Akhir-akhir ini saya sering dimintai tolong untuk membersihkan flashdisk ataupun komputer yang terkena gejala serangan virus shortcut. Virus shortcut ini sendiri sebenarnya ada banyak, kurang tau juga pastinya berapa karena sudah lama ga bermain dengan virus.

Kali ini yang akan kita bahas adalah virus shotcut Random VB/6. Virus ini gerakannya sangat gesit sehingga dengan secepat kilat komputer kita akan terinfeksi dan bersiap menginfeksi flashdisk ataupun media portable lain yang dicolokkan ke komputer.

Bagaimana tanda-tanda bahwa komputer kita sudah terinfeksi virus ini?

Tanda komputer telah terjangkit serangan virus ini mudah sekali diketahui. Jika kita mencolokkan flashdisk, maka di flashdisk akan menampilkan banyak sekali file shortcut dengan ukuran 1 kb.

Selain itu, folder yang kita punya akan disembunyikan dan digantikan dengan shortcut yang berukuran 1 kb.

File yang menjadi penular virus ini?

Ada beberapa file yang jadi biang kerok penyebar virus ini. Tentunya diset tersembunyi sehingga tidak bisa dilihat secara kasat mata. Beberapa file tersebut antara lain:

• x.exe
• zzz.dll
• autorun.inf (semua virus yang penyebarannya lewat flashdisk wajib punya ini)
• sebuah file aplikasi dengan nama acak, misalnya noipee.exe/qoizeew.exe/duapoy.exe/klxir.exe/dueik.exe/paujif.exe/xhvoun.exe/kwqid.exe/laqot.exe/neasux.exe/nueex.exe/zmxuov.exe/dst
• sebuah file aplikasi dengan nama acak, misalnya noipeex.exe/qoizeewx.exe/duapoyx.exe/klxirx.exe/dueikx.exe/paujifx.exe/xhvounx.exe/kwqidx.exe/laqotx.exe/neasuxx.exe/nueexx.exe/zmxuovx.exe/dst
• beberapa file shortcut (*.lnk), bisa banyak juga ini, tergantung berapa banyak folder yang kita miliki.

Apa yang dilakukan oleh virus ini?

Virus ini akan menginfeksi komputer kita dan menjadikan folder user sebagai rumahnya. Kalo di Win 7 lokasinya di C:\Users\xxx (xxx ini bukan nama film ya, sesuai dengan nama user kita nih). Kalo di Windows XP di C:\Documents and Settings\xxx\. File yang diinject biasanya ada 3, yaitu:

• alg.exe
• {namafileacak}.exe
• {namafileacak}.lnk

Bagaimana cara membasmi virus ini dari komputer?

Perlu kita ketahui, ada beberapa kelemahan dan kelebihan sistem komputer yang bisa kita manfaatkan untuk menghapus virus yang sudah ngendon di komputer kita, antara lain:

• File *.exe dan autorun.inf tidak pernah berada pada folder User Accounts, klw ada bisa dipastikan itu adalah virus.
• Suatu file/virus yang tidak bisa dihapus (sedang proses) belum tentu tidak bisa direname ke nama lain (bisa digunakan sebagai alternatif delete).
• Suatu program/virus belum tentu bisa mengenali apakah itu file atau folder (folder bisa digunakan sebagai alternatif file).

Langkah pembersihan virusnya seperti ini:

• Unduh dulu program Safe X-Plore. Program ini yang akan membantu kita mematikan proses virus dan melakukan pembersihan dari antek-antek si virus
• Jika telah selesai mengunduh, sebaiknya kita salin ke desktop, karena virus ini akan aktif kalau kita membuka windows explorer.
• Tutup seluruh jendela Windows Explorer
• Klik kanan pada file Safe X-Plore lalu pilih Run as Administrator
• Klik User Win7 / User Xp (sesuaikan dengan OS yang kita pakai)
• Dobel klik user yang digunakan, yang ada di kotak kiri
• Pada bagian filter file pilih *.exe (jika komputer kita telah terinfeksi maka akan ada 2 file, yaitu alg.exe dan satu lagi file dengan nama acak (misal sdfafa.exe)
• Klik file tersebut, lalu klik tombol Remove by force & Protect Growth
• Lakukan hal yang sama untuk file satunya
• Restart komputer
• Lakukan penghapusan file yang ada di komputer. Buka lagi file Safe X-Plore, ke user nanti akan ada 2 file baru dengan ekstensi .virus, hapus saja, juga ada folder dengan nama .exe, hapus juga
• Untuk membersihkan flashdisk yang terkena, ubah drive c: menjadi drive flashdisk kita, trus filter filenya. lakukan urut dari atas ke bawah, dan hapus file yang ada. Perhatikan jika kita punya file program yang diinginkan nanti juga akan tampil, hati-hati jika menghapus file exe, jangan sampai program yang kita butuhkan ikut terhapus.
• Hapus semua sampai bersih.
• Jangan buka WIndows Explorer sebelum benar-benar bersih karena nanti akan menginfeksi komputer lagi

Mungkin kalian pernah menerima tautan yang berbunyi

“namamu” this without doubt the sexiest video ever

Candid Camera Prank ! [HQ]

Setelah sekian lama ga bermain dengan virus. Ada saatnya kembali terjun ke arena pertempuran dengan virus. Bukan karena keinginan pribadi sih, tapi karena ada yang minta tolong mengatasi virus yang bercokol pada komputernya. Karena belum dapat informasi jadinya browsing untuk mencari penyebabnya. Eh… malah nemu artikel ini. Artikel mengenai “Virus” di Facebook.

Belum sadar juga sih waktu dapat video itu dari seorang teman yang kemungkinan telah terinfeksi facebooknya. Mungkin teman-teman juga ada yang sudah pernah dikirimi sebuak tautan video ini. Berikut Artikel yang saya ambil dari vaksin.com

Bulan Mei 2010 dapat menjadi bulan bersejarah dalam dunia pervirusan dimana tercatat virus baru yang menyebar melalui Application (Apps) Facebook mulai menyebar. Varian pertama dengan mengusung judul “Optical Illision [HQ]” ditemukan menyebar pada tanggal 2 Mei 2010 dengan alamat Applicationhttp://apps.facebook.com/hghh_rtrt/ telah dinonaktifkan oleh Facebook. Dalam bilangan minggu, keluar varian kedua yang lebih canggih dan sampai artikel ini dibuat aplikasi Facebook tersebut menyebar dengan kecepatan luar biasa. Menurut pengamatan Vaksincom, varian kedua dengan thema “[Nama Anda], this is without doubt the sexiest video ever :p :p :p” mulai disebarkan pada hari Sabtu pagi 15 Mei 2010 dan dalam waktu 48 jam telah memakan korban belasan ribu pengguna Facebook. Aplikasi ini perlu diwaspadai karena kemampuannya mengeksploitasi sistem pengamanan Apps Facebook dimana tidak seperti Apps Facebook lainnya yang “hanya” terinstal jika pemilik account FB memberikan persetujuan [Allow], sebapiknya aplikasi ini akan memaksakan dirinya terinstal pada account FB anda sekalipun anda TIDAK PERNAH memberikan persetujuan instal aplikasi dan cukup dengan melakukan klik pada link yang diberikan, maka account FB anda sudah diambil alih oleh aplikasi ini dan ia akan mulai melakukan posting link ke kontak-kontak FB anda yang lain. Karena yang di eksploitasi adalah kerentanan pada Apps Facebook, maka ancaman eksploitasi account Facebook ini tidak terbatas pada OS Windows saja. Vaksincom menyarankan semua pemilik account Facebook untuk berhati-hati dan jangan pernah mengklik link pada gambar dan pesan seperti pada gambar 1 dibawah ini.

Gambar 1, Candid Camera Prank! [HQ]

Mencatut nama Winamp

Jika anda mengklik link yang diberikan, baik pada gambar kecil maupun link yang diberikan tanpa anda sadari secara otomatis aplikasi jahat ini akan menginstalkan dirinya secara ilegal sebagai aplikasi pada Facebook anda. Jika aplikasi Facebook yang sah seperti Birthday Reminder, Mafia Wars dn lainnya sebelum melakukan instalasi akan meminta izin anda terlebih dahulu, sebaliknya aplikasi ini secara diam-diam akan langsung terinstal dengna tujuan supaya ia bisa mengirimkan dirinya secara otomatis ke kontak Facebook anda dengan menggunakan nama anda. Hebatnya lagi, aplikasi jahat ini mencatut nama aplikasi Winamp sehingga pengguna komputer yang cukup mahir sekalipun tentunya tidak akan mencurigai Winamp sebagai aplikasi jahat dan akan mempercayainya. Tetapi akal-akalan yang dilakukan pembuat aplikasi ini adalah menggunakan nama aplikasi “Winamp on Facebook” dan bukan menggunakan nama “Winamp” (lihat gambar 2)

Gambar 2, Nama aplikasi adalah “Winamp on Facebook” supaya dikira korbannya aplikasi pemutar musik “Winamp” milik Nullsoft

Jika anda mengklik link yang diberikan, maka aplikasi yang tadinya belum terinstal (lihat gambar 3)

Gambar 3, Aplikasi “Winamp on Facebook” belum terinstal

Akan secara diam-diam menginstalkan dirinya sebagai aplikasi yang sah pada account Facebook anda (lihat gambar 4)

Gambar 4, Aplikasi “Winamp on Facebook” secara diam-diam menginstalkan dirinya pada account Facebook anda.

Jika hal ini terjadi dan tidak anda sadari, maka kontak-kontak Facebook anda akan mendapatkan kiriman pesan dari account Facebook anda seperti pada gambar 1 di atas. Dan jika kontak Facebook anda mengklik link yang diberikan, hal yang sama akan berulang kembali dimana seluruh kontaknya akan dikirimi pesan “Candid Camera Prank [HQ]”

Menurut pengamatan Vaksincom, pada beberapa kasus dimana program Winamp terinstal, klik pada link akan menyebabkan download file “vlcplayer.exe” yang sebenarnya akan mengaktifkan pengiriman pesan palsu tersebut.

Jika kita telaah lebih jauh pembuat aplikasi jahat ini, kelihatannya memang aplikasi ini sengaja dirancang untuk tujuan negatif dimana developer aplikasi ini memasang foto dengan nama “Kiley Hodge” dan menurut pengamatan Vaksincom, page developer tersebut penuh dengan segala macam sumpah serapah korban aksi jahat ini. (lihat gambar 5 dan 6)

Gambar 5, Profil pembuat aplikasi “Winamp on Facebook”

Gambar 6, Pesan-pesan korban “Winamp on Facebook” yang marah

Apa yang harus dilakukan jika anda menjadi korban “Winamp on Facebook” (WoF)

Pertama-tama, sebelum anda menjadi korban aksi jahat ini, tentunya lebih baik kalau anda tidak menjadi korban dulu. Satu-satunya cara adalah JANGAN MENGKLIK link yang diberikan. Walaupun secara hukum tindakan menginstal aplikasi tanpa persetujuan pemilik komputer adalah ilegal, tetapi terbukti aplikasi WoF ini melakukan hal ini. Anda juga bisa melakukan bloking terhadap aplikasi ini sehingga tidak akan bisa di instal pada account Facebook anda, tetapi harap ingat bahwa bloking dapat kita lakukan “hanya” pada aplikasi jahat yang telah kita ketahui sampai hari ini. Jika dikemudian hari muncul aplikasi jahat dengan alamt baru, anda harus melakukan bloking kembali. Karena itu, cara paling baik melindungi diri anda adalah JANGAN MENGKLIK link yang diberikan, sekalipun link tersebut tidak mengarahkan pada situs yang aneh. Dalam kasus WoF ini, link yang diberikan adalah link resmi Facebook dan bukan link palsu (forging). Tetapi yang diakali adalah script aplikasi yang membypass autentikasi yang seharusnya dilakukan tetapi tidak dilakukan.

Jika anda sudah menjadi korban aplikasi ini, ada dua pilihan. Pertama, anda dapat melakukan uninstal aplikasi dengan cara :

1.    Login pada account Facebook anda http://www.facebook.com

2.    Pada bagian kanan atas layar klik [Account] lalu pilih [Application Settings] anda akan mendapatkan layar “Application Settings – Recently Used”

3.    Arahkan mouse anda pada tanda silang [X] di aplikasi yang bernama “Winamp” (lihat gambar 7)

Gambar 7, Klik tanda silang pada aplikasi Winamp gadungan untuk uninstal aksi jahat ini

4.    Anda akan mendapatkan kotak dialog konfirmasi “Remove Winamp” (lihat gambar

Gambar 8, Kotak konfirmasi Remove Winamp

Klik pada tombol [Remove] dan [Refresh] pada browser anda dan pastikan aplikasi “Winamp” sudah hilang dari Application Settings.

Sumber