Ada virus baru lagi yang baru nongol. Hasil dari penelusuran di kompas tekno namanya Deadlock yang menampilkan pesan seperti ini.
Bebaskan Negeri kami Indonesia dari
Terorisme, Anarkis, dan KKN (Kolusi, Korupsi & Nepotisme) pada Kubu
Pemerintahan Republik Indonesia (Sipil, TNI & Polisi) serta
Tangkap, Berantas dan Penjarakan ? Tanpa Kecuali. Bersihkan Negeri kami
dari Portitusi, Perjudian dan Kejahatan Sosial. Merdekakan diri kami
dari Kemiskinan, Kesengsaraan dan Ketidakadilan! Bersama Partai
Demokrat ? SBY & BOEDIONO, Bersama Membangun Indonesia Adil, Makmur
& Sejahtera
Atas Nama Bangsa Indonesia
Pangeran DEADLOCK
I?m Everyone, but NoOne
I?m Everything, but NoThing
I?m Everywhere, but NoWhere
Jika
komputer Anda tiba-tiba menampilkan sebuah gambar dengan pesan tersebut
(lihat gambar 1), Anda disarankan untuk segera ambil tindakan.
Pasalnya, komputer Anda sudah diserang virus yang aktif dan mematikan.
Virus tersebut akan menampilkan pesan tersebut dalam desktop
yang telah diambil alih. Biasanya pesan ini hanya akan muncul pada
waktu yang ditentukan. Seiring dengan munculnya pesan ini, maka semua file yang ada di semua drive akan dihapus, termasuk program dan file system Windows.
Jadi,
kalau Anda melihat pesan ini pada komputer Anda, kemungkinan sudah
terlambat karena sebentar lagi data di komputer Anda akan dihancurkan.
Seperti peribahasa "air tenang menghanyutkan", rupanya di dalam bisunya
virus ini menyimpan bom waktu di komputer korbannya yang akan
diaktifkan sesuai dengan waktu yang telah ditentukan. Puncaknya, pada tanggal 12 dan 13 nanti, Deadlock akan membuat komputer Anda benar-benar deadlock alias dihancurkan semua datanya, baik data di seluruh harddisk, flashdisk, maupun file-file Windows sehingga menampilkan pesan "NTLDR is Missing". Kenali cirinya Virus
ini sebenarnya masih masuk ke dalam keluarga Visual Basic yang
dikompresi dengan menggunakan program Petite 2.x dengan ukuran sekitar
80 KB. Ikon yang digunakan juga tidak disamarkan, tetap menggunakan
ikon aplikasi dan kemungkinan berasal dari salah satu kota di
Kalimantan (Samarinda). Jika virus ini aktif di komputer, ia akan membuat beberapa file yang akan dijalankan pada saat komputer dinyalakan.
- C:-Windows-system32-apache.exe
- C:-Windows-system32-mysql.exe
Pemilihan nama apache dan mysql kemungkinan bertujuan menyamarkan dirinya sebagai program populer Apache dan Mysql. Agar file tersebut dapat aktif secara otomatis pada saat komputer dinyalakan, ia akan membuat beberapa string pada registry berikut:
-HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Windows-CurrentVersion-Run
-mysql = C:-Windows-system32-mysql.exe
-HKEY_CURRENT_USER-SOFTWARE-Microsoft-Windows-CurrentVersion-Run
-apache = C:-Windows-system32-apache.exe
Virus
ini cukup cerdik dalam mengelabui pengguna. Pengguna tidak akan curiga
jika sebenarnya komputer tersebut telah terinfeksi karena tidak ada
tanda-tanda yang biasa dilakukan oleh virus lokal lainnya, seperti disable Task Manager / MSConfig / Regedit atau Folder Options, selain itu file yang
dibuat juga tidak mencurigakan karena seolah-olah merupakan program
Apache dan MySql. Pengguna baru sadar bahwa komputer telah terinfeksi
virus pada saat terlambat, yang kala itu akan muncul pesan dari pembuat
virus yang kemudian diikuti dengan munculnya pesan "error Windows file
Protection". Hal ini menandakan bahwa ada suatu program yang berusaha
untuk menghapus file system Windows.
Virus ini akan aktif secara otomatis setiap kali pengguna mengakses suatu drive/flash disk dengan memanfaatkan autorun Windows dengan membuat 3 buah file, yakni:
-[Desktop.ini] yang berisi script untuk menjalankan file [folder.htt]
-[Folder.htt], berisi script untuk menjalankan file utama yakni [flashguard.exe]
-[Flashguard.exe] merupakan file induk yang akan di jalankan.
Flashdisk
merupakan salah satu media yang paling banyak digunakan oleh pengguna.
Hal inilah yang akan dimanfaatkan oleh sebagian bahkan boleh dibilang
semua virus untuk menyebarkan dirinya. Hal ini juga akan dilakukan oleh
virus Deadlock dengan cara membuat beberapa file berikut.
-Desktop.ini
-Folder.htt
-Flashguard.exe
Bom waktu Virus
Deadlock laksana bom waktu yang akan menghancurkan komputer target pada
waktu yang telah ditentukan. Virus ini akan menjalankan aksinya setiap
tanggal 12-13 sekitar pukul 08.00-09.00 setiap bulan dengan cara
MENGHAPUS SEMUA FILE/DATA TERMASUK FILE SYSTEM WINDOWS yang ada di
semua drive termasuk di media flashdisk dengan menggunakan perintah cmd.exe /c del /f /s /q /a dan cmd.exe /c rd /s /q sehingga, jika komputer tersebut di-restart, maka akan muncul pesan "error". Jadi, cara terbaik untuk mengantisipasinya, jangan lupa melakukan back-up
data. Untuk mencegah terinfeksi virus ini, Anda disarankan menggunakan
program antivirus yang dapat mendeteksi virus ini dengan baik. Menurut
pengetesan Lab Vaksincom, saat ini virus yang terdeteksi oleh Norman
sebagai Deadlock belum terdeteksi oleh mayoritas antivirus yang ada di
Indonesia, baik antivirus lokal maupun antivirus mancanegara. Norman
Endpoint Protection mendeteksi virus Deadlock sebagai Tibs.DKKR.
Jika Anda menginginkan data Anda yang menjadi korban Deadlock ini kembali, jangan sekali-kali menginstal ulang OS Anda ke harddisk yang mengandung data Anda yang hilang tersebut. Lakukan proses recovery data penting dengan menggunakan aplikasi data recovery dan metode yang benar.
Dan 6 Langkah Bersihkan Virus ini sebagai berikut: 1. Disable [System Restore] selama proses
pembersihan. Masuk menu Start>>Control
Panel>>System>>System Restore>>Pilih turn off
2. Matikan proses virus yang aktif di memori, gunakan tools pengganti Task Manager, seperti Process Explorer, kemudian matikan proses yang mempunyai nama mysql.exe dan apache.exe
Silahkan download tools tersebut di url berikut:
http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx 3.
Agar virus ini tidak dapat aktif kembali sebaiknya blok file tersebut
agar tidak dapat di eksekusi dengan mendaftarkan pada Software
Restriction Policies. Fitur ini hanya ada pada komputer dengan sistem
operasi Windows XP Professional/Windows Server 2003/Windows Vista dan
Windows Server 2008, dengan cara: - Klik menu [Start]
- Klik menu [Run]
- Pada kotak dialog RUN, ketik perintah SECPOL.MSC kemudian klik tombol [OK]
- Setelah muncul layar Local Security Settings, klik kanan pada menu Software Restriction Policies lalu klik Create New Policies
- Pada menu Software Restriction Policies, klik Additional Rules
- Klik kanan pada Additional Rules, kemudian pilih New Hash Rule..., kemudian akan muncul layar New Hash Rule
- Pada kolom File hash klik tombol Browse kemudian arahkan ke direktori [C:-Windows-system32-apache.exe]
- Kemudian klik tombol [Open]
- Pada kolom Security level pilih [Disallowed]
- Pada kolom description boleh di isi atau dikosongkan saja
- Klik tombol [Apply]
- Klik tombol [Ok]
Catatan:
Jika komputer Anda tidak terinstall Windows XP Professional/2003 Server/Vista/2008 lewati langkah ini.
4.
Hapus string registry yang sudah diubah oleh virus. Untuk mempercepat
proses perbaikan salin script di bawah ini pada program notepad
kemudian simpan dengan nama repair.inf kemudian jalankan file tersebut
dengan cara
- Klik kanan file repair.inf
- Klik [Install]
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software-CLASSES-batfile-shell-open-command,,,"""%1"" %*"
HKLM, Software-CLASSES-comfile-shell-open-command,,,"""%1"" %*"
HKLM, Software-CLASSES-exefile-shell-open-command,,,"""%1"" %*"
HKLM, Software-CLASSES-piffile-shell-open-command,,,"""%1"" %*"
HKLM, Software-CLASSES-regfile-shell-open-command,,,"regedit.exe "%1""
HKLM, Software-CLASSES-scrfile-shell-open-command,,,"""%1"" %*"
HKLM, SOFTWARE-Microsoft-Windows NT-CurrentVersion-Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM-ControlSet001-Control-SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM-ControlSet002-Control-SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM-CurrentControlSet-Control-SafeBoot, AlternateShell,0, "cmd.exe"
HKCU, Software-Microsoft-Windows-CurrentVersion-Policies-Explorer, NoDriveTypeAutoRun,0x000000ff,255
HKLM, SOFTWARE-Microsoft-Windows-CurrentVersion-policies-Explorer, NoDriveTypeAutoRun,0x000000ff,255
[del]
HKCU, Software-Microsoft-Windows-CurrentVersion-Run, apache
HKLM, Software-Microsoft-Windows-CurrentVersion-Run, mysql
5. Hapus file induk virus yang ada di direktori - C:-Windows-system32-apache.exe
- C:-Windows-system32-mysql.exe
6. Untuk pembersihan optimal dan mencegah infeksi ulang, install dan scan dengan menggunakan antivirus yang up-to-date.
Anda juga dapat menggunakan Norman Malware Cleaner, silahkan download tools tersebut di alamat berikut http://www.norman.com/support/support_tools/58732/en-us
Catatan:
Jika
komputer yang terinfeksi Deadlock ini tidak dapat melakukan booting
Windows dengan muncul pesan error NTLDR Is Missing sebaiknya lakukan
install ulang, sedangkan untuk data yang telah dihapus silahkan Anda
recovery dengan menggunakan software recovery seperti GetData Back/Easy
Recovery/Recovery my Files, tetapi hal ini tidak akan menjamin semua
data akan dapat diselamatkan.
Sumber:Disini
Disini
var container = document.getElementById('nativeroll_video_cont');
if (container) {
var parent = container.parentElement;
if (parent) {
const wrapper = document.createElement('div');
wrapper.classList.add('js-teasers-wrapper');
parent.insertBefore(wrapper, container.nextSibling);
}
}
|
