Conficker.C, Bom waktu atau April Mop ?

Tanpa bantuan Lembaga Survei manapun, tentunya para pengguna komputer sepakat bahwa Conficker merupakan virus jawara yang paling banyak menyebar di dunia, terumasuk Indonesia. Virus yang mengeksploitasi celah keamanan RPC Dcom MS 08-067 secara de facto telah membuat pusing semua pengguna komputer, khususnya administrator jaringan karena kemampuannya menyebar di jaringan dengan sangat efektif dan untuk membasmi virus ini sangat sulit. Untuk mengeyahkan Conficker dari komputer yang terinfeksi sangat sulit karena ia menempel pada proses Windows svchost yang jika di stop akan menyebabkan komputer restart. Jadi sekali menginfeksi komputer ibarat orang kalau digigit tokek, kata nenek tidak akan lepas sampai ada geledek menyambar :P./P>

Celakanya, rupanya pembuat Conficker tidak mudah puas dengan “prestasinya” dimana varian A dan B berhasil menginfeksi belasan juta komputer di seluruh dunia. Terakhir muncul Conficker.C yang memberikan ancaman baru bagi pengguna komputer, dimana pada tanggal 1 April 2009 seluruh komputer yang terinfeksi Conficker.C ini akan secara serentak menghubungi 50.000 situs di internet untuk mengupdate dirinya. Jika anda bertanya, mengapa 50.000 situs, dan bukan 500 situs. Bukankah bisa gempor membuat 50.000 situs ? Jawabannya adalah justru pembuat Conficker ini ingin membuat gempor para vendor antivirus karena dia belajar dari pengalaman dimana varian awalnya mengupdate ke ratusan situs, tetapi karena situs-situs tersebut di blok atas permintaan vendor antivirus maka Conficker A dan B dapat dikatakan “layu sebelum berkembang” karena misinya mengupdate dirinya gagal. Kalau virus Conficker A dan B yang “layu sebelum berkembang” saja sudah mampu membuat para korbannya babak belur dan menginfeksi belasan juta komputer di seluruh dunia, lalu apa yang akan dilakukan virus Conficker.C kalau berhasil “mekar” pada tanggal 1 April 2009 nanti ? Berdoa saja semoga ini hanya menjadi April Mop dan pembuat Conficker.C ini tidak melakukan update atau updatenya gagal. Tetapi yang jelas, secara teknis semua komputer yang terinfeksi Conficker.C dan terkoneksi ke internet sudah dapat dipastikan akan menghubungi 50.000 situs untuk mengupdate dirinya.

Pengguna Gaptek dan Provider Cuek

Jika anda bertanya, bagaimana sebenarnya Conficker menyebar. Caranya mudah saja, Conficker belajar dari Amway atau CNI untuk menyebarkan dirinya. Karena sifatnya worm, ia hanya perlu menginfeksi satu komputer saja di jaringan dan kemudian komputer tersebut akan melakukan scanning terhadap seluruh komputer dijaringannya dan menginfeksi semua komputer yang bisa di infeksinya. Lalu, jika komputer yang di infeksinya terkoneksi ke jaringan lain, ia akan kembali melakukan scanning dan menginfeksi komputer di jaringan lain. Hal ini berjalan terus menerus tanpa henti.

Celakanya, salah satu sumber penyebaran Conficker adalah komputer-komputer yang terkoneksi ke ISP internet baik secara dial up atau broadband. Dimana jika satu pelanggan terinfeksi oleh Conficker, maka ia akan berusaha terus menerus menginfeksi komputer lain yang terkoneksi melalui jaringan dan ISP yang sama. Perlu anda ketahui, yang dimaksud ini tidak terbatas pada dial up dan broadband konvensional tetapi juga broadband 3G. Vaksincom melakukan scanning pada salah satu jaringan 3G Broadband milik provider terbesar Indonesia pada tanggal 31 Maret 2009 dan menemukan banyak komputer-komputer yang terinfeksi Conficker. (lihat gambar 1)

Gambar 1, Conficker mampu menyebar melalui jaringan broadband ISP 3G

Apa yang mungkin terjadi ?

Jika kita belajar dari kasus-kasus infeksi virus yang secara serempak digunakan untuk menyerang satu situs tertentu, kita bisa melihat contoh virus MyDoom yang pada tanggal 1 Februari 2004 berhasil memberikan “kiamat” (down) bagi situs Santa Cruz Operation karena di Ddos oleh jutaan komputer yang terinfeksi virus MyDoom. Sebabnya SCO di Ddos kemungkinan adalah karena dua hal, pertama karena SCO berseteru dengan para pengguna Linux dan yang kedua adalah karena mereka pada tanggal 27 Januari 2004 menawarkan US $ 250.000 bagi siapapun yang bisa memberikan informasi untuk menangkap pembuat virus MyDoom. Sebenarnya situs Microsoft juga sempat di Ddos oleh MyDoom pada tanggal 3 Februari 2004, tetapi “untung” tidak sampai mengakibatkan “kiamat” bagi situs Microsoft. Apakah Ddos ini disebabkan karena Microsoft juga mengeluarkan sayembara hadian US $ 250.000 bagi yang bisa membantu menangkap pembuat virus MyDoom …. Hanya pembuat MyDoom yang tahu. Yang jelas, Microsoft juga mengeluarkan sayembara US $ 250.000 bagi yang bisa membantu menangkap pembuat Conficker.

Cerita lain dari MyDoom adalah pada tanggal 26 Juli 2004 MyDoom juga menyerang 3 search engine terpopuler saat itu, Google, AltaVista dan Lycos dan serangan ini berhasil mengganggu beberapa fungsi search Google dan mengakibatkan kelambatan yang signifikan pada situs AltaVista dan Lycos.

Selain Ddos pada situs, kira-kira hal apa yang mungkin dilakukan oleh virus Conficker.C pada 1 April 2009 nanti ? Kalau virus Conficker.C tidak memiliki kebiasaan buruk dan hanya melakukan Ddos dan menggunakan komputer korbannya untuk mengirimkan SPAM, kerugian yang mungkin kita alami adalah lalu lintas internet akan sangat padat dan kemungkinan para pengguna internet pada 1 April 2009 akan mengalami kelambatan koneksi. Baik karena Ddos, penyebaran ulang varian baru Conficker ataupun karena SPAM yang disebarkan oleh komputer-komputer yang terinfeksi Conficker.

Tetapi jika pembuatnya memiliki niat jahat seperti mencuri data komputer korbannya dan menjual kepada pihak yang berminat, maka kasus serupa dengan “Goshnet” bukan tidak mungkin akan terjadi. Maka jika anda pengguna komputer yang terkoneksi ke internet dan memiliki data penting yang kalau hilang bisa membuat anda nangis bombay, Vaksincom menyarankan anda untuk melakukan backup atas data anda. Jika anda memiliki data yang conficential dan di incar orang seperti rahasia negara atau sejenisnya, khususnya untuk pekerja di kedutaan besar. Sebisa mungkin hindari menggunakan jaringan internet tanpa perlindungan yang memadai dalam berkomunikasi dan jangan sekali-kali mencampurkan komputer yang memproses data classified dengan data pribadi anda. Ingat jaringan internet adalah jalan umum yang bisa dilalui siapa saja dan jika anda mengobrol di jalan umum, kemungkinan untuk didengar orang lain sangat besar. Usahakan menggunakan jalan khusus seperti VPN, atau kalau mampu seperti Presiden Obama menggunakan jaringan GSM khusus yang terpisah dari umum untuk komunikasi Barrackberrynya (Sectera Edge).

Preventif

Vaksincom menyarankan para pengguna komputer Indonesia melakukan tindakan-tindakan berikut dalam mengantisipasi kemungkinan terburuk serangan Conficker.C :

1. Lakukan PATCH semua OS di komputer-komputer jaringan anda dengan lengkap. Khusus untuk antisipasi virus Conficker perhatikan bahwa patch MS 08-067 terinstal dengan baik dan benar.

2. BACKUP data penting anda, baik di komputer masing-masing maupun di database server. Ingat, file yang di backup ditempatkan terpisah dari komputer yang di backup dan jangan sekali-kali di simpan di harddisk yang sama dengan komputer yang di backup. Kalau bisa miliki satu harddisk backup USB atau kalau mau murah backup ke CD / DVD.

3. Hindari menyalakan komputer yang tidak terpakai pada saat pulang kantor, apalagi komputer tersebut terhubung ke internet secara broadband karena sangat rentan digunakan untuk Ddos, menyebarkan virus atau spam.

4. Jika anda memiliki database server, webserver atau mailserver yang harus dinyalakan 24 jam. PASTIKAN semua patch sudah terinstal dengan baik dan lindungi dengan aplikasi sekuriti yang memadai.

5. Jika anda ingin pendekatan “paranoid”, matikan semua komputer dan internet pada malam ini 31 Maret 2009 dan jangan hidupkan internet sampai besok pagi kira-kira jam 10.00 atau sampai anda dengan persis apa yang akan dilakukan oleh Conficker.C besok.

Sumber:Vaksin

Bagaimana memproduksi PC dari Worm Conflicker versi Microsoft

Virus Conflicker atau Downadup, siap menyerang 1 April 2009

Microsoft sudah memberikan informasi lebih lanjut tentang serangan Virus Conflicker. Termasuk bagaimana menangani serangan virus tersebut sebelum menyerang pada 1 April 2009 nanti.

Virus dapat menyerang dari 1 computer yang telah terinfeksi virus Conflicker. Lalu menyusup masuk ke jaringan network atau LAN. Virus akan mencoba mengandakan dirinya ke Flashdrive, menyerang jaringan terbuka seperti Open Share file, computer yang tidak diupdate, Virus juga mampu menebak secara acak password dari computer yang akan ditembus.

How do I remove the Conficker worm?

If your computer is infected with the Conficker worm, you may be unable to download certain security products, such as the Microsoft Malicious Software Removal Tool or accessing certain Web sites, such as Microsoft Update. If you can't access those tools, try using the Windows Live OneCare Safety Scanner.

Dibawah ini informasi langsung dari situs Microsoft, yang telah di update pada 27 Maret 2009.

Protect yourself from the Conficker computer worm

Sumber:Obengware

Cara Mematikan Autorun pada Windows XP

Cara mematikan autorun pada windows XP

Komputer kita mungkin pernah atau sering kena virus. Walaupun dapat dihilangkan dengan menggunakan antivirus atau cara manual, registri windows kita telah menjadi rusak akibatnya. Ada kejadian seorang baru selesai meng-install ulang komputer sudah langsung kena virus. Dan mungkin kita merasa tidak pernah mengklik file-file yang mencurigakan. Penyebabnya adalah adanya virus yang diprogram untuk langsung running (autorun) ketika kita memasukkan data lewat flash disk, floppy disk dll. Contoh virus autorun ini seperti thumbdb.com dll.
Jangan cemas! Karena fasilitas autorun(autoplay) windows ini dapat dimatikan.
Caranya :

1. Jalankan RUN dengan menekan (ctrl+R) ketikan gpedit.msc
   
   
2. Jendela Group Policy akan terbuka, pilih menu pada bagian kiri Computer Configuration » Administraitive Templates » System
3. Lalu pada jendela sebelah kanan klik kiri dua kali pada bagian turn off autoplay
   
   
4. Kemudian akan muncul jendela turn off autoplay properties
   
5. lalu setting turn off pada tombol radio enabled, dan set untuk semua drive (All drives)
   
   
6. Ulangi langkah mulai no 2-5 di atas untuk bagian User Configuration » Administrative Templates » System.

Untuk lebih Jelasnya bisa diDonlot di 4shared

Antivirus GADUNGAN

Serigala berbulu domba. Ungkapan ini patut di ingat-ingat oleh para pengguna komputer yang mendadak mendapatkan peringatan bahwa di komputernya di temukan virus / spyware dan langsung ditawarkan removalnya saat itu juga. Peringatan yang muncul banyak variasinya, dari perubahan wallpaper, muncul pesan di “system icons” di pojok kanan bawah layar komputer (sebelah jam) atau pesan pop up. (lihat gambar 1 dan 2)

Gambar 1, Scareware Antivirus-2008 yang merubah Wallpaper komputer korbannya menjadi peringatan palsu adanya spyware dan menawarkan removal yang sebenarnya palsu.

Gambar 2, Peringatan palsu adanyaSpyware yang ditampilkan oleh Antivirus 2008

Istilah yang diberikan pada program antivirus gadungan ini adalah Rogue Scanner, Advance Antivirus atau Scareware. Dikatakan sebagai scareware karena cara kerjanya yang menakut-nakuti korbannya bahwa komputernya terinfeksi virus dan spyware dengan tingkat bahaya yang sangat tinggi dan disarankan untuk mendownload antivirus gadungan (yang sebenarnya juga spyware) ke situs yang telah dipersiapkan terlebih dahulu. Jika korban berhasil ditakuti dan masuk ke situs yang telah dipersiapkan, ia akan ditawari untuk membeli antivirus gadungan dan membayar dengan kartu kreditnya. Kemungkinan besar korbannya ini akan terperdaya karena memang aplikasi scareware dan situs-situs pendukung ini sudah dipersiapkan dengan baik dan tampilan aplikasi dan websitenya terlihat cukup profesional. Dimana tampilan scareware tersebut tidak kalah dengan tampilan program antivirus terkini dan hebatnya situs yang dikunjungipun memiliki sistem penerimaan pembayaran dengan kartu kredit yang online. Masalahnya adalah, sebenarnya peringatan tentang belasan virus yang berhasil di deteksi oleh scareware tersebut adalah peringatan palsu, dimana sebenarnya tidak ada virus yang dimaksudkan di komputer korban. Namanya juga scareware (ingat scarecrow, patung-patungan palsu untuk manakuti burung (gagak) supaya tidak memakani padi) tujuan utamanya adalah menakuti korbannya untuk tujuan komersial dan celakanya cara yang dipakai kurang terpuji dengan memberikan peringatan virus palsu. Selain itu, jika korbannya setuju untuk mendownload program scareware yang ditawarkan. Maka ibarat kata pepatah, “Sudah Jatuh Tertimpa Tangga” …. (di gigit anjing lagi :P) maka selain membayar untuk sesuatu yang tidak perlu, kemungkinan besar kartu kredit yang digunakan untuk membeli scareware tersebut akan dijadikan sebagai sasaran fraud. Banyak laporan yang menyebutkan bahwa biaya yang ditagihkan ke kartu kredit tidak sesuai dengan yang tertera pada saat transaksi dan bisa beberapa kali lipat. Karena itu sebaiknya anda segera memblokir kartu kredit tersebut dan mengganti dengan yang baru untuk menjaga kemungkinan digunakan untuk fraud.

Metode infeksi

Scareware akan datang dalam banyak alternatif :

• Mengeksploitasi celah keamanan (Java Script) browser waktu mengunjungi website tertentu sehingga akan terinstal secara otomatis dan menampilkan peringatan palsu.
• Menawarkan scan malware gratis atau tune up sistem komputer gratis.
• Email, dalam hal eksploitasi email pembuat virus ini cukup kreatif. Adapun bentuk-bentuk email yang terdeteksi adalah sebagai berikut :
• Kartu ucapan / greeting card. Email yang datang juga memiliki banyak varian, baik yang datang dalam lampiran bervirus (biasanya di kompres / zip) maupun hanya link download yang memanfaatkan fitur “drive by download”.
• Breaking News dari CNN atau situs berita yang lain.
• Menawarkan film porno artis ternama seperti Angelina Jolie yang dikombinasikan dengan baik sekali dengan rekayasa sosial pada situs You Tube. Dimana file yang mengandung virus seakan-akan harus di download sebagai codec (file yang diperlukan untuk menonton file film di You Tube). Lihat artikel http://vaksin.com/2008/0808/anjelina-jolie2/anjelina-jolie2.html
• Datang dalam lampiran terkompres seperti yang terakhir ditemui Vaksincom datang sebagai email konfirmasi pengiriman barang dari UPS yang meminta kita mencetak invoice .doc yang sebenarnya adalah file virus karena memiliki ekstensi ganda (ups_letter.doc.exe). Supaya lampiran ini tidak diblok di mailserver ia di kompres terlebih dahulu dengan nama “ups_letter.zip”. (lihat gambar 3)

Gambar 3, Cara terbaru scareware menyebarkan dirinya dengan mengirimkan dirinya sebagai lampiran melalui email.

Ada puluhan varian scareware

Sebenarnya seberapa gawat sih masalah scareware ini dan seberapa banyak varian scareware ini ? Pada awalnya Vaksincom mengira scareware ini seperti kata pepatah “hangat-hangat tahi ayam”, paling dalam waktu beberapa bulan akan menghilang dan digantikan oleh spyware / malware lainnya. Dan varian scareware ini meskipun cukup banyak tetapi menurut perkiraan Vaksincom tidak akan melebihi belasan varian. Tetapi kenyataannya sangat mengejutkan, karena ternyata sampai saat ini sudah tedeteksi 85 scareware yang beredar di internet yang lengkap dengan infrastruktur pendukungnya seperti website dan sistem pembayaran online. Beberapa nama yang digunakan juga cukup menjebak seperti Antivirus XP 2008, Antivirus XP 2009, Vista Antivirus 2008, WinFixer, Spyware Stormer, Smart Antivirus 2008, Smart Antivirus 2009, PC-Antispyware, MS Antispyware, MS Antivirus, IE Antivirus, ID Defender, Antivirus 2008, Antivirus 2009 dan masih banyak lagi. Melihat hal ini dapat disimpulkan bahwa pembuat scareware ini cukup terorganisir, profesional, ditunjang oleh back up finansial yang kuat dengan motif ekonomi dan bukan hanya melakukan hit and run seperti pembuat virus.

Beberapa ciri scareware yang sedang aktif

Beberapa ciri scareware yang saat ini sedang marak menyebar di internet adalah sebagai berikut :

• Jika komputer korbannya mendapatkan peringatan adanya malware tetapi tidak melakukan tindakan seperti mendownload scareware yang disarankan, maka komputer tersebut akan terus menerus mendapatkan peringatan pop up windows yang meninformasikan adanya malware di komputernya. Dalam beberapa kasus, bahkan komputer korban “dikerjai” seperti drive C: dihilangkan dari Windows Explorer dan menghilangkan folder-folder baik di harddrive lokal maupun folder sharing di jaringan sehingga makin menambah kepanikan pengguna komputer korbannya.
• Scareware ini sulit di deteksi antivirus karena ia akan selalu mengupdate dirinya dan melakukan release ulang guna mencegah deteksi program antivirus.
• Menurut pantauan Vaksincom, saat ini banyak scareware sudah mampu menginfeksi Widnwos Vista, jadi korbannya tidak hanya terbatas pada Windows XP / 2000 saja.
• Walaupun anda sudah klik [Cancel] atau [X] untuk menutup box dialog ketika ditanyakan apakah mau mendownload scareware, aksi yang dilakukan TETAP akan mendownload scareware. Bahkan beberapa scareware secara otomatis mendownloadkan dan menginstalkan dirinya ke komputer korbannya.
• Anda tidak dapat menghentikan proses download yang berlangsung, sekalipun anda menutup browser anda karena proses download akan berlangsung di background (tidak terlihat). Salah satu cara yang cukup efektif untuk menghentikan download adalah menggunakan key [Alt][F4].
• Administrator jaringan di korporat dapat mempertimbangkan memblok akses ke situs-situs download scareware seperti winfixer.com, winantivirus.com, systemdoctor.com tetapi seperti kita ketahui jumlah scareware yang mencapai lebih dari 80 pada saat ini dan dalam waktu singkat akan mencapai lebih dari 100 scareware membuat proses blokir website scareware ini sangat melelahkan. Salah satu cara yang efektif mengatasi infeksi scareware adalah menggunakan filter jaringan yang dipasang di router backbone internet anda seperti Norman Network Protector yang akan melakukan scanning seluruh traffic yang masuk ke jaringan intranet baik itu traffic http, smtp, pop maupun ftp. Dengan adanya Network Protector ini pengguna jaringan akan terlindung dari download dan upload scareware maupun malware tanpa perlu melakukan perubahan pada setting komputer karena scanner ini berfungsi sebagai bridge (transparent proxy). (lihat gambar 4)

Gambar 4, NNP yang mampu mendeteksi dan menghentikan scareware yang secara otomatis mendownload dirinya pada protokol http, smtp, pop dan ftp

Bagaimana cara menghindari dan mengatasi scareware

Jika anda menanyakan bagaimana cara menghindari dan mengatasi scareware, jawabannya mungkin klasik. Pastikan komputer anda dilindungi program antivirus / spyware yang terupdate dan jangan sembarangan memilih antivirus yang belum anda kenal. Kalau anda paranoid hindari email html (set sebagai plain text saja) untuk mencegah kesalahan karena klik pada email html yang memicu download scareware. Jangan sembarangan menggunakan software atau scanner online yang tidak anda ketahui kompetensinya. Lakukan patch (penambalan celah keamanan) secara teratur, usahakan untuk melakukan automatic patch pada OS anda jika komputer anda memiliki hubungan ke internet.

Jika komputer anda sudah terinfeksi scareware, satu hal yang paling penting anda lakukan adalah “putuskan hubungan ke internet”, hal ini penting untuk mencegah scareware mengupdate dirinya. Gunakan Norman Security Suite dengan update terakhir yang bisa anda dapatkan pada DVD / CD Chip terbaru untuk membasmi scareware ini.

Sumber:Vaksin

IE8 lebih cepat dari chrome & Firefox

Walaupun sudah sekian banyaknya pengujian kinerja browser yang dilakukan pihak ketiga, Microsoft tampaknya merasa harus melakukan pengujian kinerja browser dengan caranya sendiri dan menciptakan realita baru. Menjelang dirilisnya browser terbarunya Internet Explorer 8 (IE8), Microsoft mempublikasikan sebuah laporan yang berjudul "Measuring Browser Performance: Understanding issues in benchmarking and performance analysis." Dokumen ini menjelaskan berbagai komponen browser dan jaringan dan bagaimana masing-masing mempengaruhi kinerja saat benchmark dilakukan dan solusinya. Hasilnya? IE8 keluar sebagai browser dengan kinerja terbaik, mengalahkan Firefox 3.05 dan Chrome 1.0, sesuatu yang belum pernah terlihat di benchmark pihak ketiga.

Di bawah ini adalah tabel yang memperlihatkan waktu yang dibutuhkan masing-masing browser untuk menampilkan 25 situs terpopuler di internet menurut comScore. Laporan ini mengatakan bahwa Microsoft menilai kecepatan browser dengan mengukur waktu yang dibutuhkan browser untuk menampilkan indikator selesai loading sejak tombol "Go" ditekan. Data di bawah ini diambil di bulan Januari 2009 dan karena konten internet selalu berubah, Anda mungkin akan mendapatkan nilai yang berbeda saat melakukan pengujian yang sama.

Seperti yang Anda lihat, IE8 mengalahkan Firefox dan Chrome dalam menampilkan 12 situs, Chrome menjadi pemenang dalam menampilkan 9 situs dan Firefox hanya menjadi pemenangnya dalam 4 pengujian.

Apabila Anda sudah pernah mencoba menggunakan IE8, apa pendapat Anda? Saya pribadi sedikit ragu karena Microsoft memang memiliki divisi marketing kuat yang sebelumnya juga pernah mengeluarkan laporan bahwa Windows lebih hemat biaya dibandingkan Linux yang gratis. Laporan lengkapnya dapat Anda dapatkan dari Microsoft Download Center. Microsoft juga menampilkan berbagai video yang memperlihatkan pengujian kinerja ini. (ArsTechnica)

Bagaimana menurut Anda?

Sumber:Udaramaya

---

Conficker Merajalela

Apakah komputer Anda terinfeksi virus Conficker (alias Kido atau Downadup)? Jika ya, apakah Anda telah menggunakan antivirus terkenal, namun Conficker tidak mampu dibersihkan dengan tuntas?

Saya kasihPCMAV Express for Conficker

PCMAV VALKYRIE


Sumber:virusindonesia

Hati-hati Phishing YM mengincar account Yahoo anda

Mau tahu “ular berbisa” versi Messenger yang sedang marak beredar di internet ? Salah satu teknik yang paling mudah untuk menjerat korban phishing adalah menggunakan rekayasa sosial yang tepat, dan kalau hal ini dilakukan oleh orang yang mengerti hukum, maka hal ini akan mengakibatkan banjir phishing di internet. Kali ini yang menjadi korban adalah para pengguna Messenger, baik Yahoo Messenger maupun MSN Messenger.

Jika anda pernah menerima pesan di Yahoo Messenger seperti dibawah ini :

• 
  Gambar 1, Pesan yang dikirimkan oleh Phishing YM

• Hey chck my yahoo flicker account… uploaded some pics  http://www.summer-picz.com

• Hi there…. Come check my pictures… different kind of pics of me WILD and CRAZY  http://www.summer-picz.com

Dan jika anda klik link tersebut maka anda akan diarahkan pada website phishing yang telah disiapkan (lihat gambar 2)

Gambar 2, Situs Phishing yang akan ditampilkan oleh website pencuri Account Yahoo Messenger

JANGAN sekali-kali anda masukkan Yahoo Email dan Password anda karena rekening YM anda akan langsung diketahui. Sekali Account Yahoo anda diketahui, secara teknis banyak sekali hal-hal berbahaya yang dapat dilakukan tanpa sepengetahuan anda. Seperti mengirimkan Phishing, SPAM, email fitnah sampai mengubah data pemilik Account. Terlebih jika anda memiliki akses berharga pada Account YM anda seperti administrator mailinglist dengan jumlah anggota yang besar, account produk-produk Yahoo dan lainnya.

Mengapa orang bisa tertipu ?

Jika anda “merasa” belum pernah tertipu dan bertanya-tanya, kok keterlaluan banget yah, orang bisa tertipu begitu mudah ? Jawabannya selain karena “kurang teliti” karena mengira situs yang dikunjungi adalah situs milik Yahoo tetapi sebab lain yang utama adalah karena yang mengirimkan pesan tersebut adalah kontak anda yang ada di Yahoo Messenger. Tentunya anda percaya bahwa teman anda tidak mungkin mencelakakan anda dengan menjebak anda ke situs phishing (kalau benar ada rasanya keterlaluan banget deh ). Jadi, kalau anda menerima pesan seperti di atas, jangan mengamuk dulu sama teman anda. Masalahnya, pesan YM tersebut rupanya tidak dikirimkan oleh teman anda, melainkan karena Account Yahoonya telah diketahui dan digunakan untuk mengirimkan pesan yang menggiring semua kontak untuk mengklik link yang membuka halaman web yang meminta Yahoo Mail dan password. SEGERA minta teman anda untuk mengganti Password YM dan memeriksa dengan teliti apakah data pendukung rekening Yahoonya masih sesuai dengan dirinya. Kalau masih sesuai, “mungkin” rekening Yahoo tersebut masih bisa digunakan. Tetapi kalau anda was-was dan ingin menerapkan paranoid mode, ganti rekening Yahoo anda dengan yang baru dan jangan lupa lengkapi login Yahoo anda dengan “Sign in Seal” dan selalu perhatikan alamat situs Yahoo setiap kali memasukkan username dan password.

Siapa yang baca Term and Conditions ?

Jika ditanya, apakah anda membaca dengan seksama Terms and Conditions setiap kali anda menginstal software atau menggunakan satu layanan di internet ? Dapat dikatakan 99 % akan menjawab TIDAK. Nah, kelemahan inilah yang dimanfaatkan oleh T P Ltd, perusahaan yang menjadi dalang dari semua ini.

T P Ltd adalah satu perusahaan yang menggunakan domisili hukum Panama. Dan perusahaan ini sudah melindungi dirinya dengan perangkat hukum yang baik karena dia sudah mencantumkan bahwa anda setuju account Yahoo Anda digunakan untuk tujuan promosi dalam Term and Conditions yang tercantum linknya di halaman depan situs forgery tersebut. (yang kami yakin anda yang pernah masuk situs tersebutpun belum tentu ingat ada kalimat “- By logging in you accept Terms and Conditions-”, apalagi megklik dan membaca linknya. Berikut ini kutipan salah satu point dalam “Terms and Conditions” :

By using our service/website you hereby fully authorize T P Ltd to send messages of a commercial nature via Instant Messages and E-Mails on behalf of third parties via the information you provide us.

Firefox – Internet Explorer – Safari

Satu hal yang menarik dan Vaksincom alami dalam mengakses situs forgery ini menggunakan beberapa browser yang berbeda seperti Firefox, Internet Explorer dan Safari adalah :

Secara default (tanpa setting khusus) browser Firefox versi 3.0.6 relatif lebih aman dari browser Internet Explorer versi 7.0.6001.18000 dan Safari versi 3.2.1.

Mengapa ?

Situs Firefox memberikan peringatan berulang-ulang setiap kali mengakses situs forgery yang rasanya agak “keterlaluan” kalau sampai pengguna firefox sampai bisa tertipu oleh situs ini. Jadi, saat pertama kali Vaksincom masuk ke situs www.holiday-picz.com langsung mendapatkan peringatan berwarna Merah dengan gambar icon polisi memegang rambu lalulintas “dilarang masuk” (coba kurang jelas bagaimana pesan yang diberikan :P) bahwa situs ini dilaporkan BERBAHAYA dan dipalsukan dan hanya dua tombol yang mudah di klik : (lihat gambar 2)

Gambar 2, Peringatan yang diberikan oleh Firefox jika kita ingin mengakses situs forgery www.holiday-picz.com

1. Get me out of here ! Yang kalau di klik akan membawa anda keluar dari situs berbahaya tersebut.

2. Why was this site blocked ? Yang kalau di klik akan memberikan informasi lebih jauh mengenai web forgery dan phishing

Hanya saja kalau anda tetap keukeuh dan ingin mengakses situs tersebut, anda dapat mengklik kalimat kecil di pojok kanan “Ignore this warning” anda baru bisa mengakses situs tersebut (lihat gambar 3). Itupun masih tetap dengan adanya pita berwarna merah berisi peringatan dari Firefox “Reported Web Forgery !”. Kemungkinan pengguna Firefox dan tetap bisa terjebak memasukkan Alamat email dan password adalah karena “gatal” ingin mengklik dan memasukkan segala sesuatu tanpa membaca atau karena pengguna tersebut kurang mengerti Bahasa Inggris. (tapi harusnya kan mengerti yah, kalau merah itu berarti bahaya, mana ada gambar polisi galak bawa rambu verboden … kok masih diterabas …. Kaya naik motor ajah :P).

Gambar 3, Situs Holiday-picz.com yang ditampilkan oleh Firefox tetap memberi peringatan Web Forgery

Bandingkan dengan tampilan situs ini di Internet Explorer dan Safari (gambar 4 dan 5)

Gambar 4, Internet Explorer 7 langsung menampilkan situs Forgery ini tanpa peringatan apapun

Gambar 5, Safari juga menampilkan situs forgery ini tanpa peringatan apapun.

Sumber:VAksin

Tips Merawat Printer Supaya Lebih Awet

Jika tak dirawat, printer bisa saja ‘ngambek’ dan kinerjanya menjadi tidak optimal. Untuk itulah, printer juga perlu dirawat layaknya perangkat elektronik lainnya agar tetap dalam kondisi baik.

Berikut beberapa tips mengenai cara merawat printer secara mudah dan murah, dan ditanggung, printer Anda sehat dan bisa bekerja lebih maksimal.

Gunakan Printer secara Periodik
Untuk mencegah kualitas cetakan yang buruk, gunakan printer Anda secara periodik sedikitnya 2-3 kali seminggu. Hal ini akan membuat aliran tinta dari lubang tetap lancar. Jika Anda termasuk jarang menggunakan printer, barangkali Anda perlu secarik kertas untuk mengingatkan Anda mencetak dengan tinta warna atau hitam putih sedikitnya 2 kali seminggu untuk menjaga kelancaran aliran tinta.

Matikan Printer Jika Tidak Digunakan
Jangan lupa untuk selalu mematikan printer jika tidak digunakan. Hal ini akan mencegah menutupnya lubang-lubang aliran tinta dalam kepala printer.

Bersihkan Kotoran dalam Printer
Bersihkan bagian dalam printer setiap satu atau dua minggu, tergantung seberapa sering dan seberapa banyak Anda menggunakan printer. Hal ini akan menjaga kemampuan printer Anda dalam mencetak. Jangan lupa mengamati apakah ada benda-benda yang tertinggal di dalam printer seperti penjepit kertas dan sebagainya. Jangan simpan printer di tempat berdebu atau penuh serangga. Jika memang tempatnya berdebu, ada baiknya bungkus printer dengan plastik untuk melindunginya dari kotoran.

Jagalah Cartridge dengan Baik Ketika Mengganti Tinta
Cartridge printer dipenuhi penghubung listrik yang halus. Benda ini mungkin rusak jika diperlakukan sembarangan. Bisa jadi sinyalnya dengan komputer menjadi putus atau hasil cetakannya buruk. Karena itu, perlakukan cartridge dengan hati-hati.

Gunakan Diagnostic Tools
Seluruh printer mempunyai software pertolongan tentang bagaimana merawat atau mengatasi permasalahan mengenai printer tersebut. Sediakan waktu mempelajarinya. Mungkin saja informasi yang disediakan bisa menolong Anda mengatasi permasalahan dalam printer Anda.

Matikan Printer Jika Gagal Mencetak
Kegagalan dalam mencetak atau error message yang kadang muncul, terkadang bisa diatasi dengan mematikan tombol printer, kemudian mencabut kabel daya sedikitnya selama sepuluh menit. Setelah itu, masukkan lagi kabel daya tersebut pada colokannya, nyalakan printer dan cobalah mencetak kembali. Cara seperti ini seringkali mampu mengatasi kegagalan mencetak dengan baik.

Sumber:Detik

PCMAV valkyrie

Apakah anda ingin mendownload PCMAV valkyrie.

Silahkan anda mendowload di

PCMAV valkyrie







Sumber:Majalah edisi Maret 2009 PCMEDIA

Virus yang menginjeksi file .Exe, .com,dan .scr

Kalau Conficker dapat dikatakan sebagai worm nomor satu di Indonesia, maka predikat virus yang paling merepotkan dan paling banyak ditemui Vaksincom di Indonesia pantas di sandang oleh Sality. Virus yang disinyalir berasal dari Taiwan / Cina ini secara meyakinkan menempati ranking pertama dalam infeksi virus yang diterima oleh Vaksincom bersama-sama dengan Conficker.

Memang menyebalkan jika semua program kita ikut dimakan oleh virus [di infeksi], disamping sulit dalam memberantas virusnya terkadang juga file yang sudah di injeksi tersebut tidak dapat digunakan alias rusak setelah di scan dan dibersihkan oleh antivirus, alhasil harus reinstall semua program yang error atau download ulang file yang sudah di injenksi tersebut.

Salah satu virus yang akan menginjeksi file exe/com/scr ini adalah W32/Sality.AE (lihat gambar 1)

Gambar 1, Norman Security Suite dapat mendeteksi Sality.AE dengan baik

Ukuran file yang sudah terinfeksi W32/Sality.AE akan bertambah besar beberapa KB dan file yang sudah terinfeksi W32/Sality.AE ini masih dapat di jalankan seperti biasa. Biasanya virus ini akan mencoba untuk blok program antivirus atau removal tools saat dijalankan serta mencoba untuk blok task manager atau “registry editor” Windows. Untuk mempermudah dalam proses penyebarannya selain memanfaatkan “File Sharing” dan “Default Share” virus ini juga akan memanfaatkan media Flash Disk dengan cara membuat file acak yang mempunyai ekstensi exe/com/scr/pif serta menambahkan file autorun.inf yang memungkinkan virus dapat aktif secara otomatis setiap kali user mengakses Flash Disk.

Untuk blok task manager atau Registry tools, W32/Sality.AE ini akan membuat string pada registry berikut:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system

• DisableRegistryTools

• DisableTaskMgr

Pada saat file yang terinfeksi W32/Sality.AE, ia akan mendekrip dirinya dan mencoba untuk kopi beberapa file *.dll (acak) file DLL kemudian akan menginjeksi file lain yang aktif di memori serta file lain yang terdapat di komputer dan jaringan (file sharing) serta menginfeksi file *.exe yang terdapat dalam list registry berikut sehingga memungkinkan virus dapat aktif secara otomatis setiap kali komputer dinyalakan.

• HKLM\Software\Microsoft\Windows\CurrentVersion\Run

• HKCU\Software\Microsoft\Windows\CurrentVersion\Run

• HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache

Berikut beberapa contoh file *.dll yang akan di drop oleh W32/Sality.AE.

• C:\Windows\system32\syslib32.dll

• C:\Windows\system32\oledsp32.dll

• C:\Windows\system32\olemdb32.dll

• C:\Windows\system32\wcimgr32.dll

• C:\Windows\system32\wmimgr32.dll

Selain membuat file DLL, sality juga akan membuat file *.sys [acak] di direktori “C:\Windows\system32\drivers” [contoh: kmionn.sys]

Blok Antivirus dan software security

Seperti yang sudah dijelaskan di atas bahwa untuk mempermudah proses penyebaran ia juga akan mencoba untuk mematikan proses yang berhubungan dengan program security khususnya antivirus dengan cara mematikan proses yang mempunyai nama dibawah ini:

ALG	InoRPC
aswUpdSv	InoRT
avast! Antivirus	InoTask
avast! Mail Scanner	ISSVC
avast! Web Scanner	KPF4
AVP	LavasoftFirewall
BackWeb Plug-in - 4476822	LIVESRV
bdss	McAfeeFramework
BGLiveSvc	McShield
BlackICE	McTaskManager
CAISafe	navapsvc
ccEvtMgr	NOD32krn
ccProxy	NPFMntor
ccSetMgr	NSCService
F-Prot Antivirus Update Monitor	Outpost Firewall main module
fsbwsys	OutpostFirewall
FSDFWD	PAVFIRES
F-Secure Gatekeeper Handler Starter	PAVFNSVR
fshttps	PavProt
FSMA	PavPrSrv
PAVSRV	Symantec Core LC
PcCtlCom	Tmntsrv
PersonalFirewal	TmPfw
PREVSRV	tmproxy
ProtoPort Firewall service	UmxAgent
PSIMSVC	UmxCfg
RapApp	UmxLU
SmcService	UmxPol
SNDSrvc	vsmon
SPBBCSvc	VSSERV
WebrootDesktopFirewallDataService	WebrootFirewall
	XCOMM

Selain mematikan proses antivirus di atas, ia juga akan berupaya untuk blok agar user tidak dapat mengakses web dari beberapa antivirus berikut:

• Cureit

• Drweb

• Onlinescan

• Spywareinfo

• Ewido

• Virusscan

• Windowsecurity

• Spywareguide

• Bitdefender

• Panda software

• Agnmitum

• Virustotal

• Sophos

• Trend Micro

• Etrust.com

• Symantec

• McAfee

• F-Secure

• Eset.com

• Kaspersky

W32/Sality.AE juga akan mencoba untuk merubah regisrty berikut:

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Setting\"GlobalUserOffline" = "0"

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"EnableLUA" = "0"

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xxx [xxx adalah acak, contoh : abp470n5]

• HKEY_CURRENT_USER\Software\[USER NAME]914

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMI_MFC_TPSHOKER_80

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPFILTERDRIVER

Selain itu ia juga akan mencoba untuk merubah beberapa string registry Windows Firewall berikut dengan menambahkan value dari 0 menjadi 1:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center

• AntiVirusDisableNotify

• AntiVirusOverride

• FirewallDisableNotify

• FirewallOverride

• UacDisableNotify

• UpdatesDisableNotify

dan membuat key “SVC” serta string berikut dengan value 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc

• AntiVirusDisableNotify

• AntiVirusOverride

• FirewallDisableNotify

• FirewallOverride

• UacDisableNotify

• UpdatesDisableNotify

Tak cuma itu W32/s\Sality.AE juga akan menghapus key “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ALG”.

ALG atau Application Layer Gateway Service adalah services yang memberikan support untuk plug-in protokol aplikasi dan meng-enable konektivitas jaringan / protokol. Service ini boleh saja dimatikan. Dampaknya adalah program seperti MSN Messenger dan Windows Messenger tidak akan berfungsi. Service ini bisa dijalankan, tetapi hanya jika menggunakan firewall, baik firewall bawaan Windows atau firewall lain. Jika tidak komputer yang terinfeksi virus ini akan mengalami celah keamanan yang serius.

Blok akses “safe mode”

Dalam rangka “mempertahankan” dirinya, W32/Sality.AE juga akan mencoba untuk blok akses ke mode “safe mode” sehingga user tidak dapat booting pada mode “safe mode” dengan menghapus key yang berada di lokasi di bawah ini :

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot

• HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot

• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

Injeksi file exe/com/scr

Tujuan utama dari virus ini adalah mencoba untuk menginjeksi program instalasi dan file yang mempunyai ekstensi exe/com/scr yang ada di drive C - Y terutama file hasil instalasi (file yang berada di direktori C:\Program Files) dan file-file portable (file yang langsung dapat dijalankan tanpa perlu instal), ia juga akan menginfeksi file yang mempunyai ekstensi “.exe” yang terdapat dalam list registry berikut sehingga memungkinkan virus dapat aktif secara otomatis setiap kali komputer dinyalakan.

• HKLM\Software\Microsoft\Windows\CurrentVersion\Run

• HKCU\Software\Microsoft\Windows\CurrentVersion\Run

• HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache

File yang berhasil di injeksi biasanya ukurannya akan bertambah sekitar 68 - 80 KB dari ukuran semula. Program yang telah terinfeksi ini akan tetap dapat di jalankan seperti biasa sehingga user tidak curiga bahwa file tersebut sebenarnya telah di infeksi oleh W32/Sality.AE. Salah satu kecanggihan Sality adalah kemampuannya menginjeksi file tumpangannya sehingga ukuran file bervirus tidak seragam, jelas lebih sulit diidentifikasi dibandingkan virus lain yang menggantikan file yang ada sehingga ukuran filenya akan sama besar.

Harap berhati-hati, tidak semua program antivirus dapat membersihkan file yang sudah terinfeksi W32/Sality.AE, bisa-bisa file tersebut akan rusak setelah di scan dan di bersihkan oleh antivirus tersebut.

Tidak mau kalah dengan virus mancanegara lain, untuk memperlancar aksinya ia akan mencoba untuk melakukan koneksi ke sejumlah alamat web yang sudah ditentukan dengan tujuan untuk memanggil/mendownload trojan/virus lainnya yang di sinyalir merupakan varian dari versi sebelumnya yang memungkinkan virus ini dapat mengupdate dirinya.

[http://]pedmeo222nb.info

[http://]pzrk.ru

[http://]technican.w.interia.pl

[http://]www.kjwre9fqwieluoi.info

[http://]bpowqbvcfds677.info

[http://]bmakemegood24.com

[http://]bperfectchoice1.com

[http://]bcash-ddt.net

[http://]bddr-cash.net

[http://]btrn-cash.net

[http://]bmoney-frn.net

[http://]bclr-cash.net

[http://]bxxxl-cash.net

[http://]balsfhkewo7i487fksd.info

[http://]buynvf96.info

[http://]89.119.67.154/tes[xxx]

[http://]oceaninfo.co.kr/picas[xxx]

[http://]kukutrustnet777.info/home[xxx]

[http://]kukutrustnet888.info/home[xxx]

[http://]kukutrustnet987.info/home[xxx]

[http://]kukutrustnet777.info

[http://]www.kjwre9fqwieluoi.info

[http://]kjwre77638dfqwieuoi.info

http://mattfoll.eu.interia.pl/[sensor]

http://st1.dist.su.lt/l[sensor]

http://lpbmx.ru/[sensor]

http://bjerm.mass.hc.ru/[sensor]

http://SOSiTE_AVERI_SOSiTEEE.[sensor]

Mengeksploitasi Default Share dan Full Sharing

W32/Sality.AE akan menyebar dengan cepat melalui jaringan dengan memanfaatkkan default share windows atau share folder yang mempunyai akses full dengan cara menginfeksi file yang mempunyai ekstensi exe/com/scr. Karena itu, Vaksincom menyarankan pengguna komputer untuk menonaktifkan Default Share (C$, D$ .. dst) dan hindari Full Sharing folder anda di jaringan.

Selain menyebar dengan menggunakan jaringan, ia juga akan memanfaatkan flash disk yakni dengan cara kopi dirinya dengan nama file acak dengan ekstensi exe/cmd/pif serta membuat file autorun.inf agar dirinya dapat aktif secara otomatis tanpa harus menjalankan file yang sudah terinfeksi virus, selain itu ia juga akan menginfeksi file yang mempunyai ekstensi exe/com/scr yang terdapat dalam flash disk tersebut.

Selain itu Sality.AE juga akan menambahkan string [MCIDRV_VER] dan DEVICEMB=xxx, dimana xxx menunjukan karakter acak ke dalam file C:\Windows\system.ini. (lihat gambar 2 dan 3)

Gambar 2, File system.ini sebelum di ubah oleh W32/Sality.AE

Gambar 3, File system.ini setelah di ubah oleh W32/Sality.AE

Cara membersihkan W32/Sality.AE

1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan dan internet

2. Matikan System Restore selama proses pembersihan berlangsung.

3. Matikan Autorun dan Default Share. Silahkan download file berikut kemudian jalankan dengan cara:

   • Klik kanan repair.inf

   • Klik install

http://www.4shared.com/file/82762498/f5dc1edd/repair.html?dirPwdVerified=feea1d94

4. Matikan program aplikasi yang aktif di memori agar proses pembersihan lebih cepat terutama program yang ada dalam daftar startup.

5. Sebaiknya scan dengan menggunakan removal tools dengan terlebih dahulu merubah ekstensi dari removal tools tersebut dengan ekstensi lain [contoh: CMD] agar tidak di infeksi ulang oleh W32/Sality.AE. Dalam contoh di bawah, nama file “Norman_Malware_Cleaner.exe” di rename menjadi “Norman_Malware_Cleaner.cmd” supaya tidak di infeksi Sality. (lihat gambar 4)

Gambar 4, File “Norman_Malware_Cleaner.exe” yang telah di rename ekstensinya menjadi “Norman_Malware_Cleaner.cmd”, kotak biru

Selalu gunakan Norman Malware Cleaner terbaru untuk membersihkan dan membasmi virus baru. Download Norman Malware Cleaner terbaru dari “

http://download.norman.no/public/Norman_Malware_Cleaner.exe

Gambar 5, Gunakan Norman Malware Cleaner untuk mendeteksi dan membasmi Sality.

Catatan:

• Agar removal tersebut tidak terinfeksi oleh W32/Sality.AE, Sebaiknya ubah ekstensi dari removal tools tersebut menjadi ekstensi lain [contohnya: CMD] (lihat gambar 4 di atas)

• Sality.AE ini akan mencoba untuk menginfeksi file yang mempunyai ekstensi EXE dan SCR serta COM, file yang sudah berulang kali di infeksi oleh virus ini terkadang akan mengalami kerusakan jika dibersihkan oleh program antivirus, oleh karena itu jika terdapat program yang error setelah di scan oleh antivirus sebaiknya install ulang program tersebut.

6. Agar komputer yang sudah terinfeksi W32/Sality.AE dapat booting “safe mode”, silahkan restore registry yang sudah di ubah oleh virus.

Silahkan download file berikut kemudian jalankan sesuai OS yang terinfeksi W32/Sality.AE tersebut.

http://www.4shared.com/file/82761423/934fb170/_2__Sality.htmldirPwdVerified=feea1d94

7. Fix registry lain yang di ubah oleh virus, silahkan download tools berikut kemudian jalankan file tersebut dengan cara:

• Klik kanan repair.inf

• Klik install

http://www.4shared.com/file/82874724/f485f1dd/repair.html?dirPwdVerified=3b1f2fa9

8. Restart komputer dan scan ulang dengan menggunakan removal tools untuk memastikan komputer telah bersih dari virus.

9. Untuk pembersihan optimal dan mencegah infeksi ulang sebaiknya install dan scan dengan antivirus yang dapat mendeteksi Sality dengan baik.