Ads Fundi

huhuhaha virus









Siapa bilang Windows Vista aman dari virus. Pada saat peluncurannya boleh-boleh Windows Vista di klaim aman dari virus. Tetapi waktu membuktikan bahwa buatan manusia tidak ada yang sempurna dan hanya tinggal tunggu waktu saja sampai satu OS berhasil di eksplorasi dan ditemukan cara untuk mengeksploitasinya. Hal ini terbukti dari virus Huhuhaha yang saat ini sedang marak menyebar di Indonesia yang mepumpuhkan UAC (User Account Control) Windows vista yang digunakan untuk mencegah program tidak diinginkan berjalan secara otomatis tanpa persetujuan pengguna komputer.



Belum lepas terkejutnya pengguna komputer akan ancaman virus Hopeless, http://vaksin.com/2009/0109/hopeless/hopeless.html, serta makin mengganasnya ancaman virus mancanegara W32/Conficker (alias W32/Downadup, alias W32/Kido) yang sejak awal hingga pertengahan januari ini sudah memakan korban hingga “9 Juta” pengguna komputer dunia. Kini dilanjutkan kembali oleh pembuat virus lokal dengan semakin merebaknya virus VBS yang memakan korban pengguna USB (Flash maupun Drive) pada Instansi Pemerintah, BUMN, Perusahaan Swasta, Instansi Pendidikan serta warnet-warnet di Indonesia.

Entah apa hubungannya dengan krisis global yang melanda dunia saat ini (khususnya dunia komputer), pembuat virus VBS ini membuat virus ini dengan tema “HUHUHAHA”. Norman Security Suite mendeteksi varian virus “huhuhaha” tsb sebagai VBS/Autorun.AO. (lihat gambar 1)



Gambar 1, Norman Security Suite mendeteksi sebagai VBS/Autorun.AO



Ciri File Virus

Virus Huhuhaha dibuat dengan menggunakan bahasa pemrograman VBScript. File virus berukuran 6 kb, dan agar dapat menyebar secara otomatis ia akan membuat file pendamping yaitu “autorun.inf” yang berisi script untuk menjalankan file virus.

Jika virus berhasil menginfeksi, ia akan membuat beberapa file virus diantaranya :

*

autorun.inf (pada semua root drive)
*

huhuhaha.vbs (pada semua root drive)
*

C:\WINDOWS\system32\XpWin.vbs

Virus juga akan mengcopy file “autorun.inf” dan “huhuhaha.vbs” pada setiap usb (flash/drive) yang ditancapkan/dicolokkan pada komputer yang terinfeksi. Semua file virus tersebut memiliki atribut file RHSA (Read, Hidden, System, Archive), sehingga tidak terlihat jika user tidak memunculkan menu hidden. (lihat gambar 2)


Gambar 2, File virus huhuhaha atau VBS/Autorun.AO



Gejala/Efek Virus

Jika sudah terinfeksi virus huhuhaha, akan menimbulkan gejala/efek berikut :

*

Memunculkan text virus pada menu “Run”. (lihat gambar 3)

Gambar 3, Text virus pada menu Run

*

Menonaktifkan system restore. Hal ini dilakukan agar user tidak dapat mengembalikan setingan system windows kembali seperti sebelum terinfeksi virus ini.
*

Menambah header text virus pada Internet Explorer. (lihat gambar 4)

Gambar 4, Header text virus pada Internet Explorer

*

Disable fungsi UAC (User Account Control) Windows Vista. UAC adalah fitur pada Windows Vista yang diklaim Microsoft membuat Vista lebih aman daripada Windows XP. Bedanya adalah satu pop up Windows yang menghalangi program (baik program virus atau bukan) dijalankan secara otomatis dan pengguna komputer tetap bisa menyetujui atau menolak program tersebut untuk dijalankan. Dalam banyak kasus serangan virus, pengguna Vista yang terganggu dengan peringatan UAC yang berulang-ulang (karena virus yang terus menerus berusaha menginfeksikan dirinya pada sistem) akan cenderung mengabaikan peringatan UAC dan mengijinkan program untuk dijalankan. Dalam kasus virus Huhuhaha ini, UAC sudah dianggap mengganggu oleh pembuat virus lokal sehingga perlu di nonaktifkan guna memuluskan penyebarannya. Hal ini kembali membuktikan bahwa pada prinsipnya tidak ada OS yang aman dari serangan virus. Pertanyaannya bukanlah “OS apa yang aman dari serangan virus ? ” tetapi “Apakah pembuat virus ingin menyerang OS tersebut atau tidak ?”. (lihat gambar 5)

Pada Vista, fitur ini digunakan agar user biasa dapat menjalankan program/perintah windows yang membutuhkan hak akses admin. Berikut artikel lengkap http://www.microsoft.com/windows/windows-vista/features/user-account-control.aspx

Gambar 5, UAC (User Account Control) yang berusaha dinonaktifkan oleh Huhuhaha

*

Merubah nama registrasi computer dengan text virus. (lihat gambar 6)

Gambar 6, Informasi “Registered to: yang dirubah menjadi huhuhaha

*

Menonaktifkan fungsi “safe mode” dan membuat “blue screen” windows. Saat user berusaha masuk melalui fitur safe mode, maka akan muncul blue screen. (lihat gambar 7)

Gambar 7, Blue Screen yang diakibatkan Huhuhaha jika user memasuki mode safe mode

*

Mematikan fungsi Security Center Windows. Fitur ini digunakan untuk memastikan kondisi komputer dari 3 aspek keamanan yaitu Automatic Updates, Firewall dan Software Antivirus.

Metode Penyebaran

Sama seperti virus lokal lainnya, virus huhuhaha masih menggunakan media USB (flash/drive) sebagai penyebarannya. Virus akan membuat file “autorun.inf” dan “huhuhaha.vbs” pada setiap usb (flash/drive) yang ditancapkan/dicolokkan pada komputer yang terinfeksi. Kedua file tersebut akan aktif secara otomatis dengan hanya mengkases usb (drive/flash) tersebut.

Modifikasi Registry

Agar dapat aktif saat komputer dijalankan, virus membuat string berikut :

*

HKEY_LOCAL_MACHINE\SOFTWARE \Microsoft\Windows\CurrentVersion\Run

Ageia = C:\WINDOWS\system32\XpWin.vbs

*

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Systemdir = C:\WINDOWS\huhuhaha.vbs

Agar dapat muncul pada menu Run, virus membuat string berikut :

*

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunMRU

a = huhuhaha

Walau tidak men-disable fungsi windows seperti task manager, folder options, regedit, dll, virus men-disable system restore dengan membuat string berikut :

*

HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion\SystemRestore

DisableSR = 1

Serta men-disable fungsi UAC (User Account Control) dengan membuat string berikut :

*

HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows\CurrentVersion\Policies\System

EnableLUA = 0x00000000

Selain itu, virus menambah caption text pada Internet Explorer dengan membuat string berikut :

*

HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

Window Title = huhuhaha

Kemudian, virus juga merubah registrasi komputerdengan membuat string berikut :

*

HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion

RegisteredOrganization = huhuhaha

RegisteredOwner = huhuhaha

Agar dapat muncul text virus saat login windows, virus membuat string berikut :

*

HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\CurrentVersion

LegalNoticeCaption = huhuhaha virus

LegalNoticeText = huhuhaha

Untuk men-disable fungsi safe mode, virus men-“delete” string berikut :

*

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell
*

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell
*

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot, AlternateShell
*

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell

Serta men-“delete” key berikut :

*

HKEY_LOCAL_MACHINE\SYSTEM\ CurrentControlSet\Control\SafeBoot\Minimal
*

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network

Terakhir, virus berusaha mematikan fungsi Security Center dengan membuat string berikut :

*

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center

AntivirusDisableNotify = 1

FirewallDisableNotify = 1

UpdatesDisableNotify = 1

Pembersihan Virus

*

Putuskan komputer yang akan dibersihkan dari jaringan/internet.
*

Matikan proses virus yang aktif pada memori. Gunakan Windows Task Manager untuk mematikan proses virus, yaitu dengan nama “wscript.exe”. (wscript.exe merupakan file windows yang digunakan untuk menjalankan file vbscript). (lihat gambar 8)

Gambar 8, Matikan proses virus dengan Windows Task Manager

*

Hapus file virus berikut :

*

autorun.inf (pada semua root drive)
*

huhuhaha.vbs (pada semua root drive)
*

C:\WINDOWS\system32\XpWin.vbs

Catatan

*

Sebaiknya tampilkan file yang tersembunyi agar mempermudah dalam proses pencarian file virus. (virus memiliki atribut file Hidden, Archive, System, dan Read-Only)
*

Untuk mempermudah proses pencarian sebaiknya gunakan fasilitas "Search” Windows dengan filter file autorun.inf dan *.vbs yang mempunyai ukuran 6 KB.

*

Hapus string registry yang dibuat oleh virus. Untuk mempermudah dapat menggunakan script registry dibawah ini :

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee


[UnhookRegKey]

HKLM, SOFTWARE\Microsoft\Security Center, AntiVirusDisableNotify, 0x00000000,0

HKLM, SOFTWARE\Microsoft\Security Center, FirewallDisableNotify, 0x00000000,0

HKLM, SOFTWARE\Microsoft\Security Center, UpdatesDisableNotify, 0x00000000,0

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOrganization, 0, "Organization"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion, RegisteredOwner, 0, "Owner"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore, DisableSR, 0x00000000,0

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell, 0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell, 0, "cmd.exe"

HKLM, SYSTEM\ControlSet003\Control\SafeBoot, AlternateShell, 0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell, 0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{36FC9E60-C465-11CF-8056-444553540000}, (default), "Universal Serial Bus controller"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E965-E325-11CE-BFC1-08002BE10318}, (default), "CD-ROM Drive"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}, (default), "DiskDrive"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E969-E325-11CE-BFC1-08002BE10318}, (default), "Standar floppy disk controller"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}, (default), "Hdc"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}, (default), "Keyboard"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}, (default), "Mouse"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E977-E325-11CE-BFC1-08002BE10318}, (default), "PCMCIA Adapters"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97B-E325-11CE-BFC1-08002BE10318}, (default), "SCSIAdapters"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}, (default), "System"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E980-E325-11CE-BFC1-08002BE10318}, (default), "Floppy disk drive"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}, (default), "Volume"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}, (default), "Human Interfaces Devices"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AppMgmt, (default), "Service"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Base, (default), "Driver Group"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot Bus Extender, (default), "Driver Group"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Boot file system, (default), "Driver Group"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CryptSvc, (default), "Service"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\DcomLaunch, (default), "Service"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmadmin, (default), "Service"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmboot.sys, (default), "Driver"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmio.sys, (default), "Driver"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmload.sys, (default), "Driver"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dmserver, (default), "Service"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\EventLog, (default), "Service"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system, (default), "Driver Group"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Filter, (default), "Driver Group"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HelpSvc, (default), "Service"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Netlogon, (default), "Service"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PCI Configuration, (default), "Driver Group"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PlugPlay, (default), "Service"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PNP Filter, (default), "Driver Group"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Primary disk, (default), "Driver Group"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\RpcSs, (default), "Service"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SCSI Class, (default), "Driver Group"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sermouse.sys, (default), "Driver"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys, (default), "FSFilter System Recovery"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SRService, (default), "Service"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\System Bus Extender, (default), "Driver Group"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vga.sys, (default), "Driver"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys, (default), "Driver"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinMgmt, (default), "Service"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{36FC9E60-C465-11CF-8056-444553540000}, (default), "Universal Serial Bus controller"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E965-E325-11CE-BFC1-08002BE10318}, (default), "CD-ROM Drive"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}, (default), "DiskDrive"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E969-E325-11CE-BFC1-08002BE10318}, (default), "Standar floppy disk controller"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96A-E325-11CE-BFC1-08002BE10318}, (default), "Hdc"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96B-E325-11CE-BFC1-08002BE10318}, (default), "Keyboard"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E96F-E325-11CE-BFC1-08002BE10318}, (default), "Mouse"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E972-E325-11CE-BFC1-08002BE10318}, (default), "Net"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E973-E325-11CE-BFC1-08002BE10318}, (default), "NetClient"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E974-E325-11CE-BFC1-08002BE10318}, (default), "NetService"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E975-E325-11CE-BFC1-08002BE10318}, (default), "NetTrans"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E977-E325-11CE-BFC1-08002BE10318}, (default), "PCMCIA Adapters"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E97B-E325-11CE-BFC1-08002BE10318}, (default), "SCSIAdapters"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E97D-E325-11CE-BFC1-08002BE10318}, (default), "System"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E980-E325-11CE-BFC1-08002BE10318}, (default), "Floppy disk drive"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{71A27CDD-812A-11D0-BEC7-08002BE2092F}, (default), "Volume"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}, (default), "Human Interfaces Devices"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AFD, (default), "Service"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AppMgmt, (default), "Service"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Base, (default), "Driver Group"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Boot Bus Extender, (default), "Driver Group"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Boot file system, (default), "Driver Group"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Browser, (default), "Service"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\CryptSvc, (default), "Service"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\DcomLaunch, (default), "Service"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Dhcp, (default), "Service"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmadmin, (default), "Service"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmboot.sys, (default), "Driver"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmio.sys, (default), "Driver"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmload.sys, (default), "Driver"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dmserver, (default), "Service"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\DnsCache, (default), "Service"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\EventLog, (default), "Service"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\File system, (default), "Driver Group"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Filter, (default), "Driver Group"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\HelpSvc, (default), "Service"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ip6fw.sys, (default), "Driver"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\ipnat.sys, (default), "Driver"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LanmanServer, (default), "Service"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LanmanWorkstation, (default), "Service"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\LmHosts, (default), "Service"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Messenger, (default), "Service"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NDIS, (default), "Driver Group"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NDIS Wrapper, (default), "Driver Group"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Ndisuio, (default), "Service"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBIOS, (default), "Service"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBIOSGroup, (default), "Driver Group"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetBT, (default), "Service"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetDDEGroup, (default), "Driver Group"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Netlogon, (default), "Service"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetMan, (default), "Service"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Network, (default), "Driver Group"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NetworkProvider, (default), "Driver Group"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\NtLmSsp, (default), "Service"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PCI Configuration, (default), "Driver Group"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PlugPlay, (default), "Service"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PNP Filter, (default), "Driver Group"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PNP_TDI, (default), "Driver Group"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Primary disk, (default), "Driver Group"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpcdd.sys, (default), "Driver"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpdd.sys, (default), "Driver"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdpwd.sys, (default), "Driver"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\rdsessmgr, (default), "Service"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\RpcSs, (default), "Service"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SCSI Class, (default), "Driver Group"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sermouse.sys, (default), "Driver"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SharedAccess, (default), "Service"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\sr.sys, (default), "FSFilter System Recovery"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\SRService, (default), "Service"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Streams Drivers, (default), "Driver Group"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\System Bus Extender, (default), "Driver Group"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Tcpip, (default), "Service"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\TDI, (default), "Driver Group"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdpipe.sys, (default), "Driver"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\tdtcp.sys, (default), "Driver"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\termservice, (default), "Service"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vga.sys, (default), "Driver"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\vgasave.sys, (default), "Driver"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WinMgmt, (default), "Service"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\WZCSVC, (default), "Service"


[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\RunMRU, a

HKCU, Software\Microsoft\Internet Explorer\Main, Window Title

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Ageia

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Systemdir

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system, EnableLUA

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Winlogon

Gunakan notepad, kemudian simpan dengan nama “repair.inf” (gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).

Jalankan repair.inf dengan klik kanan, kemudian pilih install.

*

Untuk pembersihan virus huhuhaha secara optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang terupdate dan mengenali virus ini dengan baik.
0 komentar Diposting oleh Pakar Photoshop
Label:

Kaspersky Terbaik 2010

Kaspersky berhasil melewati serangkaian tes keamanan untuk pendeteksian malware dan ancaman baru. Produk ini mendapat nilai tertinggi dalam beberapa tes yang diadakan dua laboratorium antivirus independen.

Dari serangkaian tes yang dilakukan AV-Test.org, Kaspersky Internet Security 2009 mencapai hasil terbaik dengan memperoleh nilai tertinggi pada kategori "On-demand malware detection", "On-demand spyware and adware detection", dan "Response times to new threats".

Produk ini berhasil mendapat nilai 98,4% untuk pendeteksian malware dan 98,3% untuk pendeteksian spyware dan adware. Kaspersky juga dinobatkan sebagai produk dengan waktu respons tersingkat ketika muncul ancaman baru.

AV-Test.org melakukan pengujian terhadap lebih dari 30 produk keamanan, baik personal maupun korporat, pada bulan Agustus - September 2008. Sebanyak 1,1 juta malware yang menyebar di Internet dalam tiga bulan terakhir digunakan untuk mengevaluasi efektivitas antivirus dalam mendeteksi malware dan produk-produk yang tidak diinginkan.

Lebih dari 95 ribu program yang tidak diinginkan yang mengandung spyware dan adware juga digunakan untuk pengujian, dengan menggunakan sistem operasi Windows XP SP3.

Selain AV-Test.org, laboratorium antivirus ternama asal Austria - AV-Comparatives.org, juga menggelar pengujian serupa untuk menguji efektivitas berbagai solusi antivirus dalam mendeteksi malware, dengan menguji 16 antivirus.

Hasil pengujian menampakkan bahwa Kaspersky Anti-Virus 2009 memperoleh nilai tertinggi. Kaspersky mendeteksi 97,6% dari semua malware. Deteksi terhadap worm, virus, makro, dan skrip berbahaya mencapai 97,9%.
0 komentar Diposting oleh Pakar Photoshop
Label:

mouse terbaru di INDONESIA

Microsoft memperkenalkan empat hardware terbaru untuk pasar Indonesia. Salah satunya, mouse yang mampu digunakan pada hampir semua permukaan, bahkan di atas kaca.

Perangkat bernama Microsoft Explorer Mini Mouse ini dipersenjatai dengan teknologi Blue Track. Teknologi yang memungkinkan mouse ini dapat digunakan pada hampir semua permukaan, bahkan di atas permukaan kaca atau keramik sekalipun.

Kemampuan Mini Mouse itu didemonstrasikan Microsoft dalam acara di FX LifeStyle, Senayan, Jakarta, Selasa (2/12/2008).

Selain itu Microsoft juga mengenalkan Arc Mouse, mouse dengan desain unik seperti bulan sabit. Selain bentuknya yang unik, ukurannya bisa diringkas sampai dengan 60% dari ukuran semula sehingga memudahkan untuk dibawa-bawa.

Produk lain yang diperkenalkan adalah LifeCam Show yang diklaim Microsoft sebagai webcam tercanggih yang ada di pasaran saat ini. LifeCam mampu membidik sampai 7 megapixel untuk still image dan 2 megapixel untuk video.

LifeCam dari Microsoft dilengkapi dengan bundle software efek video yang cukup menyenangkan. Melalui software tersebut, tampilan pengguna webcam bisa diotak-atik, misalnya ukuran hidung menjadi besar layaknya karakter kartun.

Dan untuk para gamer Microsoft menawarkan produk Mouse SideWinder X5 Microsoft dan Keyboard Sidewinder X6. Produk ini dirancang khusus untuk kalangan gamer, contohnya Mouse SideWinder X5 Microsoft mempunyai fitur pengaturan resolusi (dpi) sehingga pengguna menyesuaikan sensitivitas mouse sesuai seleranya.
0 komentar Diposting oleh Pakar Photoshop
Label:

Prosesor Tercepat di Bumi

Intel Corporation mengklaim Intel Core i7 yang baru diluncurkan di Blitz Megaplex Pacific Place Jakarta, hari ini, Kamis (20/11), sebagai the fastest processor in the planet. Dengan teknologi Turbo Boost dan Hyper-threading, prosesor ini mempercepat proses komputasi hingga 40 persen tanpa meningkatkan konsumsi energi.

Country Manager Intel Indonesia Budi Wahyu Jati mengatakan diluncurkannya anggota pertama dari keluarga prosesor Nehalem ini merupakan kabar baik bagi industri film dan musik serta para gamers. "Mengedit film atau video dalam satu hari bukan tidak mungkin lagi," ujar Budi dalam peluncuran Intel Core i7.

Teknologi Turbo Boost membuat kinerja komputer lebih cepat untk memenuhi kebutuhan dan beban kerja pengguna. Melalui unit on-die power control yang canggih dan menggunakan transistor power gate berbasis teknologi proses manufaktur 45 nanometer.

Turbo Boost secara otomatis akan menyesuaikan clock speed dari satu atau lebih serta dari empat invidual processing cores untuk aplikasi single dan multi-threaded untuk meningkatkan kinerja tanpa menambah penggunaan energi. Teknologi ini juga membantu mengendalikan overheating, meski suhu rata-rata pada saat maksimal sebesar 60 derajat.

Intel Core i7 juga mempunyai teknologi power saving yang memungkinkan desktop berhibernasi. Sebelumnya teknologi ini hanya dimiliki oleh notebook berbasis Intel. Sementara itu, teknologi Hyper-threading memungkinkan komputer bekerja secara simultan. Hasil akhirnya, prosesor ini memberikan kinerja 8-threaded.

David Cahyadi dari Intel Indonesia dalam acara yang sama menunjukkan perbedaan komputer berbasis prosesor Intel Core i7 dan komputer berbasis Intel Duo Core-2 yang sebelumnya diklaim sebagai yang tercanggih dengan menggunakan aplikasi Power Director. Hasilnya, sementara komputer berbasis Intel Duo Core-2 masih menjalani 10 persen loading, komputer berbasis prosesor Intel Core i7 sudah menyelesaikan proses rendering.

Selain itu, pekerjaan prosesor memiliki peranan penting bersama dengan grafis untuk memperlihatkan games terlihat lebih nyata, terutama untuk game 3D. Ritter, seorang gamers jawara Warcraft Defense of The Ancients (DOTA) yang telah diijinkan mencoba terlebih dahulu komputer dengan teknologi ini menyambut baik kedatangan Intel Core i7. "Pas gunain, wah banget. Karena kalau dulu pas main, sebelumnya gerakan patah-patah, sekarang gerakannya jadi smooth. Kalau prosesornya bagus ya mendukung," ujar Ritter.

Meski sudah diluncurkan, produk Intel Core i7 baru akan tiba sekitr dua hingga tiga minggu mendatang di Indonesia. Harga Intel Core i7 tipe 920 sekitar 300 dollar dollar AS. (Tribun)
0 komentar Diposting oleh Pakar Photoshop
Label:

sekilas tentang LINUX

Perusahaan anti virus terkemuka Sophon mengklaim telah menemukan virus pertama yang menular melalui dokumen OpenOffice.org. Virus tersebut disebut mampu beraksi di platform Windows, Mac, dan Linux sekaligus. Meski demikian Sophos menyatakan bahwa sampai saat ini virus tersebut bukanlah ancaman karena belum menyebar dan mengganas di luar sana. Disebutkan kalau virus ini hanyalah proof-of-concept (pembuktian).

Worm yang diberi nama SB/Badbunny-A tersebut, memanfaatkan script macro StarBasic -yang terintegrasi dalam OpenOffice- untuk menjalankan aksinya dengan membuat script lain di komputer korban.

“Worm tersebut akan mencoba untuk mendownload dan menampilkan gambar JPEG tidak senonoh dari seorang pria yang mengenakan pakaian bunny sambil bergaya sedang melakukan kegiatan hubungan seksual”, menurut APC.

Worm SB/Badbunny-A akan menginfeksi korban saat mereka membuka file OpenOffice Draw dengan nama badbunny.odg. Macro yang bersembunyi didalam file tersebut akan menjalankan aksi berbeda tergantung platform mana yang digunakan saat itu (Windows, MacOS atau Linux):

* Windows: Worm akan membuat file dengan nama drop.bad yang kemudian akan disalinkan ke file system.ini pada folder mIRC (bila ditemukan pada komputer korban) dan membuat serta menjalankan file badbunny.js yang merupakan sebuah virus JavaScript yang akan bertugas sebagai duplikator file worm.
* MacOS: Worm akan membuat dua buah file script virus menggunakan bahasa Ruby (filenya diberi nama badbunny.rb atau badbunnya.rb)
* Linux: Worm akan membuat file badbunny.py sebagai script XChat dan juga membuat file badbunny.pl yang merupakan virus kecil berbasis bahasa Perl yang bertugas menularkan pada file Perl lainnya.

File script XChat dan mIRC bertugas sebagai virus yang menduplikasi dan mendistribusikan file OpenOffice yang telah terjangkit worm: badbunny.odg melalui protokol DCC lewat jalur internet / chatting irc.

Meski demikian tampaknya virus ini akan sulit untuk berkembang karena masih diperlukan terlalu banyak interaksi user dan masih tergantung pada beberapa kondisi tertentu. Contoh: di MacOS X dan Linux virus masih mengandalkan interaksi user untuk memutuskan akan mengeksekusi script Ruby/script Xchat atau tidak, yang tentu akan dibatalkan bagi kebanyakan pengguna yang sadar tentang masalah keamanan. Namun di Windows eksekusi Javascript dapat dilakukan oleh worm secara otomatis tanpa interaksi dengan user yang tentu akan menjadi ancaman yang berbahaya.

SB/Badbunny-A adalah worm proof-of-concept yang tampaknya di kirimkan melalui email langsung ke tim Sophos dengan tujuan hanya untuk menunjukkan pembuktian ketimbang niatan untuk menyebarluaskan dan melakukan aksi merusak.

Untuk amannya, sebaiknya Anda tidak menjalankan makro yang ada dalam sebuah file OpenOffice.org sampai benar - benar yakin kalau file tersebut bersih dan berasal dari sumber yang terpercaya.
0 komentar Diposting oleh Pakar Photoshop
Label:

Informasi mengenai virus ARP

Fakta

Berdasarkan informasi dari vaksin.com, virus ARP ini sudah masuk dalam jaringan intranet di Indonesia dan merupakan virus yang berasal dari Cina. Virus ini memiliki kemampuan memalsukan MAC Address router / proxy sehingga seluruh komputer intranet yang terhubung ke internet melalui proxy akan dikelabui untuk melewati komputer yang terinfeksi virus dan celakanya komputer yang terinfeksi virus ini akan meneruskan akses router ini (transparent proxy) sambil “menitipkan” satu link download yang berisi virus. Praktis pengakses internet dalam jaringan akan mendapatkan kiriman virus setiap kali membuka browser. Sehingga virus dikirimkan ke seluruh komputer dalam jaringan, melalui browser, baik IE, Firefox maupun Opera.

Kebanyakan korbannya tidak menyadari. Biasanya korban mulai menyadari kalau masalahnya sudah cukup besar seperti tahu-tahu jaringannya jadi lambat dan setiap kali menyalakan komputer dimana komputer akan otomatis mengaktifkan Yahoo Messenger, MSN Messenger atau aplikasi apapun yang mengaktifkan Javascript browser maka akan mendapatkan pesan error.

Selain itu virus ini juga telah menginfeksi jaringan UGM, contoh kasus yang kami hadapi di beberapa tempat migrasi seperti Rektorat UGM, Fakultas Ilmu Budaya, dan LPPT UGM. Saat melakukan scanning virus terdeteksi Trojan horse Downloader.Generic7.ORH (AVG Antivirus). Virus ARP ini membuat beberapa situs tidak dapat diakses, khususnya situs dibawah domain .ugm.ac.id

Indikasi

1. Jaringan intranet menjadi lambat
2. Yahoo Messenger anda mendapatkan pesan “An error has occured in the script on this page”

ym-error.jpg

3. Beberapa situs tidak dapat di akses, hanya muncul header saja (dalam kasus di UGM, situs-situs di bawah domain ugm tidak dapat diakses, dan juga friendster.com)
4. Jika anda melihat “view source” maka akan manampilkan salah satu dari domain-domain berikut : mx.content-type.cn, ad.5iyy.info, dsb.

view-source-virus-arp.png

5. Pada server, akan terjadi perubahan MAC Address.

mac-spoof.png

Detail teknis penyebaran Virus ARP

Sumber : http://securitylabs.websense.com/content/Blogs/2885.aspx

Virus arp spoofing menjangkiti komputer dengan sistem operasi Windows. Komputer yang memiliki virus arp akan menjadi komputer penyerang. Selanjutnya PC yang menjadi penyerang akan melakukan broadcast arp secara massif keseluruh PC yang berada dalam satu jaringan.

Gambar dibawah adalah alamat gateway yang benar
1.png

Ketika pc yang terinfeksi virus melakukan poisoning arp ke seluruh pc dalam satu jaringan, terlihat alamat MAC gateway pada pc korban berubah.
Gambar dibawah menunjukkan tabel arp pada pc korban. Terlihat alamat mac gateway menjadi sama dengan alamat mac pc penyerang

2.png

Ketika jaringan sudah terinfeksi dengan alamat Mac gateway baru, semua traffik http akan melalui gateway palsu tersebut, tentu saja gateway baru itu akan menyisipkan script jahat untuk mereka (sniffing) semua informasi yang lewat.

3.png

Berikut keterangan langkah2 yang terjadi seperti pada gambar diatas:

Langkah pertama, PC yang terkena virus akan melakukan broadcast paket arp spoofing “saya adalah gateway”

Langkah kedua, setiap PC yang berada dalam satu subnet akan menerima paket arp spoofing dan melakukan update table arp pada PC masing-masing. Sampai tahap ini, arp cache pada PC korban berhasil.

Langkah ketiga, PC yang menjadi korban akan mengakses internet (http port 80) melalui mesin gateway baru, kemudian mesin yang terjangkit virus tersebut akan meneruskan paket http ke gateway sebenarnya (mesin yang terjangkit virus menggunakan Net Driver, untuk menangkap traffic jaringan)

Langkah keempat, gateway palsu menyisipkan kode jahat untuk respon http yang berasal dari gateway asli. Kemudian mengirimkannya ke PC korban

Pada gambar dibawah terlihat virus yang menyisipkan link kode jahat

6.png

Dengan data yang telah didapat oelh virus, kemudian virus dapat melakukan scanning jaringan lokal dan mengirimkan paket arp spoofing ke seluruh mesin pada jaringan lokal tersebut.

Berikut adalah fungsi yang dijalankan oleh virus pada mesin yang terinfeksi
5.png

Pada kode diatas, virus memanggil file dll iphlpapi.dll untuk mengambil informasi jaringan lokal. Ketika virus berhasil mendapatkan informasi tersebut, kemudian ia akan membuat paket arp spoofing. Berikut detail kode yang dilakukan:

4.png

Selanjutnya virus menggunakan WinCap untuk menangkap semua http request dan menyisipkan kode jahat (sniffer) pada http response.

Berikut contoh kode jahat yang sampai ke PC korban
view-source-virus-arp.png

Bahaya
Untuk PC yang menggunakan Windows, sekilas tidak tampak diserang. Gejala yang timbul biasa internet http terasa sangat lambat dan muncul alamat domain tertentu pada browser. Namun internet tetap jalan meskipun terkesan lambat.

Tentu saja, semua informasi yang kita tuliskan, termasuk password, username, dan aktivitas penting lainnya akan direkam dan dikirim oleh virus kedalam database hacker yang sewaktu-waktu dapat dimanfaatkan untuk kepentingan yang tidak bertanggung jawab.

Linux aman, tapi…
Untuk PC yang menggunakan Linux, tabel ARP pada sistem juga akan berubah. Untungnya Linux tidak dapat mengeksekusi kode jahat tersebut, sehingga secara data. PC Linux aman dari aktivitas data mining karena virus tidak dapat mempengaruhi Linux.
Namun secara jaringan, PC yang menggunakan Linux jaringan http seolah2 tidak terkoneksi atau request http tidak dapat di respon oleh gateway, karena teracuni oleh alamat gateway palu. Sedangkan koneksi lainnya seperti https, ssh dan ftp atau ftps masih dapat dilakukan dan aman dari aktivitas virus.

Penanggulangan
Solusi sementara yang bisa dilakukan agar pc tidak terserang paket arp adalah dengan membuat arp statis untuk mac gateway pada tabel arp.
Namun kenyataan dilapangan arp statis belum mampu 100% menyelesaikan masalah dilapangan, karena serangan broadcast arp yang begitu banyak menyebabkan tabel arp menjadi flip-flop.

Cara paling efektif ya memutus jaringan pc yang terinfeksi virus arp. Dan membersihkannya sampai tuntas. Dalam kasus di ugm artinya semua komputer Windows :))

Berdasarkan informasi vaksin.com juga, ada beberapa hal yang perlu dilakukan untuk mengatasi masalah virus ARP ini :
1. Update Windows XP ke SP3
2. Menggunakan Manageable Switch
3. Melakukan pembersihan secara manual pada seluruh komputer Windows yang terkoneksi jaringan.
0 komentar Diposting oleh Pakar Photoshop
Label:
Langganan: Postingan (Atom)
Diberdayakan oleh Blogger.

Pengikut

Ads Fundi

adscamp