Loading ...
Sorry, an error occurred while loading the content.

Virus yang bisa membuat teknisi komputer kena gaplok, W32/FakeAV.AESL

Expand Messages
  • Alfons
    http://www.vaksin.com/2012/0212/FakeAV/FakeAV.htm W32/FakeAV.AESL Virus yang bisa membuat teknisi komputer kena gaplok Ini hanya skenario bayangan tetapi
    Message 1 of 1 , Feb 8, 2012
    View Source
    • 0 Attachment
      http://www.vaksin.com/2012/0212/FakeAV/FakeAV.htm

      W32/FakeAV.AESL

      Virus yang bisa membuat teknisi komputer kena gaplok

       

      Ini hanya skenario bayangan tetapi mungkin saja terjadi :

      LHOO !!! ... Saya mau Data Recovery kok malah kamu instal Antivirus, bukannya harddisknya malah tambah rusak nanti. Kamu mau nipu saya yah. PLOK ..... PLOK. Ampun pak, saya ngga nipu, tetapi ini memang virusnya yang malsuin peringatan Windows.

       

      Kalau komputer anda terinfeksi virus / malware obatnya antivirus, kalau harddisk rusak dan korup tentu obatnya program Data Recovery dimana diusahakan semaksimal mungkin untuk tidak menjalankan harddisk yang rusak tersebut supaya kerusakan tidak bertambah parah. Namun kalau anda terkena kasus seperti yang di bawah ini, dimana anda membawa harddisk yang "menurut" pesan yang timbul mengalami kerusakan fatal seperti : (lihat gambar 5 – 11 di bawah)

       

      -       Harddrive rotational speed decreased by 20 %. (yang kira-kira artinya motor harddrive mengalami penurunan kinerja / kerusakan)

      -       Disk Drive c:\ is unreadable.

      -       Drive C initializing error (tetapi lucunya kok komputernya bisa jalan padahal system Windowsnya ada di drive C).

      -       GPU RAM Temperature is cirtically high. (ngga ngerti kok temperatur RAM yang tinggi .... harusnya kan prosesor yang temperaturnya tinggi).

      -       Critical Error. Harddrive Error.

      -       Windows detected a harddisk problem. A potential disk failure may causes loss of files, applications and documents stored on the hard disk. It's highly recommended to scan and solve HPP problems before continue using this PC.

       

      Lalu oleh teknisi toko komputer anda lantas instal antivirus, jangan anda langsung marah dan teknisinya di tampol dulu. Karena dalam kasus ini teknisinya bukan mau menipu anda menginstalkan antivirus ke komputer yang harddisknya rusak. Tetapi memang ada virus yang memalsukan peringatan Windows seakan-akan harddisk anda mengalami kerusakan parah. Untuk detailnya silahkan ikuti artikel yang dibuat oleh Aj Tau dibawah ini. Dan jika anda teknisi komputer yang mendapatkan kasus ini, tidak perlu pakai helm anti gaplok sewaktu membasmi virus ini :p karena  Vaksincom memberikan Tools untuk membasmi virus ini.

      =====================================

      Trend penyebaran virus saat ini lebih di dominasi oleh virus yang mempunyai kemampuan menginjeksi file aplikasi seperti file dengan ekstensi EXE, COM atau SCR sebut saja virusW32/Alman, W32/Sality, W32/Virut atau W32/Ramnit serta masih banyak virus lainnya dengan varian yang cukup banyak. Maraknya penyebaran virus saat ini mengharuskan kita lebih waspada terhadap kemungkinan-kemungkinan virus lain yang setiap saat mengintai. Perlu langkah cermat untuk mengantisipasi agar tidak menjadi korban salah satunya dalam memilih program antivirus dan "rupanya" hal ini merupakan celah baru yang dapat di manfaatkan oleh virus untuk menyebarkan dirinya dengan cara memalsukan dirinya sebagai program keamanan (baca: antivirus). Fake antivirus atau yang lebih dikenal dengan sebutan Antivirus palsu mempunyai tampilan yang tidak kalah menarik seperti program antivirus pada umumnya yang dilengkapi dengan berbagi fitur Internet Security seperti Firewall atau Privacy Tools. Dalam hal deteksi juga cukup "Baik" karena mampu mendeteksi virus-virus yang tidak dapat di deteksi oleh program antivirus pada umumnya, tetapi anda jangan terkecoh karena semua peringatan yang muncul adalah PALSU, ujung-ujungnya kita diminta untuk mengirimkan sejumlah uang untuk mendapatkan versi full nya agar dapat menghapus virus "palsu" tersebut.

       

      Program antivirus palsu atau lebih dikenal dengan istilah Scareware saat ini sudah mencapai puluhan jenis. Kurang nya pengetahuan user terhadap perkembangan virus menjadi penyebab mudahnya antivirus gadungan ini menyebar. Dari sekian banyak program scareware yang menyebar salah satunya adalah W32/FakeAV.AESL demikian Norman Security Suite mendeteksi virus ini(lihat gambar 2). Program gadungan ini akan menyamarkan dirinya sebagai tools "Data Recovery" yang di dalamnya berisi fitur untuk melakukan pemeriksaan terhadap komputer Anda seperti pemeriksaan kondisi Hard Disk, Memory, Registry serta Operating System Anda. (lihat gambar 1)

       

      Gambar 1, Tampilan antar muka W32/FakeAV.AESL

      Gambar 2, Hasil deteksi Norman Malware Cleaner

       

      File induk

      Tools gadungan ini dibuat dengan menggunakan bahasa pemograman Visual C++. Pada saat file antivirus gadungan tersebut di jalankan, ia akan membuat beberapa file induk berikut yang akan di aktifkan pada saat computer di nyalakan :

       

      ü  C:\Documents and Settings\All Users\Application Data

      o   6DSS92c31Apgjk.exe dengan ukuran 563 KB

      o   BFwoCYFrNlwR.exe dengan ukuran 619 KB

      o   6DSS92c31Apgjk , ukuran file 1 KB

       

      ü  C:\Document and settings\user\desktop\Data Recovery.lnk (lihat gambar 3)

       

                  

                  Gambar 3, File induk W32/FakeAV.AESL

       

      Untuk mengelabui user, ia juga akan menyisipkan sebuah icon pada taskbar yang jika icon tersebut di klik (double click) akan mengaktifkan dirinya (lihat gambar 4)

       

      Gambar 4, Icon W32/FakeAV.AESL

       

      Registri Windows

      Agar antivirus gadungan ini dapat aktif secara otomatis pada saat komputer  dinyalakan, ia akan membuat beberapa string pada registri Windows berikut:

       

      • hkey_users\S-1-5-21-842925246-1383384898-1343024091-1003\software\microsoft\windows\currentversion\run
        • BFwoCYFrNlwR.exe = C:\Documents and Settings\All Users\Application Data\BFwoCYFrNlwR.exe

       

      • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
        • BFwoCYFrNlwR.exe = C:\Documents and Settings\All Users\Application Data\BFwoCYFrNlwR.exe

       

      • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\BFwoCYFrNlwR

       

      • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\BFwoCYFrNlwR\DEBUG

      o   Trace Level

       

      • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Process\6DSS92c31Apgjk\DEBUG

      o   Trace Level

       

      Blok fungsi Windows

      Untuk memperlancar aksinya, ia akan blok beberapa fungsi Windows seperti :

      -          Disable Registry

      -          Disable TaskMgr

      -          Disable Folder Options

      -          Disable Deskop

      -          Tidak dapat mengganti wallpaper Windows

      -          SaveZoneInformation

      -          LowRiskFileTypes

       

      Untuk melakukan hal tersebut ia akan membuat beberapa registri berikut:

       

      o   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop

      -          NoChangingWallPaper

       

      o   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Associations

      -          LowRiskFileTypes  = .zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;.scr;

       

      • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Attachments

      -          SaveZoneInformation

       

      • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

      -          NoDesktop

      -          NoFolderOptions

       

      • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

      -          DisableRegistryTools

      -          DisableTaskMgr

       

      • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

      -          NoFolderOptions

      -           

      • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system

      -          DisableRegistryTools

      -          DisableTaskMgr

       

      Menampilkan peringatan palsu

      Seperti kebayakan antivirus gadungan, Tools gadungan W32/FakeAV.AESL juga akan menampilkan peringatan-peringatan palsu seolah-olah komputer tersebut bermasalah seperti yang terlihat pada gambar berikut : (lihat gambar 5 - 11)

       

      Gambar 5, Peringatan palsu W32/FakeAV.AESL

       

      Gambar 6, Peringatan palsu W32/FakeAV.AESL

       

      Gambar 7, Peringatan palsu W32/FakeAV.AESL

       

      Gambar 8, Peringatan palsu W32/FakeAV.AESL

       

      Gambar 9, Peringatan palsu W32/FakeAV.AESL

       

      Gambar 10, Peringatan palsu W32/FakeAV.AESL

       

      Gambar 11, Peringatan palsu W32/FakeAV.AESL

       

      Rakus memakan memori

      Hal yang paling mengganggu yang dilakukan oleh virus ini adalah, akan menampilkan peringatan-peringatan palsu secara terus-menerus yang mengakibatkan resource memori komputer terkuras habis dan menyebabkan komputer menjadi hang/crash. (lihat gambar 12)

       

      Gambar 12, Peringatan palsu W32/FakeAV.AESL

       

      Registrasi Palsu

      Untuk mengatasi masalah tersebut, Anda harus melakukan registrasi terlebih dahulu untuk mendapatkan software full version dengan mencantumkan alamat email serta kode aktivasi yang Anda miliki, jika Anda tidak mempunyai kode aktivasi scareware ini akan menuntun Anda untuk melakukan registrasi melalui internet, ujung-ujung nya anda diminta untuk transfer sejumlah uang, alhasil bukannya software full version yang Anda dapatkan dengan harapan dapat menghilangkan masalah di komputer anda tapi yang anda dapatkan adalah program virus. (lihat gambar 13)

       

      Gambar 13, Registrasi palsu untuk mendapatkan "Full Version"

       

      Menghapus program

      Aksi lain yang dilakukan oleh W32/FakeAV.AESL adalah menghapus semua program aplikasi yang sudah terinstall sehingga user akan kesulitan untuk menjalankan program aplikasi tersebut. (lihat gambar 14)

       

    Your message has been successfully submitted and would be delivered to recipients shortly.