Mengejutkan dan mengherankan... seorang teman mengirimkan tautan menuju sebuah gambar " foto? :D http://www[dot]phatobuckats[dot]com/image[dot]php " demikian bunyi pesan yang saya terima melalui Yahoo! Messenger. Tertegun sejenak sebelum akhirnya memutuskan untuk mengikuti tautan yang diberikan itu. Link saya buka, apa yang terjadi?.. sebuah dialog pertanyaan apakah akan membuka file ini atau memutuskan untuk menyimpannya. Semula tak curiga, namun yang mengherankan mengapa gambar ini ber extensi .exe?... OK.. akhirnya saya putuskan untuk menyimpannya.. Dengan sedikit berhati-hati File yang semula bernama IM84536.JPG.image.php.exe ini saya simpan dengan nama IM84536.JPG.
Awalnya saya menduga kawan telah salah menuliskan tautan yang seharusnya... buru-buru saya kirim pesan kepadanya bahwa tautan tak dapat dibuka. Singkat cerita file IM84536.JPG yang telah didownload tadi saya buka dan hasilnya tak ada gambar apapun yang nampak. Barulah tersadar dan bersukur karena tidak membiarkan file tersebut dalam extensi .exe sehingga file virus tak menyerang komputer saya.
Karena penasaran akhirnya saya memutuskan untuk mencari informasi mengenai ulah YM yang mengherankan ini. Dan ternyata benar dugaan saya, ini adalah virus yang mungkin telah menginfeksi komputer kawan dan menyebarkan pesan secara otomatis dari daftar kontak pada YM nya.
Cukuplah bercerita, selanjutnya berikut ini cuplikan informasi yang saya dapat setelah menelusuri asal usul file asing tersebut;
Selama beberapa minggu telah meresahkan sebuah virus yang beredar melalui Yahoo Messenger. Pengguna YM menerima pesan teks "Foto: D http://.....php" diikuti tautan menuju sebuah file.
Ini bukanlah gambar, itu adalah sebuah aplikasi yang mengandung virus, dengan nama "IM84536.JPG-www.myspace.com.exe". Mereka yang men-download file dengan menggunakan Windows XP dan cenderung tidak memperhatikan extensi program ( .exe ), karena secara default disembunyikan oleh Windows dan ikon virus dibuat menyerupai ikon gambar pada Windows Explorer.
Demikianlah informasi yang saya dapatkan. Sepanjang pengamatan, virus ini akan mengirimkan pesan secara berulang dengan nama acak setiap 5 menit sekali. Ini akan terjadi bila anda menutup jendela YM setelah anda menerima pesan tersebut, jika anda membiarkan jedela tetap terbuka artinya anda belum mencoba mendownload virus tersebut, maka nama virus yang dikirimkan akan tetap sama.
Bagaimana tanda-tanda sistem yang terinfeksi virus ini?
Virus akan membuat file baru pada lokasi ini;
- %Windir%\infocard.exe (ini akan aktiv dijalankan sebagai sebuah proses; dan bisa juga menggunakan nama-nama lain seperti net.exe atau net1.exe)
- %Windir%\mds.sys
- %Windir%\mdt.sys
- %Windir%\winbrd.jpg
Selanjutnya virus juga akan membuat key pada registry sebagai berikut:
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ [Firewall Administrating = "%Windir%\infocard.exe"] (mengikuti nama yang dia buat)
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run\ [Firewall Administrating = "%Windir%\infocard.exe"] (mengikuti nama yang dia buat)
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ [Firewall Administrating = "%Windir%\infocard.exe"] (mengikuti nama yang dia buat)
Bagai mana cara mengatasinya?
Silahkan Download salah satu virus removal dari link berikut ini:
- Kaspersky Removal Tool
- 1 2 3 Spyware Free
- Symantec Norton Tool
- Dr.Web Cure It Tool
- Dr Web Cure It CD bootable ISO Jika komputer anda tak deapat dibooting.
- Avast Tool
- Microsoft malicious software removal
- Matikan Yahoo Messenger anda.
- Klik tombol Start, klik [Run], ketik "msconfig", silahkan pilih tab [Startup], matikan semua program virus yang ada dalam daftar dengan cara membuang centang pada ceckbox, lanjutkan dengan merestart komputer anda.
- Scan komputer anda dalam Safe Mode (tekan F8 sesaat setelah komputer restart sebelum muncul layar "loading" Windows), pada menu yang ditampilkan silahkan pilih "Safe Mode" dengan cara menekan tombol panah keatas atau kebawah pada keyboard.
- Matikan System Restore sebelum proses pen-scan-an anda lakukan.
Setelah virus berhasil dibersihkan silahkan restart komputer anda dan masuklah pada mode normal, jangan lupa untuk menginstal atau mengupdate antivirus pada komputer anda.
Nama-nama lain virus ini:
- 39720313.EXE
- 87550727.TXT
- 72797627.EXE
- 46490886.EXE
- INFOCARD.EXE
- IM74382[1].JPG-WWW.MYSPACE.COM.EXE
- IMAGE[1].EXE
- IM74382.JPG-WWW.MYSPACE.COM3.EXE
- IM84536.JPG-WWW.MYSPACE.COM.EXE
- HELP[1].EXE
- FICASEBOKSE.COMIMAGE.PHPIM84536[1].JPG-WWW.MYSPACE.COM.EXE
- IM84536.JPG-WWW.MYSPACE.COM[1].EXE
- IM74382.JPG-WWW.MYSPACE.COM_001.EXE
- IM74382.JPG-WWW.MYSPACE.COM_002.EXE
- IM74382.JPG-WWW.MYSPACE.COM_003.EXE
- IM74382.JPG-WWW.MYSPACE.COM_004.EXE
- IM74382.JPG-WWW.MYSPACE.COM_005.EXE
- IM74382.JPG-WWW.MYSPACE.COM_006.EXE
- IM74382.JPG-WWW.MYSPACE.COM_007.EXE
- IM74382.JPG-WWW.MYSPACE.COM_008.EXE
- IM74382.JPG-WWW.MYSPACE.COM_009.EXE
- IM74382.JPG-WWW.MYSPACE.COM_010.EXE
- IM74382.JPG-WWW.MYSPACE.COM_011.EXE
- IM74382.JPG-WWW.MYSPACE.COM_012.EXE
- IM74382.JPG-WWW.MYSPACE.COM_013.EXE
- IM74382.JPG-WWW.MYSPACE.COM_014.EXE
- IM74382.JPG-WWW.MYSPACE.COM[1].EXE
- Dan nama-nama lain yang mungkin akan berbeda.
Sumber: tv-net.ro dan dari berbagai sumber.
ini sebenarnya virus pada windows atau linux
ReplyDelete@ip ulJelas dan pasti virus Microsoft Windows :)
ReplyDelete