Waspada H5N1 Menyerang Komputer
Mungkin Anda sedikit bingung dengan pernyataan diatas. “Lho, bagaimana bisa komputer terkena virus flu burung?’. Jawabnya, ya bisa saja. Tapi virus yang ini bukanlah virus flu burung biologis seperti yang menyerang pada unggas dan manusia.
Hanya satu persamaan yang ada antara virus flu burung biologis dengan yang ini, yakni sama-sama menular. Virus Flu_Burung yang akan dibahas kali ini adalah sebuah virus komputer yang dapat menulari atau menginfeksi dokumen-dokumen Microsoft Word Anda dengan caranya sendiri yang boleh dibilang beda dengan virus-virus lokal yang sekarang semakin heboh. Penasaran seperti apa? Ikuti terus bahasannya kali ini.
Apa ciri-ciri dari Flu_Burung?
Virus yang memiliki icon mirip seperti Microsoft Word ini memiliki ukuran tubuh sebesar 46.592 bytes. Di-compress menggunakan tool executable compressor ASPack. Seperti kebanyakan virus-virus lokal lainnya, virus ini diprogram menggunakan bahasa favorit para virus maker yakni Visual Basic. Virus ini juga menggunakan sedikit teknik enkripsi. Pada resource yang ada di tubuh virus ini terdapat icon-icon Ms. Word dan version information yang dibuat sedemikian rupa agar mirip dengan aplikasi Ms. Word yang tentunya agar user tidak curiga. Selain iu juga terdapat resource dengan nama FLU_BURUNG, yang setelah di-unpack resource ini berupa text biasa yang merupakan pesan dari pembuat virus. Pada dokumen Ms. Word yang terinfeksi, extension-nya berupa .scr yang secara default merupakan extension untuk file Screen Saver.
Bagimana ia menginfeksi?
Pada saat kali pertama aktif, yang dilakukannya adalah memeriksa apakah sistem tersebut sudah pernah diinfeksi? Apabila belum, maka ia akan menginfeksinya. Cara yang dilakukannya cukup unik, yakni memeriksa apakah pada direktori Recycle Bin sudah terdapat “agen” dari sang virus, kalau belum dengan senang hati ia akan segera men-copy-kan tubuh asli dari sang virus ke direktori Recycle Bin tersebut yang secara default direktori tersebut sebenarnya bernama Recycled dan biasanya akan terdapat pada setiap drive. Nama file induk yang digunakan pun mirip sekali dengan nama-nama process atau service penting dari Windows yakni CTFMON.EXE, SMSS.EXE, SPOOLSV.EXE, dan SVCHOST.EXE. Apabila dilihat menggunakan hex editor, data mengenai nama-nama file induk-nya tidak dapat dibaca dengan mudah begitu saja, karena seperti yang penulis bilang di awal, virus ini menggunakan sedikit teknik enkripsi. Hal ini juga berlaku bagi beberapa string lain seperti letak key, section, ataupun item di registry yang ia rubah. Lalu setelah file induk berhasil ditanamkan pada sistem tersebut, ia akan merubah registry yang salah satunya terletak pada HKEY_CURRENT_USER, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell dengan maksud merubah nilai dari item Shell agar virus tersebut dapat aktif otomatis pada saat memulai Windows. Selain itu, pada direktori Temp milik Windows juga terdapat pesan dari pembuat virus.
Teknik Enkripsi
Karena sebelumnya ragu terhadap beberapa string aneh yang terdapat pada tubuh virus ini. Apalagi bagi yang telah berpengalaman di bidang menganalisa virus dan cryptography. Dan ditambah juga dengan tidak adanya string-string yang menyangkut nama-nama file induk virus, registry yang dirubah, dan lain sebagainya pada tubuh virus tersebut, seperti yang telah dikatakan di awal. Disinilah awal kecurigaan bahwa kemungkinan string aneh tersebut merupakan hasil enkripsi. Akhirnya dengan bermodalkan salah satu string yang terdapat di tubuh virus tersebut “MS\fI\Y\UN”, ketemulah engkripsi yang digunakan. Yakni hanya memundurkan setiap karakter ASCII sebanyak 7 karakter. Dan dengan membuat program sederhana yang akan men-dekripsikan seluruh string yang ter-enkripsi, maka didapatkan hasil bahwa string “MS\fI\Y\UN” adalah “FLU_BURUNG”.
Infeksi file DOC
Sebenarnya banyak hal menarik yang dilakukan oleh virus ini. Yakni salah satunya lagi yang ia lakukan adalah dengan menginfeksi setiap document Ms. Word yang baru saja dibuka. Seperti yang kita ketahui bahwa apabila kita membuka suatu dokumen, entah itu file txt, rtf, doc, ataupun yang lainnya maka windows menyimpan history atau recent document mengenai file apa saja yang pernah dibuka. Anda dapat dengan mudah melihatnya dengan meng-klik “Start>Documents”. Dan itulah yang dilakukan oleh virus ini, ia akan mendapatakan direktori asli yang menyimpan informasi recent document, yang secara default terletak pada direktori “\Documents and Settings\%UserName%\Recent” lalu membaca isi dari direktori tersebut, apabila terdapat link yang mengarah ke file .doc maka dengan segera virus ini akan menginfeksikannya. Teknik infeksi yang digunakan adalah dengan cara menambahkan file dokumen yang akan di-infeksikannya kebagian akhir dari tubuh aslinya, dan menggunakan nama yang hampir mirip dengan aslinya, yang membedakan hanya ektensionnya yakni .scr. Sementara dokumen yang asli disembunyikannya dengan memberikan attribut hidden.
Jelas saja apabila file yang sudah terinfeksi virus tersebut Anda coba buka paksa dengan Ms. Word maka tidak akan bisa, karena formatnya berbeda, bukan lagi file Ms. Word tapi Executable. Tapi kalau Anda double-click file yang terinfeksi tersebut, dokumen tersebut dapat terbuka dengan baik. Sebenarnya cara kerjanya cukup sederhana, yakni dokumen yang terinfeksi tersebut pada saat dijalankan, virusnya yang terlebih dahulu di eksekui, lalu setelah berhasil dia akan mencoba men-drop data yang ada di akhir tubuhnya pada direktori tersebut, yang dalam hal ini adalah data Ms. Word kita. Lalu menjalankan data yang berhasil di-extract dari dalam tubuhnya itu.
Selain itu, tubuh virus yang asli juga memiliki nilai hashing yang berbeda-beda, karena setiap ia membuat duplikat dari dirinya, ia akan meng-generate random number sebanyak 4 bytes yang ia taruh di akhir tubuh aslinya.
Merubah registry
Karena extension file yang digunakan pada saat menginfeksi file adalah .scr, jadi virus melakukan banyak perubahan untuk extension ini di registry, tujuannya jelas untuk menyamarkan kehadirannya, agar user tidak curiga. Seperti type information dari yang dirubah dari “Screen Saver” menjadi “Microsoft Word Document”. Key yang banyak dilakukan perubahan pada “HKEY_CLASSES_ROOT\scrfile\”.
Tidak seperti virus lainnya yang selalu men-disable Folder Options, pada virus ini hal tersebut tidak dilakukannya, namun yang ia lakukan adalah men-set default UncheckedValue untuk HideFileExt dan SupperHidden, jadi walaupun kita mencoba masuk ke Folder Options untuk merubah settingannya, tidak akan berpengaruh apa-apa. Karena tetap saja Windows tidak menampilkan extension dan file dengan attribut hidden. Selain itu pada key “HKEY_CLASSES_ROOT\*” virus ini juga melakukan beberapa perubahan pada item QuickTip, TileInfo, dan InfoTip.
Stay resident in memory
Pada saat virus aktif maka ia akan bersemayam di memory, memonitor aksi yang dilakukan oleh user. Di memory, virus ini memiliki 3 process atau lebih, dengan nama yang sama seperti file induknya. Apabila ada yang mencoba untuk membunuh process-nya, dengan sigap ia kan memanggil kembali process yang telah di-kill tersebut. Hal tersebut juga berlaku untuk item autostart virus di registry. Otomatis akan di-create apabila ada yang mencoba menghapusnya. Dan tugas virus yang lebih penting lainnya adalah memonitor folder “Recent Documents”, apabila terdapat dokumen yang baru dibuka, maka akan langsung diinfeksi.
Membasmi Flu_Burung
Untuk dapat mematikan virus ini sebenarnya bisa saja dengan me-rename file runtime library milik VB yakni MSVBVM60.DLL, tapi yang agak sulit adalah men-disinfeksikan file dokumen yang telah terinfeksi oleh virus Flu_Burung ini. Maka dari itu, apabila komputer Anda terinfeksi oleh virus ini, silahkan Anda menggunakan PCMAV RC8. Namun apabila PCMAV tidak dapat mengenali virus Flu_Burung yang telah menginfeksi komputer Anda, silahkan Anda kirimkan sample nya kepada kami. Kami tunggu!
Copyright © 2006 PC Media
virusnya walaupun dah dihapus dengan antivirus tetap muncul yang baru.
bagaimana cara membasmi sampai virus “flu_burung” benar benar tidak muncul lagi.
tolong kirim antivirus lokal dong, or gimana cara saya mendapatkannya?
Saya juga kena,, Virus nya yang Nama nya
Mr_Cool + My Prince
Bagaimana Cara nya men terminated virus ini??
Di kantor saya sering kali terkena virus fluburung.b, saya tahunya setelah terdeteksi oleh PCMAV RC13…akan tetapi saat saya clean terjadi bug pada PCMAV RC13..dan windows menampilkan pesan error.
Online aj: Bagaimana sih cara mengembalikan folder/file seperti awalnya yang sudah dibersihkan dari virus. seperti biasa, filenya di Hide tapi sewaktu dikembalikan mala tetap hide. Tx
komputer saya terkena virus yang merubah file ekstensi .doc menjadi .exe
jadi cuma word aja yang kena virusnya.
any solution?
help..please…
tenkyu
laptop setiap kali dihidupkan dan kita lsg online maka font yg ada pd saat loading di page website ( semisal yahoo ) ukuran-nya besar-besar dan tidak normal setelah agak lama dia akan kembali normal dengan tanda-tanda pada ikon – ikon yg ada menghitam beberapa saat, setelah itu font kembali normal… kira-kira kenapa ? saya saat ini menggunakan Mcafee enterprise 7 …..makasih
woooyyyy orang lokal NGENTOT lo….anjeeeeeeeeeng…..doc thesis g semoa berobah jd exe BABI tolol bgt seh lo….wah belon kena karma lo ya….kontol
ehhh tai babi beraninye ama lokal juga not fuckin cool at all tau ga….yang ada ur MOM IS FUCKIN MONKEY WHORE
woyyy buat penawar VIRUS ANJING MADE ntuh donk dasar bagemane mo maju INDONESIA bisanya nge-Fuck ama bikin virus gini……bangsa ndiri di ancurin….u r such a DICKHEAD
eh kayaknya viusnya menaik tuh. tolong donk virusnya dikirimin ke email gue donk. di zip dgn password 123 ya. please
virus flu burung ini bisa ga masuk melalui data dari cd??
dan kalo komputer kita sudah terinfeksi trus kita ngeburn data ke cd , gamana data kita? bisa diburn ga?
komp sy kena flu burumg niehhh….sebel bgt,moga org yg buat kena batuny y….meski g da tamiflu,he……..tp ada PCMAV…thanks yachhhhhhhhhh
jujur selama saya pake kaspersky belon pernah ada virus indonesia yang nyangkut.. but untuk beberapa kasus waktu ada kompi yang gak sanggup untuk pake kaspersky, PCMAV ngebantu banget.. makasih..
gimana Cara mendapatkan PC Media??
tolong donk….
gimana cara mengatasi virus Steroid_28. UGD neh. Gpl….!!!! Pls…
Bagaimana cara menghandel script vbscript dan javascript yang bandel yang dapat merubah registry di windows ….. da software buat menolak script tersebut gak sich …
kasih tahu donk
ha…ha…aha… longlive steroid_28…
aku cinta padamu…
hahahah…
teruslah bekerja.. rusak smua… hahahah…!!!
dear VI,
saya mempunyai file yg virusnya takdapat dibersihkan oleh pcmav. ke mana saya harus kirim contoh file terinveksi tersebut?
trims
regards,
Tunggal C
giman cara membuka pcmav yang terkena virus?saya sudah rename folder & file pcmav tetapi tetap saja tidak bisa
trims
wah virus H5N1 ini memang merepotkan. makasih banyak infonya. coba ta pake PCMAV RC8 saya coba dulu. makasih banyak analisa virus ( mas agus prabowo)
Apakah ada info atau solusi tentang virus “ani” katanya sih virus lokal
haloo…
aku g tau apa kna virus apa ga.
tapi anehnya folderq banyak berubah jadi file2 yang berkarakter aneh. ga bisa diapa-apain. trus beberapa hari kemudian folderq tu jadi 1 file. ukurannya 16KB. tipenya file. data2q semua jadi hilang.
minta penjelasan donk
A****..pC Gw kena Virus Flu bUrung!! T.A jdi Telat,..Buat yg sok jagoan masukin Virus flu burung..m**** aja b***** B**** lo ke r**** m**** lo..ssetan!!
(IP: 125.163.2.24)
inget boss!! nggak ada critanya Anti Virus gratis. Kan percuma buat virus kalo anti virusnya gratis..Virus selalu ada “hubungan” dengan anti virus termasuk juga pembuatnya..Dont miss it!! Hidup VIRUS!!!
Help Me please!! Gua kena Virus yg dikenali oleh Norton sebagai W32.Fakerecy n dikenal oleh PCMAV sebagai ctfmon.exe [Trojan.VB-266 [ClamAV]]; PCMAV tidak bs membersihkan dengan tuntas ( jika komputer di restart akan muncul lagi dikarenakan Virus tersebut membuat autoplay dirinya pada Drive C/D Hardisk ), Norton bs hapus sampai tuntas tetapi tidak bisa menghilangkan registry autoplaynya ( dapat dilihat pada klik kanan pada Drive C/D terdapat fungsi baru yaitu autoplay, open(0) ) so please gmn cara memperbaikinya dikarenakan dgn cr manual ( melalui regedit, hapus semua yang berkaitan dengan ctfmon.exe ) tetap tidak bisa ( hilang sementara pada saat di delete di regedit, tetapi apabila komputer di restart fungsi tersebut muncul lagi ). So please PCMedia give me a solution. Thank’s. Hidup PCMAV
Help me juga !!! . saya juga kena Fakerecy …. gimana ini cara ngilangin nya , saya pake windows vista terus pake symantec updatean terbaru tapi tetep kena juga +_+
Hai..Kita dari Kalimantan Selatan
Mungkin ini sedikit tips untuk yang terkena virus suspect (BR) yang dibaca oleh PCMAV dari RC19-RC22, dan dilaptop saya yang menggunakan Symantec dibaca dengan virus W32 svich. OS windows vista ultimate x86 32bit. Kalau ngga berani ngga usah dilakukan, tetapi kalau berani coba deh di Install aja atau double click file virusnya, biarkan sesaat. Kemudian coba buka system option view and hiden folder, kasih centang show hiden folder and file, dan 2 option dibawahnya, aplly dan ok. Nah kalau pengguna OS windows XP kita harus dulu-duluan dengan mengklik kanan folder virusnya maka dia tidak dapat menghiden dirinya lagi, tetapi kalau pengguna OS vista dia automatis tidak dapat menghiden dirinya lagi. Nah kalau sudah coba discan dengan menggunakan antivirus yang anda gunakan saya anjurkan pakai PCMAV karena PCMAV akan membaca virus ini dengan nama virus suspected (BR), memang dalam pe-scan-annya memakan waktu yang berjam-jam, tapi efektif untuk mengetahui file virus yang menghiden dirinya jadi kelihatan, mungkin sedikit tambahan gunakan software yang ada register cleanernya complet dengan memory cleaner atau junk file. kalau discan tadi sudah ketemu coba telusuri dengan manual coba buka file virus yang tersembunyi tadi dan……delete saja dengan manual, clean empty recycle bin, kalau perlu disk clean up. dan matikan system restore. Coba direstart dan scan lagi apakah masih ada filenya. Selamat mencoba dan coba update terus antivirusnya karena dari hari kehari selalu saja ada yang pinter-pinter bikin virus. goodluck pembuat virus dan pembuat anti virus, karena keduanya ini selalu bercinta dan berhubungan.
Untuk pembuat virus kasihan tuh kawan-kawannya, jangan membuat melulu coba dikasih vaksinnya.
“Kita juga sebenarnya mampu membuat virus yang lebih mematikan dari yang ada-ada walau itu memformat hardisk sekalipun dan menginstall ulang, dijamin tidak akan hidup karena semua system akan dilumpuhkan walau memakai program apapun.
Tapi jangan deh kasihan orang-orang yang benar-benar bekerja”.
Oh iya file dan system yang terinfeksi juga dijelaskan oleh PCMAV diatas.
Bagi pengguna norton yang tidak bisa mengclean virus yang sudah didetect, coba masuk ke quarantinenya dan coba diclean lagi kalau kada mempan delete and clean, sifat dari norton memblock dulu dan memasukkannya ke quarantine dulu baru di clean kalau virus tersebut sifatnya sangat kuat.
Bagi yang file terinfeksi virus flu burung, filenya sebenarnya masih ada cuman hiden, buka file option view and hiden folder, centang show hiden folder and file dan 2 file dibawahnya. klik kanan pilih properties pada file yang kalau dilihat kasat mata foldernya agak kabur. coba centang hidennya dia akan memberi dua pilihan any file and folder atau any folder ( coba plih yang diatas dan aplly ok.
tolong kasih tahu jenis apa dan gmana cara ngedeletenya
tolong diberiathukan cara penanggulangannya
terimakasih
ada virus namanya svchost,how could I solve it?
ada virus namanya kalo gk salah svchost,gimana cara nyeleseinnya?
boeat man teman yank komp nya terkena virus, baik lokal maupun luar, di saat booting awal tekan F7 dan F12 berbarengan. Semoga tidak tampil kembali alias terdelete virus yang dimaksud….. (sebaiknya pada “safe mode”)
semoga sukses…
document.bgColor=”black”
document.fgColor=”yellow”
document.write(“BE KIND”)
for(i=0;iAttention”)
Ada yang bisa bantuin g ?, compie q kena Flu burung tp g tau varian yang mana, sm ade d clean pake norton virusnya seeh ilang tapi semua data d my document gw ktnya ilang, setelah gw pulang dari luar kota, gw check d propertiesnya masih ada 6 gb, gw pikir palingan d hidden, pas udah gw oprek folder option tetep aja g keluar, karena bete, gw scan ulang pk RC22 tetep aja g bisa mengembalikan folder file yang ada d my document, tapi kalo d akses dari start menu bisa,(My Pic, My Music) masalahnya gimana dengan Folder data yang lain, ada yang punya solusinya, pleaseee banget tolong kasi tau gimana caranya , -_-
kom ku kena virus dari usb di detec avg virus tipe .vbs
sama avg sudah di hill, apa kom saya sudah aman.thanks
cara kirm sample virus …??? ada beberapa virus nih yang mau di analisa
tulung………………………….
komputer n flashdisk ku ketularan kalong.vbs
sdh di hapus pake antivirus luar negri,eh pake PCMAV eh tuch virus malah terkunci n g bisa di hapus.
please analyze this file :
AO106462.rbf
thanks
bagaimana cara utk menghapus w32 imaut aa dan w32 fakerey? ga bisa dihapus, trs menduplikasi diri….
ass.
mas bagamana caranya mendeteksi virus tanpa menggunakan anti virus,,
maksud sy dengan melihat,
ato merasakan keberadaannya d PC..
klo ada tips n triknya krim dong…?
ku tunggu…
thankz.
hoy tolong donk PC Media,PC saya kena Virus bluedemons.vbs.. waktu di scan pake PC MAV sudah terdeteksi tapi tidak bisa di cure files,, gimana nih??? tolong dong update PC MAV biar bisa delete virus ini,, maju terus PC Media….
kalau begitu ini bukan virus donk, tapi worm soalnya kan gak infeksi apa2 cuma ke hide file aslinya trs bikin file baru yg sebenernya berfungsi sebagai executor worm dan sekaligus shortcut ke file aslinya.