Rabu, 30 November 2011


Sebuah virus baru patut diwaspadai bagi pengguna komputer. Bernama Trojan.Siggen1.42827, virus ini ‘menyamar’ sebagai screen saver yang bisa ‘membekukan’ aktivitas di komputer.
Seperti diketahui, screen saver Windows akan nongol jika komputer dalam posisi standby. Akan tetapi jika kamu menjumpai pirantimu memunculkan screen saver meski saat itu kamu sedang beraktivitas, hati-hati. Ditambah lagi, aktivitasmu terhenti dan kamu tidak bisa melakukan apa-apa selama beberapa detik, bisa jadi disebabkan karena virus yang bercokol di komputer. Antivius Dr. Web mendeteksi virus ini sebagai Trojan.Siggen1.42827.
Berikut dibeberkan beberapa ciri virus tersebut:
1. Muncul beberapa file yang di simpan pada root setiap hard disk dengan nama file berikut :
  • %tanggal% _ TrueLove.exe, %tanggal%, menunjukan tanggal system komputer (contoh: 13 March 2011 _ TrueLove.exe)
  • TransparentScreenSaver…scr
  • Folder [kasihku]
  • Folder  [–], folder ini akan disembunyikan
  • Folder [Koleksi ScreenSaver]
2. Muncul screen saver yang akan ditampilkan secara otomatis sesuai dengan waktu yang telah ditentukan. Pada saat screen saver muncul, user tidak dapat melakukan aktivitas di komputer sampai screen saver tersebut selesai dijalankan.
3. Tidak dapat mengakses (double click) file yang dikompresi baik menggunakan program WINZIP atau WINRAR dengan  menampilkan pesan error.
4. Terjadi perubahan pada icon file dan type file yang mempunyai ekstensi ZIP.
Sedangkan ciri-ciri dari file induk Trojan.Siggen1.42827 adalah sebagai berikut:
1. Ukuran file 76 KB
2. Ekstensi EXE dan SCR
3. Tidak mempunyai icon yang menyertai file virus
4. Type ”Application” dan ”Screen Saver”
Pada saat file virus tersebut aktif ia akan membuat beberapa file induk yang akan ditempatkan di beberapa lokasi yang berbeda-beda dengan tujuan untuk mempersulit pencarian.
Dari sekian banyak file induk yang dibuat tersebut, beberapa diantaranya akan diaktifkan secara otomatis pada saat komputer dihidupkan, hal ini untuk memastikan virus aktif secara otomatis tanpa bantuan user. Virus ini juga akan aktif secara otomatis pada waktu-waktu yang telah ditentukan berupa Screen Saver dengan mengubah string pada registry.
Untuk mempertahankan dirinya, ia akan memblok program security termasuk antivirus dengan melakukan debugger (pengalihan) untuk mengeksekusi file virus yang sudah ditentukan. Memblok file instalasi yang mempunyai ekstensi MSI, serta memblok agar user tidak dapat menampilkan file yang tersembunyi.
Tidak seperti yang dilakukan oleh virus lokal lainnya, virus ini tidak akan  melakukan blok terhadap fungsi windows seperti Task Manager, Folder Options ataupun Registry Editor, virus ini malah  mengembalikan beberapa fungsi Windows yang biasa diblok oleh virus lokal seperti RUN, Folder Options, Task Manager, CMD atau Registry Editor.
Untuk mempersulit proses pembersihan, ia akan melakukan perubahan pada registry dengan tujuan agar dirinya dapat aktif walaupun komputer booting pada mode “safe mode with command prompt”.
Untuk menyebarkan dirinya, ia akan memanfaatkan USB Flash sebagai jalur penyebaran dengan membuat beberapa file. Agar dirinya dapat aktif secara otomatis pada saat user mengakses USB Flash, ia akan memanfaatkan fitur autorun Windows dengan membuat file autorun.inf. File  autorun.inf ini berisi script untuk menjalankan file virus yang sudah dipersiapkan.
Aksi lain yang akan dilakukan adalah memblok akses file yang dikompresi baik dengan menggunakan program WINZIP maupun WINRAR serta mengubah icon. Jika user mencoba untuk mengakses dengan cara double click (klik 2x file yang dikompresi) maka akan muncul pesan error.
Virus ini juga akan meninggalkan beberapa pesan yang ditujukan kepada “seseorang” baik dalam bentuk text document (TXT) atau pun HTML.
Sumber: Vaksincom

0 komentar:

Posting Komentar

Subscribe to RSS Feed Follow me on Twitter!