Rabu, 03 Februari 2010

Serangan pada Virus

Kwik, Kwek dan Kwak adalah keponakan Paman Donald yang terkenal dengan kenakalannya. Namun di dunia internet Indonesia, pada akhir 2009 ini juga telah diramaikan oleh Trio Kwek-Kwek lainnya.

Yang pertama (Kwik) adalah virus yang mengeksploitasi Facebook seperti Bredolab dan Zbot, Kwek adalah virus yang mengeksploitasi Yahoo Messenger dan sedang dianalisa oleh Vaksinis. Yang terakhir adalah Kwak, virus yang mengarahkan semua akses situs sekuriti ke Google.

Berikut analisa aksi virus Google (Kwak) yang dikenal dengan nama generik W32/SmallTroj.VPCG dan terdeteksi menginfeksi ribuan komputer di Tanah Air pada awal Desember 2009.

Virus ini perlu diwaspadai karena selain memblok akses ke situs sekuriti, ia juga sangat sulit dibersihkan secara manual dan membutuhkan Windows Mini PE Live CD untuk dibersihkan secara tuntas karena ia menggunakan teknik rootkit yang menyamar sebagai services dan drivers.

Walaupun virus ini dibuat dengan program bahasa Visual Basic tetapi efek yang dihasilkan cukup merepotkan, ia akan melakukan blok terhadap hampir semua tools security termasuk antivirus yang umum sering digunakan oleh user dengan cara membaca 'nama file' dari aplikasi tersebut.

Virus ini juga akan memblok akses ke beberapa website sekuriti dan website lain yang telah ditentukan dengan cara mengalihkan ke nomor IP 209.85.225.99 yang merupakan ip public google. Jadi setiap kali user mencoba untuk akses ke website tertentu termasuk website security/antivirus, maka yang muncul bukan web yang Anda inginkan tetapi website www.google.com. Untuk melakukan hal ini ia akan menambahkan alamat website yang akan di blok ke sebuah file dengan nama [C:\Windows\System32\Drivers\etc\hosts]

cara Mengenalinya

Sebenarnya tidak terlalu sulit untuk mengenali ciri-ciri virus ini, salah satunya adalah jika user mengakses web security/web antivirus maka ia akan di-direct ke website www.google.com.

Cara lain yang dapat dilakukan adalah dengan memeriksa file host windows Anda. Jika terdapat IP 209.85.225.99 yang diikuti alamat website maka kemungkinan besar komputer telah terinfeksi virus ini.

Pada saat virus ini diaktifkan, ia akan membuat beberapa file induk dan mendownload beberapa file lainnya dari alamat web yang telah ditentukan sebelumnya. File ini akan disimpan di beberapa lokasi yang akan diaktifkan setiap kali komputer dinyalakan. Virus ini juga akan menyamarkan dirinya sebagai file service Windows dan sebuah drivers sehingga mempersulit dalam proses pembersihan.

Untuk memperlancar aksinya ia juga akan memblok beberapa fungsi Windows termasuk disable system restore, disable Windows Firewall, disable RPC DCOM, disable upgrade Service Pack 2 atau tidak bisa menampilkan file yang tersembunyi dengan merubah string pada registry.

Tidak ada komentar:

Posting Komentar