Siapa yang tidak kenal Nadia Saphira. Artis Indonesia yang memulai karier sebagai model sebuah majalah remaja, kini sudah termasuk artis muda yang sukses membintangi berbagai film layar lebar, sinetron dan serial TV, seperti Jomblo, Coklat Stroberi, Ada Apa dengan Cinta, dan Dunia Tanpa Koma.
Namun, hati-hati jika menemui Nadia Saphira palsu yang tengah merajalela di Internet. Ini adalah jenis virus baru yang merupakan varian baru virus bulu bebekyang menyerang sejak tahun 2008 lalu. Kalau tadinya Donal Bebek yang dijadikan ikon, kini giliran artis Nadia Saphira.
Meski tak merusak file data dan sistem, virus Nadia Saphira bakal mengganggu karena akan terus menggandakan diri dan menyembunyikan folder-folder yang penting. Jadi, kenali ciri-cirinya kalau-kalau komputer Anda terserang dan jangan sampai terlambat sebelum Nadi Saphira palsu sempat merajalela.

Ciri-ciri dari file virus ini, diantaranya sebagai berikut :
1. Memiliki ukuran file sebesar 17 kb & 69 kb.
2. Mempunyai type file Application.
3. Berekstensi file exe & ini.
4. Memiliki icon folder.
5. Membuat duplikat folder seduai dengan nama folder yang ada dan menyembunyikan folder aslinya.
6. Menghilangkan pilihan "Folder Options".
7. CD Rom tidak bisa digunakan
8. Command Prompt tidak bisa diakses.

Jika virus berhasil menginfeksi, maka ia akan membuat beberapa file virus diantaranya :
1. C:-autorun.inf (pada semua root drive)
2. C:-NadiaSaphira.ini (pada semua root drive)
3. C:-Documents and Settings-All User-Start Menu-Programs-Startup-lan.exe
4. C:-Documents and Settings-%User%-NadiaSaphira.ini
5. C:-WINDOWS-taskmgr.exe
6. C:-WINDOWS-system32-.exe
7. C:-WINDOWS-system32-allsys.exe
8. C:-WINDOWS-system32-misconfig.exe
9. C:-WINDOWS-system32-MS586.sys
10. C:-WINDOWS-system32-System
11. C:-WINDOWS-system32-wtoolsb.exe
12. C:-WINDOWS-system32-dllcache-.exe
13. C:-WINDOWS-system32- dllcache-System
14. Membuat duplikat file virus pada setiap folder yang ada pada removable drive/usb.

Hidden file

Sebagai bentuk pertahanan, virus akan mencoba melakukan usaha blok terhadap beberapa fungsi Windows. Beberapa fungsi Windows yang di blok diantaranya sebagai berikut :
1. Folder Options (dilakukan untuk mencegah akses terhadap file/folder yang disembunyikan)
2. Registry Editor (dilakukan untuk mencegah akses perbaikan registry) (lihat gambar 4)
3. Search/Find (dilakukan untuk mencegah dari pembersihan virus)
4. Command Prompt (dilakukan untuk mencegah dari proses kill virus)

Aktif di Start up

Untuk memastikan agar dapat aktif dengan baik pada saat komputer dijalankan, virus menyisipkan file virus pada startup windows sehingga akan langsung aktif jika komputer dijalankan. Setelah aktif, virus memanggil kedua rekannya (virus pendukung) agar sulit dimatikan.

File virus yang aktif pada startup yaitu :
C:-Documents and Settings-All User-Start Menu-Programs-Startup-lan.exe
File ini yang kemudian memanggil kedua rekannya (virus pendukung) untuk memperkuat existensinya, yaitu :
1. C:-WINDOWS-system32-misconfig.exe
2. C:-WINDOWS-taskmgr.exe

Ubah Registry windows

Agar dapat melakukan blok fungsi "Search" windows, virus akan membuat string registry sebagai berikut :

HKEY_CURRENT_USER-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer
nofind = 1
HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Windows-CurrentVersion-Policies- Explorer
nofind = 1

Agar dapat melakukan blok fungsi "Folder Options" windows, virus akan membuat string registry sebagai berikut:

HKEY_CURRENT_USER-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer
NoFolderOptions = 1

Agar dapat melakukan blok fungsi "Registry Editor" windows, virus akan membuat string registry sebagai berikut :

HKEY_CURRENT_USER-Software-Microsoft-Windows-CurrentVersion-Policies-System
DisableRegistryTools = 1

Agar dapat melakukan blok fungsi "Command Prompt" windows, virus akan membuat string registry sebagai berikut :

HKEY_CURRENT_USER-Software-Microsoft-Command Processor
Autorun =
HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Command Processor
Autorun =

Walaupun Folder Options sudah di blok, tetapi virus mencegah untuk menampilkan file yang tersembunyi. Untuk itu, ia membuat string registry sebagai berikut :

HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Windows-CurrentVersion-Explorer-Advanced-Folder-Hidden-SHOWALL
CheckedValue = 0
DefaultValue = 0

Agar dapat mengelabui user terhadap file virus dan mencoba mengubah type file exe, virus membuat string sebagai berikut :

HKEY_CLASSES_ROOT-exefile
(Default) = File Folder
Info Tip = File Folder
TileInfo = File Folder

Terakhir virus berusaha melakukan blok ekseskusi file "Microsoft Visual Studio Spy Debugging Tools", virus membuat string sebagai berikut :

HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Windows NT-CurrentVersion-Image File Execution Options-msiexec.exe
Debugger =
HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Windows NT-CurrentVersion-Image File Execution Options-sessmgr.exe
Debugger =
HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Windows NT-CurrentVersion-Image File Execution Options-SPYXX.exe
Debugger =


0 Comments:

Posting Komentar

Maaf semua komentar kami moderasi. Budayakan komentar yang santun demi kenyamanan semua pembaca yang berkunjung ke blog ini. Salam Blogger ;-)