Rabu, 21 April 2010

Tugas Kuliahku (Cara Mengatasi Virus Deadlock alias Tibs.DKKR)

0

Virus Deadlock atau Tibs.DKKR menyebar melalui flash disk merupakan salah satu media yang paling banyak digunakan oleh user, hal inilah yang akan dimanfaatkan oleh sebagian bahkan boleh dibilang semua virus komputer untuk menyebarkan dirinya seperti virus Sandra Dewi Bugil, Virus Mbah Surip dan lain-lainya. Virus deadlock akan membuat 3 jenis file, yaitu Desktop.ini, Folder.htt, dan Flashguard.exe

Virus Deadlock atau Tibs.DKKR membawa pesan moral yang isinya yaitu:

Bebaskan Negeri kami Indonesia dari Terorisme, Anarkis, dan KKN (Kolusi, Korupsi & Nepotisme) pada Kubu Pemerintahan Republik Indonesia (Sipil, TNI & Polisi) serta Tangkap, Berantas dan Penjarakan – Tanpa Kecuali. Bersihkan Negeri kami dari Portitusi, Perjudian dan Kejahatan Sosial. Merdekakan diri kami dari Kemiskinan, Kesengsaraan dan Ketidakadilan! Bersama Partai Demokrat – SBY & BOEDIONO, Bersama Membangun Indonesia Adil, Makmur & Sejahtera

Atas Nama Bangsa Indonesia

Pangeran DEADLOCK

I'm Everyone, but NoOne

I'm Everything, but NoThing

I'm Everywhere, but NoWhere

Pesan moral itulah yang ingin disampaikan oleh pembuatnya, tetapi sesunguhnya pembuatnya menurut saya tidak bermoral juga pembuatnya karena virus deadlock alias Tibs. DKKR tersebut akan mencoba untuk menghapus data. VIRUS DEADLOCK ini sebenarnya masih masuk ke dalam keluarga Visual Basic yang di kompresi dengan menggunakan program Petite 2.x dengan ukuran sekitar 80 KB. Icon yang digunakan juga tidak disamarkan tetap menggunakan icon aplikasi (lihat gambar 1) dan kemungkinan berasal dari salah satu kota di Kalimantan (Samarinda).
File Induk Virus Deadlock

Gambar 1, File Induk Virus Deadlock

dari virus komputer ini adalah akan merubah desktop dengan pesan sosial dari sang pembuat virus deadlock, biasanya pesan ini hanya akan muncul pada waktu yang ditentukan, seiring dengan munculnya pesan ini maka semua file yang ada di semua drive akan di hapus termasuk program dan file system Windows . Jadi kalau anda melihat pesan ini pada komputer anda, kemungkinan sudah terlambat karena sebentar lagi data di komputer anda akan dihancurkan.

Jika virus ini aktif di komputer ia akan membuat beberapa file yang aka dijalankan pada saat komputer di nyalakan.

C:\Windows\system32\apache.exe

C:\Windows\system32\mysql.exe

Pemilihan nama apache dan mysql kemungkinan bertujuan menyamarkan dirinya sebagai program populer Apache dan Mysql.

Agar file tersebut dapat aktif secara otomatis pada saat komputer dinyalakan, ia akan membuat beberapa string pada registry berikut:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

mysql = C:\Windows\system32\mysql.exe

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

apache = C:\Windows\system32\apache.exe

Virus komputer ini cukup cerdik dalam mengelabui user, user tidak akan curiga jika sebenarnya komputer tersebut telah terinfeksi karena tidak ada tanda-tanda yang biasa dilakukan oleh virus lokal lainnya seperti disable Task Manager / MSConfig / Regedit atau Folder Options, selain itu file yang dibuat juga tidak mencurigakan karena seolah-olah merupakan program Apache dan MySql. User baru sadar bahwa komputer telah terinfeksi virus pada saat telah terlambat dimana muncul pesan dari pembuat virus yang kemudian diikuti dengan munculnya pesan error "Windows file Protection" yang menandakan ada suatu program yang berusaha untuk menghapus file system windows.

MENYEBAR SECARA OTOMATIS

Virus ini akan aktif secara otomatis setiap kali user mengakses suatu drive / flash disk dengan memanfaatkan "autorun windows" dengan membuat 3 buah file yakni

o [Desktop.ini] yang berisi script untuk menjalankan file [folder.htt]

o [Folder.htt], berisi script untuk menjalankan file utama yakni [flashguard.exe]

o [Flashguard.exe] merupakan file induk yang akan di jalankan


BOM WAKTU

Virus Deadlock laksana bom waktu yang akan menghancurkan komputer target pada waktu yang telah ditentukan, virus ini akan menjalankan aksinya setiap tanggal 12 - 13 sekitar jam 08.00 - 09.00 setiap bulan dengan cara MENGHAPUS SEMUA FILE/DATA TERMASUK FILE SYSTEM WINDOWS yang ada di semua drive termasuk di media Flash Disk dengan menggunakan perintah cmd.exe /c del /f /s /q /a dan cmd.exe /c rd /s /q, sehingga jika komputer tersebut di restart maka akan muncul pesan error.

Jika anda menginginkan data anda yang menjadi korban Deadlock ini kembali, JANGAN sekali-kali menginstal ulang OS anda ke harddisk yang mengandung data anda yang hilang tersebut. Lakukan proses recovery data penting dengan menggunakan aplikasi data recovery dan metode yang benar. Jika anda menginstal ulang OS anda ke harddisk yang mengandung data yang ingin anda recover, kemungkinan keberhasilan recovery akan sangat rendah.

CARA MENGATASI VIRUS DEADLOCK SECARA MANUAL

Untuk menghapus atau menghilangkan virus deadlock atau yang dikenal dengan nama Tibs.DKKR, yaitu:

1. Disable [System Restore] selama proses pembersihan

2. Matikan proses virus yang aktif di memori, gunakan tools pengganti Task Manager seperti "Process Explorer" kemudian matikan proses yang mempunyai nama "mysql.exe dan apache.exe"

Silahkan download tools tersebut di url berikut:

http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

3. Agar virus ini tidak dapat aktif kembali sebaiknya blok file tersebut agar tidak dapat di eksekusi dengan mendaftarkan pada "Software Restriction Policies". Fitur ini hanya ada pada komputer dengan sistem operasi "Windows XP Professional/Windows Server 2003/Windows Vista dan Windows Server 2008", dengan cara:

::> Klik menu [Start], kemudian Klik menu [Run]

::> Pada kotak dialog RUN, ketik perintah SECPOL.MSC kemudian klik tombol [OK]

Setelah muncul layar "Local Security Settings", klik kanan pada menu "Software Restriction Policies" lalu klik "Create New Policies"

::> Pada menu "Software Restriction Policies", klik "Additional Rules"

Klik kanan pada "Additional Rules", kemudian pilih "New Hash Rule...", kemudian akan muncul layar "New Hash Rule"

::> Pada kolom "File hash" klik tombol "Browse" kemudian arahkan ke direktori [C:\Windows\system32\apache.exe] , Kemudian klik tombol [Open], Pada kolom "Security level" pilih [Disallowed] , Pada kolom "description" boleh di isi atau dikosongkan saja , Klik tombol [Apply] dan tombol [Ok]

Catatan:

Jika komputer Anda tidak terinstall Windows XP Professional/2003 Server/Vista/2008 lewati langkah ini.

4. Hapus string registry yang sudah diubah oleh virus. Untuk mempercepat proses perbaikan salin script di bawah ini pada program notepad kemudian simpan dengan nama repair.inf kemudian jalankan file tersebut dengan cara Klik kanan file repair.inf dan Klik [Install]


[Version]

Signature="$Chicago$"

Provider=Vaksincom


[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del


[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoDriveTypeAutoRun,0x000000ff,255


[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, apache

HKLM, Software\Microsoft\Windows\CurrentVersion\Run, mysql

5. Hapus file induk virus yang ada dua direktori, yaitu C:\Windows\system32\apache.exe dan C:\Windows\system32\mysql.exe

6. Untuk pembersihan optimal dan mencegah infeksi ulang, install dan scan dengan menggunakan antivirus yang up-to-date.

Anda juga dapat menggunakan Norman Malware Cleaner, silahkan download tools tersebut di alamat berikut : http://www.norman.com/support/support_tools/58732/en-us

Catatan:

Jika komputer yang terinfeksi Deadlock ini tidak dapat melakukan booting Windows dengan muncul pesan error "NTLDR Is Missing" sebaiknya lakukan install ulang, sedangkan untuk data yang telah dihapus silahkan Anda recovery dengan menggunakan software recovery seperti GetData Back/Easy Recovery/Recovery my Files, tetapi hal ini tidak akan menjamin semua data akan dapat diselamatkan.

BACA JUGA ARTIKEL TERKAIT lainnya(RELATED POST)

Tidak ada komentar:

Posting Komentar