• memunculkan windows popup
• peringatan keamanan
• membajak Internet Eksplorer
• menonaktifkan Windows Task Manager
• bahkan, menonaktifkan Registry Editor.

TITIK SERANGAN
Trojan yang kita bahas di sini secara otomoatis akan membuat file dan folder berikut. File ini yang seringkali kemudian dideteksi oleh Antivirus tiap kali trojan menjalankan aksinya.

C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
C:\WINDOWS\msa.exe
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
%UserProfile%\Local Settings\temp\a.exe
%UserProfile%\Local Settings\temp\b.exe
%UserProfile%\Local Settings\temp\c.exe
C:\WINDOWS\system32\sshnas.dll

Trojan ini juga membuat perubahan dalam registry sebagai berikut:

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SSHNAS
HKEY_CURRENT_USER\SOFTWARE\XML
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\sshnas
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sshnas
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\videohost
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sshnas

Jika Anda mencoba melacak dengan Hijackthis, salah satu program detektor spyware yang ada di Hiren’s Boot CD, Anda akan menemukan laporan yang kurang lebih seperti ini:

O4 – HKCU\..\Run: [Videohost] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\c.exe
O4 – HKCU\..\Run: [SSHNAS] rundll32.exe C:\Windows\system32\sshnas.dll,DllWork
O4 – HKCU\..\Run: [LosAlamos] rundll32.exe C:\Windows\system32\sshnas.dll,AddConsoleAliasAW
O4 – HKCU\..\Run: [LosAlamos] rundll32.exe C:\Windows\system32\sshnas21.dll,AllocConsoleA

PEMBERSIHAN
Jika komputer Anda terinfeksi, untuk membersihkan secara tuntas trojan ini Anda perlu mengikuti tiap tahap di bawah ini. Yakni menghapus trojan sshnas.dll (sshnas21.dll), kemudian menghapus tuntas program dan berbagai komponen FakeAlert lainnya sebagai berikut:
Langkah Pertama:
1. Download OTM by Oldtimer dan ekstrak di folder manapun di PC Anda. Selanjutnya ekstrak sehingga Anda mendapatkan suatu file OTM.exe.
2. Jalankan OTM.exe, Jika muncul Security Warning, abaikan saja dan klik tombol Run.
Copy dan paste baris perintah berikut ini ke dalam jendela “Paste Instructions for Items to be Moved” (di bawah panel kuning):

:services
SSHNAS
:reg
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
“Videohost”=-
“SSHNAS”=-
“LosAlamos”=-
:files
%windir%\msa.exe
%windir%\system32\sshnas.dll
%windir%\system32\sshnas21.dll
%windir%\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job
%windir%\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
:Commands
[emptytemp]
[Reboot]
Keterangan:
Karena keterbatasan Tema WordPress, Anda mungkin perlu mengubah tanda (“) kutip dalam baris perintah di atas. Gunakan tanda kutip biasa, di samping tombol [Enter].

3. Klik tombol Moveit! Tunggu beberapa saat hingga program ini selesai bekerja. Setelah itu OTM akan menampilkan sebuah laporan dan akan meminta Anda untuk melakukan Reboot, Pilih Yes.
Langkah Kedua

1. Download MalwareBytes Anti-malware di sini. Ekstrak ke folder yang Anda inginkan sehingga Anda dapatkan sebuah file Installer.exe. Jangan lupa tutup semua program yang sedang berjalan di PC Anda.
2. Dobel klik file mbam-setup.exe untuk memulai langkah instalasi program MalwareBytes Anti-malware ke PC Anda. Anda tidak perlu melakukan perubahan apapun selama proses Instalasi. Anda tinggal klik Next hingga langkah terakhir. Sebelum meng-klik Finish, pastikan Anda memilih checkboks  “Update Malwarebytes’ Anti-Malware” dan “Launch Malwarebytes’ Anti-Malware”. Akhiri instalasi dengan meng-klik Finish.
3. Sekarang program MalwareBytes Anti-malware akan berjalan secara otomatis. Anda mungkin akan mendapatkan pesan untuk segera mengupdate database anti-malware. Tapi tenang saja, begitu update di internet tersedia dan Anda terkoneksi langsung dengan internet, program ini secara otomatis akan melakukan download update database.
4. Setelah proses update selesai, Anda bisa memilih OK dan menuju ke Menu utama yang tampak seperti berikut.
5. Pilih “Perform quick scan” dan klik tombol Scan untuk memulai proses scanning. Tunggu beberapa saat hingga proses selesai.
6. Anda akan melihat pesan ketik Anti-Malware selesai menjalankan tugasnya. Klik tombolOK, dan tombol Show Results. Anda akan melihat tampilan laporan scanning seperti ini.
   
7. Pilih semua checkbox yang ada dalam daftar dan klik tombol “Remove Selected”. Anti-Malware akan menghapus semua registry dan file yang terkait dengan Trojan FakeAlert dan menambahkannya kedalam folder karantina. Setelah selesai, Anda bisa melihat daftar file yang dieksekusi dalam sebuah file log.
8. Setelah semua selesai, Anda akan diminta untuk melakukan Restart.

Selain cara yang sudah diulas di sini, sebagai alternatif, Anda juga bisa mencoba menggunakan cara lain menghalau Spyware Dengan SuperAntiSpyware Hiren’s 10 yang sudah saya tulis sebelumnya. Jangan lupa simak juga Ulah Serangan Spyware.
LINK DOWNLOAD
Berikut ini link download software yang diperlukan dalam artikel ini:
[OTM by Oldtimer] password: guntingbatukertas.com
[Download MalwareBytes Anti-malware]

• Dukungan untuk Windows 2000, XP dan Vista
• Quick scan yang super cepat
• Mampu memindai seluruh harddisk
• Database diupdate setiap hari
• Fasilitas karantina untuk mengurung file yang mencurigakan yang dapat Anda panggil kembali jika diperlukan
• Daftar perangkat tambahan untuk menghapus malware secara manual
• Dukungan MultiBahasa
• Tidak menyebabkan konflik dengan perangkat anti-malware yang lain
• Integrasi ke dalam Menu konteks untuk keperluan scan setiap saat
• Modul Proteksi Anti-Malware (dalam versi retail)

CARA PENGGUNAAN
Bagi pengguna Hiren’s Boot CD, Anda bisa langsung menuju ke langkah nomor3. Bagi yang lain, agar lebih mudah, saya asumsikan Anda telah berhasil mendapatkan master instalasi MalwareBytes Anti-Malware.  Ikuti langkah berikut:

1. Tutup semua program dalam jendela Windows Anda.
2. Ekstrak file hasil download sehingga Anda menemukan file mbam-setup.exe. Jika Anda mendapatkan file dalam bentuk .EXE, Anda bisa berlanjut ke langkah berikutnya.
3. Dobel klik file mbam-setup.exe untuk menginstall aplikasi. Ketika instalasi sedang berjalan, tetap ikuti perintah instalasi dengan Next hingga selesai. Anda tidak perlu melakukan perubahan setting apapun. Pada pilihan terakhir, jangan lupa pilih checkbox pada pilihan Update Malwarebytes’ Anti-Malware and Launch Malwarebytes’ Anti-Malware, selanjutnya klik  Finish.
   Keterangan:
   * Bagi Pengguna Hiren’s Boot CD, Anda bisa membuka tool ini dari Autorun Menu Hiren’s di Windows: Menu > Antivirus/Spyware/Malwarebytes Anti-Malware. Tunggu beberapa saat sampai program otomatis berjalan.
4. Jika Program menemukan update, secara otomatis software akan mendownload dan melakukan instalasi secara otomatis.
5. Ketika Program sudah berjalan, pilih Perform QuickScan, kemudian klik Scan. Proses pemindaian ini berlangsung dalam waktu yang bervariasi, jadi silakan sabar sejenak.

1. Jika sudah selesai, Klik OK dilanjutkan dengan Show Results untuk melihat hasil scan.
2. Pastikan semua checkboks sudah terpilih, dan pilih  Remove Selected.
3. Ketika proses pembersihan sudah selesai, sebuah program ini akan membuka sebuah file log berisi catatan dalam Notepad. Hati-hati, setelah proses ini Anda akan ditanya apakah akan melanjutkan proses. Pada saat itu PC akan melakukan restart secara otomatis. Jadi silakan simpan dan tutup semua program Anda sekali lagi.

LINK DOWNLOAD
Anda bisa mendapatkan MalwareBytes Anti-Malware dari salah satu link berikut

[Link MalwareBytes Anti-Malware #1] password: guntingbatukertas.com

[Link MalwareBytes Anti-Malware #2]
[Link MalwareBytes Anti-Malware #3]
atau
Download Hiren’s Boot CD 10.2
Download Hiren’s Boot CD 10.1
Download Hiren’s Boot CD 10
Semoga bermanfaat.

Selain itu, spyware juga banyak tersebar dalam program keygenerator (keygen), password cracker dan beberapa tool virus removal. Tool-tool yang biasanya disediakan secara gratis ini banyak digunakan untuk menyembunyikan spyware dengan tujuan untuk mengambil data dan mengeksploitasi PC tanpa sepengetahuan korban. Selanjutnya data dikirim kembali kepada hacker via internet. Maka tak heran jika sebagian besar serangan spyware dicirikan dengan gangguan pada koneksi internet si korban.

Nah, jika Anda merasa curiga dengan koneksi internet yang tiba-tiba melambat, PC yang melamban tanpa sebab yang jelas dan fungsi OS yang mendadak menjadi aneh, Anda mungkin perlu mencoba melakukan scanning spyware. Kali ini saya akan membahas program Antispyware bawaan Hiren’s Boot CD 10 yang bertajuk SuperAntiSpyware.

MENJALANKAN SUPERANTISPYWARE
1. Program ini dapat Anda akses dari menu Autorun Hiren’s BootCD Wintools 1.2 yang ada pada Hiren’s. Menu ini biasanya akan muncul setelah Anda masuk Windows dan Anda masukkan Hiren’s Boot CD 10.
Jika Anda tidak menemukannya, Anda bisa klik kanan drive CD/DVD Anda yang berisi CD Hiren’s kemudian Anda pilih Autoplay.

2. Selanjutnya, silakan pilih Menu > Antivirus/Spyware > SuperAntiSpyware. Beberapa saat kemudian, Hiren’s akan memanggil program tersebut. Harap bersabar.

3. Pilih Scan Your Computer > Pilih Drive yang Anda kehendaki > Next. Tunggu beberapa saat hingga Program ini menjalankan tugasnya. Jika terdeteksi adanya spyware akan tampak di daftar pencarian.

4. Setelah program selesai melakukan scan, pastikan semua checkbox pada spyware terpilih > Next untuk membersihkan spyware.

Antispyware akan membersihkan PC dari spyware yang tadi sudah terdeteksi. Selanjutya, untuk mengakhiri proses scanning, Program akan meminta untuk Restart Komputer. Konfirmasi dengan memilih tombol OK.

Mudah bukan?

Semoga bermanfaat.

Sebelumnya perlu diketahui bahwa tidak semua program antivirus dapat membersihkan file yang sudah terinfeksi virus W32/Sality.AE. Malah bisa-bisa, file tersebut akan rusak setelah di-scan dan dibersihkan oleh antivirus yang tidak tepat. Virus Sality akan menyebar dengan cepat melalui jaringan dengan memanfaatkan default share Windows atau share folder yang mempunyai akses full dengan cara menginfeksi file yang mempunyai ekstensi pif, exe, com atau scr.

Untuk itu, perusahaan sekuriti Vaksin.com menyarankan pengguna komputer untuk menonaktifkan Default Share (C$, D$ .. dst) dan hindari full sharing folder Anda di jaringan. Berikut ini langkah penanganan Virus Sality:

1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan dan internet.

2. Matikan System Restore selama proses pembersihan berlangsung.

3. Matikan Autorun dan Default Share. Silakan download file berikut kemudian jalankan dengan cara: klik kanan repair.inf lalu install.

http://www.4shared.com/file/82762498/f5dc1edd/repair.html?dirPwdVerified=feea1d94

4. Matikan program aplikasi yang aktif di memori agar proses pembersihan lebih cepat terutama program yang ada dalam daftar Startup.

5. Sebaiknya scan dengan menggunakan removal tools dengan terlebih dahulu merubah ekstensi dari removal tools tersebut dengan ekstensi lain [contoh: CMD] agar tidak diinfeksi ulang oleh W32/Sality.AE.

6. Agar komputer yang sudah terinfeksi W32/Sality.AE dapat booting safe mode, silahkan restore registry yang sudah diubah oleh virus.

Silakan download file berikut kemudian jalankan sesuai OS yang terinfeksi W32/Sality.AE tersebut.

http://www.4shared.com/file/82761423/934fb170/_2__Sality.htmldirPwdVerified=feea1d94

7. Fix registry lain yang diubah oleh virus, silahkan download tools berikut kemudian jalankan file tersebut dengan cara: klik kanan repair.inf lalu install

http://www.4shared.com/file/82874724/f485f1dd/repair.html?dirPwdVerified=3b1f2fa9

8. Restart komputer dan scan ulang dengan menggunakan removal tools untuk memastikan komputer telah bersih dari virus.

9. Untuk pembersihan optimal dan mencegah infeksi ulang sebaiknya install dan scan dengan antivirus yang dapat mendeteksi Sality dengan baik.

Tulisan dan ilustrasi ulasan ini diambil dari analisa Adang Jauhar Taufik dari Vaksin.com.

Semoga berguna.

UPDATE:

Jika link di atas tidak berfungsi dengan baik silakan download Sality Removal Tool dari Symantec berikut ini. Anda tinggal Download, Ekstrak dan jalankan file FxSlty.EXE.

[Download Symantec Sality Removal Tool]

Bukan Kiddo yang ini..

Pengembang virus ternyata juga suka anak-anak. Terbukti mereka menggunakan nama panggilan ‘Kido’ dalam salah satu varian virus Conficker alias Downadup. Seperti kebanyakan worm penyerang PC yang lain, Kido menyebarkan diri dengan leluasa lewat internet, media transfer data dan jaringan lokal. Trus, bagaimana cara mengatasinya?

Silakan ikuti ulasan berikut.

Kali ini saya akan menggunakan perangkat virus removal dari Kaspersky. Dapatkan tool ini di sini atau di website resmi Kaspersky.

Sebelumnya, persiapkan dulu langkah-langkah berikut, untuk mencegah penyebaran virus lewat jaringan lokal:

• Instal patch resmi Microsoft untuk menutup lubang keamanan MS08-067, MS08-068, MS09-001.
• Pastikan password administrator PC sulit dibajak dengan memasukkan kombinasi huruf, angka dan karakter yang unik
• Matikan fitur autorun windows yang akan menjalankan file dari media penyimpan secara otomatis.

Sekarang, mari kita beranjak ke poin utama, menghapus virus Kido dengan tuntas sebagai berikut:

1. Download file KKiller_v3.4.3.zip. Ekstrak file tersebut ke dalam folder pada PC yang terjangkit virus.
2. Jalankan KKiller.exe. Ketika scan sudah selesai, sebuah jendela command prompt akan muncul pada layar monitor. Untuk me-minimize jendela itu, tekan sembarang tombol.
3. Tunggu sampai proses scan selesai. Bila Agnitum Outpost Firewall terinstal pada komputer yang menjalankan KKiller.exe, restart setelah penggunaan KKiller.exe.
4. Lakukan full scan pada komputer dengan Antivirus utama Anda yang sudah ter-update untuk memastikan PC Anda sudah bersih dari virus ini.

Anda juga bisa menjalankan Removal Kit Kido ini dari commmand prompt dengan aplikasi seperti berikut:

C:\KKiller_3.4.3\KKiller.exe -y

Jika Anda memerlukan keterangan lengkap tentang  Untuk mendapat informasi tambahan, jalankan KKiller.exe dengan parameter tambahan “-help”, seperti di bawah ini.

C:\KKiller_3.4.3\KKiller.exe -help

Semoga bermanfaat.

Dikembangkan dari artikel di: Detiki.net dan Kaspersky

Trojan yang dikenal sejak tahun 2007 ini juga dikenal dengan nama lain  Trojan.Crypt.XPACK.Gen atau Crypt.XPACK.Gen. Doa adalah sebagai parasit PC  yang gigih mencoba masuk melalui lubang keamanan sistem dan menjadi pembuka jalan bagi hacker untuk mengontrol komputer dari jarak jauh. Setelah terinveksi, virus ini akan medownload malware tambahan dan virus yang lebih canggih tanpa sepengetahuan korban. Crypt.XPACK.Gen biasanya menginfeksi komputer setelah instalasi media codec yang gagal atau cacat, activeX dan Update Flash player yang didownload dari situs berbau pornografi dan freeware yang tidak jelas. Trojan ini dapat mencuri jejak kata yang ditulis lewat keyboard dan data penting lain seperti password dan data kartu kredit.

TR/Crypt.XPACK.Gen merupakan varian dari virus berikut ini:

Win32.Bagle.HV@mm, W32/Bagle.gen, Email-Worm.Win32.Bagle.hv, Trojan.Bagle.Gen!Pac19, I-Worm/Bagle.PZ, TROJ_Generic, Win32.HLLM.Beagle, Win32:Beagle-VI, Email-Worm.Win32.Bagle.hv, Win32/Bagle.HJ, Trojan Crypt.XPACK.Gen Clones: Trojan.Crypt.Xpack.AQB, Trojan.Crypt.XPACK.Gen, Trojan.Crypt.Xpack.SY, trojan.crypt.xpack.atr, Trojan.Crypt.Xpack.CS, Trojan.Crypt.Xpack.HM, Trojan.Crypt.Xpack.JD, Trojan.Crypt.Xpack.P, Trojan.Crypt.Xpack.QKTrojan.Crypt.Xpack.ZU, Trojan.Crypt.Xpack.QF

Tanda-tanda PC yang terkena serangan:

• Kinerja komputer melambat, proses booting dan reboot lambat, penghapusan file-file sistem tanpa sepengetahuan pengguna sehingga muncul ‘Layar Biru’ alias Blue Screen Of Death (Bukan Tenda birunya Deasy Ratnasari lo..)
• Jika Antivirus Anda ter-update, Akan ada laporan percobaan penyusupan oleh program atau file tidak dikenal
• Proses Sistem dan Task Manager yang bertingkah aneh
• Pop up Blocker Windows tidak aktif danditangikan oleh pop up dari Crypt.XPACK.Gen
• Mengurangi bandwith dan memperlambat akses internet
• TR/Crypt.XPACK.Gen menginstall dirinya sendiri setiap kali PC restart
• Shortcut palsu di desktop tidak dapat dihapus
• Ikon System Tray menghilang dari pandangan

Ketika PC korban terinfeksi, TR/Crypt.XPACK.Gen akan melakukan aksinya berikut ini:

• Melacak program keamanan Windows, Menon-aktifkan antivirus dan aplikasi Firewall
• Mencatat informasi OS, username, kata yang ditulis lewat keyboard, password dan data penting lain serta mengirimkannya ke internet
• Melacak aktivitas Windows dan Registry serta membuat pop up pada browser
• yang digunakan
• Menggunakan lubang keamanan sistem untuk memasukkan program trojan lain

Solusi
Ada beberapa solusi yang bisa Anda gunakan untuk menghilangkan virus ini:
1. Menggunakan Trojan Removal dari Pareto Antivirus. Langkahnya sebagai berikut:

• Silakan download dari sini
• Install dan biarkan Program melakukan update database virus.
• Setelah itu jalankan Scan. Dari sini Anda harus melakukan delete secara manual. Jika Anda pengen dapatkan yang otomatis, Anda harus membayar lisensi dulu.

2. Menggunakan Online Scanner. Untuk metode ini saya sarankan Anda menggunakan Panda Antivirus. Langkahnya sebagai berikut:

• Buka alamat web http://www.pandasoftware.com/products/activescan.htm
• Setelah tampil halaman secara sempurna, klik tombol Scan Your PC
• Jendela baru akan muncul, Klik tombol Check Now
• Masukkan pilihan Negara
• Masukkan pilihan Provinsi
• Masukkan pilihan alamat email dan akhiri dengan tombol Send
• Pilih salah satu; Home User atau Company
• Klik tombol Scan Now
• Panda Antivirus akan menginstall komponen ActiveX, jika ada konfirmasi pilih Allow
• Beberapa saat kemudian, Panda akan mendownload untuk dapat melakukan scan virus (biasanya butuh beberapa menit)
• Setelah download selesai, klik pada Local Disks untuk memulai proses scan
• Tunggu hingga proses selesai, jika Panda melaporkan adanya infeksi berbahaya, klik tombol Fix All

Semoga bermanfaat. Anda punya pengalaman lain? Silakan berbagi di bagian komentar..

Sumber: Scanforge dan Avira.com

Sementara aksi yang sama seperti pendahulunya, yaitu berusaha mengeksploitasi MS08-067 atau celah keamanan Windows, Windows Server Service atau SVCHOST.exe. Banyak user yang terinfeksi dikarenakan tidak mengaktifkan fitur Automatic Updates dan tidak melakukan patch windows MS08-067.

Lakukan langkah penanganan sebagai berikut:

1. Putuskan komputer yang akan dibersihkan dari jaringan/internet.
2. Matikan System Restore (Windows XP/Vista).
3. Matikan proses virus yang aktif pada services. Gunakan removal tool dari Norman untuk membersihkan virus yang aktif. Jika belum memiliki, bisa didownload di situs norman.
4. Delete service svchost.exe gadungan yang ditanamkan virus pada registry. Anda dapat mencari secara manual pada registry.
5. Hapus Schedule Task yang dibuat oleh virus. (C:\WINDOWS\Tasks)
6. Hapus string registry yang dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry di bawah ini:

[Version]
Signature=”$Chicago$”
Provider=Vaksincom Oyee

[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,
Hidden, 0×00000001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,
SuperHidden, 0×00000001,1
HKLM,
SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL,
CheckedValue, 0×00000001,1
HKLM, SYSTEM\CurrentControlSet\Services\BITS, Start, 0×00000002,2
HKLM, SYSTEM\CurrentControlSet\Services\ERSvc, Start, 0×00000002,2
HKLM, SYSTEM\CurrentControlSet\Services\wscsvc, Start, 0×00000002,2
HKLM, SYSTEM\CurrentControlSet\Services\wuauserv, Start, 0×00000002,2

[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Applets, dl
HKCU, Software\Microsoft\Windows\CurrentVersion\Applets, ds
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, dl
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Applets, ds
HKLM, SYSTEM\CurrentControlSet\Services\Tcpip\Parameters, TcpNumConnections

Gunakan notepad, kemudian simpan dengan nama ‘repair.inf‘, lalu ‘Save As Type‘ menjadi ‘All Files‘ agar tidak terjadi kesalahan. Jalankan repair.inf dengan klik kanan, kemudian pilih install.

Sementara untuk file yang aktif pada startup, Anda dapat mendisable melalui ‘msconfig‘ atau dapat mendelete secara manual pada string: ‘HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run‘

7. Untuk pembersihan virus W32/Conficker.DV secara optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang terupdate dan mampu mendeteksi virus ini dengan baik dan patch komputer Anda dengan patch resmi dari Microsoft guna mencegah infeksi ulang.

Tulisan ini berbasis pada artikel Vaksin.com yang ditulis Adi Saputra yang dimuat di detikINET, Rabu (28/1/2009).

Meski merupakan ulangan, saya tetep berharap semoga bermanfaat.

Selain antivirus palsu, bahkan beberapa website scareware juga mempergunakan tipu daya untuk mengelabui korban lebih lanjut. Modus yang paling sering dipakai adalah meminta sejumlah uang sebagai ganti aktivasi/lisensi atau sekedar donasi untuk pengembangan program. Agar terlihat meyakinkan, tentu saja website yang dipajang sudah dipoles sedemikian rupa sehingga terlihat anggun dan professional. Nah, jika korban terjebak dengan memberikan akun kartu kredit untuk melakukan pembayaran online terancam menjadi sasaran credit card fraud alias pencurian lewat kartu kredit. Menurut berita yang dimuat vaksin.com, beberapa pengguna mengadukan adanya tagihan yang lebih tinggi dari transaksi yang dilakukan. Kalau sudah begini, siapa yang rugi?

Indikasi
Tanda-tanda serangan scareware adalah ketika pengguna komputer mendadak mendapatkan peringatan bahwa di komputernya di temukan virus/spyware berbahaya. Peringatan yang datang tanpa diduga ini biasanya muncul dalam berbagai variasi, mulai dari perubahan wallpaper, munculnya pesan di ‘system tray’ (pojok kanan bawah layar komputer) atau Popup Windows. Khusus yang terakhir ini, biasanya menyaru sebagai browser yang Anda gunakan (seperti Mozilla Firefox dan Internet Explorer). Anehnya, scanner ‘yang baik hati’ ini juga langsung memberikan solusi dengan menawarkan removalnya saat itu juga. Jika ada kondisi yang seperti ini, Anda harus ekstra hati-hati. Komputer kantor rekan saya pernah kacau balau akibat serangan scareware tipe terakhir ini.

Beberapa ciri scareware yang sedang aktif
Beberapa ciri scareware yang saat ini sedang marak menyebar di internet adalah sebagai berikut :

• Jika komputer korbannya mendapatkan peringatan adanya malware tetapi tidak melakukan tindakan seperti mendownload scareware yang disarankan, maka komputer tersebut akan terus menerus mendapatkan peringatan pop up windows yang meninformasikan adanya malware di komputernya. Dalam beberapa kasus, bahkan komputer korban “dikerjai” seperti drive C: dihilangkan dari Windows Explorer dan menghilangkan folder-folder baik di harddrive lokal maupun folder sharing di jaringan sehingga makin menambah kepanikan pengguna komputer korbannya.
• Scareware ini sulit di deteksi antivirus karena ia akan selalu mengupdate dirinya dan melakukan release ulang guna mencegah deteksi program antivirus.
• Menurut pantauan Vaksincom, saat ini banyak scareware sudah mampu menginfeksi Widnwos Vista, jadi korbannya tidak hanya terbatas pada Windows XP / 2000 saja.
• Walaupun anda sudah klik [Cancel] atau [X] untuk menutup box dialog ketika ditanyakan apakah mau mendownload scareware, aksi yang dilakukan TETAP akan mendownload scareware. Bahkan beberapa scareware secara otomatis mendownloadkan dan menginstalkan dirinya ke komputer korbannya.
• Anda tidak dapat menghentikan proses download yang berlangsung, sekalipun anda menutup browser anda karena proses download akan berlangsung di background (tidak terlihat). Salah satu cara yang cukup efektif untuk menghentikan download adalah menggunakan key [Alt][F4].
• Administrator jaringan di korporat dapat mempertimbangkan memblok akses ke situs-situs download scareware seperti winfixer.com, winantivirus.com, systemdoctor.com tetapi seperti kita ketahui jumlah scareware yang mencapai lebih dari 80 pada saat ini dan dalam waktu singkat akan mencapai lebih dari 100 scareware membuat proses blokir website scareware ini sangat melelahkan. Salah satu cara yang efektif mengatasi infeksi scareware adalah menggunakan filter jaringan yang dipasang di router backbone internet anda seperti Norman Network Protector yang akan melakukan scanning seluruh traffic yang masuk ke jaringan intranet baik itu traffic http, smtp, pop maupun ftp.

Modus Infeksi
Sasaran serangan Scareware sangat bervariasi, diantaranya:

- Mengeksploitasi celah keamanan (Java Script) browser waktu mengunjungi website tertentu sehingga scareware akan terinstal secara otomatis dan menampilkan peringatan palsu.
- Menawarkan scan malware gratis atau tune up sistem komputer gratis.
- Email, ada beberapa modus umum yang digunakan seperti ditulis di vaksin.com yakni:

• Kartu ucapan/ reeting card. Email yang datang juga memiliki banyak varian, baik yang datang dalam lampiran bervirus (biasanya di kompres / zip) maupun hanya link download yang memanfaatkan fitur “drive by download”.
• Breaking News dari CNN atau situs berita yang lain.
• Menawarkan film porno artis ternama seperti Angelina Jolie yang dikombinasikan dengan baik sekali dengan rekayasa sosial pada situs You Tube. Dimana file yang mengandung virus seakan-akan harus di download sebagai codec (file yang diperlukan untuk menonton file film di You Tube). Lihat artikel Vaksin.com berikut.
• Datang dalam lampiran terkompres seperti yang terakhir ditemui Vaksincom datang sebagai email konfirmasi pengiriman barang dari UPS yang meminta kita mencetak invoice .doc yang sebenarnya adalah file virus karena memiliki ekstensi ganda (ups_letter.doc.exe). Supaya lampiran ini tidak diblok di mailserver ia di kompres terlebih dahulu dengan nama “ups_letter.zip”.

Antisipasi lebih baik daripada membersihkan virus.
Ada banyak langkah yang bisa Anda lakukan, diantaranya:

• Install Antivirus di PC Anda, pilih program yang sudah dikenal dan terbukti ampuh
• Jika Anda penggila internet namun takut dengan serangan scareware, gunakan browser dengan mode plain text saja (tanpa gambar)
• Hati-hati saat menggunakan software atau scanner online yang asing. Jika Anda membutuhkan layanan ini, saya sarankan Anda memakai Housecall dari Trendmicro atau Eset Online Scanner. Kedua layanan ini sudah terbukti keamanannya.
• Update Antivirus Anda secara berkala, saya sarankan paling lambat update tiap 3 hari sekali.
• Jika komputer Anda terhubung dengan internet, lakukan update patch sistem operasi Anda.
• Jika ternyata Anda kurang beruntung, dan Scareware sudah menyerang PC Anda, segera putus koneksi internet. Lakukan langkah pembersihan dengan Antivirus update terbaru. Norman cukup ampuh untuk menangani tipe virus ini.

Sumber: Artikel Aa Tan dari Vaksin.com
Semoga bermanfaat.

Padahal menurut pengamatan pribadi dan pengalaman beberapa rekan, perkembangan pengembang software antivirus di Indonesia lumayan pesat, sebut saja vaksin.com, PCMAV dai PC Media sudah membuktikan kiprah anak bangsa. Nah kini muncul satu lagi pemain baru. Anda sudah pernah mendengar atau mencoba Smadav 2010? Jika belum silakan simak dulu ulasan berikut ini.
Ngomong-ngomong, tulisan ini saya buat ketika seorang rekan minta info tentang antivirus yang mempu menangani virus Harry Potter. Sudah cukup lama memang virus ini beredar, namun mengingat posisi rekan saya yang memang jauh dari peradaban (maaf bang..) yaa.. maklum lah..

Anyway. virus ini menggandakan setiap folder yang ada dalam komputer yang sebenernya bisa ditangani dengan cara manual meski agak ribet. Tapi di sini saya pengen fokus pada salah satu alternatif yang bisa mengerjakan pembersihan virus ini dengan cara yang lebih mudah, yakni dengan Smadav.

Smadav 2010 terakir yakni versi 8.0  tidak memerlukan database/signature untuk memproteksi komputer. Cara kerja Antivirus ini mirip dengan PCMAV. Menurut pembuatnya, antivirus terbaru ini memiliki fitur sebagai berikut:

1. SmaRT-Protection untuk deteksi otomatis Flashdisk, mencegah SEMUA virus lokal & bahkan impor, versi terbaru ini diklaim jauh lebih hebat daripada versi sebelumnya, Rev.2 dan sudah mendukung Windows Vista
2. Pembersih total virus-virus lokal baru, khususnya Harry Potter, Virus Shortcut, Yuyun.VBS dan sudah support mendukung Windows Vista
3. Database virus lokal baru telah ditambahkan berikut perbaikan sistem penghitungan database virus.

SmaRT-Protection diklaim programmernya sebagai fitur utama Smadav dengan kapasitas proteksi komputer tercepat, paling ringan dan paling sedikit memakai resource komputer jika dibandingkan dengan seluruh produk antivirus di dunia. Anda tertarik? silakan download:

- Smadav 2010 v. 8.0  di sini.

- Smadav Terbaru [Download]

Semoga berguna..

• Deteksi proaktif – Dengan menggunakan teknologi Threatsense, ESET NOD32 diklaim mampu menciptakan perlindungan secara proaktif dan profesional dari malware yang diketahui dan tidak diketahui serta mendeteksi ‘perilaku aneh’ aplikasi-aplikasi dalam PC yang dicurigai sebagai virus.
• Program Sangat ringan – Antivirus ini secara apik dirancang para programmer untuk memberikan solusi cepat dan efisien dalam melindungi PC tanpa banyak membebani sistem.
• Scan Tercepat – Produsen NOD32 mengklaim program ini tidak akan memperlambat sistem PC Anda saat melakukan scanning/pemindaian file dalam komputer. Anda tetap bisa melakukan aktifitas seperti berbagi file, foto, browsing, bahkan bermain game tanpa ada gangguan yang berarti.
• Instalasi mudah – Pengguna awam koputer dapat melakukan instalasi sendiri dengan aman. Selanjutnya program ini akan berjalan di background tanpa mengganggu aktivitas penggunaan PC untuk kepentingan lainnya.

Anda juga bisa memindahkan programi ini ke komputer lain tanpa khawatir kehilangan file definisi file dan setting lainnya, hanya saja tanpa proteksi aktif. Dengan demikian program hanya berfungsi untuk melakukan scan dan penghapusan virus saja. File definisi virus ini terakhir ter-update hingga 4 Juni 2008.  Semoga bermanfaat!

Anda ingin coba? Silakan [Download] di sini.

Tulisan asli artikel ini pernah dimuat di situs ini.