KOMPAS.com — Model virus mulai bermacam-macam. Ada yang aneh ada juga yang sudah dimengerti. Nah,bacalah artikel ini... Adalah virus DEADLOCK, Pesannya
terdengar positif dengan kata-kata yang membangkitkan patriotisme.
Namun, jangan terbuai kata-kata manis yang dibawa sebuah virus komputer
lokal baru bernama Deadlock. Simak pesan tersebut berikut ini.
Bebaskan Negeri kami
Indonesia dari Terorisme, Anarkis, dan KKN (Kolusi, Korupsi &
Nepotisme) pada Kubu Pemerintahan Republik Indonesia (Sipil, TNI &
Polisi) serta Tangkap, Berantas dan Penjarakan ? Tanpa Kecuali.
Bersihkan Negeri kami dari Portitusi, Perjudian dan Kejahatan Sosial.
Merdekakan diri kami dari Kemiskinan, Kesengsaraan dan Ketidakadilan!
Bersama Partai Demokrat ? SBY & BOEDIONO, Bersama Membangun
Indonesia Adil, Makmur & Sejahtera
Atas Nama Bangsa Indonesia
Pangeran DEADLOCK
I?m Everyone, but NoOne
I?m Everything, but NoThing
I?m Everywhere, but NoWhere Jika komputer Anda tiba-tiba
menampilkan sebuah gambar dengan pesan tersebut (lihat gambar), Anda
disarankan untuk segera ambil tindakan. Pasalnya, komputer Anda sudah
diserang virus yang aktif dan mematikan.
Virus tersebut akan menampilkan pesan
tersebut dalam desktop yang telah diambil alih. Biasanya pesan ini
hanya akan muncul pada waktu yang ditentukan. Seiring dengan munculnya
pesan ini, maka semua file yang ada di semua drive akan dihapus,
termasuk program dan file system Windows.
Jadi, kalau Anda melihat pesan ini pada
komputer Anda, kemungkinan sudah terlambat karena sebentar lagi data
di komputer Anda akan dihancurkan. Seperti peribahasa "air tenang
menghanyutkan”, rupanya di dalam bisunya virus ini menyimpan bom waktu
di komputer korbannya yang akan diaktifkan sesuai dengan waktu yang
telah ditentukan.
Puncaknya, pada tanggal 12 dan 13
nanti, Deadlock akan membuat komputer Anda benar-benar deadlock alias
dihancurkan semua datanya, baik data di seluruh harddisk, flashdisk,
maupun file-file Windows sehingga menampilkan pesan "NTLDR is Missing”.
Kenali cirinya
Virus ini sebenarnya masih masuk ke
dalam keluarga Visual Basic yang dikompresi dengan menggunakan program
Petite 2.x dengan ukuran sekitar 80 KB. Ikon yang digunakan juga tidak
disamarkan, tetap menggunakan ikon aplikasi dan kemungkinan berasal
dari salah satu kota di Kalimantan (Samarinda).
Jika virus ini aktif di komputer, ia akan membuat beberapa file yang akan dijalankan pada saat komputer dinyalakan.
- C:-Windows-system32-apache.exe
- C:-Windows-system32-mysql.exe
Pemilihan nama apache dan mysql
kemungkinan bertujuan menyamarkan dirinya sebagai program populer
Apache dan Mysql. Agar file tersebut dapat aktif secara otomatis pada
saat komputer dinyalakan, ia akan membuat beberapa string pada registry
berikut:
- HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Windows-CurrentVersion-Run
- mysql = C:-Windows-system32-mysql.exe
- HKEY_CURRENT_USER-SOFTWARE-Microsoft-Windows-CurrentVersion-Run
- apache = C:-Windows-system32-apache.exe
Virus ini cukup cerdik dalam mengelabui
pengguna. Pengguna tidak akan curiga jika sebenarnya komputer tersebut
telah terinfeksi karena tidak ada tanda-tanda yang biasa dilakukan
oleh virus lokal lainnya, seperti disable Task Manager / MSConfig /
Regedit atau Folder Options, selain itu file yang dibuat juga tidak
mencurigakan karena seolah-olah merupakan program Apache dan MySql.
Pengguna baru sadar bahwa komputer telah terinfeksi virus pada saat
terlambat, yang kala itu akan muncul pesan dari pembuat virus yang
kemudian diikuti dengan munculnya pesan "error Windows file
Protection”. Hal ini menandakan bahwa ada suatu program yang berusaha
untuk menghapus file system Windows.
Virus ini akan aktif secara otomatis
setiap kali pengguna mengakses suatu drive/flash disk dengan
memanfaatkan autorun Windows dengan membuat 3 buah file, yakni:
- [Desktop.ini] yang berisi script untuk menjalankan file [folder.htt]
- [Folder.htt], berisi script untuk menjalankan file utama yakni [flashguard.exe]
- [Flashguard.exe] merupakan file induk yang akan di jalankan.
Flashdisk merupakan salah satu media
yang paling banyak digunakan oleh pengguna. Hal inilah yang akan
dimanfaatkan oleh sebagian bahkan boleh dibilang semua virus untuk
menyebarkan dirinya. Hal ini juga akan dilakukan oleh virus Deadlock
dengan cara membuat beberapa file berikut. Bom waktu
Virus Deadlock laksana bom waktu yang
akan menghancurkan komputer target pada waktu yang telah ditentukan.
Virus ini akan menjalankan aksinya setiap tanggal 12-13 sekitar pukul
08.00-09.00 setiap bulan dengan cara MENGHAPUS SEMUA FILE/DATA TERMASUK
FILE SYSTEM WINDOWS yang ada di semua drive termasuk di media
flashdisk dengan menggunakan perintah cmd.exe /c del /f /s /q /a dan
cmd.exe /c rd /s /q sehingga, jika komputer tersebut di-restart, maka
akan muncul pesan "error”.
Jadi, cara terbaik untuk
mengantisipasinya, jangan lupa melakukan back-up data. Untuk mencegah
terinfeksi virus ini, Anda disarankan menggunakan program antivirus
yang dapat mendeteksi virus ini dengan baik.
Menurut pengetesan Lab Vaksincom, saat
ini virus yang terdeteksi oleh Norman sebagai Deadlock belum terdeteksi
oleh mayoritas antivirus yang ada di Indonesia, baik antivirus lokal
maupun antivirus mancanegara. Norman Endpoint Protection mendeteksi
virus Deadlock sebagai Tibs.DKKR.
Jika Anda menginginkan data Anda yang
menjadi korban Deadlock ini kembali, jangan sekali-kali menginstal
ulang OS Anda ke harddisk yang mengandung data Anda yang hilang
tersebut. Lakukan proses recovery data penting dengan menggunakan
aplikasi data recovery dan metode yang benar.
Jika Anda menginstal ulang OS Anda ke
harddisk yang mengandung data yang ingin Anda selamatkan, kemungkinan
keberhasilan recovery akan sangat rendah. Jika Anda tidak berpengalaman
pada data recovery dan ingin mendapatkan bantuan data recovery
profesional dengan harga yang reasonable, silakan hubungi divisi Data
Recovery Vaksincom di e-mail ‘ info@vaksin.com’.
|