ANTI VIRUS PALSU

W32/FakeAV.AESL

Virus yang bisa membuat teknisi komputer kena gaplok

Ini hanya skenario bayangan tetapi mungkin saja terjadi :

LHOO !!! ... Saya mau Data Recovery kok malah kamu instal Antivirus, bukannya harddisknya malah tambah rusak nanti. Kamu mau nipu saya yah. PLOK ..... PLOK. Ampun pak, saya ngga nipu, tetapi ini memang virusnya yang malsuin peringatan Windows.

Kalau komputer anda terinfeksi virus / malware obatnya antivirus, kalau harddisk rusak dan korup tentu obatnya program Data Recovery dimana diusahakan semaksimal mungkin untuk tidak menjalankan harddisk yang rusak tersebut supaya kerusakan tidak bertambah parah. Namun kalau anda terkena kasus seperti yang di bawah ini, dimana anda membawa harddisk yang “menurut” pesan yang timbul mengalami kerusakan fatal seperti : (lihat gambar 5 – 11 di bawah)

-       Harddrive rotational speed decreased by 20 %. (yang kira-kira artinya motor harddrive mengalami penurunan kinerja / kerusakan)

-       Disk Drive c:\ is unreadable.

-       Drive C initializing error (tetapi lucunya kok komputernya bisa jalan padahal system Windowsnya ada di drive C).

-       GPU RAM Temperature is cirtically high. (ngga ngerti kok temperatur RAM yang tinggi .... harusnya kan prosesor yang temperaturnya tinggi).

-       Critical Error. Harddrive Error.

-       Windows detected a harddisk problem. A potential disk failure may causes loss of files, applications and documents stored on the hard disk. It’s highly recommended to scan and solve HPP problems before continue using this PC.

Lalu oleh teknisi toko komputer anda lantas instal antivirus, jangan anda langsung marah dan teknisinya di tampol dulu. Karena dalam kasus ini teknisinya bukan mau menipu anda menginstalkan antivirus ke komputer yang harddisknya rusak. Tetapi memang ada virus yang memalsukan peringatan Windows seakan-akan harddisk anda mengalami kerusakan parah. Untuk detailnya silahkan ikuti artikel yang dibuat oleh Aj Tau dibawah ini. Dan jika anda teknisi komputer yang mendapatkan kasus ini, tidak perlu pakai helm anti gaplok sewaktu membasmi virus ini :p karena  Vaksincom memberikan Tools untuk membasmi virus ini.

=====================================

Trend penyebaran virus saat ini lebih di dominasi oleh virus yang mempunyai kemampuan menginjeksi file aplikasi seperti file dengan ekstensi EXE, COM atau SCR sebut saja virusW32/Alman, W32/Sality, W32/Virut atau W32/Ramnit serta masih banyak virus lainnya dengan varian yang cukup banyak. Maraknya penyebaran virus saat ini mengharuskan kita lebih waspada terhadap kemungkinan-kemungkinan virus lain yang setiap saat mengintai. Perlu langkah cermat untuk mengantisipasi agar tidak menjadi korban salah satunya dalam memilih program antivirus dan “rupanya” hal ini merupakan celah baru yang dapat di manfaatkan oleh virus untuk menyebarkan dirinya dengan cara memalsukan dirinya sebagai program keamanan (baca: antivirus). Fake antivirus atau yang lebih dikenal dengan sebutan Antivirus palsu mempunyai tampilan yang tidak kalah menarik seperti program antivirus pada umumnya yang dilengkapi dengan berbagi fitur Internet Security seperti Firewall atau Privacy Tools. Dalam hal deteksi juga cukup “Baik” karena mampu mendeteksi virus-virus yang tidak dapat di deteksi oleh program antivirus pada umumnya, tetapi anda jangan terkecoh karena semua peringatan yang muncul adalah PALSU, ujung-ujungnya kita diminta untuk mengirimkan sejumlah uang untuk mendapatkan versi full nya agar dapat menghapus virus “palsu” tersebut.

Program antivirus palsu atau lebih dikenal dengan istilah Scareware saat ini sudah mencapai puluhan jenis. Kurang nya pengetahuan user terhadap perkembangan virus menjadi penyebab mudahnya antivirus gadungan ini menyebar. Dari sekian banyak  program scareware yang menyebar salah satunya adalah W32/FakeAV.AESL demikian Norman Security Suite mendeteksi virus ini (lihat gambar 2). Program gadungan ini akan menyamarkan dirinya sebagai tools “Data Recovery” yang di dalamnya berisi fitur untuk melakukan pemeriksaan terhadap komputer Anda seperti pemeriksaan kondisi Hard Disk, Memory, Registry serta Operating System Anda. (lihat gambar 1)

Gambar 1, Tampilan antar muka W32/FakeAV.AESL

Gambar 2, Hasil deteksi Norman Malware Cleaner

File induk

Tools gadungan ini dibuat dengan menggunakan bahasa pemograman Visual C++. Pada saat file antivirus gadungan tersebut di jalankan, ia akan membuat beberapa file induk berikut yang akan di aktifkan pada saat computer di nyalakan :

ü  C:\Documents and Settings\All Users\Application Data

o   6DSS92c31Apgjk.exe dengan ukuran 563 KB

o   BFwoCYFrNlwR.exe dengan ukuran 619 KB

o   6DSS92c31Apgjk , ukuran file 1 KB

ü  C:\Document and settings\user\desktop\Data Recovery.lnk (lihat gambar 3)

           

            Gambar 3, File induk W32/FakeAV.AESL

Untuk mengelabui user, ia juga akan menyisipkan sebuah icon pada taskbar yang jika icon tersebut di klik (double click) akan mengaktifkan dirinya (lihat gambar 4)

Gambar 4, Icon W32/FakeAV.AESL

Registri Windows

Agar antivirus gadungan ini dapat aktif secara otomatis pada saat komputer  dinyalakan, ia akan membuat beberapa string pada registri Windows berikut:

• hkey_users\S-1-5-21-842925246-1383384898-1343024091-1003\software\microsoft\windows\currentversion\run
• BFwoCYFrNlwR.exe = C:\Documents and Settings\All Users\Application Data\BFwoCYFrNlwR.exe

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
• BFwoCYFrNlwR.exe = C:\Documents and Settings\All Users\Application Data\BFwoCYFrNlwR.exe

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\BFwoCYFrNlwR

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\BFwoCYFrNlwR\DEBUG

o   Trace Level

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\6DSS92c31Apgjk\DEBUG

o   Trace Level

Blok fungsi Windows

Untuk memperlancar aksinya, ia akan blok beberapa fungsi Windows seperti :

-          Disable Registry

-          Disable TaskMgr

-          Disable Folder Options

-          Disable Deskop

-          Tidak dapat mengganti wallpaper Windows

-          SaveZoneInformation

-          LowRiskFileTypes

Untuk melakukan hal tersebut ia akan membuat beberapa registri berikut:

o   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop

-          NoChangingWallPaper

o   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations

-          LowRiskFileTypes  = .zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;.scr;

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments

-          SaveZoneInformation

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

-          NoDesktop

-          NoFolderOptions

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

-          DisableRegistryTools

-          DisableTaskMgr

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

-          NoFolderOptions

-           

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system

-          DisableRegistryTools

-          DisableTaskMgr

Menampilkan peringatan palsu

Seperti kebayakan antivirus gadungan, Tools gadungan W32/FakeAV.AESL juga akan menampilkan peringatan-peringatan palsu seolah-olah komputer tersebut bermasalah seperti yang terlihat pada gambar berikut : (lihat gambar 5 - 11)

Gambar 5, Peringatan palsu W32/FakeAV.AESL

Gambar 6, Peringatan palsu W32/FakeAV.AESL

Gambar 7, Peringatan palsu W32/FakeAV.AESL

Gambar 8, Peringatan palsu W32/FakeAV.AESL

Gambar 9, Peringatan palsu W32/FakeAV.AESL

Gambar 10, Peringatan palsu W32/FakeAV.AESL

Gambar 11, Peringatan palsu W32/FakeAV.AESL

Rakus memakan memori

Hal yang paling mengganggu yang dilakukan oleh virus ini adalah, akan menampilkan peringatan-peringatan palsu secara terus-menerus yang mengakibatkan resource memori komputer terkuras habis dan menyebabkan komputer menjadi hang/crash. (lihat gambar 12)

Gambar 12, Peringatan palsu W32/FakeAV.AESL

Registrasi Palsu

Untuk mengatasi masalah tersebut, Anda harus melakukan registrasi terlebih dahulu untuk mendapatkan software full version dengan mencantumkan alamat email serta kode aktivasi yang Anda miliki, jika Anda tidak mempunyai kode aktivasi scareware ini akan menuntun Anda untuk melakukan registrasi melalui internet, ujung-ujung nya anda diminta untuk transfer sejumlah uang, alhasil bukannya software full version yang Anda dapatkan dengan harapan dapat menghilangkan masalah di komputer anda tapi yang anda dapatkan adalah program virus. (lihat gambar 13)

Gambar 13, Registrasi palsu untuk mendapatkan ”Full Version”

Menghapus program

Aksi lain yang dilakukan oleh W32/FakeAV.AESL adalah menghapus semua program aplikasi yang sudah terinstall sehingga user akan kesulitan untuk menjalankan program aplikasi tersebut. (lihat gambar 14)

Gambar 14, W32/FakeAV.AESL  menghapus program aplikasi

Jebakan W32/FakeAV.AESL

Hati-hati dengan jebakan yang dipasang oleh W32/FakeAV.AESL, jika anda yakin telah terinfeksi virus ini sebaiknya anda jangan langsung menghapus file temporary (baik menggunakan tools maupun secara manual) karena virus ini akan memindahkan semua file program aplikasi yang di hapus tersebut ke folder temporary tepatnya di direktori [C:\Documents and Settings\%user%\Local Settings\Temp\smtmp].

Menyembunyikan file/folder

Sudah jatuh tertimpa tangga, itulah perumpamaan yang dapat digambarkan bila komputer kita sudah terinfeksi virus ini. Setelah berhasil ”memporakporandakan” program aplikasi, ia juga akan menyembunyikan file/folder disemua drive sehingga makin mempersulit user untuk mengakses komputer dan mematikan virus tersebut. (lihat gambar 15)

Gambar 15, W32/FakeAV.AESL  menyembunyikan file/folder

Cara membersihkan W32/FakeAV.AESL 

1. Lakukan pembersihan pada mode ”safe mode”
2. Disable ”System Restore” untuk sementara selama proses pembersihan dilakukan
3. Matikan proses virus dengan nama [6DSS92c31Apgjk.exe]. Untuk mematikan proses ini sebaiknya gunakan tools selain Task Manager, seperti ProceeXP (http://technet.microsoft.com/en-us/sysinternals/bb896653)
4. Repair registry Windows yang sudah dibuat oleh virus. Untuk mempercepat proses penghapusan salit script dibawah ini pada program notepad kemudian simpan dengan nama REPAIR.INF. Install dengan cara: Klik kanan REPAIR.INF | Klik INSTALL

[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee 2012

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,ShowSuperHidden,0x00010001,1

HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced,SuperHidden,0x00010001,1

HKLM, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0x00010001,1

HKLM, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0x00010001,0

[del]

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, BFwoCYFrNlwR.exe

HKU, S-1-5-21-842925246-1383384898-1343024091-1003\software\microsoft\windows\currentversion\run, BFwoCYFrNlwR.exe

HKLM, SOFTWARE\Microsoft\ESENT\Process\BFwoCYFrNlwR

HKLM, SOFTWARE\Microsoft\ESENT\Process\6DSS92c31Apgjk

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop, NoChangingWallPaper

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Associations, LowRiskFileTypes

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Attachments, SaveZoneInformation

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoDesktop

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableTaskMgr

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer, NoFolderOptions

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system, DisableRegistryTools

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system, DisableTaskMgr

5. Hapus file yang dibuat oleh virus

1. C:\Documents and Settings\All Users\Application Data

o   6DSS92c31Apgjk.exe

o   BFwoCYFrNlwR.exe

o   6DSS92c31Apgjk

2. C:\Document and settings\%user%\desktop\Data Recovery.lnk (%user%, menunjukan user yang digunakan saat login Windows)

                                                                                   

            Catatan:

Sebelum melakukan penghapusan, tampikan file yang tersembunyi dengan merubah Folder Options berikut:

o   Pilih opsi “Show hidden files and folders”

o   Hilangkan tanda centang pada opsi “Hide extension for known file types”

o   Hilangkan tanda centang pada opsi “Hide protected operating system files (Recommended)” (lihat gambar 16)

                 

                  Gambar 16, Folder Options

6. Tampilkan file yang disembunyikan dengan cara:
1. Klik tombol [Start]
2. Klik [RUN]
3. Pada dialog box RUN ketik CMD kemudian tekan tombol [enter]
4. Pindahkan posisi kursor pada drive yang akan di periksa (contohnya: jika drive yang akan diperiksa adalah drive [C:\] maka ketik perintah C: kemudian klik tombol [Enter]
5. Kemudian ketik perintah ATTRIB -S -H -R  /S /D kemudian tekan tombol [Enter]
6. Tunggu sampai proses selesai dilakukan
7. Lakukan langkah yang sama pada drive lain (lihat gambar 17)

Gambar 17, Menampilkan file/folder yang disembunyikan

7. Untuk Mengembalikan program instalasi yang di hapus oleh W32/FakeAV.AESL  copy file yang berada di direktori [C:\Documents and Settings\%user%\Local Settings\Temp\smtmp] ke direktori [C:\Documents and Settings\All Users\Start Menu]
8. Scan ulang dengan menggunakan antivirus yang up-to-date untuk memastikan komputer benar-benar bersih dari virus

Sumber: http://www.vaksin.com 

Anda juga dapat mencoba tool yang dibuat oleh VAKSIN.COM Silakan download DISINI