Fake Antivirus Trojan.Fakealert.19870

 Dunia ini memang penuh kepalsuan dan manusia cenderung hanya dinilai berdasarkan kulit yang terlihat saja tanpa melihat isinya. Karena itu tidak heran jika orang berbondong-bondong ingin terlihat cantik, buktinya saja dengan modal wajah cantik (hasil operasi plastik) dan bodi semlehoy, seorang bankir papan atas bisa memperdayai nasabahnya yang notabene orang berpendidikan (harusnya yah) dan berada. Tetapi tetap saja terlena oleh penampilan bankir wanita yang menawan ini dan uang puluhan milyar berhasil digelapkan.

Hal ini juga terjadi di ranah pervirusan dimana antivirus palsu dengan penampilan tidak kalah semlehoy dengan antivirus asli berhasil memperdayai pengguna komputer. Kali ini adalah Trojan.Fakealert.19870

Salah satu yang telah sukses melakukan penyebaran yaitu trojan antivirus/antispyware palsu yang memanfaatkan momentum kejutan dengan mengirim e-mail dan link ber-virus. Dr.Web Scanner mendeteksi salah satu varian tersebut sebagai Trojan.fakealert.19870. (lihat gambar 1)

Gambar 1, Dr.Web Scanner mendeteksi varian virus sebagai Trojan.Fakealert.19870

SPAM dan link bervirus

Bagi anda pengguna e-mail (electronic mail), tentu-nya sangat kesal jika kotak surat anda dipenuhi berbagai macam spam yang di kirimkan oleh para spammer yang tidak bertanggung jawab. Lalu bagaimana jika justru teman anda atau seseorang yang anda kenal justru mengirimkan salah satu e-mail yang hanya berupa link berikut :

http://rapidshare/files/[angka_acak]/surprise.exe

Dan bahkan tidak hanya anda, tetapi seluruh kontak e-mail yang dimiliki teman anda tersebut juga dikirimkan link tersebut. Sebuah link yang menggunakan salah satu server sharing bebas, dan menggunakan nama file “surprise” (kejutan).

Jika anda meng-klik link tersebut, maka OS windows anda akan melakukan drive to download terhadap file tersebut. Sehingga file “surprise” akan langsung jalan dan terinstall pada komputer anda. (lihat gambar 2)

Gambar 2, File trojan “surprise” akan langsung download dan terinstall jika anda meng-klik link tersebut.

Aksi virus

Dengan nama “Security Shield”, trojan ini seperti halnya antivirus/antispyware palsu yang lain berusaha melakukan penipuan terhadap pengguna komputer, seolah-olah komputer benar-benar terinfeksi oleh sekumpulan malware (malicious software). Beberapa aksi yang dilakukan setelah terinstall yaitu sebagai berikut :

·         Membuat shortcut pada menu [All Programs] dan icon pada taskbar.

Seperti sebuah antivirus/antipyware, trojan “surprise” membuat shortcut pada menu [All Programs] dan icon pada taskbar agar dapat berjalan dan dapat dijalankan pada proses memory. (lihat gambar 3)

Gambar 3, Shortcut trojan “surprise” yang dibuat pada All Programs

·         Menampilkan proses otomatis scanning system

Hal ini digunakan oleh trojan “surprise” agar dapat meyakinkan pengguna komputer bahwa komputer tersebut telah ber-virus dan harus segera dibersihkan. (lihat gambar 4)

Gambar 4, Proses scanning system yang dilakukan oleh trojan “surprise”.

·         Memberikan informasi hasil scanning system

Setelah melakukan proses scan palsu, trojan “surprise” melengkapi-nya dengan juga memberikan hasil proses scan agar dapat meyakinkan pengguna komputer bahwa komputer telah benar-benar terinfeksi oleh sekumpulan virus. (lihat gambar 5)

Gambar 5, Informasi palsu hasil scanning system trojan “surprise”.

·         Menampilkan notifikasi bahwa komputer telah terinfeksi virus

Melalui icon yang berjalan pada taskbar, trojan “surprise” membuat berbagai macam notifikasi agar pengguna komputer percaya bahwa virus telah menginfeksi komputer dan harus segera dibersihkan. (lihat gambar 6)

Gambar 6, Notifikasi palsu yang ditampilkan trojan.

·         Memberikan informasi bahwa icon Yahoo pada taskbar terinfeksi virus

Salah satu yang berbeda dibanding antivirus/antispyware palsu yang lainnya adalah trojan “surprise” memberikan semacam informasi bahwa icon Yahoo anda pada taskbar telah terinfeksi ole virus. (lihat gambar 7)

Gambar 7, Informasi palsu bahwa yahoo icon pada taskbar terinfeksi virus.

·         Memberikan informasi bahwa banyak program berbahaya yang berjalan pada komputer

Selain yahoo, trojan “surprise” juga memberikan informasi palsu lain bahwa banyak program berbahaya yang sedang berjalan pada komputer dan dapat menyebabkan komputer menjadi hang/crash. (lihat gambar 8)

Gambar 8, Informasi palsu bahwa banyak program berbahaya pada komputer

·         Memberikan informasi bahwa program “Security Shield” terdapat update terbaru

Untuk meyakinkan pengguna komputer, trojan “surprise” juga memberikan informasi mengenai update terbaru dari program “Security Shield”, sehingga program akan terus terupdate. Padahal hal ini hanya sekedar notifikasi saja. (lihat gambar 9)

Gambar 9, Informasi update program.

·         Memberikan informasi untuk mengaktifkan produk “Security Shield”

Dengan alasan agar dapat digunakan secara “full”, trojan “surprise” memberikan informasi agar pengguna komputer diharapkan mengaktifkan produk antivirus/antispyware palsu tersebut. (lihat gambar 10)

Gambar 10, Informasi untuk mengaktifkan produk antispyware/antivirus palsu

·         Memberikan informasi untuk melakukan pembayaran online untuk mengaktifkan produk

Untuk melakukan aktivasi, pengguna akan diarahkan pada browser yang berfungsi untuk melakukan aktivasi dan melakukan pembayaran secara online. Dengan melakukan hal ini seolah-olah pengguna akan dapat menggunakan produk “Security Shield” yang sudah berjalan secara “full”. Padahal hal ini hanya tipuan dari trojan “surprise” tersebut. (lihat gambar 11)

Gambar 11, Browser palsu yang digunakan untuk melakukan aktivasi dari trojan “surprise”

File Virus

File trojan “surprise” memiliki ciri-ciri sebagai berikut : (lihat gambar 12)

-          Memiliki ukuran file sebesar 382 kb

-          Memiliki nama file “surprise.exe”

-          Menggunakan icon shield

-          Memiliki type file “application”

Gambar 12, File virus

Setelah file trojan dijalankan, trojan “surprise” akan membuat beberapa file sebagai berikut yaitu :

• C:\Documents and Settings\%user%\Local Settings\Application Data\[angka_acak].exe
• C:\Documents and Settings\%user\Start Menu\Programs\Security Shield.lnk

Modifikasi Registry

Beberapa modifikasi registry yang dilakukan oleh trojan “surprise” antara lain sebagai berikut :

• Menambah Registry

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

Metode Penyebaran

Dengan menggunakan fasilitas e-mail (electronic mail), trojan “surprise” melakukan penyebaran dengan mengirim e-mail yang disertai link ber-virus ke semua kontak e-mail yang dimiliki pengguna komputer. Dan tentunya hal ini juga membuat pengguna komputer yang ter-infeksi di anggap mengirim spam yang disertai link ber-virus.

Link yang di kirimkan yaitu sebagai berikut :

http://rapidshare/files/[angka_acak]/surprise.exe

Pembersihan Virus

1. Putuskan koneksi jaringan/internet.

2. Matikan dan hapus virus

Lakukan langkah-langkah berikut :

a)    Download tools untuk membersihkan trojan “surprise” pada komputer yang belum terinfeksi pada link berikut :

http://www.freedrweb.com/download+cureit

b)    Setelah selesai, kompress file tersebut hingga menjadi file zip.

c)    Copy file tersebut dan letakkan dimana saja pada komputer yang terinfeksi.

d)    Klik kanan file zip tersebut, kemudian klik explore.

e)    Klik 2x file yang sudah di-explore tersebut untuk menjalankan, kemudian klik Run.

f)     Jika sudah muncul jendela Dr.Web CureIt, klik OK untuk menjalankan dalam mode EPM (Enhanced Protection Mode).

g)    Klik Start untuk memulai Scan, dan klik Yes untuk memulai.

h)    Biarkan hingga proses scan selesai

3. Repair registry yang telah dimodifikasi.

Lakukan langkah-langkah berikut :

o   Salin script dibawah ini dengan notepad :

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0x00010001,1

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden,0x00010001,1

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt,0x00010001,0

HKLM, SOFTWARE\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\RunOnce

o   Simpan file dengan nama “repair.inf”. Gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan.

o   Klik kanan file “repair.inf”, kemudian pilih “install”.

o   Restart komputer.

4. Bersihkan temporary file dari jejak virus.

Lakukan langkah-langkah berikut :

a)    Klik Menu Start -> Run

b)    Ketik perintah pada kotak open : cleanmgr , kemudian klik OK.

c)    Pada drive system (C) klik OK, biarkan proses scan drive.

d)    Setelah muncul jendela Disk Cleanup, beri tanda file yang akan di hapus (terutama Temporary Files), kemudian klik OK.

e)    Tunggu hingga selesai.

Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mengenali virus ini dengan baik.
By : Vaksin.Com