Virus "Deadlock", Pesannya Positif tapi Hancurkan Komputer

DeadLock

KOMPAS.com — Pesannya terdengar positif dengan kata-kata yang membangkitkan patriotisme. Namun, jangan terbuai kata-kata manis yang dibawa sebuah virus komputer lokal baru bernama Deadlock. Simak pesan tersebut berikut ini. 

Bebaskan Negeri kami Indonesia dari Terorisme, Anarkis, dan KKN (Kolusi, Korupsi & Nepotisme) pada Kubu Pemerintahan Republik Indonesia (Sipil, TNI & Polisi) serta Tangkap, Berantas dan Penjarakan ? Tanpa Kecuali. Bersihkan Negeri kami dari Portitusi, Perjudian dan Kejahatan Sosial. Merdekakan diri kami dari Kemiskinan, Kesengsaraan dan Ketidakadilan! Bersama Partai Demokrat ? SBY & BOEDIONO, Bersama Membangun Indonesia Adil, Makmur & Sejahtera

Atas Nama Bangsa Indonesia
Pangeran DEADLOCK

I?m Everyone, but NoOne
I?m Everything, but NoThing
I?m Everywhere, but NoWhere

Jika komputer Anda tiba-tiba menampilkan sebuah gambar dengan pesan tersebut (lihat gambar), Anda disarankan untuk segera ambil tindakan. Pasalnya, komputer Anda sudah diserang virus yang aktif dan mematikan.

Virus tersebut akan menampilkan pesan tersebut dalam desktop yang telah diambil alih. Biasanya pesan ini hanya akan muncul pada waktu yang ditentukan. Seiring dengan munculnya pesan ini, maka semua file yang ada di semua drive akan dihapus, termasuk program dan file system Windows.

Jadi, kalau Anda melihat pesan ini pada komputer Anda, kemungkinan sudah terlambat karena sebentar lagi data di komputer Anda akan dihancurkan. Seperti peribahasa "air tenang menghanyutkan", rupanya di dalam bisunya virus ini menyimpan bom waktu di komputer korbannya yang akan diaktifkan sesuai dengan waktu yang telah ditentukan.

Puncaknya, pada tanggal 12 dan 13 nanti, Deadlock akan membuat komputer Anda benar-benar deadlock alias dihancurkan semua datanya, baik data di seluruh harddisk, flashdisk, maupun file-file Windows sehingga menampilkan pesan "NTLDR is Missing".

Kenali cirinya

Virus ini sebenarnya masih masuk ke dalam keluarga Visual Basic yang dikompresi dengan menggunakan program Petite 2.x dengan ukuran sekitar 80 KB. Ikon yang digunakan juga tidak disamarkan, tetap menggunakan ikon aplikasi dan kemungkinan berasal dari salah satu kota di Kalimantan (Samarinda).

Jika virus ini aktif di komputer, ia akan membuat beberapa file yang akan dijalankan pada saat komputer dinyalakan.
- C:-Windows-system32-apache.exe
- C:-Windows-system32-mysql.exe

Pemilihan nama apache dan mysql kemungkinan bertujuan menyamarkan dirinya sebagai program populer Apache dan Mysql. Agar file tersebut dapat aktif secara otomatis pada saat komputer dinyalakan, ia akan membuat beberapa string pada registry berikut:
-HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Windows-CurrentVersion-Run
-mysql = C:-Windows-system32-mysql.exe
-HKEY_CURRENT_USER-SOFTWARE-Microsoft-Windows-CurrentVersion-Run
-apache = C:-Windows-system32-apache.exe

Virus ini cukup cerdik dalam mengelabui pengguna. Pengguna tidak akan curiga jika sebenarnya komputer tersebut telah terinfeksi karena tidak ada tanda-tanda yang biasa dilakukan oleh virus lokal lainnya, seperti disable Task Manager / MSConfig / Regedit atau Folder Options, selain itu file yang dibuat juga tidak mencurigakan karena seolah-olah merupakan program Apache dan MySql. Pengguna baru sadar bahwa komputer telah terinfeksi virus pada saat terlambat, yang kala itu akan muncul pesan dari pembuat virus yang kemudian diikuti dengan munculnya pesan "error Windows file Protection". Hal ini menandakan bahwa ada suatu program yang berusaha untuk menghapus file system Windows.

Virus ini akan aktif secara otomatis setiap kali pengguna mengakses suatu drive/flash disk dengan memanfaatkan autorun Windows dengan membuat 3 buah file, yakni:
-[Desktop.ini] yang berisi script untuk menjalankan file [folder.htt]
-[Folder.htt], berisi script untuk menjalankan file utama yakni [flashguard.exe]
-[Flashguard.exe] merupakan file induk yang akan di jalankan.
Flashdisk merupakan salah satu media yang paling banyak digunakan oleh pengguna. Hal inilah yang akan dimanfaatkan oleh sebagian bahkan boleh dibilang semua virus untuk menyebarkan dirinya. Hal ini juga akan dilakukan oleh virus Deadlock dengan cara membuat beberapa file berikut.
-Desktop.ini
-Folder.htt
-Flashguard.exe

Bom waktu

Virus Deadlock laksana bom waktu yang akan menghancurkan komputer target pada waktu yang telah ditentukan. Virus ini akan menjalankan aksinya setiap tanggal 12-13 sekitar pukul 08.00-09.00 setiap bulan dengan cara MENGHAPUS SEMUA FILE/DATA TERMASUK FILE SYSTEM WINDOWS yang ada di semua drive termasuk di media flashdisk dengan menggunakan perintah cmd.exe /c del /f /s /q /a dan cmd.exe /c rd /s /q sehingga, jika komputer tersebut di-restart, maka akan muncul pesan "error".

Jadi, cara terbaik untuk mengantisipasinya, jangan lupa melakukan back-up data. Untuk mencegah terinfeksi virus ini, Anda disarankan menggunakan program antivirus yang dapat mendeteksi virus ini dengan baik.

Menurut pengetesan Lab Vaksincom, saat ini virus yang terdeteksi oleh Norman sebagai Deadlock belum terdeteksi oleh mayoritas antivirus yang ada di Indonesia, baik antivirus lokal maupun antivirus mancanegara. Norman Endpoint Protection mendeteksi virus Deadlock sebagai Tibs.DKKR.

Jika Anda menginginkan data Anda yang menjadi korban Deadlock ini kembali, jangan sekali-kali menginstal ulang OS Anda ke harddisk yang mengandung data Anda yang hilang tersebut. Lakukan proses recovery data penting dengan menggunakan aplikasi data recovery dan metode yang benar.

Jika Anda menginstal ulang OS Anda ke harddisk yang mengandung data yang ingin Anda selamatkan, kemungkinan keberhasilan recovery akan sangat rendah. Jika Anda tidak berpengalaman pada data recovery dan ingin mendapatkan bantuan data recovery profesional dengan harga yang reasonable, silakan hubungi divisi Data Recovery Vaksincom di e-mail info[at]vaksin.com.

W32/Moonlight.L: Cahaya Bulan Berbahaya

Meski tergolong veteran, worm satu ini tetap eksis berkat munculnya berbagai varian. Tidak ingin terkena cahayanya yang membahayakan? Hati-hati dan pasang AVI.

"Moonlight", begitu program jahat berjenis worm ini menamai dirinya. Worm lokal ini sebenarnya sudah ada sejak jamannya W32/Brontok atau W32/Rontokbro, tetapi masih tetap eksis sampai sekarang. Ini karena variannya yang terus bermunculan hingga sekarang, bahkan masih banyak laporan dari pengguna AVI yang komputernya terinfeksi oleh worm ini. Karena itu, saya pun tertarik untuk membahas Moonlight pada edisi kali ini.

Karakteristik

W32/Moonlight dibuat menggunakan compiler andalan vxer (sebutan bagi pembuat program jahat) lokal yakni VB6 (Visual Basic 6) dan dimampatkan menggunakan program PE packer FSG. Ukuran aslinya sebesar 324 KB, lalu setelah dimampatkan menjadi 144 KB. Identitasnya sendiri menggunakan icon folder Windows XP standar.

Aksi (Payload)

Ketika pertama kali berjalan, W32/Moonlight.L akan membuat file “systear.dll” pada direktori system, contoh: “C:\WINDOWS\system32\systear.dll”. File ini merupakan file inisialisasi agar worm dapat mengenali dirinya dan sebagai penanda posisi di mana worm telah disebarkan. Setelah itu, Moonlight membuat file penunjang berbentuk dynamic link library (DLL) “moonlight.dll” pada direktori Windows (contoh: “C:\WINDOWS\moonlight.dll”) dan mengekstraksi file musik berformat MIDI “onceinabluemoon.mid” ke direktori Windows. Setelah itu, worm ini membuat direktori dengan nama acak pada subdirektori Windows dan System dengan format “C:\WINDOWS\[acak]”. Maksud “[acak]” disini berisi nama acak misalnya:
“C:\WINDOWS\FLR1S4G”
“C:\WINDOWS\system32\LDF6I7R”
Penggunaan nama acak tersebut kemungkinan dimaksudkan untuk mempersulit proses investigasi dan pembersihan.
Kemudian worm akan menggandakan dirinya pada tempat-tempat berikut:
* C:\WINDOWS\[acak]\service.exe
* C:\WINDOWS\[acak]\smss.exe
* C:\WINDOWS\[acak]\system.exe
* C:\WINDOWS\[acak]\winlogon.exe
* C:\WINDOWS\lsass.exe
* C:\WINDOWS\system32\[acak]\[acak].cmd
* C:\WINDOWS\[acak].exe
* C:\WINDOWS\system32\[acak].exe
* C:\WINDOWS\[acak]\[acak].com

W32/Moonlight.L sengaja menggandakan dirinya dengan nama-nama mirip servis bawaan Windows seperti “smss.exe”, “service.exe” dengan maksud agar prosesnya tidak mudah dihentikan menggunakan Task manager bawaan Windows. Perlu diketahui, Task manager akan menolak menghentikan proses dengan nama meliputi: “service.exe”, “smss.exe”,”system.exe”,”winlogon.exe”, dan “lsass.exe”.

Karena worm dibuat menggunakan VB6, dan karena setiap aplikasi VB6 membutuhkan runtime yang bernama “msvbvm60.dll”, worm ini melakukan strategi cerdik agar file runtime tersebut tidak dihapus atau terhapus (yang membuat worm tidak bisa berjalan). Caranya, dengan membuat  backup file runtime tersebut ke “C:\WINDOWS\system\msvbvm60.dll”.
Hal lain yang dilakukan Moontime adalah membuat file bernama “MooNlight.txt” pada direktori Windows (contoh: “C:\Windows\MooNlight.txt”). File ini berisi pesan dari pembuatnya yang mengaku bernama nick “Lunalight” alias “Moonlight”:

Penyebaran

Cara penyebaran W32/Moonlight.L sangat mirip dengan worm legendaris W32/Brontok alias W32/Rontokbro, yaitu dengan menggandakan dirinya ke setiap direktori dengan nama sama dengan direktori induknya.

Pembersihan dan pencegahan

Untuk membersihkannya cukup mudah, yang perlu Anda lakukan hanyalah menjalankan AVI (Antivirus Info Komputer) yang telah dibundel menjadi satu pada DVD bawaan majalah ini. Jalankan, dan lakukan pemeriksaan ke setiap lokasi dan media penyimpanan yang terhubung pada komputer Anda. Perlu diingat, jangan lakukan aktifitas apapun selama proses pemeriksaan. Sebagai upaya pencegahan kami sarankan Anda untuk memasang AVI sebagai guard untuk menghindari komputer Anda terinfeksi kembali oleh worm ini.

Changelog AVI 2.0.4.9:
* Perbaikan bug buffer overflow yang menyebabkan AVI crash ketika melakukan update online.
* Perbaikan bug compatibility dengan Windows Vista/7.
* Perbaikan bug access violation yang menyebabkan AVI crash ketika sedang melakukan scanning.
* Perbaikan salah deteksi pada beberapa file sistem Windows 7.