Written by Usman Harsono
Saturday, 08 March 2008
Hari Rabu kemarin, atas permintaan seorang rekan dari Ambon yang kebetulan sedang tugas ke Ternate, saya memeriksa laptop miliknya yang “konon” terserang virus. Hasil pemeriksaan awal menunjukkan bahwa serangan tersebut lebih disebabkan oleh pemiliknya yang telah berlaku sembrono atau terlalu pe-de, dengan tidak memasang antivirus apapun di laptopnya.
Virus ini menamakan dirinya Angelo (setidaknya, demikian yang tercantum dalam pesan-pesannya), dan entah ada hubungan atau tidak dengan virus Michael Angelo yang beken di tahun 90an. Virus ini hanya menyerang file-file MSWord (*.doc). Gejala serangannya adalah sebagai berikut:
1. Angelo mengambil alih system dengan meng-kudeta Administrator, sehingga hak akses sebagai Administrator langsung dipegang dan dikendalikan olehnya. Dengan sangat pe-de dia memberitahu kita dengan menampilkan pesan pengambilalihan tersebut pada Welcome screen.
2. Dengan kudeta yang dilakukannya, Angelo tidak mengijinkan user melakukan instalasi terutama antivirus. Proses instalasi itu sendiri dapat berjalan sebagaimana semestinya, namun tidak dapat dijalankan / dieksekusi.
3. Angelo menyembunyikan seluruh file ber-ekstensi doc dan mencopy dirinya sendiri dengan nama dan icon yang sama tapi bertype application (ber-ekstensi exe).
4. Akses ke msconfig, taskmanager dan regedit serta folder option (win explorer) masih diberikan olehnya, namun sebagai langkah perlindungan diri, Angelo tidak mengijinkan kita untuk melakukan perubahan.
5. Sebagai langkah perlindungan diri juga, Angelo men-set Folder Option untuk selalu menyembunyikan file-file system dan ekstensi file.
6. Ada beberapa file agen yang sempat saya endus, menggunakan nama yang sama dengan file-file system milik Windows tapi disimpan di lokasi yang berbeda dari semestinya, yaitu:
a. File services.exe -> C:\Windows\System32\0617150D\services.exe
b. File wscntfy.exe -> C:\Windows\wscntfy.exe
c. File ctfmon.exe -> C:\Windows\System32\1126\ctfmon.exe
d. File msvbvm60.dll -> dalam folder2 lain selain di C:\Windows\System32\
7. Jika kita menghapus (manual) file-file tersebut di atas, Angelo menampilkan pesan ancaman: “Sekali lagi Anda melakukan hal yang demikian, saya jamin ayam Anda akan mati!”
Oleh rekan saya (sdr. M. Hariyadi Hamid, S.Hut), laptop tersebut telah di-scan dengan PCMAV versi terbaru (edisi Feb 2008), namun tidak mendeteksi apapun. Ahirnya saya harus mengambil jalan lain (ke Roma).
Penanganan
Langkah yang telah saya ambil (dan hingga tulian ini saya turunkan, tidak ada laporan keluhan lagi dari temen saya itu) adalah sebagai berikut:
1. Restart komputer, dan jalankan Windows dalam Save Mode.
2. Log in sebagai Administrator.
3. Cari file-file tersebut di atas dan hapus. Bersihkan juga Recycle bin.
4. Buka msconfig – startup dan un-check tiga entri milik Angelo (services, wscntfy dan ctfmon).
5. Buka regedit, dan cari entry sartup di HKLM\Software\Microsoft\Windows\CurrentVersion\Run. Hapus ketiga entry milik Angelo.
6. Instal Avast antivirus. Setelah instalasi selesai, system akan restart.
7. Setelah POST (Power On Self Test) selesai, Avast langsung melakukan scanning (sebelum log on ke Windows). Biarkan proses ini berjalan. Jika Avast melaporkan adanya virus, trojan dll, tekan angka 1 untuk menghapusnya.
8. Selesai scanning, komputer akan log on ke Windows. Silakan Anda log in seperti biasa.
9. Instal AVG antivirus (jika Anda punya antivirus merek lain, silakan coba), usahakan langsung di update virus devinition-nya.
10. Matikan (non aktifkan) fitur System Restore dan lakukan full scanning.
11. Untuk memastikan, cari kembali file-file agen Angelo tersebut di atas. Jika masih ada, ulangi dari langkah 1.
12. Buka Windows Explorer – Folder Option – View, atur supaya file-file hidden ditampilkan. Dan lihatlah, file-file Msword Anda masih ada di tempatnya. Attribut dari file-file tersebut masih hidden. Untuk meng-unhide-nya, gunakan program Disk Heal (ada di CD/DVD PC Media edisi bulan Nov atau Des 2007).
13. Terakhir, lakukan Repair atau Reinstal Office Anda.
Akhirnya, ingatlah selalu sebuah pepatah yang mengatakan: “Sedia payung sebelum hujan”
Demikian, semoga bermanfaat.
Jika rekan-rekan lain punya info tambahan, welcome. Ini demi kebaikan kita bersama.
Jaya SKMA ! (kayak SA saja ….. ) Views: 348 E-mail
Comments (3)
1. Written by
' );
//-->\n
Usman Harsono
' );
//-->
This e-mail address is being protected from spam bots, you need JavaScript enabled to view it
' );
//-->
, on 25-03-2008 23:20 Sorry, mau nambahin. Setelah selesai urusannya dengan Angelo, fitur System Restore - nya di aktifkan lagi. Jelek2 gitu fitur itu sangat berguna kalo lagi kepepet.
2. Written by
' );
//-->\n
Djudjuk Wijono
' );
//-->
This e-mail address is being protected from spam bots, you need JavaScript enabled to view it
' );
//-->
, on 13-03-2008 03:57 Untuk rekan-rekan yang bermasalah sy sarankan menggunakan symantec antivirus dan free update di http://www.symantec.com/avcenter/download/pages/US-N95.html sedangkan untuk file yg terhiden virus, caranya buka command prompt (c:/) dr start program accecories, selanjutnya ketik direktori yg mau di munculkan filenya (e enter selanjutnya ketik (attrib /?) enter kemudian ketik (attrib -s -h /s /d) enter tunggu sampai selesai... Good luck!!!
3. Written by
' );
//-->\n
alharis muslim
' );
//-->
This e-mail address is being protected from spam bots, you need JavaScript enabled to view it
' );
//-->
, on 12-03-2008 04:54 trims boss, artikelnya cukup membantu...
EmoticonEmoticon