Selasa, 23 September 2008

Awas Anti Virus Palsu

Ketika asyik buka-buka folder di wondows explorer, tiba-tiba muncul warning:
Attention [user]!
Some dangerous viruses detected in your system. Microsoft XP files corrupted. This may lead to the destruction of important files in C:\WINDOWS. Download protection software now! Click OK to download the antispyware! (Recommended)
[yes] [no]
Kronologis
Dipilih Yes ataupun No, otomatis akan membuka browser dan menuju semacam situs scan online. Salah satu contohnya adalah http://www.checksystem-online.com/id/4912933/4/1/. Peringatan ini ternyata tidak lain dijalankan oleh software keamanan palsu (fake security software / rogue). Dengan menakut-nakuti pengguna komputer melalui peringatan palsu ini, korban dipaksa untuk mendownload software buatan mereka, yaitu Total Secure 2009.
Total Secure 2009 adalah software semacam antivirus yang akan menampilkan hasil scan palsu, yaitu mendeteksi infeksi pada sistem yang sebenarnya bersih dari virus atau trojan. Peringatan yang sangat mengganggu ini baru akan hilang setelah kita membeli atau purchase software tersebut. Software semacam yang masih satu keluarga adalah: Vista Antivirus 2008, Antispyware 2008 XP, System Antivirus 2008, Internet Antivirus, Smart Antivirus 2009, MS Antivirus, Advanced Antivirus, Power Antivirus, dan XPert Antivirus.
Jika peringatan tersebut diabaikan begitu saja, misal dengan mengeklik [no], nantinya windows explorer akan eror dan tidak bisa dibuka. Tentu saja hal semacam ini akan membuat pengguna komputer yang masih awam menjadi bingung dan khawatir telah terjadi apa-apa dengan komputernya.
Jejak Kasus
Awal mula munculnya peringatan palsu tersebut disebabkan oleh eksekusi sebuah file exe yang tak dikenal. Pada umumnya bernama c-setup.exe dan berukuran sekitar 80,5 kb. Biasa didapat melalui situs crack jadi-jadian. Setelah dieksekusi, otomatis akan membuka browser dan menuju ke situs yang beralamat dii
http://www.thevid11.com/bind2.php?id=.
Tak hanya itu, aplikasi ini secara diam-diam menginjeksikan sebuah file .dll berukuran 388 kb ke dalam system directory windows (c:\windows\system32\). File tersebut dibuat semi-random dengan menggunakan kata-kata berikut: ajk, gj, pik, tbl, avn, i. Beberapa contohnya yaitu: pikavn.dll, gjtbl.dll, ajktbl.dll, ajkavn.dll, ajki.dll, dan sebagainya. File .dll inilah yang menampilkan peringatan berisi tulisan seperti di atas.
Investigasi
Jika Anda mendapatkan peringatan seperti itu, ada cara mudah untuk mengatasinya. Terutama jika software tersebut belum sempat didownload. Tak perlu antivirus macam2. Simak saja uraian berikut. Let’s solve the problem!
Terus terang, tanpa tahu aplikasi apa, aku jalankan c-setup.exe. Beberapa menit kemudian sewaktu buka-buka folder di windows explorer, muncul peringatan seperti itu. Begitu mengalami kejadian ini, aku langsung searching pake google dengan keyword sebagian kata-kata pada error warning. Di beberapa forum komputer, disarankan untuk mendownload anti malware semacam MBAM dan SmitFraudFix. Tetapi karena begitu ribet caranya, cari-cari dulu cara sendiri.
Yang pertama diingat adalah melihat proses yang berjalan task manager. Tetapi ternyata di situ tidak ada. Lalu dicoba lagi dengan aplikasi andalan, Process Explorer. Lower pane ditampilkan melalui menu View > Show Lower Pane (Ctrl+L) dan mengganti pane view-nya dengan Handles (Ctrl+H) atau DLLs (Ctrl+D). Karena banyaknya handles dan dll yang dijalankan oleh Explorer.EXE, aku malah bingung mana yang jadi pengganggu itu.
Lalu kucoba buka aplikasi Autoruns, yang masih saudara sama Process Explorer dari sysinternals.com. Dengan aplikasi ini terdaftar apa saja yang diload secara otomatis oleh windows. Di tab Internet Explorer, terdapat autorun entry bernama HACK.SPY, tanpa keterangan publisher, dan image path-nya adalah c:\windows\system32\pikavn.dll. Memang terlihat sangat mencurigakan karena aku belum pernah lihat sebelumnya. Tetapi kenapa letaknya di tab IE? Bukan di tab Explorer? Setelah dilihat di Process Explorer, ternyata pikavn.dll juga diload oleh explorer.exe.
Aku googling lagi dengan keyword pikavn.dll. Dan ternyata benar itu adalah bagian dari si pengganggu. Langsung ambil tindakan dengan men-delete entry pada Autoruns tersebut. Lalu kuhapus file tersebut dari direktori system32. Lalu coba kubuka windows explorer. YEAH!! BERHASIL!!
Orang zaman sekarang makin kreatif aja cari duit lewat internet. Emang pinter sih, tapi kalo yang satu ini tak kalah isengnya sama orang yang bikin virus.
Utak-atik
Dengan reshacker, aku coba bongkar file pikavn.dll tersebut.
Pada bagian REGISTRY terdapat kode sebagai berikut:
HKLM
{
SOFTWARE
{
Microsoft
{
Windows
{
CurrentVersion
{
Explorer
{
‘Browser Helper Objects’
{
ForceRemove {D83E84DA-D187-4300-B5D7-727727352096}
}
}
}
}
}
}
}
HKCR
{
ZoooGoo = s ‘HACK.SPY’
{
CLSID = s ‘{D83E84DA-D187-4300-B5D7-727727352096}’
}
ucjs0l.Bho = s ‘HACK.SPY’
{
CLSID = s ‘{D83E84DA-D187-4300-B5D7-727727352096}’
CurVer = s ‘ZoooGoo’
}
NoRemove CLSID
{
ForceRemove {D83E84DA-D187-4300-B5D7-727727352096} = s ‘HACK.SPY’
{
ProgID = s ‘ZoooGoo’
VersionIndependentProgID = s ‘ucjs0l.Bho’
ForceRemove ‘Programmable’
InprocServer32 = s ‘%MODULE%’
{
val ThreadingModel = s ‘Apartment’
}
‘TypeLib’ = s ‘{15C7D7AD-A87A-4C0D-9D8B-637FCD3488EF}’
}
}
}
Gara-gara yang bikin trojan itu ngasih nama hack.spy, jadi gampang ketahuan deh kalo dll itu nggak diinginkan. hehe

1 komentar:

shiro's blogg mengatakan...

gile juga...
saluut deh.
da lg neh bos
Klik disini