitur yang dibawa SMADAV memudahkan untuk menangani virus yang membandel. Ukuran file SMADAV cukup kecil, sekitar 300kb dan terdiri dari 1 file antivirus dan 1 file read me. Dokumentasi, saya rasa pembaca sudah tau siapa yang unggul, ya PCMAV. PCMAV didukung oleh media cetak komputer papan atas. Meski begitu, SMADAV juga memiliki dokumentasi yang cukup baik.
KESIMPULAN
Kedua antivirus ini secara umum cukup ampuh dan bisa diandalkan untuk membasmi virus lokal yang merepotkan. Masing-masing antivirus memiliki kelebihan dan kekuranganya. PCMAV unggul di dokumentasi serta fitur penggabungan database dengan CLAMAV, sehingga kemampuan PCMAV dalam melakukan scanning jadi semakin akurat. Menurut saya, penggabungan dengan database CLAMAV inilah fitur killer dari PCMAV. SMADAV pun memiliki kelebihan, ia memiliki banyak fitur tambahan, lebih ringan dan cepat, ukuran file lebih kecil dan memiliki fitur bahasa indonesia. Fitur-fitur bawaan SMADAV sangat membantu dalam mengidentifikasi serta menangani virus. Pilih mana dong? Kalau saya pribadi, saya pakai kedua-duanya, saling melengkapi. Saya menggunakan kedua antivirus ini dengan menon-aktifkan fitur RTP-nya. Sampai disini dulu posting kali ini, see u next time!

Sumber : kritinx.blogspot.com
Read more »

PCMAV VS ANSAV: Uji Performance

00.42 Richi

PCMAV VS ANSAV: Uji Performance

Quantcast

Disaat banyaknya virus/worm lokal banyak bermunculan, antivirus lokal-pun tak mau ketinggalan unjuk gigi di kalangan pengguna komputer. Salah dua antivirus lokal Indonesia yang cukup dilirik para penggiat dunia maya adalah PCMAV dan ANSAV. Disamping keduanya gratis juga karena kemampuannya yang tidak bisa dipandang sebelah mata dalam melibas virus/worm lokal Indonesia.

Berikut ini akan dipaparkan perbandingan unjuk kerja dua antivirus ini.

PCMAV yang digunakan pada pengujian ini adalah versi 1.0 RC16 sedangkan ANSAV berjenis ANSAV+E Advanced.

Perbandingan

ANSAV+E Advanced

PCMAV 1.0 RC16

Pemakaian clock CPU

50-60

80-95

Pemakaian memory

6000 KB – 7000 KB

15000 KB – 16000 KB

Kecepatan scan (10521 file)

2 menit 41 detik

13 menit 14 detik

Jumlah virus yang dikenali

356

769

Module yang dipakai

28

62

Fitur

Plugins terintregasi

RealTime Protector


Process Image Finder

DeepClean


Hidden Revealer

SmartUnhide


4 tahap scanning (AdvHeuristic)

GeneticHeuristic


Kompresi file yang dikarantina



Eksternal database

Bisa digabung dengan ClamAV


Stealth mode (ring3)



Kill VB Process



Kill Packed Processes



Plugins : tambahan fasilitas, dipisah agar fleksibel, dipakai atau tidak terserah anda

Process Image Finder : memboka kedok, membuka bungkus, atau memecahkan kode si virus

Hidden Revealer = Smart Unhide : file-file yang disembunyiin muncul lagi

Heuristic : mengenali virus dari ciri khas-nya

Stealth mode : menghilang dari deteksi TaskManager (applications saja tapi di process tetep kelihatan)

RealTime Protector : terjemahin aja sendiri….., he he he

DeepClean : membersihkan sampai tingkat registry

Bisa digabung dengan engine ClamAV sehingga bisa mendeteksi 92.000 worm/virus

Catatan saya tentang ANSAV

  1. Buat mas Anvie yang buat antivirus ini salutlah walaupun masih mahasiswa tapi antivirusnya top.
  2. Kenceng…bener ya. Krn pake bahasa assembly kali ya?
  3. Proses installasi untuk Windows XP SP2 selalu gagal, tapi gapapa karena saya hanya pakai kalau butuh.
  4. Oh ya…., nginstall-nya juga ribet nih.
  5. Dengan gagalnya installasi kemampuan guard running as service (bahasanya belibet) pun ga bisa dinikmati.
  6. Untuk yang suka ngoprek virus, antivirus ni kayaknya cocok terkhusus krn adanya fasilitas Process Image Finder. Improvisasi dari si user turut membantu dalam menendang si virus.

Catatan saya tentang PCMAV

  1. User friendly (apa bahasa indonesia-nya?), mudah dipakai untuk kalangan awam.
  2. Kalau digabungkan dengan ClamAV banyak virus yang akan dikenali.
  3. Tapi kok lambat ya?
  4. Klo pas RealTime Protectornya dipakai, proses installasi software baru yang lain gagal terus.
  5. Semoga ni software gratis terus.

Kesimpulan

  1. Bikin kesimpulan sendiri ya…., takut dibilang tidak netral
  2. Dua antivirus ini bagus, tapi disaranin tetep pake antivirus yang biasa spt AVG yang gratis, NOD32 (antivirus keren), Kara…sky (apa ya? Susah nulisnya)
  3. Resiko terkena virus adalah termasuk pola hidup anda terhadap komputer; jgn suka penasaran, berpikir sebelum bertindak, safety first.

Pengujian ini dilakukan menggunakan:

  1. Notebook BenQ Joybook R41E, Intel (R) Celeron (R) M @430, 1,73GHz, RAM 992 MB DDR2

  2. Operating System: Microsoft Windows XP Proffesional SP2 Asli

  3. Windows Task Manager

  4. What’s Running Program



Sumber : mumtaz-anas.com


Read more »

Subscribe
Follow me!

 
Powered by Blogger