Pages

Sunday, June 17, 2007

EXPLOREZIP

Bagi para pecandu virus, selama ini Anda mungkin berpikir bahwa virus itu hanya bisa ditularkan melalui : file program (PrettyPark.exe, Happy99.exe), file dokumen (Prilissa), maupun melalui e-mail (Bubbleboy). Namun saat ini sudah keluar virus yang canggih pula yang agak susah untuk medeteksinya karena dalam bentuk file yang terkompresi. (McAfee memberitahukan bahwa virus ini tidak bisa dideteksi oleh scan engine versi 3.xx mereka, untuk mengetahui bagaimana cara mengupdate Scan McAfee Anda silakan klik di sini). Pada bulan Juni 1999, virus ini pernah menyebar dengan nama julukan ExploreZip atau ExploreZip.worm. Saat ini kembali virus tersebut muncul dengan julukan : Explorezip Junior atau ExploreZip.worm.park. Empat perusahaan antivirus terkenal (McAfee. Symantec , Network Assiciates, dan Trend Micro) telah menerima salinan virus Zip yang aktif saat ini. Dan menurut informasi terakhir, McAfee telah berhasil membuat deteksi dan antivirusnya pada tanggal 2 Desember 1999. Jika virus baru ini masih mengikuti pola yang sama dengan virus ExploreZip yang pernah mewabah maka ciri khasnya :
  • Menular melalui e-mail yang berisi/body/message : I received your email and I shall send you a reply ASAP. Till then, take a look at the attached zipped docs.
  • attachmentnya berupa file : zipped_files.exe
  • jika kita mengklik file exe ini maka : virus ini akan menghapus file-file : *.c, *.cpp, * .asm, * .doc, * .xls, * .ppt. menjadi nol Kb, dan secara otomatis mengirim e-mail dengan isi dan attachment seperti yang disebutkan pada point a dan b di atas. Mail dikirim ke e-mail address yang terdapat di address book pada sistem yang berbasis Microsoft (Outlook, Outlook Express, dan Exchange).
Cara infeksi : Virus akan membuat 2 file yaitu EXPLORE.EXE dan _SETUP.EXE yang secara otomatis akan ditempatkan di folder : Explore.exe di folder C:\Windows\System _Setup.exe di folder C:\Windows Kemudian Win.ini akan dimodifikasi dengan :
[windows]

run=c:\windows\explore.exe  (atau)  _setup.exe
Setiap reboot, file explore.exe akan diganti menjadi _setup.exe dan sebaliknya. Pada system Windows NT, registri dimodifikasi dengan tambahan :
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
run = explore.exe  (atau)  _setup.exe
Setiap reboot, file explore.exe akan diganti menjadi _setup.exe dan sebaliknya. Virus ini tidak melalukan pencegahan terhadap infeksi yang berulang. Jadi bisa terjadi infeksi yang berulang-ulang. Pencegahan :
  1. Jangan mengklik/mengekstrak attachment file dengan nama : zipped_files.exe.
  2. Khusus untuk yang menggunakan Scan McAfee : update dat file Anda dengan 4054dat file.
Deteksi dan pengobatan manual Prinsipnya, menghentikan semua program/aplikasi yang dijalankan, kemudian deteksi dan hapus file-file yang merupakan bagian dari aktifitas virus ini seperti yang telah dijelaskan di atas. Jika Anda kesulitan menghentikan program/aplikasi, tekanlah CTL-ALT-DEL. Langkah yang perlu dilakukan pada Windows 95/98 :
  1. Jalankan System Configuration Editor Start | Sysedit.exe
  2. Pilih jendela C:\WINDOWS\WIN.INI
  3. Pada baris run=, hapus baris yang berisi : run=C:\WINDOWS\SYSTEM\EXPLORE.EXE run=C:\WINDOWS\_SETUP.EXE
  4. Kemudian pilih : File | Save | Exit
  5. Start | Shut Down | Restart in MS-DOS mode (berguna untuk mengnonaktifkan Explore.exe dari RAM)
  6. Dalam MS-DOS mode, kembali ketik Exit untuk kembali ke MS Windows (berguna untuk menjalankan Windows tanpa Explore.exe di memori komputer)
  7. Kemudian cari file Explore.exe, _Setup.exe dan Zipped_Files.exe di seluruh folder dan hapus. Yang dicari BUKAN : _setup.dll, atau _setup32.lib. atau iexplore, melainkan Explore
Carilah seluruh file ini dan hapus hingga benar-benar bersih. Gunakan fungsi Find dari Start menu, hingga sudah tidak ditemukan lagi. Ingat, kemungkinan file ini akan Anda temukan lebih dari satu. Tambahan untuk pengguna Dr. Solomon (bukan Dr. Erik !!) Karena ada yang menanyakan mengenai antivirus Dr Solomon, perlu diinformasikan bahwa Datfiles dari McAfee tersebut tidak kompatibel dengan produk dari Dr Solomon. Pemilik antivirus Dr. Solomon bisa mengunjungi websitenya yang alamatnya bisa dilihat Referensi di bawah. Referensi : Scan McAfee http://www.mcafee.com/viruses/explorezip.pak Trend Micro: http://www.antivirus.com/ Network Associates: http://www.nai.com/ Dr Solomon : http://www.drsolomon.com/ Jangan lupa Tiramisunya yang for Worm ExploreZip download programnya: http://www.mikrodata.co.id/download/avirus/twez.zip Ikuti perkembangan virus terbaru di Virus Clinic: Erik's Pages http://dokter.indo.net.id/

No comments: