Conficker boleh saja dikatakan sebagai worm nomor satu di Indonesia, namun untuk predikat virus yang paling merepotkan dan paling banyak ditemui di Indonesia layaknya pantas disandang oleh Sality.
Demikian pandangan perusahaan sekuriti Vaksincom menanggapi gelombang serbuan virus yang disinyalir berasal dari Taiwan atau China ini di Tanah Air.
Dijelaskan analis virus dari Vaksincom, Adang Jauhar Taufik, ukuran file yang sudah terinfeksi W32/Sality.AE akan bertambah besar beberapa KB dan masih dapat dijalankan seperti biasa.
“Sementara untuk mempermudah dalam proses penyebarannya, selain memanfaatkan file sharing dan default share, virus ini juga akan memanfaatkan media flash disk dengan cara membuat file acak yang mempunyai ekstensi exe/com/scr/pif serta menambahkan file autorun.inf yang memungkinkan virus dapat aktif secara otomatis setiap kali user mengakses flash disk,” ujarnya kepada detikINET, Rabu (4/3/2009).
Selain mematikan proses antivirus, lanjut Adang, Sality juga akan berupaya untuk memblok agar user tidak dapat mengakses web dari beberapa antivirus serta akan mencoba untuk mengubah beberapa string registry Windows Firewall.
Tak cuma itu virus ini juga akan menghapus key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\ALG.
ALG atau Application Layer Gateway Service adalah services yang memberikan support untuk plug-in protokol aplikasi dan meng-enable konektivitas jaringan/protokol. Service ini boleh saja dimatikan.
“Dampaknya adalah program seperti MSN Messenger dan Windows Messenger tidak akan berfungsi. Service ini bisa dijalankan, tetapi hanya jika menggunakan firewall, baik firewall bawaan Windows atau firewall lain. Jika tidak komputer yang terinfeksi virus ini akan mengalami celah keamanan yang serius,” tukas Adang.
Tujuan Sality
Tujuan utama dari virus ini adalah mencoba untuk menginjeksi program instalasi dan file yang mempunyai ekstensi exe/com/scr yang ada di drive C – Y terutama file hasil instalasi (file yang berada di direktori C:\Program Files ) dan file-file portable (file yang langsung dapat dijalankan tanpa perlu instal).
File yang berhasil diinjeksi biasanya ukurannya akan bertambah sekitar 68-80 KB dari ukuran semula. Program yang telah terinfeksi ini akan tetap dapat dijalankan seperti biasa sehingga user tidak curiga bahwa file tersebut sebenarnya telah diinfeksi oleh W32/Sality.AE.
“Salah satu kecanggihan Sality adalah kemampuannya menginjeksi file tumpangannya sehingga ukuran file bervirus tidak seragam, jelas lebih sulit diidentifikasi dibandingkan virus lain yang menggantikan file yang ada sehingga ukuran filenya akan sama besar,” pungkas Adang.
Tidak semua program antivirus dapat membersihkan file yang sudah terinfeksi virus W32/Sality.AE. Malah bisa-bisa, file tersebut akan rusak setelah di-scan dan dibersihkan oleh antivirus yang tidak tepat.
Virus Sality akan menyebar dengan cepat melalui jaringan dengan memanfaatkan default share Windows atau share folder yang mempunyai akses full dengan cara menginfeksi file yang mempunyai ekstensi exe/com/scr.
Untuk itu, perusahaan sekuriti Vaksincom menyarankan pengguna komputer untuk menonaktifkan Default Share (C$, D$ .. dst) dan hindari full sharing folder Anda di jaringan.
Berikut 9 cara singkat membersihkan virus W32/Sality.AE yang diterima detikINET dari analis virus Vaksincom, Adang Jauhar Taufik
1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan dan internet.
2. Matikan System Restore selama proses pembersihan berlangsung.
3. Matikan Autorun dan Default Share. Silahkan download file berikut kemudian jalankan dengan cara: klik kanan repair.inf lalu install.
http://www.4shared.com/file/82762498/f5dc1edd/repair.html?dirPwdVerified=feea1d94
4. Matikan program aplikasi yang aktif di memori agar proses pembersihan lebih cepat terutama program yang ada dalam daftar startup.
5. Sebaiknya scan dengan menggunakan removal tools dengan terlebih dahulu merubah ekstensi dari removal tools tersebut dengan ekstensi lain [contoh: CMD] agar tidak diinfeksi ulang oleh W32/Sality.AE.
6. Agar komputer yang sudah terinfeksi W32/Sality.AE dapat booting safe mode, silahkan restore registry yang sudah diubah oleh virus.
Silahkan download file berikut kemudian jalankan sesuai OS yang terinfeksi W32/Sality.AE tersebut.
http://www.4shared.com/file/82761423/934fb170/_2__Sality.htmldirPwdVerified=feea1d94
7. Fix registry lain yang diubah oleh virus, silahkan download tools berikut kemudian jalankan file tersebut dengan cara: klik kanan repair.inf lalu install
http://www.4shared.com/file/82874724/f485f1dd/repair.html?dirPwdVerified=3b1f2fa9
8. Restart komputer dan scan ulang dengan menggunakan removal tools untuk memastikan komputer telah bersih dari virus.
9. Untuk pembersihan optimal dan mencegah infeksi ulang sebaiknya install dan scan dengan antivirus yang dapat mendeteksi Sality dengan baik.
0 komentar:
Posting Komentar