W32/Ramnit aka Win32.Siggen.8

W32/Ramnit aka Win32.Siggen.8

Perhatian para pengguna komputer dalam beberapa bulan terakhir ini banyak tersita pada Stuxnet, Sality, Virut dan Shortcut. Termasuk perkembangan virus lokal yang secara tidak langsung menantang kreativitas programmer-programmer untuk memunculkan program antivirus lokal seperti Artav yang digawangi oleh anak SMP :). Perhatian user yang cukup besar terhadap virus lokal jangan sampai mengakibatkan lengah dengan keberadaan virus mancanegara, seperti salah satu virus yang sedang menyebar saat ini. Virus ini termasuk golongan trojan/backdoor, ia akan aktif jika komputer target terkoneksi internet dan salah satu senjata pamungkasnya yang berbahaya dan membuat pusing pengguna komputer adalah melakukan download virus lain. Hebatnya, nama dan jenis virus yang didownload akan berbeda-beda untuk setiap komputer target baik dari nama maupun ukurannya, hal inilah yang menyebabkan banyak program antivirus sekalipun kesulitan untuk melakukan deteksi dan pembersihan. Jika file tersebut berhasil di download, maka secara otomatis akan di aktifkan di komputer dan melakukan serangkaian kode jahat yang sudah ditanam didalam tubuhnya.

Secara umum virus ini cukup merepotkan,  ia akan selalu melakukan koneksi ke internet untuk memanggil  alamat website yang sudah ditentukan yang akan ditampilkan secara terus menerus sehingga mengakibatkan komputer menjadi lambat pada saat di akses, terlebih virus ini akan menginjeksi file yang mempunyai ekstensi EXE, DLL dan HTM/HTML baik berupa file program maupun file system Windows sehingga diperlukan langkah pembersihan khusus.

Ciri dan gejala

Berikut beberapa ciri dan gejala jika komputer terinfeksi virus W32/Ramnit (Win32.Siggen.8)

1. Akan menampilkan aplikasi Internet Explorer yang berisi penawaran atau iklan investasi, game dan program-program promosi (terkadang menampilkan iklan porno) dalam jumlah yang banyak secara terus menerus selama komputer terkoneksi internet sehingga menghabiskan banyak bandwidth untuk iklan yang ditampilkan dan mengakibatkan akses internet menjadi lambat (lihat gambar 1).

Gambar 1, Alamat website yang akan ditampilkan oleh W32/Ramnit (Win32.Siggen.8)

2. Icon Removable media (USB Flash) berubah menjadi icon Folder (lihat gambar 2)

Gambar 2, Icon USB Flash yang diubah W32/Ramnit (Win32.Siggen.8 )

3. User tidak dapat mengakses USB Flash  dengan menampilkan pesan ”Access is denied” (lihat gambar 3)

Gambar 3, Blok akses USB Flash

4. Muncul pesan “Compressed (zipped) Folders” pada saat mengakses Flash disk (lihat Gambar 4)

Gambar 4, Pesan error saat akses USB Flash

5. Muncul banyak file dengan nama file “Copy of Shortcut to (1).lnk” s/d “Copy of Shortcut to (4).lnk” di USB Flash. (lihat gambar 5)

Gambar 5, File virus yang di drop oleh virus  di USB Flash

6. Salah satu hal yang unik dan membuat virus ini sangat mudah aktif dan sulit dibasmi adalah setiap kali user melakukan klik kanan, selain menampilkan menu klik kanan, secara tidak langsung pengguna komputer juga menjalankan virus ini.

Dengan update terbaru Dr.Web antivirus mendeteksi virus ini sebagai Win32.Siggen.8 sedangkan untuk file-file lain dikenali sebagai Trojan.Packed.21232, Trojan.Hotrend.34 atau Trojan.Starter.1602 (lihat gambar 6)

Gambar 6, Hasil deteksi Dr.Web antivirus

Ciri-ciri file induk virus

Sebagai informasi, virus ini akan menyebar menggunakan Removable media (USB Flash) dengan memanfaatkan fitur autorun Windows. Agar virus dapat aktif secara otomatis, ia akan membuat file autorun.inf, selain itu ia akan membuat 4 (empat) buah file shortcut dengan nama ”Copy of Shortcut to (1).lnk” s/d “Copy of Shortcut to (4).lnk”. Jika user menjalankan salah satu ke 4 file shortcut tadi maka secara otomatis akan menjalankan  file virus yang sudah dipersiapkan di direktori [%USB Flash%:\RECYCLER\%nama_acak%.exe].

Virus ini juga akan menginjeksi file yang mempunyai ekstensi EXE, setiap file EXE yang terinjeksi akan mempunyai ukuran 107 KB lebih besar dari ukuran asalnya. Pada saat menjalankan file EXE yang sudah terinjeksi maka virus akan membuat file duplikat yang di simpan di direktori sama dengan format %nama_file_asal%mgr.exe (contohnya: jika user menjalankan file yang sudah di injeksi dengan nama ”ATF-Cleaner.exe” maka akan muncul file duplikat virus dengan nama ”ATF-Cleanermgr.exe” dengan ukuran 105 kb, file duplikat ini dideteksi sebagai Trojan.Packed.21232.

Gambar7, Contoh file asli (sebelum injeksi), setelah injeksi dan file duplikat virus

Pada saat user menjalankan file tersebut, virus akan melakukan sinkronisasi  ke beberapa alamat IP yang sudah dipersiapkan untuk mendownload file atau virus lain untuk dijalankan di komputer target. File yang di download akan mempunya nama file dan ukuran yang berbeda-beda, jadi antara komputer target yang satu dengan yang lain akan mempunyai nama file induk yang berbeda-beda.

Berikut beberapa contoh file induk Win32.Siggen.8

• C:\WINDOWS\Temp\dbww\setup.exe

• C:\Documents and Settings\%user%\Application Data

·         %xx%.exe, dimana %xx% adalah acak

• C:\Documents and Settings\%user%\Local Settings\Temp\%xx%.exe dan %yy%.dll

Catatan: %xx% dan %yy% ini berbeda-beda, contohnya : Nh0.exe, Nh1.exe, Nh2.exe, Nhz.exe dengan menggunakan icon “Adobe Player Setup” dengan ukuran yang berbeda-beda (lihat gambar 8)

               

                Gambar 8, File induk virus

               

File ini di deteksi  oleh Dr.Web anti-virus sebagai Win32.Siggen.8

               

• C:\Documents and Settings\%user%\Start Menu\Programs\Startup

·         %xx%.exe, dimana %xx% adalah acak (terdeteksi sebagai Trojan.Packed.21232)

• C:\WINDOWS\Nzazab.exe, Nzazaa.exe, Explorermgr.exe

Catatan:  %xx% ini berbeda-beda, contohnya : [Nzazaa.exe dan Nzazab.exe] dengan menggunakan icon “Adobe Player Setup” dengan ukuran yang berbeda-beda (dikenali sebagai Win32.Siggen.8) dan file [Explorermgr.exe] yang merupakan duplikasi file [Explorer.exe] dengan ukuran 105 KB, file ini akan mempunyai icon folder (Trojan.packed.21232) (lihat gambar 9)

                Gambar 9, File induk virus

• C:\Windows\task\%acak%.job

Berupa 3 (tiga) buah file yang digunakan untuk menjalankan file virus yang sudah dipersiapkan sesuai dengan waktu yang telah ditentukan. (lihat gambar 10)

Gambar 10, Task Schedule Win32.Siggen.8

• C:\Windows\System32\ms.dll (Trojan.Starter.1602)

• C:\Windows\System32\dll (Trojan.Hottrend.34)

• C:\Windows\System32\sshnas21.dll (Trojan.Packed.21232)

• C:\Windows\System32\Cheuehyld.dll Trojan.Packed.21232

Setelah ia berhasil menginfeksi komputer, langkah selanjutnya adalah mengifeksi file [C:\Windows\Explorer.exe dan C:\Windows\System32\Winlogon]. Pada saat user menjalankan file [Explorer.exe] maka ia akan membuat file duplikasi yang akan di simpan di direktori sama dengan nama [Explorermgr.exe] dengan ukuran 105 KB. File [Explorermgr.exe] inilah yang nantinya dijadikan sebagai senjata agar dirinya dapat aktif secara otomatis setiap kali user melakukan klik kanan pada file/folder/drive, pada saat melakukan double click USB Flash atau pada saat user menjalankan file [Explorer.exe]. Setelah berhasil menjalankan aksinya, ia akan memanggil file induk lainnya yang ditugaskan untuk aktif di memori, untuk mengelabui user ia kemudian akan memanggil aplikasi [C:\Program files\Internet Explorer\Iexplore.exe]. (lihat gambar 11)

Gambar 11, proses virus Win32.siggen.8

Registri Windows

Untuk memastikan agar dirinya dapat aktif secara otomatis pada saat komputer diaktifkan, ia akan membuat dan merubah beberapa registri berikut:

• HKEY_CURRENT_USER\Software\CE8SIIFGSU
• HKEY_CURRENT_USER\Software\Microsoft\Handle
• HKEY_CURRENT_USER\Software\NtWqIVLZEWZU\%acak%
• HKEY_CURRENT_USER\Software\XML
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SSHNAS
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
• CE8SIIFGSU = C:\DOCUME~1\%user%\LOCALS~1\Temp\Nh1.exe
• Microsoft Driver Setup = C:\Windows\ggdrive32.exe
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\\□

Menampilkan website

Komputer yang sudah terinfeksi virus akan selalu melakukan koneksi internet dan memanggil website secara terus menerus dengan isi yang berbeda-beda, koneksi yang dilakukan secara terus menerus ini mengakibatkan komputer menjadi lambat pada saat digunakan. Dalam beberapa kasus virus ini juga menyebabkan “Virtual Memory Minimum Too Low” (lihat gambar 1 di atas dan gambar 12)

Gambar 12, Virtual memory low

Injeksi file EXE, DLL dan HTM/HTML

Aksi lain yang akan dilakukan oleh virus ini adalah menginjeksi file yang mempunyai ekstensi EXE, DLL dan HTM/HTML baik file program aplikasi maupun file system Windows.   Setiap file yang terinjeksi akan bertambah ukurannya sekitar 107-109 KB.

Pada saat menjalankan file EXE yang sudah terinjeksi maka virus akan membuat file duplikat yang di simpan di direktori sama dengan format %nama file asal%mgr.exe (contohnya: jika user menjalankan file dengan nama ”ATF-Cleaner.exe” maka akan muncul file duplikat virus dengan nama ”ATF-Cleanermgr.exe” dengan ukuran 105 kb. (lihat gambar 7)

Setiap file yang terinfeksi dikenali sebagai Win32.Siggen.8 sedangkan file dupikasi yang dihasilkan dari file yang terinfeksi jika file tersebut dijalankan dikenali sebagai Trojan.Packed.21232

Blok akses Removable Media (USB Flash)

Selain itu, ia juga akan blok akses Removable Media (USB Flash). Tetapi anda tidak perlu khawatir karena virus ini akan blok akses USB Flash jika user mengakses dengan cara [Klik kanan USB Flash | klik Open atau Explorer] atau Double click USB Flash. (lihat gambar 13)

Gambar 13, Blok akses USB Flash

Ia juga akan menampilkan pesan error berikut saat user berhasil mengakses USB Flash (lihat gambar 14)

Gambar 14, Pesan error saat akses USB Flash

Virus ini juga akan menampilkan pesan error saat user mengakses kolom ”Extended” pada aplikasi [Services.msc] (lihat gambar 15)

Gambar 15, Blok akses services (Extended)

Media penyebaran

Untuk menyebarkan dirinya, ia akan menggunakan  USB Flash dengan memanfaatkan fitur autorun Windows dengan membuat beberapa file berikut:

• Autorun.inf
• 4 (empat) buah file shortcut (copy of Shortcut to (1).lnk s.d copy of Shortcut to (4).lnk)
• RECYCLER\%XX%
• %xx%.exe dengan ukuran 105 KB
• %xx%.cpl dengan ukuran 4 KB

Catatan: %xx% adalah folder/file dengan nama acak (lihat gambar 16)

Gambar 16, File yang dibuat oleh virus

Jika user menjalankan salah satu file shortcut maka secara otomatis akan menjalankan file virus yang berada di direktori  [RECYCLER\%XX% ]

File autorun.inf sendiri berisi script yang akan dijalankan secara otomatis pada saat user akses USB Flash tersebut, script ini berisi perintah untuk menjalankan file yang berada di direktori  [RECYCLER\%XX% ] (lihat gambar 17)

Gambar 17, script autorun.inf

Cara membersihkan W32/Ramnit (Wiin32.Siggen.8)

Seperti yang sudah dijelaskan bahwa virus ini akan menginjeksi file yang mempunyai ekstensi EXE, DLL dan HTM/HTML baik file program maupun file system Windows, oleh karena itu sebaiknya pembersihan dilakukan pada mode DOS. Untuk mempermudah pembersihan silahkan gunakan Windows Mini PE Live CD (silahkan search di Internet). Kemudian download tools Dr.Web CureIt! di alamat berikut dan sebaiknya dilakukan di komputer yang tidak terinfeksi virus. Agar tools Dr.Web CureIt! tidak terinfeksi, sebaiknya di ZIP dan di password.

Silahkan download Dr.Web CureIt! di alamat berikut

http://www.freedrweb.com/cureit/?lng=en

1.       Agar pembersihan dapat dilakukan ooptimal, sebaiknya scan semua HDD termasuk USB Flash maupun HDD eksternal, hal ini dikarenakan virus ini akaan drop beberapa file di USB Flash atau HDD eksternal.

2.       Sebelum melakukan pembersihan sebaiknya blok file duplikat virus dengan menggunakan fitur ”Software Restriction Policies”. Fitur ini hanya ada pada system operasi Windows XP Pro, Vista, 7, Server 2003 dan Server 2008 dengan cara  sebagai berikut:

·         Klik menu [Start]

·         Klik [Run]

·         Pada dialog box RUN, ketik SECPOL.MSC  kemudian klik tombol [OK]

·         Setelah muncul layar ”Local Security Policy”, klik kanan menu [Software Restriction Policies” dan klik ”Create New Policies” atau ”New Software Restriction Policies” jika menggunakan Windows Vista/7

·         Kemudian klik kanan pada menu ”Additional Rules”, kemudian pilih ”New Hash Rule...” (lihat gambar 18)

Gambar 18, blok file virus

·         Kemudian akan muncul layar ”New Hash Rule”. Pada kolom ”File Hash”, klik tombol [Browse]  dan tentukan salah satu file duplikasi virus yang mempunyai icon ”Folder” dengan ukuran 105 KB (contoh C:\Windows\Explorermgr.exe) kemudian klik tombol [Open]. Pada kolom ”Security Level”, pilih [Disallowed]. Kemudian klik tombol [OK] (lihat gambar 19)

Gambar 19, menentukan file virus yang akan di blok

3.       Hubungkan USB Flash dan HDD eksternal ke komputer

Gunakan Dr Web Live CD untuk membasmi virus ini dengan tuntas. Silahkan download software tersebut dialamat berikut:

http://www.freedrweb.com/livecd/?lng=en

PENTING !!!

Anda disarankan untuk selalu mendownload Dr Web Live CD yang baru setiap kali ingin menggunakan untuk membersihkan dan membasmi virus. Jika anda menggunakan DR Web Live CD yang lama, maka definisi virus yang terkandung di dalam CD tersebut akan mengikuti saat terakhir anda download Dr Web Live CD tersebut. Alternatif lain adalah anda menggunakan software antivirus Dr Web berbayar yang didistribusikan oleh virusICU. http://www.virusICU.com yang merupakan group dari PT. Vaksincom. Bagi pengguna produk Vaksincom yang membutuhkan bantuan mendapatkan / download Dr Web Live CD dapat menghubungi info@vaksin.com secara gratis.

1. Setelah software Dr.Web LiveCD berhasil di download, burn kedalam CD/DVD
2. Hubungkan USB Flash dan HDD eksternal ke komputer
3. Booting komputer melalui CD/DVD ROM
4. Kemudian akan muncul layar “Welcome to Dr.Web LiveCD” (lihat gambar 20)

Gambar 20, Pilihan booting Dr.Web LiveCD

5. Pilih “Dr.Web LiveCD (Default)” kemudian tekan tombol “Enter” pada keyboard
6. Tunggu beberapa saat sampai muncul interface Dr.Web LiveCD yang akan menampilkan aplikasi “Dr.Web Scanner” secara otomatis. Dr.Web Scanner ini berfungsi untuk melakukan pemeriksaan terhadap komputer anda dari kemungkinan adanya virus  (lihat gambar 21)

Gambar 21, Dr.Web LiveCD

7. Untuk Scan HDD, pada layar “Dr.Web Scanner” pilih lokasi Drive yang akan di periksa dan pastikan anda check list opsi “Scan subdirectories” agar Dr.Web dapat melakukan pemeriksaan terhadap direktori dan subdirektori agar pembersihan lebih optimal. Jika layar Dr.Web Scanner tidak muncul klik ganda icon “Dr.Web Scanner” yang terdapat pada Desktop.
8. Kemudian klik tombol [Start] untuk memulai proses pemeriksaan (scan)
9. Tunggu beberapa saat sampai proses scan selesai dilakukan. Jika ditemukan adanya virus, Dr.Web akan menginformasikan file yang terinfeksi dan jenis virus yang menginfeksi pada kolom informasi virus yang tersedia.
10. Klik tombol [Select All] untuk memilih semua objek/file yang akan di bersihkan atau Anda dapat menentukan file mana saja yang akan Anda bersihkan dengan check list pada opsi yang tersedia
11. kemudian klik tombol [Cure] untuk membersihkan file yang telah terinfeksi virus
12. Tunggu sampai proses pembersihan selesai dilakukan
13. Scan ulang komputer untuk memastikan komputer bersih dari virus
14. Restart komputer.

 sumber : vaksin.com

Read more »

Serviks.I: Naruto.exe Mendeface File HTML

 

Serviks.I. Rupanya varian worm Serviks belum berhenti untuk mencoba membuat “kejutan” secara tiba-tiba pada komputer user yang tentunya tidak pernah mengharapkan kedatangan malware. Berbagai teknik dilakukan untuk melewati teknik heuristik antivirus lokal dan menyebar layaknya varian dari malware seperti Serviks.vbs yang cukup merepotkan dan menyebar di Indonesia beberapa bulan yang lalu, sampel yang kami terima berasal dari beberapa daerah seperti Balikpapan, Malang dan Bekasi. Meskipun PCMAV sudah bisa mengatasi malware ini, terkadang ada saja user yang tidak mengupdate PCMAV dan masih menggunakan versi yang lama atau versi yang belum mampu mengenali Serviks.vbs.

A. Info Malware
Nama: Serviks.I
Asal: Indonesia
Ukuran File: 116 KB (118,784 bytes)
Packer: -
Pemrograman: Visual Basic 6.0
Icon: Folder Windows XP
Tipe: Worm
B. Tentang Malware

Masih dugaan bahwa source code worm ini hasil modifikasi dari worm Aksika yang memang source codenya banyak di share di beberapa personal website/blog. Bahkan source code dari worm Serviks sendiri memang sengaja di share oleh pembuatnya, sehingga bagi beberapa orang yang ingin mencoba membuat malware tipe worm sudah tidak perlu bersusah payah membuat kode program dari awal karena dapat memodifikasinya dari source code tersebut. Hal ini menyebabkan bisa saja Serviks.I bukan buatan asli orang yang menyebut dirinya Serviks Maker.
Tanpa di-pack, seluruh isi dari worm ini dapat terlihat dengan jelas. Tetapi ada beberapa fungsi yang tidak berjalan dengan baik, misalnya file autorun.inf yang harusnya ada di removable disk justru tidak ada. Worm ini membuat banyak file, tidak aneh jika komputer yang terinfeksi terasa begitu lambat.
C. Companion/File yang dibuat

Seperti yang terlihat pada gambar di atas, worm ini akan membuat beberapa companion seperti:
C:\Naruto.exe
C:\Documents and Settings\[nama user]\SendTo\f&i.exe
C:\Documents and Settings\[nama user]\f&i.exe
C\Documents and Settings\[nama user]\Start Menu\Programs\Startup\desktop.exe
File-file di bawah ini akan dibuat jika tidak di temukan pada directory-nya. Contohnya seperti file twain_16.exe yang sebelumnya tidak ada, maka akan dibuat oleh Serviks.I, begtu pula dengan file notepad.exe jika sebelumnya tidak ada, maka akan dibuat juga akan tetapi file tersebut bukan file notepad.exe yang sebenarnya, melainkan file malware.
C:\WINDOWS\notepad.exe
C:\WINDOWS\regedit.exe
C:\WINDOWS\srchfnd.exe
C:\WINDOWS\twain_16.exe
C:\WINDOWS\system32\regedit32.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\write.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\unicorn.exe
C:\WINDOWS\system32\msvbv60m60.dll
C:\WINDOWS\system32\ msvbv60m50.dll
C:\WINDOWS\system32\dll\svchost.exe
C:\WINDOWS\system32\Restore\rstrue.exe
D. Hasil Infeksi
Ada beberapa hal yang paling terlihat jika worm ini sudah menginfeksi komputer korban. Semua file tipe HTML dan PHP yang ada di drive C:\ akan di-overwrite dengan file baru yang berisi pesan provokatif. File text pun akan di hapus dan digantikan dengan companion dari Serviks.I. Ciri lainnya adalah seluruh tampilan menu Windows berubah menjadi hitam.

Serviks.I juga akan membuka beberapa website yang URL-nya terlihat pada tubuh worm ini.
E. Pembersihan
Worm ini telah dikenali dan dapat dibersihkan pada PCMAV 5.1 Update Build1 ini berikut ini.
PCMAV 5.1 Update Build1
Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 5.1 Update Build1 telah hadir dengan penambahan 47 pengenal varian virus baru. Bagi Anda pengguna PCMAV 5.1, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.
Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.
Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:
SendSpace.com
ZippyShare.com (mirror)
Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

sumber : pcmedia

Read more »

Proklamasi: Semangat Perjuangan ala Malware

Proklamasi. Sesaat kita terlupa oleh banyaknya malware yang siap menyerang user melalui email seperti Antivirus Palsu dan ancaman paling besar adalah melalui flash disk seperti Ramnit yang saat ini masih banyak menyebar di masyarakat. Akan tetapi, masih ada saja virus maker lokal yang membuat malware tanpa melupakan ciri khas utamanya yaitu pesan-pesan yang menandakan kehadirannya, seperti salah satu malware yang kami beri nama Proklamasi sesuai dengan pesan yang dibuatnya seperti pada gambar di atas.

A. Info File
Nama Worm : Proklamasi Asal : Indonesia Ukuran File : 72.0 KB (73,728 bytes) Packer : ~ Pemrograman : MS Visual Basic 5.0-6.0 Icon : Salah satu Antivirus lokal Tipe : Worm
B. About Malware
Sedikit flash back ke salah satu malware yang pernah di bahas di VirusIndonesia.com awal januari 2010 http://virusindonesia.com/2010/01/08/zhola-pcmav-22c-update-build1/ yang hadir dengan menggunakan icon salah satu antivirus lokal.  Ciri utamanya adalah mengeluarkan pesan palsu setelah worm di jalankan. Dan tanpa sadar, user sudah terinfeksi oleh worm yang satu ini. Worm Proklamasi juga menggunakan teknik social engenering dengan menggunakan icon yang sama seperti antivirus lokal tersebut. Yang berbeda adalah source code yang digunakan bukan hasil modifikasi seperti worm Zhola, selain itu worm ini juga dikhawatirkan akan menyebar luas karena setelah kami mendapatkan sampelnya, hanya beberapa antivirus luar negeri yang mampu mendeteksinya sebagai malware menggunakan teknik heuristik.
Efek yang didapatkan setelah worm ini aktif cukup berbeda karena bagi user yang sudah terinfeksi akan lebih mengenal beberapa lagu-lagu Bondan Prakoso & F2B.
C. Companion/File yang dibuat
Setelah aktif di memori, worm Proklamasi akan membuat beberapa file dan dua buah folder pada setiap drive termasuk removable disk:

• Lirik Bondan Prakoso & F2B – Kita Selamanya.exe
• Lirik Bondan Prakoso & F2B – Tetap Semangat.exe
• Lirik Bondan Prakoso & F2B – Ya Sudahlah.exe
• Lirik Bondan Prakoso & F2B – Tidurlah.exe
• Lirik Bondan Prakoso & F2B – Berawal Dari Mimpi.exe
• Lirik Bondan Prakoso & F2B – For All.exe
• Lirik Bondan Prakoso & F2B – SOS.exe
• Lirik Bondan Prakoso & F2B – Kroncong Protol.exe
• Lirik Bondan Prakoso & F2B – No With Me.exe
• Lirik Bondan Prakoso & F2B – Respect.exe
• Lirik Bondan Prakoso & F2B – Expresikan.exe
• Lirik Bondan Prakoso & F2B -waktu.exe
• Lirik Bondan RIP (Rhyme In Peace).exe
• Trik Bisnis Online Murah Meriah.exe

Folder yang dibuat dengan nama “autorun.inf” dan “Smadavlock” serta di dalamnya terdapat 1 buah file dengan nama readme.exe. Meskipun tidak menggunakan autorun.inf, Proklamasi juga menggunakan shorcut yang berfungsi untuk memanggil file readme.exe pada kedua folder tersebut.
D. Hasil Infeksi
Terdapat 3 proses Proklamasi yang ada di dalam berjalan di memory. Keadaan akan semakin memburuk dengan munculnya peringatan Windows File Protection
Agar berjalan otomatis bersamaan dengan proses startup windows, Proklamasi membuat beberapa hots antara lain seperti:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\DeltaRTP
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\DelRTP
C:\WINDOWS\dllhoss.exe
C:\WINDOWS\Temp.exe
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\systray.exe
E. Pembersihan
Malware ini telah dikenali dan dapat dibersihkan pada PCMAV 5.2 Update Build1 ini berikut ini.
PCMAV 5.2 Update Build1
Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 5.2 Update Build1 telah hadir dengan penambahan 105 pengenal varian virus baru. Bagi Anda pengguna PCMAV 5.2, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.
Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.
Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:
SendSpace.com
ZippyShare.com (mirror)
RapidShare.com (mirror)
Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.


Sumber : pcmedia

Read more »

PCMAV Express for Ramnit

Ramnit merupakan salah satu virus yang belakangan ini terus merajalela. Ciri yang paling mudah dikenali pada komputer yang telah terinfeksi Ramnit adalah terciptanya 4 buah shortcut pada removable disk dengan nama:
Copy of Shortcut to (1).lnk
Copy of Shortcut to (2).lnk
Copy of Shortcut to (3).lnk
Copy of Shortcut to (4).lnk
Dibalik shortcut yang mudah terlihat, banyak aksi Ramnit lainnya yang tidak mudah terdeteksi, antara lain menginfeksi file *.exe/*.dll/*.htm/*.html, menginjeksi multi-processes di memory, dan berusaha men-download malware lainnya. Ramnit dilengkapi dengan kemampuan rootkit canggih yang membuatnya stealth di memory. Ramnit dapat menjangkiti komputer yang bersih dengan berbagai teknik, melalui exploit shortcut, autorun, ataupun melalui eksekusi file exe/dll dan HTML yang telah terinfeksi.
PCMAV Express for Ramnit dibuat untuk membersihkan berbagai varian Ramnit yang in-the-wild, menghentikan proses Ramnit di memory komputer yang terinfeksi, membersihkan file yang terinfeksi Ramnit, baik executable file maupun HTML dengan sempurna dan akurat pada setiap drive (hard disk maupun removable disk) yang terpasang, dan memperbaiki registry yang diubah Ramnit.
Aturan Penggunaan:

1. Jalankan PCMAV for Ramnit dari hard disk, hindari menjalankannya dari flash disk mengingat shortcut Ramnit dapat tereksekusi saat Anda mengklik drive flash disk yang terinfeksi melalui Windows Explorer.
2. Pastikan user Anda memiliki hak setara Administrator.
3. Nonaktifkan/tutup aplikasi (antivirus, Windows Explorer maupun program lainnya) yang masih aktif agar tidak mengganggu PCMAV Express.
4. Nonaktifkan fungsi Autorun (link referensi: http://support.microsoft.com/kb/967715).
5. Pasang flashdisk yang terinfeksi pada komputer agar ikut dibersihkan oleh PCMAV Express for Ramnit, tetapi jangan diakses.
6. Pastikan komputer Anda *tidak* terkoneksi ke jaringan atau Internet selama proses scan.
7. Untuk beberapa varian Ramnit, PCMAV Express for Ramnit akan memberikan pilihan untuk scan melalui Safe Mode.Jika Anda memilih pilihan ini maka PCMAV Express for Ramnit akan berusaha melakukan restart ke Safe Mode secara otomatis, dan mengembalikannya ke Normal Mode setelah proses scan selesai.
8. Setelah selesai, sangat disarankan untuk melakukan restart dan scan ulang (jika perlu).
9. Setelah virus berhasil dituntaskan, segera update/patch Windows Anda.
10. Pastikan seluruh PC yang telah terhubung di dalam jaringan juga telah bebas Ramnit, sebelum PC Anda kembali terkoneksi ke jaringan.

Update:
Bagian ini akan terus di-update sesuai dengan perkembangan virus Ramnit yang terus kami pantau. Varian baru Ramnit (atau virus lainnya) yang Anda temukan dapat di-upload ke: http://upload.virusindonesia.com.
Sampai saat ini PCMAV Express for Ramnit telah dapat menangani 13 varian Ramnit yang berfungsi sebagai dropper virus:
1.   Ramnit.A.dropper
2.   Ramnit.B.dropper
3.   Ramnit.C.dropper
4.   Ramnit.D.dropper
5.   Ramnit.E.dropper
6.   Ramnit.F.dropper
7.   Ramnit.G.dropper
8.   Ramnit.H.dropper
9.   Ramnit.I.dropper
10. Ramnit.J.dropper
11. Ramnit.K.dropper
12. Ramnit.L.dropper
13. Ramnit.M.dropper
Secara regular engine utama PCMAV akan di-update mengikuti perkembangan Ramnit.
Pada halaman ini kami juga menyediakan PCMAV Express for Ramnit untuk di-download pada link dibawah ini (link dapat berubah jika ada update baru).
Download PCMAV Express for Ramnit

Sumber : pcmedia

Read more »

7 Tips Ampuh Melindungi Komputer Anda dari Virus

ada yang masih kerepotan sama Virus????  ato takut pertahanan di kompie nya jebol???? 
hheemm..... mungkin tips yang satu ini bisa sedikit melegakan rasa resah dan gelisah anda,,, kwkwkwkwkw.. ^_^'

langsung aja gan,,,,

cekidot

Komputer yang terserang virus, trojan, spyware dan sejenisnya pasti akan mengalami penurunan kinerja walau bagaimanapun tingginya spesifikasi hardware yang dimilikinya. Dengan adanya virus di komputer, berarti komputer tersebut berpotensi menyebarkan virus yang ada di dalamnya ke komputer lain yang tidak terinveksi sekaligus membahayakan data-data yang ada di dalamnya. Kebanyakan sumber virus berasal dari internet dan media penyimpanan eksternal. Nah di sini adalah beberapa tips agar komputer anda terhindar dari program2 jahat tersebut:

1. Pastikan firewall selalu dalam posisi “on”. Firewall merupakan software yang dapat menangkal akses ilegal ke komputer, baik yang bermaksud menghapus informasi, merusak komputer, maupun mencuri data pribadi.

Jika Anda menggunakan lebih dari satu komputer yang saling terhubung, pastikan firewall di masing-masing komputer aktif. Ini untuk mencegah virus menyebar ke semua komputer apabila salah satu komputer terinfeksi.

2. Gunakan software dan sistem operasi yang up-to-date. Update terbaru, apalagi yang sifatnya high priority sangat penting untuk keamanan komputer. Update software biasanya berisi perlindungan terkini, serta perbaikan pada bug dan celah keamanan yang ada di versi sebelumnya.

3. Selalu update software antivirus. Teknologi antivirus terbaru lebih mampu menangkal virus dan spyware yang menyerang komputer, dibanding antivirus dengan teknologi lama.

4. Faktor brainware (manusia) juga berperan penting. Selalu waspada dan hati-hati, seperti tidak sembarang membuka attachment di e-mail atau link yang tidak diketahui secara pasti apa isinya. Attachment atau link tersebut bisa saja berisi virus atau program jahat lainnya. Jangan sembarang men-download, kecuali dari situs yang terpercaya, dan baca semua peringatan keamanan, persetujuan lisensi dan privasi terkait software manapun yang Anda download.

5. Hati2 dalam mengunjungi situs tertentu. Terkadang beberapa situs dapat menjadi sumber penyebaran virus, malware dan lain-lain. Biasanya situs2 tersebut adalah situs yang berhubungan dengan virus, hacking dan sebagainya.

6. Mewaspadai media penyimpanan eksternal. Media penyimpanan ekseternal seperti flashdisk, SD Card, harddisk portable dan lain-lain bisa menjadi perantara penyebaran virus oleh sebab itu pastikan anda menscan media eksternal tersebut agar aman dari virus.

7. Gunakan software2 yang legal/asli. Biasanya program bajakan mengandung crack / patch yang akan menyebabkan sistem komputer menjadi tidak stabil karena sifat dari crack tersebut adalah destruktif yaitu menghancurkan pertahanan dari software yang dibajak agar dapat digunakan secara full version dan ini bisa dianggap sebuah eksploit di Windows 7 sehingga dapat membahayakan sistem.

Read more »

basmi tuntas virus serviks

Basmi tuntas virus serviks

ehm,,,, setelah skian lama break,, akhirnya q mosting artikel lge ne....(hehehehe)

pasti ada yang kesel ama virus serviks (varian baru yuyun),,,, emang ceh tu virus bandel banget,,
kayak temen q,, dia sebel banget d kerjain ama tu virus,,,, hehehe..
q juga udh nyoba pake antivir buatan luar yg versi free, tapi g bisa juga,,,

tapi tenang,,,,

semua virus ada solusinya kug ^_^
bagi yang udah kewalahan ngadepin tu serviks,, ne q kasih solusinya.....

di scan pake antivirus buatan bangsa sendiri (baru) namanya "Morphost"

aq dapet nya juga dari hasil googling.

donlot disini

moga sukses

Read more »

FlyFF: Reinkarnasi Amburadul

FlyFF: Reinkarnasi Amburadul

FlyFF. Worm Amburadul adalah salah satu worm yang sempat membuat banyak user kewalahan dibuatnya. Meng-hidden semua file gambar dan di gantikan dengan file bertipe (.exe) tapi dengan nama file yang sama dengan file asli. Pada varian lain ditemukan Amburadul juga menghapus beberapa file video.
Hadir dengan pola yang hampir sama dengan Amburadul, FlyFF juga memiliki icon file gambar (.jpg). Gambar di atas akan tampil setelah virus aktif. Dibuat menggunakan bahasa pemrograman Visual Basic tanpa di-pack. Beberapa ekstensi file yang diincar adalah .doc, .mp3, .zip, .rar, .ppt, .jpg.
Berikut ini adalah salah satu kesamaan dari file berekstensi .inf yang diciptakan Amburadul dan FlyFF :

Membuat direktori yang hampir sama dengan yang di gunakan oleh Worm Amburadul.
Amburadul: WINDOWS\system32\~A~m~B~u~R~a~D~u~L~
FlyFF: WINDOWS\system32\~F~l~y~f~f~™
Salah satu teknik bertahan yang digunakan adalah menutup aplikasi yang di dalamnya terdapat kata-kata berikut :
vir
av
safe
pcmav
master
utility
hijack
patrol
firewall
TaskManager
config
folder option
security
remov
scan
option
kill
reg
anti
ansav+
system32
Setup
Windows
mcafee
norman
norton
avg
nod32
fix
system
instaler
instal
avi-gen
tigor
vi
rus
protect
recycle
smp
task
Agar bisa aktif setelah windows di jalankan, worm ini membuat banyak proses yang terdaftar di registry:
HKEY_LOCAL_MACHINE\Software\Microsoft\Window\CurrentVersion\Run\win32HKEY_LOCAL_MACHINE\Software\Microsoft\Window\CurrentVersion\Run\Smss
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Scvhost
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\~Flyff~666~VM~HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Winlogon
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\dllhost
Selain itu, worm ini juga merubah Windows Title Internet Explorer.

Read more »

MyLovely: Menebar Pesan Cinta

MyLovely: Menebar Pesan Cinta

MyLovely. Cinta bisa datang kapan saja, tetapi Anda tidak akan mengharapkan pesan cinta dari worm yang satu ini. Saat komputer Anda terinfeksi oleh worm MyLovely, file tertentu yang Anda klik akan menampilkan pesan seperti pada gambar diatas. Worm ini dibuat dengan bahasa pemrograman Visual Basic dan berukuran sekitar 188 KB, tanpa di-pack. Icon yang digunakannya menyerupai icon image JPG. String “MyLovely” ditemukan pada bagian-bagian tertentu tubuh worm. Teknik penyebarannya dengan memanfaatkan USB/removable disk dengan mengcopykan file-file worm dengan nama antara lain:
- Kasihku.exe
- Sayangku.exe
- Gambar Lucu.exe
- Poto 01.exe
- Walpaper.exe

Worm juga menduplikasikan diri pada folder-folder tertentu didalam hard drive seperti pada MyDocuments, Favorites, Start Menu – Programs. Beberapa file EXE dengan nama tertentu akan diblokir dan diarahkan untuk memanggil file worm, yang akan menampilkan kembali pesan cintanya. Daftar file EXE yang di-blok antara lain adalah:
- Notepad.exe
- PCMAV.exe
- Taskkill.exe
- Msconfig.exe
- Procexp.exe
- Unlocker.exe, dan lain-lain.

Otomatis, file berekstensi tertentu yang berasosiasi dengan file EXE yang diblok (misalnya file *.txt yang memanggil Notepad.exe) juga akan mentrigger pesan worm saat di-klik.

Read more »

HATI-HATI! VIRGEAR MENGHAPUS SEMUA MP3!

HATI-HATI!
VIRGEAR MENGHAPUS SEMUA MP3!

Menipu, masih merupakan cara paling favorit yang dilakukan oleh virus-virus lokal dalam menggaet mangsanya. Tapi, masa sih hare gene masih ketipu sama virus? Ikuti kiat mengenalinya! Arief Prabowo

“WAH, ada lagu Agnes Monica yang “Matahariku””, sahutDencu. Karena itu lagu kesenangannya, tanpa ragu ia punlangsung menjalankannya dengan cara mengklik ganda filetersebut. Namun apa yang terjadi, bukan lagu Agnes yang iadapatkan, tapi semua file MP3 beserta file video kesayangan miliknya hilang dalam sekejap. Kok bisa? Itu salah satu tandanya telah terinfeksi oleh Virgear.

Tipuan Virgear

Virgear memang virus biasa saja, artinya ia tidak memiliki teknikinfeksi yang kompleks seperti halnya yang dilakukan virus lama Brontok maupun Maxtrox yang baru–baru ini menyebar.

Virgear dibuat menggunakan Visual Basic. Sampai tulisan ini dibuat, terdapat tiga varian dari Virgear yang kami dapat. Varian pertama yang kami temukan memiliki ukuran fi le sebesar 16.896 bytes, yang kemungkinan besar di-pack menggunakan UPX dan di-scramble untuk menyembunyikan identitas dari packer yang digunakan. Yang kedua, memiliki ukuran fi le sebesar 49.152 bytes, murni tanpa di-pack. Dan yang ketiga, atau Virgear.C, memiliki ukuran sebesar 19.968, yang juga kemungkinan besar di-pack menggunakan UPX dan di-scramble seperti halnya varian pertama.

Yang akan coba dibahas kali ini adalah varian Virgear.A. Walaupun sebenarnya perbedaan dari setiap varian tidaklah terlalu signifikan, hanya di nama–nama fi le virus yang digunakan untuk menyebar. Dan satu hal yang tidak berubah antara varian yang satu dengan yang lainnya adalah icon yang digunakan. Ia menggunakan icon yang mirip dengan file .MP3 milik aplikasi WinAmp. Yang dilakukannya ini cukup banyak menipu para korbannya. Walaupun sebenarnya hal ini tidak perlu terjadi, jika Anda mampu membedakannya antara file asli dan file virus.

Bersarang di System

Ia akan meng-copy-kan beberapa file yang merupakan duplikat dari dirinya ke direktori yang ia beri nama system. Direktori ini terletak di bawah direktori System32 milik Windows. Pada direktori tersebut akan terdapat beberapa file dengan nama VirGear.exe, smss.exe, Gazette.exe, Gazerock.exe, dan Nugen. exe. Direktori system dan kelima file tersebut ber-attribut hidden dan system, jadi secara setting-an default Windows tidak akan terlihat oleh kasat mata. Lalu, kelima file itu akan ia jalankan.

Untuk dapat aktif otomatis, ia membuat beberapa item baru di Registry Run dengan nama seperti Winamps, Nullsoft, JetAduio, CoolEditV2, dan AdobeAudition. Nama yang dibuat memang terlihat mirip dengan nama beberapa aplikasi multimedia. Tentu saja ini bertujuan untuk tidak membuat user curiga.

Saat user menjalankan file virus, ia akan mencoba untuk membuka file Clock.avi yang secara default terletak pada direktoriWindows untuk dijalankan pada Windows Media Player. Pada rutin virusnya terlihat bahwa fungsi ini akan diaktifkan apabila virus dijalankan bukan pada direktori induknya, yakni system.

Matikan UAC

Untuk melancarkan aksinya ia mengeset registry untuk tidak menampilkan file hidden dan system, serta menyembunyikan setiap extension yang dikenali oleh Windows. Selain itu, fungsi windows lainnya seperti System Restore dan Find/Search juga ia disable. Serta, ia pun mencoba untuk mematikan UAC (User Account Control) yang ada pada Windows Vista. Walaupun sebenarnya, virus ini tidak dapat berjalan mulus di Vista pada user account selain administrator, tentu saja karena terbentur masalah privilages yang lebih ketat dibandingkan operating system sebelumnya, terkecuali memang Anda dengan sengaja menjalankan dengan perintah “Run as administrator”.

Matikan Virus Lain

Untuk menjadi penguasa tunggal di komputer terinfeksi, ia mencoba untuk mematikan virus lain dengan memasukkan nama file yang dikenal sebagai nama file induk virus tersebut pada Registry Image File Execution Options, seperti kspoold. exe, HokageFile.exe, atau HOKAGE4.exe. Selain itu, ia pun menambahkan beberapa nama file lain seperti Setup.exe, In-stall.exe, msiexec.exe, regedit.exe, dan juga nama file antivirus termasuk PCMAV-CLN.exe dan PCMAV-RTP.exe.

Selain itu, virus ini juga menghalau user untuk masuk dalam modus safe-mode, dengan menghapus setingan yang berkaitan ini di Registry.

Timer Penyebaran

Virus ini memiliki komponen Timer. Salah satunya komponen Timer yang ia namakan Penyebaran. Timer ini diset untuk memiliki interval sebesar 60000ms. Ia bertugas untuk membuat file induk dan menyebarkan diri ke setiap drive yang ia temukan, termasuk Remote Drive. Artinya, ia juga dapat menyerang drive yang di share pada jaringan setempat.

Pada saat menyerang removable drive ataupun remote drive, ia akan menciptakan dua buah fi le baru dengan nama Autorun.inf dan Winamps.exe dengan attribut hidden dan system. Selain itu, sebuah direktori baru dengan nama My Music 2008 juga akan diciptakan, pada direktori tersebut akan berisi banyak sekali file MP3 palsu yang sebenarnya merupakan virus itu sendiri. Nama yang ia gunakan seperti Agnes_Monica_-_Mataha-riku__Ost._Jelita_.mp3 ,.exe, Dewiq_feat_Kaka_-_BeTe.mp3,.exe, dan masih banyak lagi yang lainnya. Dan nama – nama ini yang selalu di-update di setiap varian barunya.

Jika Anda lebih teliti, terdapat beberapa kejanggalan pada nama file tersebut. Contohnya pada virus ini, terdapat tanda titik setelah ekstensi, misalkan “Agnes Monica.mp3.”. Tanda titik tersebut mengisyaratkan bahwa sebenarnya terdapat extension asli dibelakang extension tersebut. Secara default Windows, extension asli ini tidak akan diperlihatkan, apalagi virus ini pun juga mengeset Windows untuk tidak menampilkan extension asli. Selanjutnya, Anda ubah tampilan Windows Explorer ke modus Details (View -> Details), di bagian Type akan terlihat tipedari file tersebut. File MP3 yang asli memiliki Type contohnya seperti “MPEG Layer 3 Audio File”, “MP3 Format Sound”, atau sejenisnya. Jika Type nya adalah Application, bisa dipastikan itu adalah virus. Selain itu, lihat juga tampilan dari fi le tersebut. Apabila file yang Anda curigai memiliki jumlah spasi yang sangat banyak terutama di bagian akhir, Anda juga harus waspada, karena bisa jadi diakhir spasi yang segitu banyak terdapat extension asli virus yang sebenarnya, misalkan seperti yang dilakukan oleh virus ini “Dewiq_feat_Kaka_-_BeTe.mp3 [%spasi yang sangat banyak%] ,.exe”. Terlihat bahwa extension asli file tersebut adalah EXE (executable) dan bukanlah MP3. Maka dari itu, lebih baik setting-lah Windows Explorer Anda dengan masuk ke menu Folder Options, lalu memilih “Show hidden files and folders”, serta menghapus centangan (v) pada “Hide extensions for known fi le types” dan “Hide protected operating system fi les (Recommended)”.

Cari dan Hapus!

Beberapa pembaca mengaku bahwa saat melakukan pembasmian menggunakan PCMAV, ia menghapus setiap file MP3 yang telah terinfeksi oleh virus ini. Padahal kenyataan sebenarnya adalah virus ini tidak menginfeksi atau lebih tepatnya menginjeksi masuk ke dalam file MP3 tersebut. Yang ia lakukan adalah mencari ke setiap penjuru drive akan keberadaan file MP3, jika ia menemukannya, maka akan langsung ia hapus dan digantikan dengan file virus dengan nama yang hampir mirip dengan nama file aslinya. Jadi, file MP3 Anda yang asli memang benar–benar dihapus oleh virus ini tanpa ampun. Dan sedihnya lagi, hal ini tidak ia lakukan hanya pada fi le MP3 saja, melainkan juga pada file .3GP, .AVI, .RM, .WMV, .ASF, .MPG, .MPEG, dan .MP4.

Basmi Virgear!

Silakan gunakan PCMAV yang telah disempurnakan ini. Dan dikarenakan virus ini dapat memblok PCMAV, Anda diharuskan merename terlebih dahulu file PCMAV-CLN.EXE sebelum digu-nakan, misalkan menjadi 123456.EXE ataupun nama lain dengan extension .EXE. Sementara untuk file yang telah terlanjur dihapus oleh virus ini, segeralah lakukan recovery.

Sumber : pcmedia.co.id

Read more »