Bandingkan dengan tampilan yg berhasil/gagal saya lakukan integrasi

Tetapi yg saya lihat dari tampilan hasil integrasi tsb malah, hanya sedikit nama2 virus yg bisa dideteksi oleh PCMav 1.2 tsb, why? Apakah karena saya melakukan tambahan file virus data base yg "pcmedia.vdb" yg saya lakukan ketika pertama kali runing PCMav 1.2 tsb?

Berarti integrasi yg saya lakukan ini, TIDAK BERHASIL ???

APA YANG BARU DI PCMAV 1.1 (CLEANER & REALTIME PROTECTOR)?

b.Improvisasi, modul integrasi ClamAV. Karena library ClamAV yang baru telah di-update menjadi versi 0.92, maka ada beberapa perbedaan struktur header dari library tersebut. Jika sebelumnya terdapat kesulitan dalam mengintegrasikan ClamAV yang baru ini, kini sudah dapat diatasi dan ClamAV dapat terintegrasi dengan baik.

c.Optimasi, engine scan memory terutama dalam mengatasi virus jenis VBScript yang sekarang banyak menyebar luas di Indonesia. Engine scan memory kini dapat lebih optimal dalam membaca setiap process yang aktif berikut parameter yang digunakan oleh process tersebut.

d.Ditambahkan, engine cleaner khusus yang dapat memperbaiki file .JPG yang terinfeksi oleh virus SangPerawan.

e.Improvisasi, pada modul auto update PCMAV. Dan penamaan file update sejak 1.1 menjadi PCMAV.VDB.

f.Improvisasi, rutin yang mengatur masalah tampilan informasi jika ada virus yang tercegat oleh RTP.

g.Diperbarui, perubahan beberapa nama virus mengikuti varian baru yang ditemukan.

h.Diperbaiki, kesalahan deteksi (false alarm) pada beberapa program ataupun script.

i.Perbaikan beberapa minor bug dan improvisasi kode internal untuk memastikan bahwa PCMAV Cleaner & PCMAV RealTime Protector lebih dari sekadar antivirus biasa.

NOTE :
Jangan lupa, download juga update na, sekarang sudah ada yg build 4. Jika komputer anda terkoneksi langsung dengan internet, maka PCMav CLR akan secara otomatis melakukan pencarian update virus data base terbarunya. Keterangan lengkapnya ada di bagian readme dalam folder yg telah anda unduh

Mastering from Virus Indonesia
File bisa diunduh dari sini

PCMAV 1.0 RC24: RC Terakhir

[24/10/2007] Virus TukulNdeso:

 Bisa AutoUpdate

Visual Basic Scripting Edition atau biasa dikenal dengan nama VBScript merupakan bahasa turunan dari Visual Basic. Dengan hanya bermodalkan script yang ditulis di Notepad pun, dapat tercipta virus yang mematikan. Arief Prabowo VBScript yang sudah ada semenjak Windows 9x ini biasa digunakan pada produk Microsoft seperti Microsoft Offi ce atau pada fi le HTML  File script yang biasa dikenal dengan extension .vbs contohnya, tidak dapat berjalan sendiri karena ia membutuhkan fi le pendukung seperti wscript.exe dan cscript. exe yang bertugas untuk menginterpretasikan script yang akan dijalankan. Berangkat dari kemudahan akan bahasa Visual Basic ini memang telah memicu para pembuat virus. Sebenarnya virus berjenis VBScript ini bukan suatu hal yang baru, contohnya adalah virus LoveLetter atau IloveYou. Kemampuannya menyebar sungguh mengagumkan. Atau virus Melissa yang dibuat menggunakan VBA (Visual Basic for Applications) yang dapat menyebar melalui Microsoft Word misalnya. Virus maker tidak mau ketinggalan. Karena kini telah hadir virus berbahasa VBScript dengan nama TukulNdeso yang diperkirakan telah banyak menyebar. Beberapa pembaca PC Media sampai saat ini pun masih ada yang mengirimkan sampel virus ini.

 

Bagaimana Wujudnya?

Varian pertama dari virus TukulNdeso yang kami miliki ukurannya sebesar 23.244 bytes dengan keadaan terenkripsi. Jadi kalaupun Anda mencoba untuk melihat isi fi le VBS virus tersebut dengan notepad misalnya, maka tidak akan kelihatan string-string yang berarti. Antivirus lain mengenal virus yang menyerang operating system Windows ini dengan nama VBS/Lookoot. Pada sistem yang masih bersih, icon fi lenya masih berwujud seperti standar fi le .VBS biasa, namun apabila system tersebut telah terinfeksi oleh virus ini, maka setiap fi le VBS iconnya berubah menjadi icon fi le gambar. Dan biasanya ia hadir dengan double extension, artinya ia menggunakan extension ganda untuk me ngelabui korbannya, misalkan tukul.jpg.vbs. Karena pada setting-an Windows default tidak menampilkan extension, maka yang tampak hanya tukul.jpg, jadi seolah-olah fi le tersebut adalah fi le gambar. Untuk itu, kita harus selalu berhati-hati, dan lebih baik mengaktifkan pilihan “Hide extensions for known fi les” pada Folder Options.

 

Bagaimana Ia Menginfeksi?

Saat fi le virus ini dieksekusi, maka ia sebelumnya akan mendekrip tubuhnya sendiri. Enkripsi yang digunakan sangat sederhana, yakni hanya memajukan setiap huruf sebanyak 10 karakter. Tentu saja untuk mendekripnya, kita hanya memundurkan setiap huruf tersebut. Dan salah satu kelemahan dari virus berbasis VBScript adalah kita dapat dengan mudah melihat source code atau script dari virus tersebut dengan mudah, dienkripsi sekalipun. Virus ini akan membuat fi le induk di rinya pada direktori Windows dengan nama kernel32dll.vbs, tukul.jpg.vbs, dan kembali_ ke_laptop.vbs dengan attribut hidden. Cerdiknya, ia pun meng-copy-kan fi le wscript.exe dengan nama lain yang menyerupai fi le system Windows yakni smss.exe, dan menjalankan virusnya melalui fi le ini. Pembuatnya sepertinya memang menyadari bahwa VBScript memang mudah untuk dilumpuhkan, cukup dengan mematikan process wscript.exe di memory. Namun, karena file ini tidak menjalankan fi le wscript.exe melainkan fi le smss.exe, jadi yang harus dimatikan dari memory adalah fi le smss. exe. Awas, jangan salah mematikan process, karena bisa menyebabkan sistem crash. Selain di direktori Windows, ia pun akan meng-copy-kannya pada folder yang ia temukan namun tidak rekursif, artinya ia tidak meng-copy-kan pada subfolder di bawahnya.

 

Bantai Registry!

Seperti yang terlihat pada function Bantai_Reg yang ada di source code virus tersebut, ia melakukan cukup banyak perubahan pada registry. Contohnya mengalihkan setiap aksi eksekusi dari beberapa tipe extension .exe, .lnk, .pif, agar sebelumnya menjalankan fi le kernel32dll.vbs seperti yang terlihat pada registry “C:\WINDOWS\smss.exe C:\WINDOWS\ kernel32dll.vbs “%1””. Dan yang utama seperti kebanyakan virus melakukannya adalah membuat item Run baru di registry agar ia dapat aktif otomatis saat memulai Windows pada modus normal ataupun safe-mode, yakni dengan nama “System” yang mengarah kepada fi le induk virus dan “svchost.exe” yang mengarah kepada fi le pesan dari virus ini. Jadi setiap memulai Windows, selain virusnya aktif, pesan dari sang virus pun akan muncul. Untuk menyamarkan dirinya, ia mengubah tipe dari fi le .VBS dari “VBScript Script File” menjadi “Image File” dan mengubah icon standar menjadi sebuah icon fi le gambar. Juga mengubah fi le gambar wallpaper Anda menjadi “Prairie Wind.bmp”. Beberapa setting-an Internet Explorer pun tidak luput dari perhatiannya. Halaman default ia ubah menjadi ke \%Windows%\tukul. html. Jadi saat Anda menjalankan Internet Explorer, maka pesan dari virus ini yang kali pertama muncul. Background dari Toolbar Explorer pun ia ubah gambarnya. Dan satu lagi Title Internet Explorer ia ubah menjadi “TuKuL_NDESO”. Untuk memperlemah pertahanan system tersebut, virus ini pun melakukan pemblokiran pada beberapa fasilitas Windows seperti System Restore, Command Prompt, Find, Folder Options, Run, Regedit, dan Task Manager. Ia pun meniadakan fasilitas klik kanan dan menngeset Folder Options agar tidak menampilkan fi le dengan attribute hidden dan menyembunyikan extension untuk beberapa file.

 

Menyebar agar “Terkenal”

Virus ini dapat menyebar melalui beberapa perantara, seperti storage devices contohnya fl ash disk, sharing directory, mIRC, dan email. Ia membuat beberapa file autorun.inf dengan attribut hidden dan beberapa file pendukung autorun lainnya di drive fl ash drive yang terpasang pada komputer Anda. Ia pun membuat script untuk mIRC Anda agar menarik minat lawan bicara untuk menjalankan virus ini. Dan dengan memanfaatkan MAPI  Outlook, ia mencoba untuk mengirimkan dirinya ke alamat yang ada pada address book Anda. Jadi, selalu waspada terhadap setiap e-mail yang mampir ke inbox. Virus ini pun akan men-sharing setiap drive yang terpasang di komputer Anda agar pengguna lain di jaringan tergoda untuk mengaksesnya, dan ia pun dapat mengkopikan dirinya pada folder yang di-sharing dengan nama seperti kembali_ke_laptop.jpg. vbs, JULIA PEREZ NUDE.jpg.vbs, dan TUKUL BUGIL.jpg.vbs.

 

Automatic Update

Virus VBScript yang satu ini memang tidak bisa dipandang remeh. Tak tanggung-tanggung, sang pembuatnya menambahkan fi tur Automatic Updates pada virusnya. Ia akan memantau alamat ini http://geocities.com/tukulndeso0907/ update.txt, jika terdapat updatean yang lebih baru, maka akan di-download dan ditaruh pada direktori Windows dengan nama update.sys, dan membandingkan versinya dengan yang sudah ada. Jika berbeda, maka varian yang lama tersebut akan digantikan dengan yang baru itu.

 

Merusak Dokumen

Kenakalan virus ini tidak sampai di situ, karena ia akan mencari fi le Microsoft Word pada komputer Anda, setelah ditemukan ia akan diam–diam memasukan kata–kata seperti “Tukul NDESO” dan mencoba mereplace setiap kata “Anda” menjadi “Elo”, “Saya” menjadi “Gua”, dan “Tidak” menjadi “Kagak”.

 

Virus Defense

Untuk lebih membatasi ruang gerak user, ia memblokir akses ke beberapa situs tertentu dengan mengubah isi dari fi le hosts milik Windows. Situs tersebut adalah friendster, google, vaksin.com, dan beberapa situs lainnya. Saat ia aktif di memory, ia akan terus memonitor apa yang Anda lakukan. Se perti program apa saja yang Anda akses. Jika nama fi le program tersebut mengandung kata–kata tertentu seperti contohnya anti, kill, hijack, reg, atau vir, maka sebuah kotak pesan berjudulkan “ANTIexe Manager” akan muncul yang memberitahukan bahwa akses tersebut telah diblokir oleh Administrator. Setelah menampilkan kotak pesan tersebut, maka program yang akan kita jalankan tadi akan dihapusnya. Hal mudah untuk mengetahui apakah komputer Anda terinfeksi oleh virus ini atau tidak, yaitu bisa dengan melihat status informasi Registered Owner dan Organization pada komputer terinfeksi. Pada komputer yang terinfeksi, nama pemilik komputer tersebut akan diubah menjadi “TUKUL NDESO”, dan organisasinya menjadi “tukul tur keliling dunia”.

 

Pencegahan dan Pembasmian

PCMAV RC20 telah dapat membasmi virus ini secara tuntas dan akurat 100%. Berbagai setting-an Windows yang telah ia ubah akan dikembalikan seperti semula oleh PCMAV. Untuk dokumen Microsoft Word yang telah ia modifikasi, silakan Anda ubah kembali secara manual dengan me-replace kata–kata tadi._

dari : http://www.pcmedia.co.id/detail.asp?Id=1842&Cid=20&Eid=

Kali ini Trojan hadir dengan varian terbarunya, Trojan Generic 7, virus ini telah berhasil menguasai kondisi komputer server yg aku pake. Total sampe hari ini udah seminggu mengendap di dalam server komputer ku. Bikin jengkel ajah.
Awalnya aku gak tau itu berasal dari site mana? Mungkin dari partner kerja yg online pake komputer server ini yg menghadirkannya ato mungkin juga aku yg lagi teledor. Ah sebel.....!!!
Buat teman2 yg peduli dengan keamanan komputer online, aku ceritain sedikit yg aku tau
tentang virus ini. Pertama, secara visual kita tidak bisa mendeteksi kehadiran virus ini.
Sebab, dari performa komputer yg kita gunakan, cenderung tidak terlihat menurun, tetapi ini memutuskan koneksi internet dari komputer yang kita pakai online. Ciri nya kita akan melihat secara tiba2 kemunculan jendela pop up windows yg berisi pesan error seperti berikut >>>

kemudian jika kita lanjutkan dengan memilih "don't send" maka jendela opo up tersebut akan tertutup.
Yang terjadi berikutnya adalah sekitar 1 menit kemudian akan tampak tampilan window yg kita gunakan sedikit berubah menjadi berwarna coklat muda [tampak seperti setting tampilan win 98] tetapi dengan segera tampilan itu akan kembali ke tampilan win Xp normal.
Yang kita rasakan setelah itu adalah koneksi internet kita tiba2 melambat dan "pet" terputus tanpa ba bi bu..... repot jadinya.
Kalau kita ingin melihat detail report yg dihadirkan dari pop up window tersebut dengan memilih "click here" maka akan tampil jendela pop up berikutnya yg disajikan dari window

Tertera report yg memberitahu efek yg akan kita alami setelah kita menerima pesan error tersebut, salah satunya adalah koneksi internet kita akan terputus, padahal koneksi yg diberikan oleh Provider Internet yg kita gunakan tidak mengalami gangguan.

Nah, yang saya lakukan adalah dengan update antivirus yg kita gunakan di komputer, kemudian scan system dan semua data yg ada dalam komputer kita. saat itu saya gunakan AVG anti virus dan PCMAV RC20 dengan Clamav hasilnya bisa di-detect jenis virus yg menginveksi sistem komputer

Saat menggunakan PCMAV RC20 + Clamav, aku bisa melihat hasil yg lebih memuaskan. Registry yg terinfeksi bisa diperbaiki, yg sudah terlanjur menjadi virus bisa dihapus, tetapi kondisi system komputer tetap aman. Masih ada yg tersisa dari yg aku lakukan semua itu.
Ternyata, Trojan Generic 7 ini belum bisa hilang sempurna dari dalam system komputer ku.
Sering mengganggu kenyamanan online. Jadi, mungkin memang masih belum ada update yg bisa me-remove smua root virus ini. Maklum, varian terbaru.
Kemudian aku jalankan scan dari program anti Spyware, terdapat banyak spyware yg mendukung berjalannya virus ini dengan baik di system komputer ku, kemudian aku hapus.
Kucoba lagi dengan melakukan scanning registry menggunakan Registry Mechanic.
Hasilnya? Masih dalam pengamatan, seperti kondisi yg terjadi saat ini aku membuat posting ini, masih lancar.
Buat teman2 yg merasa pernah mengalami hal seperti ini, semoga bisa lebih hati2 dengan para perusak system komputer di dunia Cyber ini. Langkah prefentif yg paling baik adalah dengan menggunakan Thirdparty firewall pada komputer kita, juga jangan lupa dengan memasang Spyware Destroyer. Memang akan terkesan sedikit melambat kondisi komputer kita, tapi ibarat tubuh kita >>> mencegah lebih baik daripada mengobati
Semoga ini bisa menjadi wacana yg baik untuk teman2