Wednesday, 7 January 2009

Virut, Ancaman yang Tak Terlihat

Huh…, sebel…. Setiap periodenya pasti saja selalu ada virus yang semakin tidak karuan saja, sehingga membuat user (pengguna komputer) kalang-kabut kaya kebakaran jenggot, khususnya bagi para user yang tentunya care (perhatian) sama komputernya (yang gak care, gak usah dipikirin, rusak-rusak deh sana komputer lo, toh punya lo juga, gak care pula sama apa yang dimiliki).
W32/VIRUT namanya. Saya bingung harus menyebutnya apa? Dibilang Virus, iya! Dibilang Trojan, boleh juga! Dibilang Compressor, bisa jadi! Huh…, bingung…..
Namun yang saya bahas di sini bukan bingungnya itu, tapi mencoba mengenal apa sih sebenarnya virus W32/Virut itu?
1. Sebagai Virus, ya iya lah! Namanya juga program jahat!
2. Sebagai Trojan, habisnya, dia bisa dikendalikan oleh si pembuat, tentunya lewat jaringan internet. So, selama tidak terkoneksi ke internet sih, tidak apa-apa!
3. Sebagai Compressor, kalau untuk program yang baru jadi dan ingin melindungi programnya dari ReFormer sih, memang tugasnya si Compressor! Tapi ini, yang sudah di Compress kok masih tetap saja melakukan Compress program. Ini nih yang membuat si Virut mempunyai Poly Charact, yakni juga sebagai parasit.

Dikutip dari blog tetangga, jangan lupa untuk mampir juga ke situsnya ya: http://esetiawan.wordpress.com

Berikut profil dari Win32/Virut ini, diterjemahkan dari situs AVG :
Win32/Virut adalah parasit penginfeksi file yang berekstensi .EXE, bertindak seperti IRC bot, berkomunikasi lewat port TCP 65520, lalu membuka channel #virtu di alamat server IRC proxim.ircgalaxy.pl
Langkah pertamanya setelah dijalankan adalah menyuntikkan prosesnya (winlogon.exe), alasannya adalah filrewall tidak akan mengenali virus ini. Kemudian virus akan menginfeksi file di harddisk lokal atau jaringan. Virus ini tidak bergantung pada penggunaan atau eksekusi file-file di harddisk.
File yang terinfeksi mempunyai ukuran file lebih besar sekitar 9kb, dan tidak akan menyimpan timestamp (waktu dibuat, waktu diubah) aslinya. Timestamp akan berubah ke waktu saat virus menginfeksinya.
Virus ini aktif dengan cara-cara yang “klasik” :
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Catatan : nama file yang terinfeksi di entri registri bisa bervariasi. virus memilih nama dari file yang terinfeksi di folder sistem.
Virus ini tidak menggunakan teknik rootkit atau teknik siluman (hehe..saya nggak tau ni terjemahan pastinya dari kalimat “stealth”), virus ini juga membuat file yang tidak mempunyai fungsi yang juga mengandung virus.
Bagaimana membersihkan virus ini dari komputer ?
1. Download Virut Remover
2. Boot sistem ke safe mode
3. Scan dengan removal tool diatas. kalau removal tool merekomendasikan untuk restart komputer turuti saja.
Dan berikut komentar dari user (pengguna komputer):
1. Ncienk, on September 21st, 2008 at 5:09 am Said:
Kang urang bogor lain?
Hehe..
Wah ngeliat artikelnya jd tertarik bwt mencoba nie…maklum dah 4x instal ulang plus repair, masih nongol tuh virus…
Td c dah bres pke ansav, kena smua tu virut win32, cuman gara2 di system, n harus di deleted, jd skrg ga bs login..
Pdhal dah di repair nie kang?
Gmna ya?
Apa hrs format ke 5kalie?
Hiks..bt euy…
Bru gw seumur hidup sehari 4 kalie format kompi…edan nie virus..
Tlg pencerahannya kang trims..
Huh…, kalau di bayang-bayangkan sih memang mengerikan. Hi…, takut….
Ke-bayang tidak jika semua file aplikasi (executable/ .exe) Anda telah terinfeksi olehnya. Wah…, tentu aplikasi/program Anda akan rusak olehnya. Nah…, marilah kita mencoba untuk teliti sejak dini terhadap file-file yang kita miliki!
Untuk serangannya, si Virut ini akan menambah Properties (byte….) dari aplikasi kita, kecuali berupa kompresan gabungan (kaya digabung dengan menggunakan Winrar) baru dia tidak bisa menyerang file tersebut. Untuk modul serangannya, si Virut ini akan langsung menyerang file aplikasi yang berhasil dia baca dari proses Real Time Infek-nya. Contohnya: Anda mempunyai game Flash pada FlashDisk, dan Anda mencolokkannya pada komputer yang sudah terinfeksi Virut sebelumnya, so’ dengan segera byte demi byte dari game Flash Anda akan bertambah sehingga ukurannya menjadi lebih besar (ukuran bite).
Memang sebelumnya si Norman Virus Control sudah mengenal berbagai seri dari si Virut ini. Tapi, karena beberapa waktu lalu NB saya terpaksa harus di-install ulang, maka saya pun terpaksa harus kehilangan Norman VC tersebut. Hik…, hik…, sedih.

Akhir kata, kenali gejalanya, hindari penyebarannya, Insya Allah Anda akan selamat (tentu orang juga tertolong).


Posted this by: Neo_BeKaBe

2 comments:

Nino said...

trims infonya..
Baru-baru ini laptop saya kena virus..
entah nama bekennya apa, sepertinya sih kena virut, McAfeee men-detect sebagai "generic.dx!rootkit" | Trojan
gelagat kena virus:
pertama" virus nge block antivirus yg sedang berpatroli (sy pake antivir yg free) sehingga pengamanan disabled, sy coba uninstall dan install lg, tp setup tidak pernah selesai (safe mode)
akhirnya sy format C: dan install OS & NOD32 antivirus (.exe di sembuhkan (deleted & cleaned)), tetapi setelah restart explorer ga muncul, sy coba tskmgr,run,explorer bau muncul tuh. sy berkesimpulan laptop msh kena virus, akhirnya sy pake MCAfee, sejauh ini lancar tetapi setiap saat sy scan di memory selalu muncul virus
hasil scan:
1. Memory\NtCreateFile | generic.dx!rootkit | Trojan | deleted
2. Memory\NtQueryInformationProcess | generic.dx!rootkit | Trojan | deleted

report menunjukkan deleted tetapi setelah sy scan kembali, sll muncul report di atas..


3. setiap saya akan browsing mengenai virut removal, hasil browse menunjukkan "Address not Found"

mohon bantuannya.. apakah saya perlu format seluruh partisi HDD sy?
trims sebelumnya

BeKaBe said...

Maaf mas, virus tu mang susah.
Kayaknya perlu format, mas.