TEKNIK PEMBERSIHAN VIRUS “BLUE FANTASY”

I. Sekilas Tentang “Blue Fantasy”

Mungkin anda sebelumnya pernah mendengar atau bahkan pernah menjadi user dari komputer yang menjadi korban dari keganasan virus My Rose atau My Lorenz. Virus ini lebih dikenal dengan sebutan KillAV dalam bahasa Indonesianya adalah pembunuh anti virus. Nah, baru-baru ini telah muncul virus yang gelagatnya hampir sama dengan KillAV, hanya saja pada virus ini tidak dipasang perintah untuk memblok semua anti virus yang ada. Sebenarnya kalau diteliti lagi, virus ini tidak terlalu berbahaya karena dia tidak melakukan perusakan pada system windows. Tetapi cukup membuat kita dibuatnya jengkel.

II. Ciri-ciri dan Cara Kerja Virus ini

Sepak terjang dari virus ini pada dasarnya sama dengan virus-virus lain yang kebanyakan berbasis pada bahasa pemrograman Visual Basic. Dengan membuat duplikasi folder dan menyembunyikan folder asli baik dari data kita, maupun folder-folder pendukung windows lainnya. Hal ini sangat mengecohkan kita, karena apabila kita membuka folder duplikat yang dibuat oleh virus tersebut, maka sama saja kita membantu memperluas penyebaran dari virus itu sendiri. Perlu diketahui virus blue fantasi (ada juga yang menyebutnya virus putus cinta) akan membuat folder dengan nama yang sama dengan folder asli yang dia sembunyikan. Bagaimana kita mengetahui kalau folder kita hanya duplikat? yaitu dengan cara melihat atribut dari folder tersebut. Pilih view pada menu toolbar kemudian pilih detail. Dari sini dapat anda lihat bahwa semua folder pada window berukuran sama, yakni 40 Kb dengan ekstensi scr.

Ciri lain dari virus ini adalah selalu menampilkan pesan (message box) saat pertama kali windows logon yang berisi ucapan “Surabaya in Happy Birthday.(Don’t kill me, I’m just send message from your computer. Terima kasih telah menamaniku walaupun hanya sesaat, tapi bagiku sangat berarti. Maafkan jika kebahagiaan yang kuminta adalah seorang teman sepanjang hidupku.Seharusnya aku mengerti bahwa keberadaanku bukanlah disismu, hanyalah lamunan dalam sesal. Untuk kekasih yang tak kan pernah kumiliki 3r1k1m0 )”

Virus ini sangat cepat menyebar melalui media storage anda, seperti disket atau USB flashdisk. Jadi berhati-hatilah bila anda bekerja pada komputer yang terinfeksi virus ini. Sekali flashdisk anda terhubung, maka bisa dipastikan flashdisk anda tertular. Mengapa?salah satu ciri dari virus pada umumnya adalah harus sepandai mungkin melakukan penyebaran dari komputer satu ke komputer yang lain. Hal inilah yang menjadi dasar mengapa mereka harus langsung otomatis menyebar ke flashdisk atau disket tanpa harus anda melakukan klik sekalipun. Apabila virus ini sudah masuk kedalam system windows,maka ia akan menjalankan program dari file induknya secara otomatis tanpa bisa kita lihat dan sadari sebelumnya. Dengan kepandaian sipembuat virus, file induk ini meletakkan dirinya dilokasi dimana kita jarang membukanya. Contoh pada virus Blue Fantasy letak file induknya terdapat pada lokasi C:\Document and setting\Alluser\Startmenu\Adobe online.com dan Adobe Update.com. Ke-dua file ini tersembunyi jadi tidak bisa dilihat.Biasanya untuk menampilkan file atau folder yang tersembunyi, kita selalu memakai opsi Folder Options kemudian Show hidden file. Tetapi jangan senang dulu karena virus ini juga menonaktifkan opsi tersebut.

III. Cara Pembasmian

Yang perlu diperhatikan dalam tahap proses pembersihan virus ini adalah sebagai berikut:

1. Putuskan terlebih dahulu semua akses jaringan yang terhubung dengan komputer yang terinfeksi baik jaringan lokal (LAN) maupun internet.

2. Matikan opsi system restore windows dengan cara klik pada Start-Allprogram-Accessories-System Tools-System Restore.

3. Usahakan pembersihan dilakukan pada Safe Mode (opsi ini hanya untuk proses scan virus dengan menggunakan anti virus yang up to date)

Setelah itu anda bisa memulai untuk menghentikan service atau program virus yang tersembunyi lebih dahulu. Karena meskipun anda sudah berhasil menemukan file induk dari virus ini,anda tidak akan bisa menghapus file tersebut sebab windows akan menolak setiap file exe yang sedang bekerja untuk dihapus.

Cara menghentikannya adalah dengan memakai tool tambahan berupa task manager(task manager bawaan windows tidak dapat mengenali service ini dan bahkan virus juga bisa membloknya)

Tapi jangan khawatir karena ada tool yang bisa mengatasi masalah ini,contoh program Security Task Manager atau CProcess. Kami sarankan anda menggunakan CProcess karena software ini juga bisa menghentikan service yang tersimpan di memory sekalipun. Tool ini bisa anda download dari internet secara gratis di situs : http://www.nirsoft.net/utils/cprocess.htm

Setelah anda berhasil download,lakukan proses penginstallan. Setelah selesai, coba anda jalankan. Pada daftar list process,anda bisa lihat beberapa program atau service yang sedang aktiv. Hentikan(Kill)program Adobe Online dan Adobe Update. Setelah itu, tutup program.

Selanjutnya adalah melakukan proses identifikasi file virus beserta folder hasil duplikatnya dengan cara menggunakan menu Searching pada start menu windows dengan settingan All files and folders,ketikkan : *.com *.scr , settingan pada ukuran file pilih at most dengan ukuran 41 Kb, pada more advance setting chek pada box hidden files and folders, dan klik search…

Dalam search results terdapat folder-folder berukuran 40 Kb dengan ekstensi *.scr.Adobe Online.com, Adobe Update.com, Thumbs .db danThumbs.com,Hapus file dan folder-folder tersebut dengan cara diblok-klik kanan-delete. Jangan lupa kosongkan pula recycle bin-nya.

Kemudian search juga file autorun.inf dengan settingan pencarian seperti diatas.Hapus file tersebut yang terletak di lokasi C:\,D:\,E:\ dsb.

Nah,setelah anda melakukan tahap-tahap diatas,kini saatnya mengembalikan setting registry windows yang di acak oleh virus ini.Agar cepat tanpa harus anda memilah-milah setting registry mana saja yang di rusak virus, copy script dibawah ini dan simpanlah dengan nama repair.inf. Cara menggunakannya adalah dengan mengkilk kanan pada repair.inf dan pilih “install”.

Scriptnya adalah sebagai berikut :

[Version]

Signature="$Chicago$"

Provider=PCNUSANTARA

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0x00010001,0

HKLM, SOFTWARE\Classes\scrfile,,,"Screen Saver"

[del]

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, LegalNoticeCaption

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, LegalNoticeText

HKLM, SOFTWARE\Classes\scrfile, InfoTip

HKLM, SOFTWARE\Classes\scrfile, NeverShowExt

HKLM, SOFTWARE\Classes\scrfile, TileInfo

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Msconfig.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe

Untuk memastikan masih adanya virus atau tidak, anda dapat melakukan proses scan dengan anti virus update terbaru, contoh : AVG, Norman, dsb. Untuk AVG Anti virus update per tanggal 31 Maret 2007 sudah bisa mengenali virus ini. Ingat, usahakan proses scan dilakukan pada Safe Mode dengan cara restart komputer kemudian sebelum booting tekan tombol F8 pada keyboard ( tidak semua produk PC atau notebook mendukung cara ini, tetapi sebagian besar sama)

Kemudian bagaimana mengembalikan folder-folder anda yang tersembunyi. Mudah saja, dengan cara memanggil menu command prompt lewat start-Run-kemudian ketikkan “cmd” lalu enter.Setelah jendela command prompt terbuka,pindahkan kursor pada lokasi “drive” :\>.”Drive” maksudnya adalah drive letter dimana folder data anda berlokasi.Setelah itu ketikkan perintah “attrib -s -h /s /d “ lalu enter.Tunggu sampai muncul “drive” :\> lagi.Sekarang cobalah cek folder-folder tersebut pada windows explorer.

Selamat mencoba…

Ady-Tim Kreatif PCNUSANTARA