Lewati navigasi

Arsip Tag: Tips & Tricks

Kenali Ciri-Ciri Email Pembawa Virus Facebook

Sebuah virus komputer yang memanfaatkan popularitas Facebook menyebar via email. Untuk mengindarinya, simak ciri-ciri email pembawa virus tersebut dalam lanjutan analisa Vaksincom soal virus Facebook berikut ini:

Untuk menyebarkan dirinya virus Facebook akan mengirimkan email ke semua alamat email yang telah diperolehnya dengan melampirkan sebuah attachment dalam bentuk ZIP. Bagi Anda yang mempunyai account Facebook harap berhati-hati jika menerima email yang seolah-olah berasal dari Admin Facebook karena kemungkinan email itu berisi virus.

Email yang akan dikirimkan akan mempunyai ciri-ciri sebagai berikut:

From            : The Facebook Team”
Subject        : Facebook Password Reset Confirmation.
Attachment : Facebook_Password_xxx.zip (Facebook_Password_xxx.exe)
Message      :

Hey [nama penerima email],

Because of the measures taken to provide safety to our clients, your password has been changed.

You can find your new password in attached document.

Thanks,
The Facebook Team

Catatan: xxx adalah karakter acak

Jika kita telurusi dengan menggunakan bantuan sebuah tools monitoring jaringan seperti etherial atau wireshark maka dapat dilihat dengan jelas bahwa komputer yang telah terinfeksi virus berusaha untuk mengirimkan email ke sejumlah alamat yang telah ditemukan dengan menyertakan sebuah file attachment yang berisi virus.

Selain mengirimkan email yang seolah-olah datang dari Admin Facebook, ia juga akan menjadikan komputer yang terinfeksi sebagai server spam dengan mengirimkan email ke sejumlah alamat email yang didapat.

Mengundang Antispyware palsu “Security Tools”

Aksi lain yang akan dilakukan oleh virus Facebook adalah akan mendownload dan menginstal sebuah program antispyware palsu dengan nama “Security Tools”. Antispyware palsu ini akan memberikan informasi palsu dengan menampilkan sederetan nama virus/trojan yang berhasil di deteksi, informasi palsu ini biasanya akan ditampilkan secara terus-menerus pada waktu yang telah ditentukan.

Jika user mencoba untuk melakukan aksi pembersihan dengan menggunakan software palsu tersebut maka ia akan menampilkan layar agar user melakukan pembelian software tersebut, jika muncul hal ini sebaiknya Anda abaikan saja karena anda tidak akan mendapatkan software antispyware tersebut.

Antispyware ini akan secara membuat beberapa file berikut agar dirinya tetap aktif:

  • C:\Documents and Settings\All Users\Application Data\47543326
  • C:\Documents and Settings\Elvina\Desktop\security tools.lnk
  • C:\Windows\temp\_ex-08.exe
  • C:\Documents and Settings\Elvina\Start Menu\Programs\security tools.lnk

Sebagai pendukung agar dirinya tetap aktif, ia akan membuat beberapa string pada registry berikut:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
47543326= C:\DOCUME~1\ALLUSE~1\APPLIC~1\47543326\47543326.exe
PromoReg = C:\WINDOWS\Temp\_ex-08.exe

HKEY_LOCAL_MACHINE\SOFTWARE\47543326

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network
UID = %user%_00127065

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
Rlist

Aksi yang dilakukan oleh antispyware “Security Tools”

  • Menampilkan pesan notifikasi bahwa komputer telah terinfeksi virus/spyware
  • Menampilkan konfirmasi update database Antispyware Security Tools
  • Restart komputer pada waktu yang teah ditetukan dengan menampilkan layar “Blue Sreen” seolah-olah terjadi error pada system/hardware komputer yang telah terinfeksi.
  • Mengganti walpaper/desktop Windows

7 Langkah Mengusir Virus ‘Mbah Surip’

Virus VBS/Cryf.A. atau yang lebih terkenal dengan sebutan virus ‘Mbah Surip’ memang cukup merepotkan. Mulai dari disusupi album porno, CD/DVD Rom komputer korban juga dibuat selalu terbuka.

Bagaimana cara untuk mengusir virus yang populer dengan lagu ‘Tak Gendong’ itu? Berikut 7 kiat singkatnya yang diramu vaksincom:

1. Matikan proses virus yang sedang aktif di memori. Untuk mematikan proses virus ini silahkan gunakan tools pengganti task manager seperti Currproses, kemudian matikan proses yang mempunyai product name ‘Microsoft (r) Windows Script Hosta’ dengan cara:

  • Pilih [blok] proses yang mempunyai product name ‘Microsoft (r) Windows Script Hosta’
  • Klik kanan pada proses yang sudah di blok
  • Pilih [Kill Selected Processes]

2.     Blok agar file virus tidak dapat dijalankan untuk sementara selama proses pembersihan dengan menggunakan fitur ‘Software Restriction Policiesa’, fitur ini hanya ada di Windows XP/2003/Vista/2008. Untuk blok file tesebut lakukan langkah berikut:

  • Klik menu [Start]
  • Klik [Run]
  • Pada dialog box [Run], ketik SECPOL.MSC kemudian klik tombol [OK]
  • Pada layar [Local Security Policy], klik [Software restriction policies]
  • Klik kanan pada [software restriction policies] dan pilih [Create new policies]
  • Kemudian klik kanan di [Additional Rule], dan pilih [New Hash Rule].
  • Di Kolom [File Hash], klik tombol [Browse] dan pilih file yang akan diblok. Pada kolom [File information] akan terisi informasi dari file tersebut secara otomatis.
  • Pada Security Level pilih [Disallowed]
  • Pada kolom ‘descriptiona’ isi deskripsi dari nama file tersebut (bebas),

3. Fix Registry dengan menjalankan file [FixRegistry.exe], silahkan download di alamat berikut http://www.4shared.com/file/117095567/3ea8e8ce/_4__FixRegistry.html

4. Hapus file induk virus yang telah dibuat. File induk virus ini akan disembunyikan. Jika file induk tersebut tidak dapat ditampilkan silahkan gunakan tools penggganti Windows Explorer seperti ‘Explorer XP’. Silahkan download di alamat berikut:

http://www.explorerxp.com/explorerxpsetup.exe

Setelah software tersebut di install, cari dan hapus file berikut: svchost.vbs, desktop.ini, drvconfg.drv. SHELL32.dll, %Drive%:\Album BOKEP\Naughty America dan C:\windows.

5. Tampilkan file [TaskMgr.exe/Regedt32.exe/Regedit.exe/CMD.exe/Logoff.exe] yang disembunyikan oleh virus, caranya:

  • Start]
  • Klik [Run]
  • Ketik CMD kemudian klik tombol [OK]
  • Pada layar ‘Dos Prompt’ pindahkan posisi kursor ke drive yang akan di periksa
  • Ketik perintah ATTRIB regedit.exe kemudian klik tombol
  • Kemudian ketik perintah saya yang membedakan hanya nama file yang akan ditampilkan yakni Taskmgr.exe, cmd.exe dan Logoff.exe

6. Untuk pembersihan optimal dan mencegah infeksi ulang silahkan install dan scan dengan antivirus yang up-to-date.

7. Jika komputer sudah benar-benar bersih dari virus, hapus rule blok file [WSCript.exe] yang telah dibuat pada langkah nomor 2, caranya:

  • Klik menu [Start]
  • Klik [Run]
  • Pada dialog box [Run], ketik SECPOL.MSC kemudian klik tombol [OK]
  • Pada layar [Local Security Policy], klik 2x [Software restriction policies]
  • Klik [Additional Rule]
  • Hapus Rule yang pernah Anda buat sebelumnya

sumber : http://www.detikinet.com/

Ikuti

Get every new post delivered to your Inbox.