CARA MENDETEKSI KOMPUTER YANG TERKENA SERANGAN VIRUS
Oleh : Surahyo Sumarsono
Para pengguna komputer pasti sudah familiar dengan apa yang disebut Virus Komputer, apalagi jika menggunakan Sistem Operasi Microsoft Windows. Virus komputer adalah aplikasi komputer yang dapat menggandakan atau menyalin dirinya sendiri dan menyebar dengan cara menyisipkan salinan dirinya ke dalam aplikasi atau dokumen lain. Virus komputer bisa diumpamakan dengan virus biologis yang menyebar dengan cara menyisipkan dirinya sendiri ke sel makhluk hidup. Virus komputer dapat mengganggu (misalnya dengan merusak data pada dokumen), membuat koneksi pada jaringan menjadi lambat (bahkan berhenti sama sekali), atau tidak menimbulkan efek sama sekali.
Virus komputer umumnya merusak perangkat lunak komputer (dan data) tapi tidak dapat secara langsung merusak perangkat keras komputer. Beberapa jenis virus komputer tertentu dapat memaksa processing berlebihan pada perangkat tertentu misalnya Graphic Card, Memory maupun Processor. Efek negatif yang ditimbulkan akan membuat sumber daya pada komputer menjadi berkurang secara signifikan. Akibatnya, pengguna merasa komputernya menjadi sangat lambat sekali dalam memproses berbagai hal. Secara statistik, hampir 95% lebih virus adalah virus komputer berbasis sistem operasi Windows. Sisanya menyerang Linux/GNU, Macintosh maupun sistim operasi lain misal UNIX.
Untuk menanggulangi hal tersebut, pengguna perlu menggunakan aplikasi Anti Virus. Jenis aplikasi ini dapat mendeteksi dan menghapus virus komputer, asalkan basis data virus yang dimiliki oleh perangkat lunak antivirus telah mengandung kode untuk menghapus virus tersebut. Cara kerja antivirus cukup sederhana dengan mencari tanda-tanda dari keberadaan virus dengan menggunakan sebagian kecil dari kode virus yang telah dipelajari oleh vendor antivirus. Kode virus kemudian dikelompokan sesuai dengan jenisnya, ukurannya, daya hancurnya dan beberapa kategori lainnya. Cara ini merupakan pendekatan yang banyak digunakan oleh antivirus tradisional, sehingga pengguna harus rajin untuk meng-update basis data (signature) virus agar tidak terserang virus-virus baru. Hal yang menjadi tantangan bagi para vendor antivirus adalah adanya varian baru virus, yang sudah dimodikasi programmer lokal. Hal ini akan menyulitkan pengguna komputer yang menggunakan antivirus dari suatu vendor terkenal, tapi gagal mendeteksi virus lokal.
Cara lain dari antivirus dalam mendeteksi ancaman virus adalah menggunakan pendekatan memahami perilaku aplikasi normal pada suatu komputer. Jika ada kegiatan anomali (tidak wajar) pada suatu aplikasi yang berjalan, antivirus akan mendeteksi dan menutup akses yang tidak wajar tersebut. Beberapa vendor menyebut cara ini dengan Behavior Blocking Detection, walaupun belum banyak yang menerapkan. Saat ini, jenis virus terbaru yang nantinya bakal merepotkan vendor antivirus adalah jenis virus yang akan membuat kode (perilaku) yang sangat spesifik ke setiap korban sehingga antivirus tidak akan mengenalinya.
Dikarenakan sebagian besar vendor masih menggunakan cara tradisional dalam mendeteksi dan menghilangkan virus-virus, pengguna komputer diharuskan selalu waspada terhadap ancaman virus terbaru, tidak peduli menggunakan antivirus dari vendor manapun. Kedisplinan pengguna seperti rajin meng-update basis data virus, berhati-hati dalam menggunakan layanan jaringan lokal dan Internet (baik untuk browsing, chatting dan email) maupun transfer file menggunakan flashdisk akan sangat membantu mengurangi resiko. Beberapa situs lokal bisa dijadikan referensi untuk memantau perkembangan virus terbaru terutama virus lokal, seperti http://vaksin.com atau http://www.virologi.info dan beberapa situs lain yang bisa ditemukan melalui Search Engine. Cara lain untuk menghindari ancaman virus adalah penggunaan Sistem Operasi selain Microsoft Windows, misal menggunakan Macintosh ataupun Linux. Walaupun cara ini akan memaksa pengguna komputer harus belajar hal baru dalam menggunakan/mengoperasikan komputernya. Sebagai penutup, penulis mengingatkan bahwa teknologi pengembangan virus akan selalu berkembang dan berkejar-kejaran dengan vendor antivirus. Apapun jenis antivirus-nya, jika pengguna tidak berhati-hati akan tetap mendapatkan ancaman serangan virus. Kebiasan membuat data cadangan (backup) adalah langkah tambahan yang juga harus selalu dilakukan para pengguna komputer. Hal ini juga berlaku pada para pengguna handphone yang juga rentan terhadap serangan virus.
CARA MENSCAN VIRUS
1. Scan PC menggunakan antivirus kita,
- Update antivirus kita
- Disable fungsi System Restore Windows
- Restart, masuk safe mode.
- Scan komputer kita melalui safe mode
- Setelah selesai, restart, dan jangan lupa aktifkan kembali fungsi System Restore Windows
masih ada virus???
2. Scan PC kita menggunakan antivirus online.
- Disable fungsi System Restore Windows
- Restart, masuk Safe Mode With Networking (agar kita tetap bisa akses inet didalam safe mode)
- Scan menggunakan antivirus online, misalnya: http://security.symantec.com/ (rata2x antivirus online hanya support browser Internet explorer)
- Setelah selesai, restart, dan jangan lupa aktifkan kembali fungsi System Restore Windows
masih ada jugaaa???
3. Memeriksa secara manual
- Ctrl + Alt + Del (task manager)
- Pada task manager lihat aktivitas mencurigakan dari file2x yang bekerja di background (biasanya berekstensi .dll atau .exe)
- Jika ditemukan, tandai dan cari informasi dimana letak file “tersangka” ini
- Jika sudah didapat, restart, masuk ke Safe Mode.
- Dari safemode hapus file mencurigakan tadi
bingung / tidak menemukan file mencurigakan? (biasanya kalau terlalu banyak program)
4. Memeriksa Startup Manager
- Start -> Run -> msconfig
- Pada jendela msconfig kita periksa, file startup mana yang terlihat janggal, disable saja, kalau perlu dihapus (gunakan metode no. 3)
kok masih ada???
5. Memeriksa System Registry kita
Cara ini yang paling melelahkan, meskipun ada softwarenya, namun jika kita salah menggunakan, bisa fatal akibatnya bagi kestabilan system.
CARA MENANGANI VIRUS WIN32.DOWNADUP.B
Membicarakan soal virus kayanya tak akan ada ujungnya, hampir dipastikan ada saja virus-virus baru yang bermunculan entah itu virus dari luar ataupun virus lokal. Kenapa hal ini bisa terjadi? ya memang susah ditebak juga motif dari si pembuat virus ini, ada yang mengatakan bahwa si pembuat virus ini hanya iseng dengan kejahilannya untuk bisa tenar atau hanya untuk kepuasan sebagai sarana menyalurkan ide/kemampuannya, tapi diluar itu juga kita tidak tahu motifnya yang jelas pasti setiap orang yang komputernya terkena virus akan merasa jengkel bahkan bisa saja menjadi panik jika saja virus tersebut sampai merusak data.
Tepatnya tanggal 13 pebruari kemaren di kantorku juga terkena virus bahkan virus ini sangat sulit untuk diberantas. Virus ini jenisnya worm "w32.downadup.b". Selang beberapa saat virus ini menyebar ke seluruh jaringan padahal semua komputer yang terkoneksi ke jaringan telah menggunakan antivirus symantec client yang terintegrasi ke server.
Virus ini menyebar melalui USB flash disk dan komputer yang terhubung ke jaringan, menurut sumber yang aku dapat dari internet virus ini mulai ada sejak november 2008 hanya saja waktu itu cakupannya tidak sampe ke asia tenggara. Aktivitas yang dilakukan oleh virus ini, dia menempel pada folder temporary internet files dan juga folder c:\windows\system32\network service\, sehingga jaringan komputer pun menjadi macet.
Ada yang aneh juga dari aktivitas yang dilakukan oleh virus ini yaitu komputer yang terhubung ke jaringan tiba-tiba menjadi tidak konek kalo kita browse komputer lain pada windows explorer padahal kalo di ping pada modus DOS lancar-lancar saja. Nah kalo saja ini terjadi anda tinggal restart saja komputer dan pasti akan terkoneksi lagi.
Ya ribet juga kalo sudah terinfeksi. buat rekan-rekan yang belum terinfeksi ada beberapa hal yang bisa dilakukan yaitu:
1. Jika operating system anda menggunakan windows, segera update patchnya dari situs microsoft
2. Berikan password yang unik yang tidak gampang ditebak pada user administrator
3. Install antivirus yang handal dan juga updatenya yang terbaru
4. Jika anda masih mau menggunakan USB, segera off kan modus plag un play nya supaya begitu anda menancapkan USB Flash disk anda punya kesempatan untuk scan virus
ya hanya ini yang bisa saya sampaikan semoga bermanfaat, lain kali disambung lagi kalo sudah nemuin serumnya.
CARA MENANGANI VIRUS "SHORTCUT"
22 Maret 2009
.
Virus PIF/Starter atau yang lebih dikenal dengan virus shortcut membuat kesal korbannya dengan banyak sekali shortcut yang dibuat oleh virus tersebut. Repotnya, kalau cara penanganan virus ini tak tepat maka ia malah akan kembali lagi, lagi dan lagi.
Oleh sebab itu, simak 7 cara jitu dari analis virus Vaksincom MG Lat untuk menghentikan banjir shortcut yang diakibatkan virus ini:
1. Sebelumnya matikan dulu proses system restore.
2. Matikan proses dari file Wscript yang terletak di C:\Windows\System32, dengan cara menggunakan tools seperti CProcess, HijackThis atau dapat juga menggunakan Task Manager dari Windows.
3. Setelah dimatikan proses dari Wscript tersebut, kita harus men-delete atau me-rename dari file tersebut agar tidak digunakan untuk sementara oleh virus tersebut.
Sebagai catatan, kalau kita me-rename dari file Wscript.exe tersebut dengan otomatis, maka akan dikopikan lagi di folder tersebut. Oleh sebab itu, kita harus mencari di mana file Wscript.exe yang lainnya, biasanya ada di C:\Windows\$NtServicePackUninstall$, C:\Windows\ServicePackFiles\i386.
Tidak seperti virus-virus VBS lainnya, kita bisa mengganti Open With dari file VBS menjadi Notepad, virus ini berextensi MDB yang berarti adalah file Microsoft Access. Jadi Wscript akan menjalankan file DATABASE.MDB seolah-olah dia adalah file VBS.
4. Delete file induknya yang ada di C:\Documents and Settings\\My Documents\database.mdb, agar setiap kali komputer dijalankan tidak akan me-load file tersebut. Dan jangan lupa kita buka juga MSCONFIG, disable perintah yang menjalankannya.
5. Sekarang kita akan men-delete file-file Autorun.INF. Microsoft.INF dan Thumb.db. Caranya, klik tombol START, ketik CMD, pindah ke drive yang akan dibersihkan, misalnya drive C:\, maka yang harus kita lakukan adalah:
Ketik C:\del Microsoft.inf /s, perintah ini akan men-delete semua file microsoft.inf di seluruh folder di drive C:. Sementara kalau mau pindah drive tinggal diganti nama drivenya saja contoh: D:\del Microsoft.inf /s.
Untuk file autorun.inf, ketik C:\del autorun.inf /s /ah /f, perintah akan men-delete file autorun.inf (syntax /ah /f) digunakan karena file tersebut memakai attrib RSHA, begitu juga untuk file Thumb.db lakukan juga hal yang sama.
6. Untuk men-delete file-file selain 4 file terdahulu, kita harus mencarinya dengan cara search file dengan ekstensi .lnk ukurannya 1 kb. Pada 'More advanced options' pastikan option 'Search system folders' dan 'Search hidden files and folders' keduanya telah dicentang.
Harap berhati-hati, tidak semua file shortcut / file LNK yang berukuran 1 kb adalah virus, kita dapat membedakannya dari ikon, size dan tipenya. Untuk shortcut yang diciptakan virus ikonnya selalu menggunakan icon 'folder', berukuran 1 kb dan bertipe 'shortcut'. Sedangkan folder yang benar harusnya tidak memiliki 'size' dan tipenya adalah 'File Folder'.
7. Fix registry yang sudah diubah oleh virus. Untuk mempercepat proses perbaikan registry salin script dibawah ini pada program 'notepad' kemudian simpan dengan nama 'Repair.inf'. Jalankan file tersebut dengan cara:
- Klik kanan repair.inf
- Klik Install
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
[del]
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Winupdate
HKCU,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, explorer
sumber:detik.com
CARA MENANGANI VIRUS LOKAL
Tuesday, March 3, 2009
Virus ataupun worm yang banyak beredar di Indonesia kebanyakan adalah buatan orang Indo sendiri. Dan kebanyakan jenis serangan yang dilakukan oleh macam-macam virus lokal hampir sama. Tujuan utama dari virus tersebut adalah menggangu (meski banyak juga yang merusak).
Virus lokal sendiri kebanyakan mempunyai ciri ciri (*yang bisa di bilang umum) yaitu:
* Men disable fungsi Run
* Me-lock aplikasi Taskmanager
* Me-lock aplikasi Regedit
* Men disable fungsi Folder Option
* Me-lock Service Manager
* dan me lock fungsi fungsi windows yang lain yang berakibat mengganggu kinerja komputer kita.
Sering sekali komputer di tempat saya bekerja mengalami gangguan karena serangan berbagai macam virus. Bahkan antivirus yang kami gunakan pun yang selalu terupdate setiap minggunya masih tidak dapat mencegah masuknya virus virus tersebut. Selain itu, karena kebanyakan pemakai komputer di kantor saya berkerja banyak yang tidak terlalu mengerti soal komputer (kebanyakan hanya bisa menulis di word dan main game solitaire.. :D). Ok.. lah tidak usah menjelaskan keadaan tempat saya bekerja. Langsung saja saya kasih tau tool tool yang biasa membantu saya dalam membersihkan virus virus yang menginfeksi komputer di kantor saya. Yang mungkin nanti nya tool ini juga bisa membantu anda membersihkan virus di komputer anda... :)
Ini adalah tool tool yang saya gunakan untuk membantu saya membersihkan virus lokal yang telah menginfeksi komputer.
1. Greg Command Shell
Download
Greg command shell adalah tool yang saya gunakan sebagai pengganti command prompt dari waindows, jika saya tidak bisa menggunakan command prompt dari windows karena aplikasi nya telah di lock oleh virus.
2. CurrProcess
Download
CurrProcess ini saya gunakan sebagai pengganti task manager windows. Karena kebanyakan virus lokal juga mendisable aplikasi task manager windows.
3. RegAlyzer
Download
RegAlyzer ini di gunakan sebagai pengganti aplikasi regedit nya windows yang di lock sama virus.
4. Autoruns
Download
Tool Autorun ini, saya gunakan sebagai pengganti aplikasi service manager dan msconfig yang tidak
5. Regmon
Download
Regmon adalah tool yang dapat di gunakan untuk memonitor perubahan pada registry windows anda secara realtime.
6. Free Commander
Download
FreeCommander saya gunakan juga sebagai pengganti windows explorer yang di disable sama virus.
Tool tool diatas sampai saat ini sudah bisa membantu saya untuk menangani berbagai serangan virus lokal. Mungkin bisa juga membantu anda untuk mengatasi gangguan virus pada komputer anda.
posted by Eko @ 1:00 AM
CARA MENANGANI VIRUS ASING
Jika kita ketiban sial, ternyata worm terlanjur masuk dalam sistem komputer kita. Berikut ini beberapa saran penanggulangan yang mungkin dapat dipakai untuk menhapus atau memutus hidup worm.
· Mencari program anti virus
Cara tergampang melawan worm adalah dengan menggunakan program anti virus yang baru. Atau melakukan update database virus, yang umumnya disediakan oleh program anti virus yang kita pakai, secara berkala. Sehingga ia dapat mengenali keberadaan virus atau worm yang baru. Cara ini meskipun tidak efektif, tapi cukup membantu. Biasanya program anti virus terbaru pun kadang tidak dapat menangani worm lokal baru. Padahal setiap saat bermunculan worm-worm baru. Namun demikian, lebih baik memakai program anti virus daripada tidak sama sekali.
· Memakai MSCONFIG
Cara tradisional lainnya adalah memakai program msconfig untuk memeriksa sistem komputer anda. Terutama pada tab Startup, karena tab ini akan memuat info tentang program apa saja yang dijalankan saat booting awal dilakukan. Jika kita menemui nama masukkan baru atau aneh, itu wajib kita teliti.
Cara memanggilnya sudah tahu bukan? Klik Start, klik Run… pada saat kotak Run muncul, ketikkan msconfig dan tekan Enter. Jendela System Configuration Utility akan muncul. Pada jendela ini akan terdapat tab-tab, klik saja tab Startup.
Jika pada kolom Startup item muncul nama-nama baru, asing atau aneh, periksalah keabsahannya. Caranya? Perhatikan kolom Command. Disitu akan terdapat nama file yang dijalankan berikut lokasi path-nya. Kemudian kita pergi ke folder yang ditunjukkan oleh kolom Command tersebut. Untuk memeriksa keabsahannya file tersebut, klik kanan pada nama file tersebut. Suatu menu konteks akan muncul. Klik Properties, akan muncul jendela Properties, dengan beberapa tab seperti General, Version, Compatibility dan sebagainya. Kita klik tab Version karena tab ini memuat banyak informasi tentang file yang sedang kita pakai. Ada Company, File Version, Internal Name, Language, Legal Trademarks dan sebagainya. Klik pilihan-pilihan yang ada sesuai kebutuhan. Misalnya kita klik Company, seharusnya akan muncul informasi tentang Company pembuat program tersebut.
Dari hasil analisis masukkan value yang ada pada setiap item name, kita akan segera dapat mengetahui informasi data file yang kita periksa. Dari info ini biasanya akan segera ketahuan apakah file tersebut worm atau file asli.
· Memakai Regedit
Dengan regedit, program pengatur registry Windows, kita pun sebenarnya dapat mencegah atau memutus rantai hidup Worm. Karena worm umumnya akan memanfaatkan jasa registry dalam melakukan auto executer programnya. Bagian registry yang wajib kita periksa adalah pada:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnceEx
HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun
Jika pada bagian ini kita menemukan nama value yang antik atau aneh, periksa dan matikanlah bila memang diinginkan. Worm biasanya akan memanfaatkan subkey Run, agar dirinya dapat selalu dijalankan saat sistem operasi Windows diaktifkan.
· Membuat program anti virus sendiri
Cara terafdhol dan aman dalam mengatasi worm adalah dengan membuat program anti virus sendiri. Terutama dalam menangani worm lokal. Dan ini berat! Tidak semua orang dapat melakukannya.
· Memakai program pemeriksaan proses
Seandainya dengan msconfig kita gagal dala melakukan penelitian dan pengambilan keputusan. Pergunakanlah Task Manager. Cara pengaktifan Task Manager dilakukan dengan menekan gabungan tombol Ctrl+Alt+Del. Jika kita tekan kombinasi tombol tersebut maka akan muncul jemdela Windows Task Manager. Ada beberapa tab, seperti Applications, Processes, Performance dan sebagainya. Anggap saja kita sedang meneliti proses yang ada, klik tab Processes. Akan terlihat bebrapa masukkan proses yang sedang aktif pada komputer. Jika terdapat suatu proses dengan nama aneh, periksa dan matikanlah dengan mengklik namanya dan mengklik tombol End Process. Proses tersebut akan dihentikan. Jika proses yang kita hentikan kebetulan adalah program proses worm, maka sama saja kita membunuh worm dari memory.
Untuk lebih gampangnya (namun kurang akurat) adalah dengan memeriksa tab Aplications. Jika kita klik tab ini, akan terlihat nama-nama aplikasi yang sedang dijalankan. Untuk mematikan aplikasi, klik nama aplikasi yang diinginkan dan klik tombol End Task. Aplikasi akan seger dimatikan oleh Windows.
Pada umumnya worm akan “mengamnkan” Task Manager, dengan cara memblokir pengaksesan via manipulsai registry sehingga program Task Manager tidak dapat dijalankan. Atau, worm akan memantau pemakaian program ini. Jika diketahui program ini aktif, maka akan segera dimatikan atau komputer akan di-booting ulang. Nah kalo sudah begini bagaimana? Jawabanya kita harus memakai program pihak ketiga. Program yang tidak standar windows. Sehingga worm tidak akan dapat memantaunya. Banyak sekali program bantu ini dipasaran. Dan jika anda mau yang gratisan, dapat anda cari di internet. Salah satu program yang menjadi favorites saya adalah Process Explorer-nya SysInternals.
Catatan: Setelah semuanya telah dilakukan dan worm-nya sudah kita putus siklus hidupnya jangan lupa kita check lagi file worm-nya dan jika ada kita Delete manual.
PENCEGAHAN
Memakai program anti virus terbaru
Tidak sembarangan memakai Flash Disk
Tidak sembarangan menjalankan program
Memakai Account biasa (Non-Administrator)
0 komentar:
Posting Komentar