Solusi Komputer Anda

• Saya membuat folder dengan nama autorun.inf

• Berikutnya saya mencoba membuat file dengan nama autorun.inf.

• Dan saat saya coba enter lalu muncul notifikasi file tidak bisa dibuat :

Selain file autorun.inf ada juga virus yang membuat folder dengan nama RECYCLER. nah untuk mengatasi virus membuat folder dengan nama RECYCLER kita buat saja file dengan nama RECYCLER. 

penamaan file tidak case sensitive, jadi jika sudah ada file dengan nama RECycler, dan akan dibuat folder dengan nama RECYCLER tetap tidak akan jadi.

Demikian dulu postingan saya kali ini. Semoga bermanfaat...

Dan tetap waspada akan kehadiran virus baru...

• pada windwos explorer klik kanan file yang diinginkan
• pilih properties
• berikan checklist pada option read only
• klik ok

• klik start > run
• ketikan cmd lalu enter
• pada jendela cmd pindah ke direktory yang dinginkan, untuk kasus diatas maka perintahnya cd C:\  (jika di D maka ubah C mendaji D)
• lalu ketikan perintah attrib +r *.exe /s
• tunggu beberapa saat
• jika sudah selesai maka otomatis atribut semua file .exe sudah berubah.

• Klik Start >> Run >> Ketikan gpedit.msc >> klik OK

• Ubah Setting Menjadi Enable
• Pada option Turn Off Autoplay On: pilih option All Drives

• Gunakan command prompt, klik start>run> ketikan cmd lalu enter.
• ketikan drive flashdisk anda di cmd dan beri tanda titik dua setelah nama drive, contoh F:
• jika benar maka tulisan C:\Documents and setting\bla bla bla akan berubah menjadi F: atau drive lain yang anda masukan tadi
• sekarang ketikan rd "autorun.inf\con\aux\nul. bla bla" (diisi dengan nama foldernya untuk lebih cepatnya gunakan tombol tab untuk auto complete, setelah diketik tambahkan tanda backslash dua kali sebelum tanda petik rd "autorun.inf\con\aux\nul. bla bla\\"
• setelah itu ketikan rd autorun.inf\con\aux\\
• lalu rd autorun.inf\con\\ 
• terakhir rd autorun.inf

MyLovely: Menebar Pesan Cinta

MyLovely. Cinta bisa datang kapan saja, tetapi Anda tidak akan mengharapkan pesan cinta dari worm yang satu ini. Saat komputer Anda terinfeksi oleh worm MyLovely, file tertentu yang Anda klik akan menampilkan pesan seperti pada gambar diatas. Worm ini dibuat dengan bahasa pemrograman Visual Basic dan berukuran sekitar 188 KB, tanpa di-pack. Icon yang digunakannya menyerupai icon image JPG. String “MyLovely” ditemukan pada bagian-bagian tertentu tubuh worm. Teknik penyebarannya dengan memanfaatkan USB/removable disk dengan mengcopykan file-file worm dengan nama antara lain:

- Kasihku.exe

- Sayangku.exe

- Gambar Lucu.exe

- Poto 01.exe

- Walpaper.exe

Worm juga menduplikasikan diri pada folder-folder tertentu didalam hard drive seperti pada MyDocuments, Favorites, Start Menu – Programs. Beberapa file EXE dengan nama tertentu akan diblokir dan diarahkan untuk memanggil file worm, yang akan menampilkan kembali pesan cintanya. Daftar file EXE yang di-blok antara lain adalah:

- Notepad.exe

- PCMAV.exe

- Taskkill.exe

- Msconfig.exe

- Procexp.exe

- Unlocker.exe, dan lain-lain.

Otomatis, file berekstensi tertentu yang berasosiasi dengan file EXE yang diblok (misalnya file *.txt yang memanggil Notepad.exe) juga akan mentrigger pesan worm saat di-klik.

HATI-HATI!
VIRGEAR MENGHAPUS SEMUA MP3!

“WAH, ada lagu Agnes Monica yang “Matahariku””, sahutDencu. Karena itu lagu kesenangannya, tanpa ragu ia punlangsung menjalankannya dengan cara mengklik ganda filetersebut. Namun apa yang terjadi, bukan lagu Agnes yang iadapatkan, tapi semua file MP3 beserta file video kesayangan miliknya hilang dalam sekejap. Kok bisa? Itu salah satu tandanya telah terinfeksi oleh Virgear.

Tipuan Virgear

Virgear memang virus biasa saja, artinya ia tidak memiliki teknikinfeksi yang kompleks seperti halnya yang dilakukan virus lama Brontok maupun Maxtrox yang baru–baru ini menyebar.

Virgear dibuat menggunakan Visual Basic. Sampai tulisan ini dibuat, terdapat tiga varian dari Virgear yang kami dapat. Varian pertama yang kami temukan memiliki ukuran fi le sebesar 16.896 bytes, yang kemungkinan besar di-pack menggunakan UPX dan di-scramble untuk menyembunyikan identitas dari packer yang digunakan. Yang kedua, memiliki ukuran fi le sebesar 49.152 bytes, murni tanpa di-pack. Dan yang ketiga, atau Virgear.C, memiliki ukuran sebesar 19.968, yang juga kemungkinan besar di-pack menggunakan UPX dan di-scramble seperti halnya varian pertama.

Yang akan coba dibahas kali ini adalah varian Virgear.A. Walaupun sebenarnya perbedaan dari setiap varian tidaklah terlalu signifikan, hanya di nama–nama fi le virus yang digunakan untuk menyebar. Dan satu hal yang tidak berubah antara varian yang satu dengan yang lainnya adalah icon yang digunakan. Ia menggunakan icon yang mirip dengan file .MP3 milik aplikasi WinAmp. Yang dilakukannya ini cukup banyak menipu para korbannya. Walaupun sebenarnya hal ini tidak perlu terjadi, jika Anda mampu membedakannya antara file asli dan file virus.

Bersarang di System

Ia akan meng-copy-kan beberapa file yang merupakan duplikat dari dirinya ke direktori yang ia beri nama system. Direktori ini terletak di bawah direktori System32 milik Windows. Pada direktori tersebut akan terdapat beberapa file dengan nama VirGear.exe, smss.exe, Gazette.exe, Gazerock.exe, dan Nugen. exe. Direktori system dan kelima file tersebut ber-attribut hidden dan system, jadi secara setting-an default Windows tidak akan terlihat oleh kasat mata. Lalu, kelima file itu akan ia jalankan.

Untuk dapat aktif otomatis, ia membuat beberapa item baru di Registry Run dengan nama seperti Winamps, Nullsoft, JetAduio, CoolEditV2, dan AdobeAudition. Nama yang dibuat memang terlihat mirip dengan nama beberapa aplikasi multimedia. Tentu saja ini bertujuan untuk tidak membuat user curiga.

Saat user menjalankan file virus, ia akan mencoba untuk membuka file Clock.avi yang secara default terletak pada direktoriWindows untuk dijalankan pada Windows Media Player. Pada rutin virusnya terlihat bahwa fungsi ini akan diaktifkan apabila virus dijalankan bukan pada direktori induknya, yakni system.

Matikan UAC

Untuk melancarkan aksinya ia mengeset registry untuk tidak menampilkan file hidden dan system, serta menyembunyikan setiap extension yang dikenali oleh Windows. Selain itu, fungsi windows lainnya seperti System Restore dan Find/Search juga ia disable. Serta, ia pun mencoba untuk mematikan UAC (User Account Control) yang ada pada Windows Vista. Walaupun sebenarnya, virus ini tidak dapat berjalan mulus di Vista pada user account selain administrator, tentu saja karena terbentur masalah privilages yang lebih ketat dibandingkan operating system sebelumnya, terkecuali memang Anda dengan sengaja menjalankan dengan perintah “Run as administrator”.

Matikan Virus Lain

Untuk menjadi penguasa tunggal di komputer terinfeksi, ia mencoba untuk mematikan virus lain dengan memasukkan nama file yang dikenal sebagai nama file induk virus tersebut pada Registry Image File Execution Options, seperti kspoold. exe, HokageFile.exe, atau HOKAGE4.exe. Selain itu, ia pun menambahkan beberapa nama file lain seperti Setup.exe, In-stall.exe, msiexec.exe, regedit.exe, dan juga nama file antivirus termasuk PCMAV-CLN.exe dan PCMAV-RTP.exe.

Selain itu, virus ini juga menghalau user untuk masuk dalam modus safe-mode, dengan menghapus setingan yang berkaitan ini di Registry.

Timer Penyebaran

Virus ini memiliki komponen Timer. Salah satunya komponen Timer yang ia namakan Penyebaran. Timer ini diset untuk memiliki interval sebesar 60000ms. Ia bertugas untuk membuat file induk dan menyebarkan diri ke setiap drive yang ia temukan, termasuk Remote Drive. Artinya, ia juga dapat menyerang drive yang di share pada jaringan setempat.

Pada saat menyerang removable drive ataupun remote drive, ia akan menciptakan dua buah fi le baru dengan nama Autorun.inf dan Winamps.exe dengan attribut hidden dan system. Selain itu, sebuah direktori baru dengan nama My Music 2008 juga akan diciptakan, pada direktori tersebut akan berisi banyak sekali file MP3 palsu yang sebenarnya merupakan virus itu sendiri. Nama yang ia gunakan seperti Agnes_Monica_-_Mataha-riku__Ost._Jelita_.mp3 ,.exe, Dewiq_feat_Kaka_-_BeTe.mp3,.exe, dan masih banyak lagi yang lainnya. Dan nama – nama ini yang selalu di-update di setiap varian barunya.

Jika Anda lebih teliti, terdapat beberapa kejanggalan pada nama file tersebut. Contohnya pada virus ini, terdapat tanda titik setelah ekstensi, misalkan “Agnes Monica.mp3.”. Tanda titik tersebut mengisyaratkan bahwa sebenarnya terdapat extension asli dibelakang extension tersebut. Secara default Windows, extension asli ini tidak akan diperlihatkan, apalagi virus ini pun juga mengeset Windows untuk tidak menampilkan extension asli. Selanjutnya, Anda ubah tampilan Windows Explorer ke modus Details (View -> Details), di bagian Type akan terlihat tipedari file tersebut. File MP3 yang asli memiliki Type contohnya seperti “MPEG Layer 3 Audio File”, “MP3 Format Sound”, atau sejenisnya. Jika Type nya adalah Application, bisa dipastikan itu adalah virus. Selain itu, lihat juga tampilan dari fi le tersebut. Apabila file yang Anda curigai memiliki jumlah spasi yang sangat banyak terutama di bagian akhir, Anda juga harus waspada, karena bisa jadi diakhir spasi yang segitu banyak terdapat extension asli virus yang sebenarnya, misalkan seperti yang dilakukan oleh virus ini “Dewiq_feat_Kaka_-_BeTe.mp3 [%spasi yang sangat banyak%] ,.exe”. Terlihat bahwa extension asli file tersebut adalah EXE (executable) dan bukanlah MP3. Maka dari itu, lebih baik setting-lah Windows Explorer Anda dengan masuk ke menu Folder Options, lalu memilih “Show hidden files and folders”, serta menghapus centangan (v) pada “Hide extensions for known fi le types” dan “Hide protected operating system fi les (Recommended)”.

Cari dan Hapus!

Beberapa pembaca mengaku bahwa saat melakukan pembasmian menggunakan PCMAV, ia menghapus setiap file MP3 yang telah terinfeksi oleh virus ini. Padahal kenyataan sebenarnya adalah virus ini tidak menginfeksi atau lebih tepatnya menginjeksi masuk ke dalam file MP3 tersebut. Yang ia lakukan adalah mencari ke setiap penjuru drive akan keberadaan file MP3, jika ia menemukannya, maka akan langsung ia hapus dan digantikan dengan file virus dengan nama yang hampir mirip dengan nama file aslinya. Jadi, file MP3 Anda yang asli memang benar–benar dihapus oleh virus ini tanpa ampun. Dan sedihnya lagi, hal ini tidak ia lakukan hanya pada fi le MP3 saja, melainkan juga pada file .3GP, .AVI, .RM, .WMV, .ASF, .MPG, .MPEG, dan .MP4.

Basmi Virgear!

Barusan q nancepin Flash disk temen q di komputer q (Tanpa q scan dulu)
Tiba2.. Waduh.... ki' banyak shortcut gini y.....

ada yg namanya harry potter lah,, microsoft lah... trs pa lage.......
y udah,, q scan aja.. wih... ternyata virus,, bnyak bgt... untung dah q scan...

Nah.. lho....!!!! ko' shortcut-nya masih nempel y.....????

gmna ne,,,???

hah.... q tanya mas google aja lah.......

nah... ketemu....!!!!

ini tutorial ngobrak-abrik pangkalan virus microsoft dan new harry potter tanpa antivirus..

1. Klik kanan di microsoft.ink yang Merupakan shortcut ke
directory c:\windows\system32\wscript.exe //e:vbscript thumb.db “Microsoft”

2. Berhubung udah dapet informasi diatas, buka aja windows explorer terus langsung menuju kelokasi directory c:\windows\system32

3. Cari file wscript.exe kemudian rename file tersebut jadi apa aja terserah qm (harus ingat ya namanya). tapi tampilkan dulu extensi file dari menu folder option. (sebelum langkah diatas dilakukan biasanya file wscript.exe tidak bisa di rename karena masih berjalan disistem. Caranya anda buka task manager kemudian pada tab proses hentikan wscript.exe Setelah itu baru anda bisa rename wscript.exe nya

4. Setelah itu, lakukan search file-file thumb.db (tanpa huruf S), harry potter, microsoft, Autorun.inf . Setelah ketemu baru hapus semua file tersebut Biar gampang,, ketik ja *.lnk di search result.

5. Rename kembali wscript.exe untuk mengembalikan fungsinya seperti semula

6. Langkah masuk ke system configuration utility dengan cara klik menu start–>run kemudian ketik msconfig dan tekan enter, kemudian klik tab startup . hilangkan contreng pada :microsoft office update for windows xp dan database. pokoknya yang berhubungan dengan wscript.exe hilangkan tanda contrengnya.

Met Nyoba...

Salah satu “MKDU (Mata Kuliah Dasar Umum )” bagi virus lokal di tahun 2007 adalah infeksi otomatis melalui Flash Disk. Dan disini sekali lagi kreativitas pembuat virus terlihat karena mereka mampu memanfaatkan fitur yang ada (autorun) pada hardware lain (CD / DVD Rom) dan mengimplementasikannya pada virus di Flash Disk.

Seperti yang kita ketahui salah satu syarat agar virus tersebut dapat menyebar luas dan dapat berumur panjang adalah mempunyai ukuran yang kecil serta mempunyai kemampuan untuk dapat menyebar secara otomatis tanpa tergantung manusia itu sendiri, virus juga harus pandai mencari cara agar dirinya tetap aktif. Pada awal kemunculannya, virus lokal sangat tergantung manusia agar dirinya dapat aktif di komputer target, pada waktu itu virus tidak akan aktif jika file virus tersebut tidak dijalankan terlebih dahulu sehingga penyebaranya sangat lambat hal ini di dukung dengan teknik penyebarannya yang masih menggunakan Disket / Flash Disk [UFD]. Jika hal ini masih tetap dipertahankan lambat laun virus lokal akan hilang dari peredaran dunia maya apalagi saat ini user sudah semakin pintar dan sudah dapat membedakan antara file virus dan file bukan virus sehingga dengan mudah user akan menghapus file yang dianggap virus tersebut tanpa sempat menjalankan file virus tersebut. Untuk mengatasi hal tersebut diperlukan metode yang lebih “canggih” dan “efektif” agar virus tersebut dapat aktif secara otomatis tanpa harus menunggu agar user manjalankan file virus tersebut dan metode inilah yang sampai saat ini digunakan oleh kebanyakan virus lokal yang menyebar dan merupakan “MKDU” yang sudah menjadi SOP (Standard Operating Procedure) virus lokal. Metode ini sendiri sebenarnya sudah mulai dilakukan saat kemunculan virus W32/Aksika (4k51k4).

Script Autorun.inf/Desktop.ini/folder.httt

Kemudahan berbanding terbalik dengan keamanan , itulah salah satu hukum yang berlaku di dunia IT. Sadar atau tidak kemudahan yang diusung itu sendiri telah memberikan peluang program jahat untuk menyusup kedalam system komputer. Salah satu kemudahan tersebut adalah script Autorun yang digunakan untuk menjalankan suatu file secara otomatis saat user akses ke suatu Drive atau saat user menghubungkan removable disk atau saat user memasukan CD / DVD ke dalam CD / DVD ROM. Dan para programmer lokal menjadikan celah ini sebagai peluang agar virus mereka dapat menyebar lebih cepat dibandingkan sebelumnya dan sampai saat ini celah tersebut masih digunakan oleh virus agar dapat menyebarkan dirinya secara otomatis tanpa harus menungggu agar user menjalankan file virus tersebut secara manual. Cukup dengan mengakses ke Flash Disk tersebut atau mencolokkan UFD tersebut ke komputer, maka virus akan langsung menginfeksi.

Agar virus ini dapat aktif setiap saat biasanya sang pembuat virus akan membuat script disetiap Drive termasuk di media Disket/Flash Disk. Autorun.inf/desktop.ini atau Folder.htt adalah beberapa script MKDU yang biasanya akan dibuat oleh virus.

Script ini sendiri sebenarnya berisi sederetan perintah yang intinya adalah untuk menjalankan file virus itu sendiri dan biasanya file induk ini akan ditempatkan di folder/direktori yang sama, agar file tersebut tidak dicurigai oleh user maka script dan file induk tersebut akan di sembunyikan. W32/Askis, W32/VBWorm.ZL, VBWorm.MOS, W32/Aksika, W32/FaceCool atau W32/Solow adalah sederetan virus lokal yang akan mengunakan metode ini maka jangan heran jika mereka sukses menyebar dijagat maya tanpa mengandalkan email.

Berikut beberapa contoh script yang akan dibuat oleh virus lokal (lihat gambar 1) :

• File Autorun.inf

[Autorun]

Shelexecute= %nama file induk virus yang akan dijalankan%

Atau

[AutoRun]

open=%file virus%

shellexecute=%file virus%

shell\Auto\command=%file virus%

shell=Auto

Gambar 1, Script Autorun.inf untuk menjalankan file Folder.exe

• Desktop.ini

Biasanya file Desktop.ini akan berpasangan dengan file .HTT [contohnya folder.htt ] dibuat dengan tujuan untuk menjalankan script lain kemudian file script yang dijalankan tersebut mempunyai script lain untuk menjalankan file virus. Berikut contoh script yang akan dibuat oleh virus.

[.ShellClassInfo]

ConfirmFileOp=0

[{5984FFE0-28D4-11CF-AE66-08002B2E1262}]

PersistMoniker= %lokasi file Folder.htt yang dibuat virus% [ExtShellFolderViews]

{5984FFE0-28D4-11CF-AE66-08002B2E1262}={5984FFE0-28D4-11CF-AE66-08002B2E1262}

Gambar 2, Script file Desktop.ini untuk menjalankan file folder.htt [file folder.htt ini sendiri akan berisi script untuk menjalankan file virus seperti terlihat pada gambar dibawah ini.]

• Folder.htt

classid= “clsid:1820FED0-473E-11D0-A96C-00C04FD705A2?

style=”width: 100; height: 100? tabIndex=-1>

Gambar 3, Script Folder.htt akan menjalankan file New Folder.exe

Bagaimana Cara Menghadapinya ?

Salah satu cara yang efektif untuk mencegah penyebaran virus lokal yang menggunakan metode ini adalah dengan men-disable fungsi Autorun/Autoplay pada Drive/Removable tersebut.

Untuk Disable Autorun/Autoplay dapat menggunakan beberapa cara diantaranya : (jalankan hanya salah satu)

1. Disable Autorun/Autoplay melalui registry, caranya:

§ Buka Registry Editor

Klik menu [Start | Run | pada dialog box RUN ketik regedit]

§ Browse ke alamat registry berikut

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

§ Kemudian klik kanan pada string NoDriveTypeAutoRun

Gambar 4, Alamat registry yang harus diubah agar autorun tidak aktif

§ Isi value data dengan ff yang berarti fungsi Aturun/Autoply akan di matikan pada 255 drive

Gambar 5, Merubah value NoDriveTypeAutorun

§ Klik Tombol [OK]

§ Keluar dari “ Registry Editor”

§ Restart komputer agar perubahan ini berjalan

1. Disable Autorun/Autoplay melalui Group Policy [GPEDIT.MCS], caranya:

§ Klik menu [Start]

§ Klik [Run]

§ Ketik GPEDIT.MSC pada kolom “RUN”

§ Setelah muncul layar “Group Policy” klik folder “System” pada menu “User Configuration” dan “Computer Configuration”

§ Pada kolom Settings, klik dua kali “Turn off Autoplay”

Gambar 6, Interface Group Policy “User Configuration”

Gambar 7, Disable Autoplay

o Klik “Close” untuk keluar dari layar “Group Policy”

o Restart komputer