(RPC Dcom part III - Conficker)

Setiap hari ribuan virus baru di sebarkan diseluruh dunia, tetapi hanya beberapa yang mampu menyebarkan dirinya dengan sukses dan menginfeksi ribuan sampai jutaan komputer di seluruh dunia. Ada apa dibalik kesuksesan penyebaran virus ?

Virus yang berhasil menyebar dengan sukses bukan virus paling ganas atau paling rumit, melainkan virus yang paling populer. Dalam konteks penyebaran virus, virus akan menjadi populer jika ia mampu “membuat” dirinya diaktifkan di sebanyak mungkin komputer.

Caranya adalah dengan mengeksploitasi celah keamanan, memanfaatkan kelemahan sistem yang ada dan terakhir yang menjadi keahlian pembuat virus lokal, rekayasa sosial.

Hal yang sama juga kita temui pada dua virus mancanegara yang sama-sama jagoan. Mengeksploitasi celah keamanan yang sama, codingnya sama-sama rumit dan dibuat dengan tingkat ketrampilan pemrograman tinggi, bahkan yang pertama diluncurkan lebih dahulu. Tetapi nyatanya virus pertama saat ini kalah populer dengan virus kedua, hanya karena ia tidak memanfaatkan penyebaran melalui jaringan lokal juga dan mengandalkan internet saja untuk menyebarkan dirinya. Kedua virus yang sedang wara wiri di internet saat ini adalah Gimmiv yang saat ini penyebarannya menurun dan dikalahkan oleh virus pendatang baru Conficker atau juga dikenal dengan nama Downadup. Kedua virus ini mengeksploitasi celah keamanan RPC Dcom.

Pada awalnya, patch RPC Dcom yang pertama di release pada bulan Agustus 2003 khusus untuk menghadapi serangan virus Lovsan atau lebih terkenal dengan nama Blaster. Patch RPC Dcom dengan kode MS03-039 awal tersedia di http://support.microsoft.com/kb/824146 dan secara efektif berhasil menghalau dan menghentikan virus Blaster.

Dan ini rupanya bukan akhir cerita eksploitasi RPC Dcom karena pada April 2004 Microsoft kembali mengeluarkan patch MS04-012 http://www.microsoft.com/technet/security/bulletin/ms04-012.mspx karena ada beberapa spyware yang diketahui mengeksploitasi celah keamanan ini seperti W32/Rbot.AWJ. Hebatnya lagi, Rbot.AWJ rupanya tidak hanya mengeksploitasi celah keamanan MS04-012 tetapi segambreng celah keamanan lain seperti MS04-011 (LSASS), MS03-007 (WebDav), MS04-011, CAN-2003-0719 (IIS5SSL), MS01-059 (UPNP), CAN-2003-1030 (Dameware Mini Remote Control), MS04-007 (ASN.1), MS05-039 (PNP). Setelah dua kali dieksploitasi, tahun 2008 ini celah keamanan RPC Dcom kembali di “oprek” dan dieksploitasi dengan cara lain sehingga Microsoft buru-buru mengeluarkan tambalan / patch MS08-067 http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx.

Seberapa parah celah keamanan RPC Dcom part III ini ?

Jika anda pemain game komputer, berbeda dengan film-film Hollywood yang umumnya sekuelnya kalah sukses dengan film pertamanya. Game komputer dengan seri makin tinggi pada umumnya makin canggih dan makin menarik perhatian gamer dan selalu berhasil mengalahkan game pertamanya. Contohnya adalah game Warcraft III yang jelas lebih bagus dari Warcraft I, atau Civilization IV yang tentu lebih menyenangkan dimainkan ketimbang Civilization I dst. Celakanya, celah keamanan RPC Dcom ini juga mengikuti jejak game komputer. Tidak seperti celah keamanan RPC Dcom awal, celah keamanan RPC Dcom part III ini bukan saja mampu mengeksploitasi celah keamanan di Windows XP Service Pack 3 dan Windows Server 2003 Service Pack 2, tetapi Windows Vista dan Windows Server 2008 juga rentan terhadap ancamana celah keamanan ini. Bahkan gilanya Windows 7 Pre Beta juga rentan terhadap eksploitasi celah keamanan RPC Dcom III ini.

Ciri komputer / jaringan terserang Conficker

Jika mendadak komputer anda mendapatkan pesan Generic Host Process (GHP) Error dan setelah itu koneksi internet dari komputer tersebut mati, maka kemungkinan besar jaringan komputer anda sudah tercemar oleh Conficker.

Penyebabnya bukanlah komputer yang menampilkan pesan GHP error tersebut, melainkan karena (minimal) salah satu komputer di jaringan anda sudah terinfeksi Conficker dan secara otomatis melakukan scanning ke jaringan lokal dan menyebarkan dirinya ke semua komputer yang rentan atau belum di patch MS 06-037.

Jika ada komputer yang berhasil di infeksi, maka Conficker akan melakukan beberapa rutin canggih antara lain:

1. Melumpuhkan System Restore. Conficker akan melumpuhkan System Restore dengan cara mereset “Restore Point” guna mencegah korbannya membasmi virus ini dengan mengembalikan Restore Point. System Restore adalah fasilitas “Mesin Waktu” yang tersedia di beberapa OS Windows seperti ME, XP dan Vista yang berfungsi sebagai backup system OS dan dapat membantu mengembalikan setting komputer pada keadaan normal jika suatu saat terjadi kesalahan instal program yang tidak diingini ataupun karena terinfeksi virus.
2. Membuat HTTP Server. Conficker akan membuka port random antara 1024 s/d 10.000 dan menjalankan fungsi sebagai web server (HTTP server) bagi jaringan lokal. Jika ada komputer di jaringan yang memiliki celah keamanan RPC Dcom 3 yang belum di patch, maka ia akan mencoba menyerang dan jka berhasil maka komputer korbannya akan mendownload ke HTTP server yang dibuat tadi untuk mendownload file virus dan menjalankannya. Selain itu, dalam aksinya ini Conficker menyebabkan matinya Internet connection Sharing.
3. Melakukan patch pada komputer korbannya. Setelah berhasil menginfeksi komputer korbannya, Conficker akan melakukan patching pada komputer korbannya, jangan berterimakasih dulu kepada virus ini. Tujuannya melakukan patch adalah untuk mencegah infeksi ulang yang malahan akan mengakibatkan komputer tidak stabil sehingga tidak bisa mencari korban baru.
4. Download File untuk update dirinya. Conficker meniru antivirus akan berusaha mendownload file (kemungkinan updatenya di masa depan) ke beberapa website yang telah disiapkan daftarnya (250 domain) dengan tujuan mempersulit vendor antivirus untuk memblok domain-domain update tersebut satu persatu. Domain-domain tersebut antara lain : (download disini, untuk melihat daftar domain tersebut)
   

Langkah Pencegahan

Jika komputer anda menampilkan pesan adanya virus Conficker secara berulang-ulang meskipun sudah dibersihkan oleh antivirus anda, pertama-tama yakinkan bahwa virus tersebut tidak aktif di komputer anda. Caranya adalah dengan memutuskan hubungan komputer ke jaringan. Jika setelah hubungan ke jaringan diputuskan infeksi virus terhenti, maka artinya sumber virus bukan dari komputer anda melainkan dari “salah satu” komputer di jaringan. Karena itu anda harus mencari sumber penyebar conficker di jaringan sebelum mengkoneksikan komputer anda. Logikanya, semua komputer yang belum di patch RPC Dcom 3 dan terhubung ke jaringan dimana ada satu komputer saja yang terinfeksi virus conficker akan terinfeksi conficker dalam waktu singkat, kecuali komputer-komputer tersebut di lindungi oleh Firewall yang memproteksi port :

• UDP Port 135, 137, 138 dan 445
• TCP Port 135, 139, 445 dan 593

Cara terbaik adalah melakukan pekerjaan rumah anda patch SEMUA komputer yang OSnya rentan terhadap celah keamanan RPC Dcom 3. Untuk mendapatkan detail patchnya silahkan download ke http://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx

READMORE »

Update Avira AntiVir tidak harus dilakukan secara online aja lo, bagi yang tidak mempunyai koneksi internet alias offline, Avira Antivirus juga dapat diupdate melalui file IVDF (Incremental Virus Definition File). Yang perlu dilakukan adalah download AntiVir incremental VDF update (IVDF) (Unicode) ivdf_fusebundle_nt_en.zip (ukuran filenya sekitar 20 MBm bisa di-unduh di situs resminya ato www.majorgeeks.com)

File update ini berlaku untuk produk Avira Antivir Windows Professional, Avira AntiVir Premium, Avira Premium Security Suite dan Avira AntiVir Personal - Free Antivirus untuk Windows XP, 2000 dan Windows Vista.
Lakukan seperti langkah berikut ini:

1. Setelah mengunduh file tersebut, terlebih dulu matikan semua service Avira yang aktif di memori.
2. Pertama lakukan klik kanan pada icon Avira AntiVir dan klik AntiVir Guard enable untuk mematikan tanda ceknya.
3. Matikan proses yang sedang berjalan dengan menggunakan freeware Process Explorer yang bisa diunduh dari www.sysinternals.com
4. Cara mematikan service tersebut tinggal pilih nama Process/file yang kolom “Company Name” nya Avira avcenter.exe, avgnt.exe, avguard.exe Teruz pilih tombol Kill Process.
5. Setelah itu ekstrak semua file ke lokasi Avira Antivir, biasanya di C:\Program Files\Avira\AntiVir PersonalEdition Classic (timpa or replace file yang namanya sama). Setelah itoe selesai restart Windows.

Untuk melihat hasil update, klik ganda pada icon Avira AntiVir di system tray dan klik tanda “+“ di sebelah tulisan Last Update.

READMORE »

Buat temen-temen yang ingin tau, gimana sih caranya buat BOT ? ini salah satu artikel yang gw dapet dari tetangga sebelah (thankz to bro gansdul.. :D). kita akan cuba beberin disini, biar semua orang indo bisa naro bot di rum nya masing-masing… apaan aja seh yang diperluin buat ngaktifin sebuah bot?

Buat yang pertama ini gw coba njabarin gimana ngaktifin bot Pako yang bisa elo download di: pako.googlecode. Nah disitu bisa download pako versi berapa aja, tapi gw saranin sih ver si 8.6.6 aja… soalnya gw juga pake nyang ntu… hihihihih

Tapi sebelum elo bisa jalanin tuh bot abot, banyak yang mesti di kerjain mula-mula, kaya kudu mengunduh dulu .net Framework ver 2.0 (punya-nya mikocok> di http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=0856eacb-4362-4b0d-8edd-aab15c5e04f5 nah gw juga gak paham dah buat apaan tuh framework? kagak usah betingkah, udah unduh aja tuh file trus di instal di komp elo nyang ada windowsnya.

kalo pakonya udah di download and frameworknya udah di instal, sekarang tinggal buka tuh pakonya, diekstrak lah bahasa kerennya. trus liet dah isinya kira2 ada oncomnya kagak? he he he he becanda aja neh si gansdul….

Tapi ntar dulu. elo mesti bikin akun baru di jabber, terserah pake jabber.ru atw jabber.cz atw yang lainnya, bikinnya ya terserah entah itu pake bombus atawa gajim pada pc. Yang penting entar elo inget itu NAMA akunnya dan PASSWORD nya….. itu aja (buat masukin di pakonya)

coba liet isi pako tadi ada apanya (oncom :) )?, di situ ada file pako tapi bukan yang gambar kambing. pako yang atunya lagi, trus elo buka pake wordpad biar enak dilihatnya.

Nah di dalem situ ada kata-kata:

# Main status message, which bot will use as default

#<status value=”hello” />

Itu yang tulisan merah ganti terserah misalnya : “cilandak rumah gue”

# Specifies JID (Jabber ID). which will be used to connect to Jabber-Server

#<jid value=”bot@jabber.dom/res” />

Ganti pake akun yang baru dibuat tadi misalnya: “cilandak@jabber.ru/Pako_cilandak”

# Main NickName, which bot will use as default, when entering chat-room

#<nick value=”pako_betawi” />

Ganti tuh nick terserah ente, nanti tuh nick jadi default setiap gabung di room yang minta joinin.

# Password, which bot will use to connect his JID to Jabber-Server

#<password value=”12345” />

Ganti passwordnya akun tadi

# Here you have to input the list of administartors of bot, using freespace

#<admins value=”jid1@jabber.ru jid2@jabber.cz jid3@somedom.com” />

Ganti ama akun si owner, dalam hal ini JID yang sering elo pake dah, bisa 3 akun

<——- BREAK DULU ————————- NGOPI DULU AH ! ———–>

……………………

# Sign, which will be used to type bots commands as prefix

#<prefix value=”$” />

Ganti ama prefix buat cmd bot ciri khas elo. Bisa .,!@#$%^&* ~ dan sebagainya… Save

Harus teliti yah … kurang salah-salah kata entar kagak bisa jalan tuh pako bot… nah buat confignya (pako.cfg) kira2 itu doang yang perlu dirubah.

Terus…terus….apalagi neh ? dah tanggung banget mas dul…eh don ! kwak… gw buka mas-mas!

Sekarang elu kamu ente buka dah tuh file yang ada di dalem namanya Rooms.base ada didalem folder Dynamic, kalo udah ketemu buka lagi pake program Wordpad bukan notepad, kenapa pake wordpad? Soalnya keliatannya lebih teratur daripada pake notepad yang keliatannya berantakan yang nanti bikin elo pushiiiiiiiiing aja!.

<rooms>

<room lang=”en” status=”hello” nick=”Pako2” jid=”room@conference.jabber.dom” /></rooms>

</amucs>

Ganti pako2 ama nama apa aja misalnya “Pako_gans”. Nama roomnya juga ganti ama room yang bakal elo masukin cilandak@conference.jabber.ru

pertama kali dia idup. Save!

Nah udah jadi dah file-file yang perlu elo benerin……..terus sekarang tinggal aktifin tuh pako yang ada gambar embenya! Kalo tadi gantinya nggak ada yang salah pasti sekarang tuh pako udah menclok di Room yang elo udah tetepin ke room mana, yah tentunya Komputer elo juga harus bisa konek ke internet.

Selamat mencoba ! kalo ada kekurangan mohon dibenerin, jangan disalahin… dan gua yakin banyak master jabber yang jadi kagak repot nerangin mulu… okeh

Sebenernya banyak juga file2 yanhg bisa elo kutak-katik, kaya file lang menjadi Indonesia, ataw file pendukung lainnya, tapi buat pemula gua kira cukup gini aja! Okeh…think simple aja.

author: Gansdul’s information

READMORE »

Secara default, untuk menampilkan gambar pada Blooger adalah dengan meng-upload gambar yang ingin ditampilkan pada account Blogger anda (Blogger memberikan ruang 1024MB untuk file image upload secara gratis). Namun, jika anda tidak mengingingkan hal ini (dengan tujuan menghemat ruang gratis tersebut, misalnya), anda dapat mempertimbangkan untuk memanfaatkan Picasa Web Albums

Picasa Web Albums merupakan layanan sharing foto gratis yang disediakan oleh google. Untuk layanan ini, anda hanya memerlukan sebuah akun Google, jika anda telah memilikinya, anda tinggal masuk ke website Picasa Web Albums, lalu mulailah men-sharing.

Step 1. Upload gambar anda pada Picasa Web Albums

1. Buka http://picasaweb.google.com/
   
   
   
   • Login dengan menggunakan akun anda. Jika anda tidak memiliki akun, buatlah satu (akun dapat digunakan juga sebagai alamat email @gmail.com)
     















2. Upload gambar anda dengan menekan tombol “Upload Photos”
   
   
   
   • Akan muncul form. Tentukanlah Judul, Tanggal, Depskripsi, Album Publicity, dll, sesuai yang anda inginkan. Jika sudah sesuai, lanjutkan dengan menekan tombol Continue
     

   













3. Akan muncul halaman baru. Disini anda dapat mengupload file gambar anda dengan menekan tombol Browse, lalu tentukan file pada komputer anda yang ingin diupload

Step 2. Munculkan file gambar anda pada Blogger

1. Copy link gambar anda pada Picasa Web Albums
   
   
   
   • Arahkan tampilan Picasa Web Albums pada tampilan gambar
     
   • Pada kolom sebelah kanan gambar, cari pilihan “Link to this Photo”. Tekan pilihan tersebut agar muncul link photo anda.
     
   • Terdapat dua pilihan link, “Paste link in email or IM” dan “HTML to embed in website”. Copy yang sesuai dengan kebutuhan anda.
     

   
   












2. Munculkan file gambar anda pada Blogger
   
   
   
   • Login pada akun Blogger anda, arahkan tampilan pada penulisan/editing post.
     
   • Tekan tombol “Add Image”. Akan muncul form mengenai gambar yang ingin dimasukkan
     
   • Isi “Image URL” dengan link Picasa “Paste link in email or IM”. Sedangkan bagian yang lain dapat anda isi sesuai kebutuhan anda.
     

   
   
   











3. Atau, copy-paste link Picasa “HTML to embed in website” langsung pada post (tanpa menekan tombol “Insert/edit image”) untuk menyisipkan file gambar anda

READMORE »

Waspadai storage hardware kita (harddisk, flaskdisk, MMC dan portable storage lainnya)!! Apabila kita menemukan file ber-icon Image JPG tetapi ber-ekstensi EXE dengan Type file application, dan memiliki ukuran file yang bervariasi antara 51 KB, 52 KB, 54 KB dan 56 KB, disinyalir bahwa file-file tersebut merupakan ciri-ciri file yang di-usung oleh Amburadul beserta variannya.

Berikut ini adalah daftar file yang disebut di atas:
o Raja Nge5ex.exe , berukuran 54KB dengan Type file application
o PAL.Exe , berukuran 56KB dengan Type file application
o PaLMa1.exe , berukuran 52KB dengan Type file application
o Friendster Community.exe , berukuran 51KB dengan Type file application
o J3MbataN K4HaYan.exe , berukuran 51KB dengan Type file application
o PaLMa.exe , berukuran 51KB dengan Type file application
liat gambar:

Ia akan membuat beberapa file induk berikut ini pada saat virus aktif yang akan dijalankan setiap kali komputer dinyalakan. Pada saat virus aktif, file ini akan dibuat di semua drive termasuk eksternal storage hardware kita yang menancap di USB, misalnya flaskdisk.

C:\Windows\system32\~A~m~B~u~R~a~D~u~L~
o csrcc.exe
o smss.exe
o lsass.exe
o services.exe
o winlogon.exe
o Paraysutki_VM_Community.sys
o msvbvm60.dll
C:\Autorun.inf
C:\FoToKu xx-x-xxx.exe, dimana x menunjukan tanggal virus tesebut di aktifkan (contohnya: FoToKu 14-2-2008.exe)
C:\Friendster Community.exe
C:\J3MbataN K4HaYan.exe
C:\MyImages.exe (hidden file)
C:\PaLMa.exe
C:\Images
o Ce_Pen9God4.exe
o J34ñNy_Mö3tZ_CuTE.exe
o M0D3L_P4ray_ 2008.exe
o MalAm MinGGuan.exe
o NonKroNG DJem8ataN K4H4yan.exe
o Ph0to Ber5ama.exe
o PiKnIk dT4ngKilin9.exe
o RAja Nge5ex.exe
o TrenD 9aya RAm8ut 2008.exe
C:\Images\_PAlbTN
o (V.4.9)_D053n^908L0K.exe
o ~ G0YanG Ranjang ~.exe
o GePaCar4an Neh!!!.exe
o GuE... BgT!.exe
o Ke.. TaUan N90C0k.exe
o Ma5tURbas1 XL1M4xs.exe
o PraPtih G4diEs PuJAAnku.exe
o SirKuit BaLi SmunZa.exe

Menyembunyikan file gambar
File yang menjadi target virus ini adalah file gambar (JPG/BMP/PNG/TIFF/GIF), tetapi ia hanya akan menyembunyikan file gambar yang asli yang ada di FlaskDisk. Untuk mengelabui user ia akan membuat file duplikat yang mempunyai nama yang sama dengan nama file yang disembunyikan dengan ciri-ciri:
o Icon JPG
o Ukuran “acak” (tergantung varian -> 51 KB / 52 KB / 54 KB / 56 KB)
o Ekstensi .xx`.exe, dimana xx menunjukan ekstensi dari file gambar aslinya.
Contohnya jika file gambar asli mempunyai nama data.bmp maka virus ini akan membuat file duplikat dengan nama data.bmp`.exe.
o Type File “Application”
Setiap kali menyembunyikan file, ia akan mencatatkan lognya dalam file C:\Windows\ Amburadul_List.txt,












Langkah-langkah untuk menampilkan file yang tersembunyi:
1. Buka Windows Explorer
2. Klik menu “Tools”
3. Klik “Folder Options”
4. Klik Tabulasi View
5. Pada kolom “Advanced settings”
o Pilih opsi “Show hidden files and folders”
o Unchek “Hide extensions for known file types”
o Uncheck “Hide protected operating system files (Recommended)

Beberapa cara alternatif menampilkan tab Tools --> Folder Options yang disembunyikan
o Klik “Start” menu
o Klik “Run”
o Ketik “CMD”, atau (apabila "Run", tidak bisa diakses)
Klik Start menu --> All Programs --> Accessories --> Command Prompt
o Pada Dos Prompt, ketikan script seperti gambar berikut:
REG DELETE HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /V NoFolderOptions



atau dengan cara menyalin script dibawah ini pada program notepad atau WordPad kemudian simpan dengan nama bukaFolderOptions.inf.
Jalankan file tersebut dengan cara:
o Klik kanan bukaFolderOptions.inf
o Klik Install

[Version]
Signature="$Chicago$"
Provider=dot
[DefaultInstall]
DelReg=del
[del]
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoRun

download script di sini

Penyebaran melalui FlaskDisk
Untuk menyebarkan dirinya, ia akan menggunakan media “FlaskDisk” ataupun “Disket” dengan membuat beberapa file induk dan beberapa file pendukung agar dirinya dapat aktif secara otomatis setiap kali user akses ke FlaskDisk tersebut.
Berikut beberapa file yang akan dibuat pada media FlaskDisk atau Disket (dimana X adalah drive Flaskdisk atau disket):
X:\Autorun.inf (hidden)
Dengan menggunakan fitur autorun windows, file Autorun.inf ini akan menjalankan file X:\MyImage.exe, untuk mengaktifkan virus secara otomatis setiap kali kita akses drive atau flaskdisk.
X:\FoToKu xx-x-xxx.exe, dimana x menunjukan tanggal virus tesebut di aktifkan (contohnya: FoToKu 14-2-2008.exe)
X:\Friendster Community.exe
X:\J3MbataN K4HaYan.exe
X:\MyImages.exe (hidden)
X:\PaLMa.exe
X:\Images
o Ce_Pen9God4.exe
o J34ñNy_Mö3tZ_CuTE.exe
o M0D3L_P4ray_ 2008.exe
o MalAm MinGGuan.exe
o NonKroNG DJem8ataN K4H4yan.exe
o Ph0to Ber5ama.exe
o PiKnIk dT4ngKilin9.exe
o RAja Nge5ex.exe
o TrenD 9aya RAm8ut 2008.exe
X:\Images\_PAlbTN
o (V.4.9)_D053n^908L0K.exe
o ~ G0YanG Ranjang ~.exe
o GePaCar4an Neh!!!.exe
o GuE... BgT!.exe
o Ke.. TaUan N90C0k.exe
o Ma5tURbas1 XL1M4xs.exe
o PraPtih G4diEs PuJAAnku.exe
o SirKuit BaLi SmunZa.exe

Langkah-langkah membasmi Amburadul dan Varian.
1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan.
2. Matikan proses virus yang aktif di memory resident. Untuk mematikan proses tersebut gunakan tools “currprocess” (http://www.nirsoft.net/utils/cprocess.zip). Kemudian matikan proses virus yang mempunyai icon JPG dengan ekstensi EXE.


3. Repair registry yang sudah di ubah oleh Amburadul atau W32/Agent.EQXM (dan varian). Untuk mempercepat proses perbaikan silahkan salin script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf.
Jalankan file tersebut dengan cara:
o Klik kanan repair.inf
o Klik Install

[Version]
Signature="$Chicago$"
Provider=antiamburadul
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,UncheckedValue,0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,CheckedValue,0x00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,DefaultValue,0x00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden,UncheckedValue,0x00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden,CheckedValue,0x00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden,DefaultValue,0x00010001,0
HKCU, Software\Microsoft\Internet Explorer\Main, Start Page,0, "about:blank"
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, type,0, "checkbox"
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, type,0, "checkbox"
HKCU, Control Panel\International, s1159,0, "AM"
HKCU, Control Panel\International, s2359,0, "PM"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden,0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt,0x00010001,0
[del]
HKCU, Software\Microsoft\Internet Explorer\Main, Window Title
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kspoold.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kspool.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmc.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HokageFile.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rin.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SMP.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskkill.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\tasklist.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Obito.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KakashiHatake.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-CLN.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-RTP.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\boot.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HOKAGE4.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ansav.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe,debugger
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Instal.exe, debugger
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe,debugger
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msiexec.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ansavgd.exe
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, DisableMSI
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, LimitSystemRestoreCheckpointing
HKCR, exefile, NeverShowExt
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, PaRaY_VM
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, ConfigVir
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, NviDiaGT
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, NarmonVirusAnti
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, AVManager
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, EnableLUA
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore

File tersebut dapat di-download di sini

4. Disable System Restore selama proses pembersihan.
5. Hapus file induk virus Amburadul W32/Agent.EQXM (dan varian). Sebelum menghapus file tersebut sebaiknya tampilkan file yang tersembunyi caranya :
1. Buka Windows Explorer
2. Klik menu “Tools”
3. Klik “Folder Options”
4. Klik Tabulasi View
5. Pada kolom “Advanced settings”
o Pilih opsi “Show hidden files and folders”
o Unchek “Hide extensions for known file types”
o Uncheck “Hide protected operating system files (Recommended)

Kemudian hapus file berikut (di semua Drive termasuk FlaskDisk):
C:\Windows\system32\~A~m~B~u~R~a~D~u~L~
o csrcc.exe
o smss.exe
o lsass.exe
o services.exe
o winlogon.exe
o Paraysutki_VM_Community.sys
o msvbvm60.dll
C:\Autorun.inf
C:\FoToKu xx-x-xxx.exe, dimana x menunjukan tanggal virus tesebut di aktifkan (contohnya: FoToKu 14-2-2008.exe)
C:\Friendster Community.exe
C:\J3MbataN K4HaYan.exe
C:\MyImages.exe
C:\PaLMa.exe
C:\Images

6. Tampilkan file gambar yang telah disembunyikan di FlaskDisk dengan cara:
o Klik “Start” menu
o Klik “Run”
o Ketik “CMD”
o Pada Dos Prompt, pindahkan posisi kursor ke lokasi Flash Disk kemudian ketik perintah ATTRIB –s –h /s /d
7. Untuk pembersihan optimal dan mencegah infeksi ulang scan dengan antivirus yang up-to-date dan sudah dapat mengenali virus ini dengan baik.

*)P3V: Pertolongan Pertama Pada Virus :D

READMORE »

Setelah sebelumnya muncul virus VBWorm.NUJ http://vaksin.com/2007/1107/moontox-bro.htm), baru-baru ini telah ditemukan salah satu virus hasil modifikasi VM Palangkaraya (kemungkinan) ini dapat dilihat dari script dan file induk yang akan di usung oleh virus ini.
Untuk saat ini sudah ada 3 varian dimana untuk masing-masing varian tersebut mempunyai ciri-ciri yang sama, virus ini lebih dikenal dengan nama W32/Amburadul.
Untuk varian pertama Norman mendeteksi sebagai W32/Agent.XQXM (54 KB)
Untuk varian ke dua mempunyai nama sebagai W32/Agent.ETOR (56 KB)
Untuk varian ke tiga mempunyai nama sebagai W32/Autorun.CQJ (52 KB)
Untuk varian ke empat mempunyai nama sebagai W32/Autorun.CIA (51 KB)

Secara garis besar virus ini sama dengan kebanyakan virus lokal yang menyebar.
Membuat file duplikat, blok beberapa fungsi windows seperti Regedit/MSconfig/Search/Folder Option atau Task Manager bahkan blok software security khususnya antivirus lokal seperti PC MAV, SMP dan ANSAV. Ia juga akan mencoba untuk mematikan proses virus Hokage/VBWorm.gen16 (http://vaksin.com/2008/0408/hokage/hokage.html) yang sama-sama berasal dari Kalimantan Tengah tepatnya di daerah Sampit, hal ini dapat dilihat dari script yang ada, dimana script ini berusaha untuk blok file induk yang dari virus Hokage/VBWorm.Gen16 ini

Auto start Virus
Agar virus ini dapat aktif secara otomatis setiap kali komputer aktif, ia akan membuat beberapa string pada registry berkut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\PaRaY_VM
C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~\winlogon.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ConfigVir
C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~\services.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NviDiaGT
C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~\lsass.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NarmonVirusAnti
C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~\smss.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AVManager
C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~\csrss.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogonshell = Explorer.exe,
C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~\winlogon.exe

Blok Fungsi Windows dan software security (Antivirus)
Untuk mempertahankan dirinya ia juga akan melakukan blok terhadap beberapa fungsi windows seperti Task Manager/Regedit/MSconfig/Folder Option/System Restore atau Search serta beberapa software security lainnya yang memungkinan dapat memperpendek umur virus tersebut, dengan membuat beberapa string pada registry berikut:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
o EnableLUA =0

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsNT\SystemRestore
o DisableConfig
o DisableSR

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer
o DisableMSI
o LimitSystemRestoreCheckpointing
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\msconfig.exe
o Debugger = rundll32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\rstrui.exe
o Debugger = rundll32.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\wscript.exe
o Debugger = crundll32.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\mmc.exe
o Debugger = rundll32.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\Setup.exe
o Debugger = cmd.exe /c del

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\Instal.exe
o Debugger = cmd.exe /c del

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\Install.exe
o Debugger = cmd.exe /c del

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\procexp.exe
o Debugger = cmd.exe /c del

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\msiexec.exe
o Debugger = rundll32.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\taskmgr.exe
o Debuger = rundll32.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
o DisableRegistryTools

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
o NoFind

HKEY_CLASSES_ROOT\exefile
o NeverShowExt

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
o UncheckedValue = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
o DefaultValue = 1

(no)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
o CheckedValue = 0

(no)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
o DefaultValue = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
o UncheckedValue = 0

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
o Type = checkbok

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
o ShowSuperHidden = 0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
o SuperHidden = 0

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
o HideFileExt = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\wscript.exe
o debugger = rundll32.ex

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\taskkill.exe
o debugger = rundll32.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\cmd.exe
o debugger = rundll32.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\tasklist.exe
o debugger = rundll32.exe

W32/Agent.EQXM (serta varian nya) juga akan mencoba untuk blok beberapa antivirus lokal (termasuk yang suka ngaku-ngaku sebagai antivirus terbaik di dunia) seperti PCMAV, SMP atau ANSAV dengan membuat string pada registry berikut:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\PCMAV-CLN.exe
o Debugger = cmd.exe /c del

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\PCMAV-RTP.exe
o Debugger = cmd.exe /c del

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\Ansav.exe
o Debugger = cmd.exe /c del

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\kspoold.exe
o Debugger = cmd.exe /c del

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\kspool.exe
o Debugger = cmd.exe /c del

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\boot.exe
o Debugger = cmd.exe /c del

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\Ansavgd.exe
o Debuger = cmd.exe /c del

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\SMP.exe
o debugger = cmd.exe /c del

Untuk blok fungsi Windows dan software antivirus selain dengan membuat string pada registry di atas, ia juga akan mengunakan perintah taskkill.

taskkill /f /im winamp.exe
taskkill /f /im winampa.exe
taskkill /f /im firefox.exe
taskkill /f /im iexplorer.exe
taskkill /f /im wmplayer.exe
taskkill /f /im PCMAV
taskkill /f /im CLN.exe
taskkill /f /im Ansav.exe
taskkill /f /im ansavgd.exe
taskkill /f /im explorer.exe

READMORE »

Tutorial di bawah ini merupakan panduan membuat blog di wordpress.com bagi yang pemula. Untuk tutorial blogger.com/blogspot, silahkan mulai dari sini.

1. Buka www.wordpress.com

2. Klik Sign Up

3. Isi form

a. Username: -> isi nama blog sesuai dengan keinginan (paling sedikit empat huruf/angka)

b. Password: Isi password/kata sandi (sedikitnya enam huruf/angka)


c. Confirm: Ulangi password yang sama dengan di atas.

d. Email Address: Isi email Anda (apabila belum punya email, buat dulu di gmail.com atau yahoomail.com)

e. Legal flotsam: beri tanda tik di kotak yang tersedia sebagai tanda “setuju” dengan perjanjian.

f. Beri tanda tik pada menu “Gimme a blog” (biasanya sudah otomatis ada tanda tik di sini).

g. Klik “Next”

h. Blog Title -> Isi judul yang sesuai.

i. Language -> Pilih Bahasa Indonesia.


j. Privacy -> Kasih tanda tik (biasanya sudah ada otomatis).

4. Klik Sign Up

5. Akan muncul pesan sebagai berikut:

Your account is now active!

You are now logged in as (username Anda).

An email with your username, password, Akismet API key and important links has been sent to your email address.

Write a post, change your template or visit the homepage.

5. Itu berarti Anda sudah berhasil membuat blog. Silahkan login ke blog Anda. Berikut alamat penting untuk Anda:


a. Untuk login, buka: http://namabloganda.wordpress.com/login.php

b. Isi username (=nama blog) dan password.

c. Klik “Write” atau “Tulis” untuk mulai membuat posting.

d. Klik “Publish” atau “Tampilkan”

6. Selesai (kalau mau udahan, jangan lupa klik “Log Out”).

Catatan:

• Di wordpress.com, satu account hanya untuk satu blog. Ini berbeda dengan blogger.com/blogspot di mana satu account bisa untuk membuat beberapa blog.


• Kelebihan wordpress.com dibanding blogger.com adalah (1) comment friendly: pengunjung mudah berkomentar karena kotak komentar langsung terbuka di bawah posting. Bagi Anda yang suka dikomentarin, wordpress cocok untuk Anda; (2) Posting terbaru akan muncul beberapa saat di Dashboard (Menu Utama) seluruh pemakai wordpress.com, apabila posting Anda cukup menarik Anda juga berkesempatan masuk BOTD (best of the day) yakni 10 posting terbaik hari itu dan akan muncul selama sehari di Menu Utama (Dashboard) seluruh pemakai wordpress.com. Untuk BOTD ini diklasifikasi berdasar bahasa. Pastikan Anda memilih Bahasa Indonesia pada saat mendaftar (lihat poin 3.i.)



• Kekurangan wordpress.com dibanding blogger.com/blogspot adalah javascript tidak berfungsi (disabled) artinya Anda tidak bisa memasang iklan apapun–AdSense, Adbrite, dll–di wordpress.com. Tidak masalah buat blogger yang memang betul-betul ingin ngeblog saja, tanpa ada niat untuk iseng-iseng pasang iklan. Bagi yang ingin pasang iklan, dapat juga di blog gratis yang pakai software wordpress juga seperti blogsome.com atau blogs.ie. Sayangnya, kedua penyedia blog gratis ini masih memakai software wordpress lama (tak ada fasilitas widget, dan lain-lain).

Selamat ngeblog di wordpress.com

READMORE »

Pengen punya blog di blogger.com/blogspot kayak temen-temen kamu. caranya mudah aja, apabila kamu sudah punya email gmail.com, kamu tinggal langsung daftar di blogger.com. Berikut ini langkah singkat mendaftar blogger:

1. Kunjungi blogger.com (klik)
2. Masukkan account Gmail di “nama pengguna (Email)” dan password di “Kata Sandi”. Lihat gambar 1.

Kalau belum punya Gmail, daftar dulu di Gmail.com.
a. Isi “Nama Tampilan” di kotak. Contoh: Nama Saya
b. Kasih tanda tik (check) pada “Penerimaan Persyaratan”
c. Klik “Lanjutkan”. Lihat gambar 2.

3. Pada “Judul Blog” -> isi dengan Judul yang diinginkan. Contoh Indonesiaku Blog
4. Pada “Alamat Blog” -> isi dengan alamat URL. Contoh, Indonesiaku-pal.

Jangan lupa klik “Cek Ketersediaan” untuk mengetahui apakah alamat URL yang dipilih belum ada yang punya. Coba buat alamat lain kalau alamat tidak tersedia. Lihat gambar 3.

5. Klik “Lanjutkan”
6. Pada “Pilih Sebuah Template” klik “Lanjutkan” (Gambar 4)
7. “Blog Anda Telah Diciptakan!” -> Anda sudah berhasil membuat blog (Gambar 5)
8. Klik “Mulai Blogging” untuk menulis artikel.
9. Di “Judul” isi kotak dengan judul artikel yang akan ditulis. Contoh: Menulis di Blog
10. Isi kotak di bawahnya dengan artikel. Sebagai contoh, Anda bisa meng-copy dari sini.. Lihat gambar 6.
11. Klik “Mempublikasikan Posting”
12. Selamat! Anda berhasil membuat blog dan memposting Artikel. (Lihat gambar 7).

Catatan: Untuk memposting artikel berikutnya, Anda tinggal mengklik menu “Posting”. Untuk mengedit tulisan tinggal klik “Edit Posting”

Gambar 1

Gambar 2

Gambar 3

Gambar 4

Gambar 5

Gambar 6

Gambar 7

Selamat ngeblog di Blogger.com

READMORE »

Kamus Istilah-Istilah Dalam Blog
Buat kamu masih hijau yang belum tahu banyak tentang dunia blog, ini ada beberapa istilah-istilah yang perlu kamu ketahui. Buat yang sudah merah, yang sudah banyak makan garam dunia blog juga nggak ada salahnya kok baca-caca artikel ini. Disini sengaja tidak disusun menurut abjad tapi disusun berdasarkan kategori masing-masing.

* Blog
Blog : istilah yang pertama kali digunakan oleh Jorn Barger untuk menyebut kelompok website pribadi yang selalu diupdate secara kontinyu dan berisi link-link ke website lain yang mereka anggap menarik disertai dengan komentar-komentar.
Weblog : istilah lain dari blog.
Blogging : kegiatan-kegiatan yang dilakukan dalam dunia blog.
Blogger : seseorang yang melakukan blogging.
arti lainnya: sebuah layanan blog dari google.
Blogosphere : komunitas dalam blogging.
Posting : kegiatan untuk mengirimkan artikel ke dalam blog.

* Bentuk-Bentuk Blogging
Photoblogging : sebuah blog yang difokuskan pada dunia Photografi dan gambar-gambar.
Podcasting : metode untuk mendistribusikan file multimedia (video/audio) secara online melalui feeds
Autocasting : bentuk podcasting secara otomatis.
Blogcasting : penggabungan blog dan postcas dalam sebuah wensite.
Vlog / Vlogging : jenis blogging yang lebih senang menggunakan video daripada text.
Audioblog / Audioblogging : jenis blogging yang lebih senang menggunakan audio/musik daripada text.
Moblogs / Moblogging kegiatan blogging dengan menggunakan HP (handphone).

* Komponen dan Fungsi-Fungsi Blog
Index page : halaman depan dari blog.
Header : bagian paling atas blog.
Footer :bagian paling bawah blog.
Sidebar : kolom-kolom yang berada di sisi blog.
Link : proses untuk menghubungkan ke suatu postingan/kontent atau ke web/blog yang lain.
Archive : sekumpulan/arsip dari semua postingan. Bisa dikelompokkan dalam bulan, tahun dsb.
Categories : sekumpulan/sekelompok spesifik dari beberapa artikel.
Commnets : Kompentar-komentar dari para pembaca blog.
Captcha : kependekan dari "Completely Automated Public Turing test to tell Computers and Humans Apart", yaitu sebuah gambar yang berisi kata atau huruf yang harus diketikkan untuk verifikasi. Berguna untuk menangkal spam.
Ping (Packet Internet Grouper) : berfungsi untuk memberitahu layanan-layanan yang berhubungan dengan blog (seperti tchnocarty dkk) bahwa kita baru menambah atau mengupdate konten blog kita.
Trackback : berfungsi untuk memberitahu bahwa kita me-link ke postingan atau kontent blog orang lain.
Blogroll : sekumpulan link yang dijukan ke blog yang lain.
Template : desain dasar blog.
Plugin : sebuah file yang berfungsi untuk menambah feature2 blog.
Dashboard : sebuah tampilan yang berisi kontrol-kontrol, tool, setting dll saat pertama kali kita login ke blog account.

*Penyedia Layanan Blog
Blogger/Blogspot : Layanan blog gratis dari google.
Wordpress : Salah satu layanan blog gratis yang lain, memiliki feature yang lebih lengkap daripada blogger.com tapi kita tidak bisa mengotak-atik script HTML, kalo mau mengedit harus bayar dulu, jadi buat yang gratisan nggak bisa ngedit.
LiveJournal : Tolls blogging gratis dari SixApart
TypePad : Tolls blogging tidak gratis (bayar) dari SixApart.

* Bloging Habits
Metablogging : menulis artikel tentang blogging.
Blogstipation : blogger yang sedang malas ngeblog, karena sedang bad mood atau nggak pingin ngeblog.
Blogopotamus : Postingan blog yang sangat panjang.
Bleg : adalah ketika seseorang memohon pada sebuah blog.
Blego : Blog+Ego, ukuran kekayaan blogger.
Blog Hopping : Berpindah-pindah dari satu blog ke blog yang lain.
Blogroach : Komentator yang tidak setuju dengan postingan atau kontent suatu blog, biasanya diungkapkan dengan kata-kata yang kasar.
Blogoholic : Pecandu Blog.
Blogorific / Blogtastic Suatu hal yang dahsyat dari perkataan blogger.
Blogsit : Pemeliharaan blog ketika sang pemilik utama blog sedang bepergian atau sedang liburan.
Blogvertising/Blogvert : Iklan-iklan yang ada di blog.
Blurker : Pembaca blog yang hanya melihat-lihat saja, tidak memberikan komentar atau apapun.
Blogathon : mengaupdate blog setiap 30 menit dan selama 24 jam non-stop.
Blogiversary : Ulang tahun Blog.
Blog Carnival : Link ke artikel yang lain yang disamarkan dengan topik yang spesifik.
Multiblog : menjalankan banyak blog.
Blog Tipping : pujian atau ucapan selamat setiap tanggal 1 setiap bulannya.
Blogger Bash : Pesta para blogger.
Reciprocal Links / Link Exchange : atau Link Love, saling me-link antara blog yang satu dengan blog yang lain.
Linkbaiting : menulis artikel yang bagus supaya dilink oleh blog yang lain.
Hitnotice : me-refresh browser berulang-ulang untuk melihat hit-counter atau melihat apakah ada komentar yang baru atau tidak.
Blogstorm / Blogswarm : Kegiatan komunitas blogger yang sangat besar.
Blogsnop : menolak respon dari komentator yang bukan temannya.
Doppelblogger : blogger yang menjiplak konten dari blog orang lain.
Blogophobia takut terhadap blog atau blogging.
Blogeerel : opini yang sama yang dikirim berulang-ulang pada sebuah blog.

Aduh capek nih, ngaso dulu ah, minum kopi dulu bos biar seger. huuaaaahhhhh...
hup..hap..hup..hap..huaaaahhhhhhhhhh
yak, udah seger lagi, mari kita lanjutkan.

* Tipe-Tipe Blogger
Problogger : Blogger yang sudah profesional.
Blogebrity : Blogger yang sangat terkenal, kayak selebriti gitu.
Blogerati : Komunitas Blogger yang sudah pinter-pinter.
Blognoscenti : Blogger yang memiliki kemampuan yang spesial.
Commnetariat : Komunitas para komentator (lho emangnya ada? ).
Dooced : kehilangan pekerjaan gara-gara blognya.
Blogther : teman/saudara/keluarga blogger.
Blogstar : Blogger yang mengoperasikan blog yang sangat populer.

* Web/Blog Feeds
Web Feed : format data yang disediakan untuk user agar bisa berlangganan pada postingan sebuah blog.
RSS : adalah sebuah file berformat XML untuk sindikas. RSS mengijinkan kita untuk berlangganan kepada web/blog yang menyediakan umpan (feed) RSS. RSS kependekan dari Really Simple Syndication (RSS 2.0), Rich Site Summary (RSS 0.91, RSS 1.0), RDF Site Summary (RSS 0.9 and 1.0).
XML : (eXtensible Markup Language).
RDF : (Resource Description Framework)
Atom : hampir sama dengan web feed.
Photofeed : web feed dengan lampiran gambar.

READMORE »

3: Langkah-langkah Mengatasi Virus
Bagian ini tidak membahas langkah-langkah praktis untuk menangani virus-virus yang biasa dijumpai, karena sebenarnya setiap virus memiliki cara kerja, strategi penyerangan, tingkat serangan dan teknik removal (cara mengatasi) sendiri-sendiri.

Dengan penyajian seperti berikut ini diharapkan dapat dipahami konsep-konsep bagaimana mengatasi virus, sehingga dapat diterapkan untuk bermacam-macam virus yang pokok strateginya sama. Dilihat dari cara kerja virusnya, sebenarnya masih banyak jenis virus yang tidak mempan dengan cara-cara yang dijelaskan di sini, karena memang cara kerjanya sama sekali berbeda. Apa yang dibahas di sini adalah cara-cara umum untuk mengatasi jenis virus yang mudah dibuat dan selama ini banyak beredar di Indonesia, menembus hingga ke daerah pelosok yang tidak memiliki jaringan internet. Virus-virus semacam ini tidak sulit dibuat bagi programmer yang kemampuannya sedikit di atas programmer rata-rata.
Untuk jenis virus yang dijelaskan di atas, langkah-langkah umum untuk mengatasinya adalah sebagai berikut:
1. Hentikan proses yang mencurigakan
Sebagian besar proses dalam daftar proses adalah proses yang dijalankan sistem (Windows) atau program yang memang sengaja kita jalankan. Jika kita terlanjur membunuh proses yang merupakan bagian dari sistem, kadang-kadang komputer akan shutdown sendiri dengan pemberitahuan dan hitungan mundur sebelumnya. Kadang-kadang proses virus begitu mudah dikenali karena menggunakan nama yang ganjil (misal “sempalong” atau “eksplorasi” pada virus Brontok). Tetapi tidak jarang proses virus menggunakan nama yang sekilas tampak familiar, sehingga user menyangka proses tersebut adalah proses dari sistem operasi, tetapi sebenarnya sama sekali berbeda dengan nama-nama yang digunakan oleh sistem, misal: lExplorer (LEXPLORER, bukan iexplorer, dengan huruf “i” besar). Bahkan banyak juga yang menggunakan nama sama persis dengan nama proses yang dijalankan oleh sistem, sehingga kita tidak dapat membedakan proses virus dan proses sistem hanya berdasarkan namanya.

Nama-nama bawaan Windows sendiri yang umum di antaranya adalah “SVCHOST.EXE”, “SPOOLSV.EXE”, “SERVICES.EXE”, “WINLOGON.EXE”, “LSASS.EXE”, “CRSS.EXE”, “EXPLORER”, “System”, “System Idle Process”. Nama-nama ini biasanya selalu ada, meskipun komputer tidak sedang menjalankan program satu pun. Kadang-kadang virus juga menggunakan nama-nama ini supaya tidak di-stop oleh user. Kecuali “SVCHOST.EXE”, umumnya nama proses bawaan sistem tidak kembar. Jika misalnya ada dua proses yang namanya sama-sama “SERVICES.EXE”, mungkin salah satunya adalah proses yang dijalankan oleh virus.

Jika kita melihat daftar proses lewat Command Prompt dengan memanggil program “TASKLIST.EXE”, kita juga dapat melihat Process ID (PID) dari masing-masing proses. Pada Windows Task Manager, PID tidak ditampilkan. Jika kebetulan ada beberapa proses yang namanya sama dan sebagian dari proses tersebut adalah proses virus, maka saya akan lebih mungkin mencurigai proses yang PID nya lebih besar sebagai virus, dengan berdasarkan asumsi dan logika bahwa PID diberikan secara unik dan urut, dan proses virus tentu dijalankan setelah sebagian proses sistem dijalankan.

2. Hapus/ubah nama file yang dicurigai sebagai virus
Kita dapat menghapus file yang mencurigakan yang berada di sistem (di folder bawaan Windows) jika kita yakin tidak akan menimbulkan masalah yang lebih serius. Tetapi jika tidak yakin akan hal ini, lebih baik file tersebut cukup diubah nama atau ekstensinya saja, misal “Sempalong.exe” diubah menjadi “Sempalonk.exe” atau “Sempalong.ex_”.

Masalah yang mungkin timbul:

· File yang mencurigakan tidak ditemukan

Virus yang dirancang dengan baik tentu saja tidak mudah ditemukan, karena mungkin menerapkan salah satu atau perpaduan dari beberapa trik berikut:

1) atribut file virus tersebut dibuat hidden

® Ubah setting Folder Options agar file hidden tetap ditampilkan.

® Jika pencarian file dilakukan menggunakan fasilitas Search, pastikan pilihan “Search system folders”, “Search hidden files and folders” dan “Search subfolders” pada menu “More advanced options” diaktifkan (dicentang).

® Jika pencarian file dilakukan dengan perintah “DIR” melalui Command Prompt, gunakan parameter “/AH” untuk menampilkan file hidden.

® Bila perlu, non-aktifkan atribut hidden pada semua file di folder tertentu dengan mengetikkan “ATTRIB –r –h –s *.*” pada Command Prompt.

2) setting Folder Options diatur agar file hidden tidak terlihat (setting default bawaan Windows memang tidak memperlihatkan file hidden)

® Ubah setting Folder Options.

3) menu Folder Options pada Windows Explorer dihilangkan

® Munculkan kembali menu Folder Options.

4) file virus menggunakan ekstensi selain “.EXE”

Perlu diketahui bahwa virus semacam ini tidak selalu berekstensi “.EXE”. Bisa jadi kita hanya mencari file “*.EXE” untuk menemukan virus tersebut, sedangkan virus tersebut menggunakan ekstensi lain yang sama efektifnya bagi virus, misalnya ekstensi “.COM” (MS DOS Application), “.PIF” (Shortcut to MSDOS Program), “.SCR” (Screen Saver), “.BAT” (MS-DOS Batch File), “.LNK (Shortcut)”,

· File yang mencurigakan tidak dapat dihapus/di-rename

Hal ini dapat terjadi jika file tersebut adalah file program yang sedang dijalankan. Jika ini terjadi, hentikan dulu proses yang berasal dari file program tersebut.

· Kita terkecoh karena menyangka file tersebut bukan virus

File virus bisa saja berwajah dokumen, ketikan teks notepad, atau bahkan folder. Ingat bahwa setiap program memiliki ikon sendiri-sendiri. Hal ini berarti pembuat program memang mempunyai kebebasan penuh dalam menentukan ikon dari program yang dibuatnya, sebebas virus Brontok memilih ikon/gambar folder.

Virus bisa saja tampil dalam berbagai nama, wajah/ikon, tipe, ukuran, maupun tanggal lahir. Keempat sifat file ini memang dapat digunakan untuk mempermudah pencarian file, tetapi juga sangat memudahkan virus menyamarkan diri. Satu-satunya pedoman yang aman adalah ekstensi file (misal “.EXE”, “.COM”, atau “.SCR”). Ekstensi file berbeda dengan tipe file (misal “Microsoft Word Document”, “Text Document”, “File Folder”). Tipe yang ditampilkan di Windows Explorer dapat dimanipulasi dengan mudah oleh virus sehingga memungkinkan beberapa ekstensi file memiliki nama tipe yang sama.

3. Lumpuhkan pemicu aktifnya virus
Periksa celah-celah yang memungkinkan aktifnya virus, kemudian hapus atau kembalikan seperti seharusnya, jika dijumpai manipulasi yang merugikan.

4. Hapus file duplikat virus
Jika virus di sistem (di drive C:) sudah bersih, cari juga di folder data dan di drive lain. Hapus semua file yang diyakini sebagai virus.

5. Pulihkan sistem
Kembalikan setting registry yang telah dimanipulasi virus untuk memperlancar aksinya, misalnya: aktifkan kembali REGEDIT, munculkan kembali menu Folder Options, konfigurasi Folder Options yang memudahkan user mengenali karakteristik file, dan sebagainya.

READMORE »

Ponsel Makin Cerdas, Virus Makin Garang
Ponsel dengan sistem operasi Symbian berbagai versi, Windows Mobile, hingga Java, merangsang para pembuat software yang jago sekaligus usil, untuk menciptakan berbagai virus baru yang mulai mengancam ponsel.
Salah satu penyebaran virus yang terjadi ketika bluetooth dalam kondisi aktif (on)..

Virus ponsel menyebar lewat berbagai cara pertukaran data yang dilakukan secara bebas ke ponsel, misalnya saat mengisi file ke memori ponsel, bertukar isi phonebook lewat Bluetooth. Pintu masuk virus yang paling potensial adalah saat mengakses Internet lewat GPRS atau 3G, karena jika tidak tahu cara yang benar, Internet adalah sumber segala macam virus berbahaya. Potensi lain adalah saat mengakses kartu memori lewat card reader dan mengisinya dengan file dari ponsel lain atau dari komputer.

Operator tidak akan mencegah pelanggannya mengakses situs mana saja, tapi mereka hanya melindungi internal perusahaannya. Jadi, konsumen yang mengakses Internet lewat berbagai saluran yang ada, seperti GPRS, 3G, dan WiFi berpotensi besar tertular virus ponsel.

Perlunya Antivirus

Dengan jumlah varian virus PC yang sudah mencapai 100 ribu, maka serangan virus yang beragam bentuk dan efeknya terhadap ponsel, juga tinggal menunggu waktu. Saat ini pun, berbagai virus yang menyerang ponsel juga sudah mulia muncul. Mislanya Symbos_Cabir.A (sebuah worm yang menyebar lewat Bluetooth, dan membuat kinerja ponsel menjadi berat) dan Symbos_Comwar.A (malware yang menyebar lewat Bluetooth dan MMS). Virus Pbstealer.G juga menyerang smartphone Symbian dengan mengmabil semua nomor kontak di phonebook, lalu menyebarkannya via Bluetooth kepada seluruh device lain yang ditemukan.

Perkembangan teknologi juga memungkinkan seorang pembuat virus membuat suatu malicious code untuk merusak atau memerintahkan ponsel untuk mengirimkan data keluar lewat SMS atau MMS tanpa disadari. Dony Koesmandarin, Senior Technical PT Inovasi Lintas Media - distributor antivirus F-Secure di Indonesia - pernah mencoba memasukkan virus seperti itu ke dalam Nokia Communicator-nya. Ponsel bernomor parcabayar tersebut dibiarkan hidup di dalam dashboard mobilnya dan tak pernah disentuh sampai akhirnya mati sendiri karena baterainya habis. Ketika muncul
laporan tagihan dari operatornya, terlihat banyak SMS yang dikirimkan ke nomor-nomor yang ada di phonebook.

isinya juga diambil secara acak dari berbagai teks yang ada di ponsel, dan kadang berupa SMS kosong. Itulah salah satu bentuk ulah virus ponsel, yang kini mulai menyebar.
Seorang pengguna juga pernah melaporkan ke kantor pusat F-Secure bahwa laptop-nya tiba-tiba restart setiap dilakukan sinkronisasi dengan PDA. setelah diteliti, ternyata hal itu disebabkan virus dari PDA yang bisa berpindah ke laptop. Seiring kemajuan teknologi, virus juga makin canggih karena tidak hanya bisa menular pada
piranti digital dengan OS yang sama. Virus dari PDA atau ponsel Symbian, ternyata juga bisa menular ke laptop, dan ?bermutasi? menjadi varian baru yang tidak terdeteksi oleh antivirus. Bayangkan kalau hal itu terus terjadi. Pengguna ponsel dengan OS Symbian di seluruh dunia yang kini sudah mencapai puluhan juta plus jutaan
PDA Windows Mobile harus waspada. Repotnya, virus juga tidak hanya mengancam ponsel dengan OS Symbian atau Windows Mobile, tapi juga ponsel dengan aplikasi Java yang kini banyak dibenamkan di ponsel kelas menengah hingga atas.

Marak

Melihat besarnya ancaman virus bagi ponsel, perusahaan antivirus juga mulai memperluas lini produknya dengan membuat antivirus khusus untuk ponsel. F-Secure, mislanya antivirus ponselnya hingga akhir Desember 2006 bisa mendeteksi lebih dari 344 varian virus ponsel dan mengendalikan multiple engine yang bisa memeriksa sebuah file lewat bermacam cara sekaligus. Kaspersky Lab juga membuat antivirus ponsel yang diklaim sanggup mendeteksi spam yang dikirimkan visa SMS/MMS dan lebih memperketat masuknya pesan dari sumber yang sudah di-blacklist.

Cara bekerjanya mirip dengan antivirus di PC. Setelah terinstalasi, secara otomatis antivirus akan men-scan seluruh file di background, baik dalam ponsel itu sendiri maupun memory card. Ketika terdapat file terinfeksi, secara otomatis akan dikarantina untuk melindungi file lainnya di dalam sistem. Nah, agar tidak kehilangan data

penting di smartphone atau PDA, backup dulu ke tempat aman, atau pasang antivirus khusus untuk ponsel yang mulai banyak beredar.

Sumber : http://www.cyberforums.us/showthread.php?t=3448

READMORE »

Bagian 2: Celah-celah Pemicu Aktifnya Virus
Program virus yang dikopi ke komputer yang bersih dari virus tidak mengakibatkan komputer tersebut tertular. Virus tersebut menjadi aktif dan mulai bekerja ketika program tersebut dijalankan oleh user, misalnya ketika diklik dua kali melalui Windows Explorer.

Jadi infeksi virus pertama kali ke komputer diakibatkan oleh user sendiri. Sekali saja diberi kesempatan, virus dapat secara leluasa membuat jadwal aktif sesuai yang diinginkan pembuatnya. Dengan melihat celah-celah yang dapat menjadi pemicu aktifnya virus, kita akan lebih mudah menemukan sarang persembunyian virus kemudian meringkusnya.

1. Registry
Registry menyediakan fasilitas yang memungkinkan program aktif sendiri sebelum start menu muncul. Fasilitas ini sebenarnya disediakan untuk program-program aplikasi, namun banyak dimanfaatkan oleh virus. Setting registry dapat dilihat dan dimanipulasi menggunakan program REGEDIT bawaan Windows (Run, REGEDIT). Struktur di dalamnya terdiri atas lima root (HKEY_CLASSES_ROOT, HKEY_CURRENT_USER, HKEY_LOCAL_MACHINE, HKEY_USERS, dan HKEY_CURRENT_CONFIG), masing-masing root memiliki banyak cabang yang disebut key. Setiap key dapat memuat beberapa key dan/atau value. Dalam struktur manajemen file, root dapat diidentikkan dengan drive, key identik dengan folder, dan value identik dengan file. Seperti halnya folder, key tidak dapat memuat data, ia hanya dapat memuat key lain dan value. Data registry yang dapat mempengaruhi perilaku sistem secara keseluruhan dimuat dalam value. Untuk mengetahui struktur registry secara lebih jelas, jalankan REGEDIT. Hati-hati menjalankan REGEDIT, karena salah prosedur dapat mengakibatkan sistem lumpuh total!!!

a. Key “Run”

Key “Run” dibuat untuk menampung daftar program yang akan dijalankan sistem sesaat sebelum start menu aktif. Di registry, key ini dapat ditemukan di beberapa tempat yaitu di:

· Key “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion”

· Key “HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion”

· Beberapa key di dalam key “HKEY_USERS”

Jika satu atau beberapa user didaftarkan dalam User Account (Control Panel ® User Account), maka pada root HKEY_USERS akan terdapat beberapa key yang menampung setting untuk masing‑masing user. Sebagian dari key ini juga berisi key “Software\Microsoft\Windows\CurrentVersion” dan di dalamnya mungkin juga memuat key “Run”.

b. Value “Shell” dan “Userinit” di dalam Key “Winlogon”

Value “Shell” dan value “Userinit” di dalam key “Winlogon” dapat memberikan efek yang sama efektifnya—bagi virus—dengan value yang disimpan di dalam key “Run”. Umumnya data untuk kedua value tersebut adalah:

Shell = “Explorer.exe”

Userinit = “C:\WINDOWS\system32\userinit.exe,”

Key “Winlogon” berada di:

· Key “HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion”

· Key “HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion”

· Beberapa key di dalam key “HKEY_USERS”

Selain value dan key yang disebutkan di atas, sangat dimungkinkan masih banyak key/value yang dapat dimanfaatkan oleh virus, meskipun mungkin tidak efektif, dan selama ini penulis belum pernah menemukan.

Jika ditemukan value yang mencurigakan, lakukan analisis yang memadai sebelum memutuskan untuk menghapusnya. Jangan asal hapus!!!

2. Start Menu dan Desktop
a. Start ® Programs ® StartUp

Folder “StartUp” di start menu disediakan untuk menampung program-program yang akan dijalankan secara otomatis oleh Windows ketika proses booting selesai. Virus dapat memanfaatkan folder ini untuk memicu aktifnya virus tersebut dengan membuat shortcut di dalamnya, atau dengan membuat duplikat virus di dalamnya. Virus Brontok versi awal memanfaatkan folder ini dengan membuat file bernama “EMPTY.PIF” bergambar program DOS.

b. Link/Shortcut

File-file link atau shortcut (file berekstensi “.LNK” dan “.PIF”) yang berada di start menu atau di desktop berfungsi sebagai “jalan pintas” ke file program untuk memudahkan user menjalankan program tersebut. File semacam ini, karena bukan benar-benar program, umumnya berukuran kecil, tidak lebih dari 4KB. File ini dapat dimanipulasi virus sehingga tidak menunjuk ke program yang seharusnya, tetapi dibelokkan ke program virus. Untuk mengetahui shortcut tersebut dibelokkan atau tidak, klik kanan pada file shortcut tersebut, klik “Properties”, kemudian lihat keterangan pada kotak “Target”.

File shortcut juga bisa saja dihapus oleh virus kemudian diganti dengan program virus yang ikonnya dibuat sama dengan file shortcut yang asli. Kasus semacam ini jarang, tetapi pernah terjadi. Jika hal ini terjadi, umumnya ukuran file ‘shortcut’ tersebut lebih dari 4KB. Tetapi ukuran file ‘shortcut’ yang besar tidak menjadi jaminan bahwa file tersebut telah dimanipulasi menjadi program virus. Untuk memastikannya harus dilihat isinya menggunakan program HEX Editor. Sayangnya hanya orang-orang tertentu—terutama yang pernah mempelajari pemrograman atau teknik elektronika digital—yang bisa memahami program HEX Editor. File shortcut umumnya memiliki gambar panah, kecuali jika file tersebut dilihat di start menu. Jika kita melihat isi folder start menu menggunakan Windows Explorer, semua file shortcut asli (bukan folder) akan memiliki gambar panah. Jika tidak ada gambar panahnya, kemungkinan (bukan jaminan) file shortcut tersebut sudah bukan shortcut beneran.

3. Task Scheduler
Lihat Control Panel ® Scheduled Tasks untuk melihat daftar jadwal periodik yang sudah dijadwalkan di sistem. Virus kadang-kadang membuat jadwal di sini untuk menjalankan program virus dari lokasi tertentu. Hapus scheduled task yang merugikan saja.

4. AUTOEXEC.BAT
Setiap booting, komputer akan memeriksa file C:\AUTOEXEC.BAT dan menjalankan perintah-perintah di dalamnya, jika ada. Tentu saja peluang ini menguntungkan program aplikasi maupun program virus. Periksa isinya, dan hapus perintah yang merugikan atau yang menunjuk ke file virus. Jika tidak yakin dengan akibatnya, file AUTOEXEC.BAT dapat dikopi dulu, sehingga jika terjadi hal-hal yang tidak diinginkan, dapat dikembalikan seperti semula dengan menimpa file AUTOEXEC.BAT dengan kopian yang telah dibuat. Untuk menonaktifkan satu atau beberapa perintah di dalam file AUTOEXEC.BAT dapat ditambahkan kata “REM” (tanpa tanda petik

5. Ambil Alih Program
Virus bisa juga mengambil alih program dengan cara sebagai berikut:

a. Mengubah nama program aplikasi yang sering digunakan user. Misalnya WINWORD.EXE (Microsoft Word) diubah menjadi WINWORD1.EXE.

b. Membuat duplikat virus dengan nama program yang sering digunakan user. Dalam contoh ini, virus membuat duplikat dengan nama WINWORD.EXE.

c. Ketika user bermaksud menjalankan program aplikasi (Microsoft Word), user sebenarnya menjalankan program virus, kemudian program virus tersebut memanggil program aplikasi yang asli yang telah diubah namanya (WINWORD1.EXE).

Strategi ini diterapkan oleh virus d2/Decoil daun, dengan mengambil alih program Winamp. Untuk memeriksanya, cek program-program yang shortcutnya tersedia di start menu atau di desktop. Program virus umumnya kecil, yaitu antara 30KB sampai 300KB, sedangkan program aplikasi biasanya berukuran relatif besar (WINWORD.EXE berukuran lebih dari 8.000KB, EXCEL.EXE berukuran lebih dari 6.000KB). Tanggal pembuatan program juga dapat digunakan untuk mengetahui apakah suatu program masih asli atau tidak, meskipun sebenarnya suatu file dapat diubah tanggalnya dengan mudah.

6. Kemungkinan Celah-celah Lain
a. ???

b. ???

READMORE »

A: Modal Dasar

Cara-cara Alternatif untuk Menjalankan Program
Umumnya kita mengklik ikon program yang ada di start menu atau di desktop untuk menjalankan program tertentu. Tetapi program-program utilitas tidak semuanya tersedia di start menu atau di desktop. Program-program ini (misalnya REGEDIT.EXE, CMD.EXE) biasanya dijalankan melalui menu Start ® Run. Apa yang dapat kita lakukan seandainya menu Run tidak ada di start menu? Berikut beberapa alternatif menjalankan program tertentu dengan cara yang ‘tidak biasa’:.....

a. Memanfaatkan Windows Explorer.

Jalankan program Windows Explorer, cari file program yang ingin dijalankan di folder C:\Windows, atau di C:\Windows\System, atau di C:\Windows\System32. Kemudian klik dua kali pada file program tersebut.

b. Memanfaatkan Command Prompt (CMD.EXE)

· Klik Start ® Programs ® Accessories ® Command Prompt, atau jalankan CMD.EXE dengan cara pertama di atas.

· Ketikkan nama program yang ingin dijalankan, kemudian tekan enter.

C:\Documents and Settings\mr. orche!>REGEDIT

c. Menggunakan Batch File

· Jalankan Notepad melalui start menu atau melalui Windows Explorer.

· Ketik nama program yang ingin dijalankan, misalnya “REGEDIT” (tanpa tanda petik).

· Simpan file tersebut menggunakan ekstensi .bat, misalnya “TES.BAT”.

· Jalankan file .bat tersebut melalui Windows Explorer (klik dua kali).

d. Menggunakan Task Manager (TASKMGR.EXE) (Windows XP)

· Tekan Ctrl + Alt + Del.

· Klik tombol New Task… pada tab Applications.

· Ketikkan nama program, lalu tekan enter.

e. Memanfaatkan Browser File pada ACDSee

· Jalankan ACDSee dari Start Menu.

· Cari file program yang ingin dijalankan di jendela browser file.

· Klik dua kali pada file program tersebut.

2. Cara-cara Alternatif Operasi Registry
Jika REGEDIT tidak dapat dijalankan, operasi registry masih dapat dilakukan dengan beberapa alternatif berikut:

Alternatif 1: Menggunakan perintah REG

1. Jalankan Command Prompt (CMD.EXE).

2. Untuk melihat daftar key dan value, gunakan perintah REG QUERY lokasikey.

Contoh:

REG QUERY HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

REG DELETE HCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

3. Ketikkan REG DELETE namakey /V namavalue untuk menghapus value tertentu.

Contoh:

REG DELETE HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /V NoRun

REG DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /V NoFolderOptions

Catatan:

· Nama root harus disingkat, HKCR untuk HKEY_CLASSES_ROOT, HKLM untuk HKEY_LOCAL_MACHINE, HKCU untuk HKEY_CURRENT_USER, HKU untuk HKEY_USERS, dan seterusnya.

· Untuk nama key yang mengandung spasi, nama key diapit dengan tanda petik ganda.

· Untuk mengetahui tatacara operasi selengkapnya menggunakan perintah REG, ketikkan “REG /?” tanpa tanda petik.

Alternatif 2: Menggunakan file .REG

1. Jalankan Notepad dan ketikkan seperti contoh berikut:

Format baru (WinXP):

Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

“NoFolderOptions”=dword:00000000

Format lama (Win9X/NT):

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

“NoFolderOptions”=dword:00000000

2. Simpan file tersebut dengan ekstensi .REG, kemudian klik dua kali pada file .reg yang telah disimpan.

Penjelasan:

· Baris pertama, “Windows Registry Editor Version 5.00” atau “REGEDIT4”, adalah aturan baku untuk menandai file registry.

· Baris kedua, “[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]” menunjukkan lokasi key registry, di mana daftar value beserta nilai yang disebutkan di bawahnya akan disimpan.

· Baris ketiga, “NoFolderOptions”=dword:00000000, menyebutkan nama value beserta data yang yang diinginkan untuk value tersebut. Pada contoh ini berarti mengubah/memberi data bernilai 0 pada value bernama “NoFolderOptions”.

· File regedit yang diketik dengan format WinXP (format baru) maupun format lama (Win9X/NT), keduanya dapat digunakan untuk Windows XP, tetapi format lama hanya dapat digunakan untuk Windows 9X/NT.

Alternatif 3: Menggunakan StartUp Disk (hanya berlaku untuk Win9X)

Cara ini adalah cara yang paling susah, dan mungkin merupakan satu-satunya cara efektif memulihkan registry ketika sistem sudah terlanjur lumpuh sama sekali.

1. Boot menggunakan StartUp Disk

a. Masukkan StartUp Disk Win95/98 ke floppy drive.

b. Restart (pastikan konfigurasi setting boot sequence di BIOS menunjuk ke disket).

2. Masuk ke direktori (folder) C:\Windows

A:\>C:

C:\>CD WINDOWS

3. Lakukan ekspor data dari registry ke file .reg khusus untuk key yang diinginkan

Format perintah:

REGEDIT /E namakey namafilereg

Contoh:

REGEDIT /E HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer TES.REG

Jika nama key mengandung spasi, gunakan tanda petik:

REGEDIT /E “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer” TES.REG

3. Memunculkan Kembali Menu Folder Options pada Windows Explorer
Beberapa virus perlu menyembunyikan file-file tertentu agar user (pemakai komputer) tidak menyadari adanya virus dan agar virus tersebut lebih susah dihapus, dengan membuat file tersebut menjadi hidden. File hidden tersebut masih dapat dilihat oleh user jika setting Folder Options pada pilihan ‘Show hidden files and folders’ diaktifkan. Kadang-kadang menu inipun dihilangkan oleh virus untuk menjamin file-file virus tetap tak terlihat. Untuk menyembunyikan menu Folder Options, cara paling mudah dan paling umum diterapkan oleh virus adalah dengan mengubah setting registry, dengan menyisipkan value “NoFolderOptions” yang bernilai 1. Untuk memunculkan kembali menu Folder Options, value ini harus dihapus, atau diubah nilainya menjadi “0”.

· Untuk mengubah setting Folder Options, klik menu Tools ® Folder Options pada Windows Explorer.

· Value NoFolderOptions pada registry berada salah satu atau kedua lokasi berikut:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

Value tersebut dapat dihapus dengan menggunakan program REGEDIT, atau dengan mengetikkan perintah berikut pada Command Prompt:

REG DELETE HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /V NoFolderOptions

REG DELETE HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer /V NoFolderOptions

4. Memunculkan Menu Run
Hapus value “NoRun” atau ubah nilainya menjadi 0 dengan menggunakan operasi registry (lihat contoh operasi registry untuk memunculkan menu Folder Options di atas). Value “NoRun” berada pada key:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

5. Memunculkan Menu Find
Hapus value “NoFind” atau ubah nilainya menjadi 0 dengan menggunakan operasi registry (lihat contoh operasi registry untuk memunculkan menu Folder Options di atas). Value “NoFind” berada pada key:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

6. Mengaktifkan REGEDIT
Kadang-kadang REGEDIT tidak dapat dijalankan karena di-disable melalui setting registry oleh virus. Untuk memulihkan kembali, hapus value “DisableRegistryTools” atau ubah nilainya menjadi 0 dengan menggunakan Command Prompt (hanya untuk WinXP), atau dengan membuat file .REG (hanya untuk Win9X).

7. Memunculkan File Hidden dengan Mengubah Atributnya Melalui Command Prompt
File hidden dapat dimunculkan tanpa memainkan Folder Options, tetapi dengan menonaktifkan atribut hidden pada file tersebut. Atribut file hidden hanya dapat diubah di Windows Explorer jika setting Folder Options memungkinkan file hidden ditampilkan. Alternatifnya adalah dengan mengubah atribut file tersebut melalui Command Prompt. Untuk melihat daftar file hidden melalui Command Prompt, gunakan perintah “DIR /AH”. Selanjutnya gunakan perintah ATTRIB diikuti parameter atribut yang akan diubah. Contoh berikut dapat digunakan untuk menonaktifkan atribut hidden, read only, dan system sekaligus, pada semua file di direktori aktif:

ATTRIB –r –h –s *.*

8. Mencari File Melalui Command Prompt
a. Melihat daftar file/folder yang berada di folder aktif:

DIR *.*

b. Melihat daftar file/folder yang berada di folder aktif, termasuk file/folder hidden:

DIR *.* /A “A” adalah singkatan dari “ALL”

c. Melihat daftar file (tidak termasuk folder) yang berada di folder aktif:

DIR *.* /A-D “D” adalah singkatan dari “DIRECTORY”, “-“ berarti pengecualian

d. Melihat daftar folder (tidak termasuk file) yang berada di folder aktif:

DIR *.* /AD “D” adalah singkatan dari “DIRECTORY”

e. Melihat daftar file/folder hidden:

DIR *.* /AH “H” adalah singkatan dari “HIDDEN”

f. Melihat daftar file/folder urut berdasarkan nama:

DIR *.* /ON untuk file dan folder, “O” berarti “ORDER BY”, “N” berarti “NAME”

DIR *.* /AD /ON untuk folder saja

DIR *.* /A-D /ON untuk file saja

DIR *.* /A-DH /ON untuk file hidden saja

DIR *.* /ADH /ON untuk folder hidden saja

g. Melihat daftar file/folder urut berdasarkan tipe (ekstensi)

Caranya mirip dengan pengurutan berdasarkan nama, hanya saja “/ON” diganti dengan “/OE”.

h. Melihat daftar file urut berdasarkan ukuran

Caranya mirip dengan pengurutan berdasarkan nama, hanya saja “/ON” diganti dengan “/OS”.

Untuk informasi rinci tentang aturan pemakaian perintah DIR, ketikkan “DIR /?” lalu tekan enter.

9. Mematikan Proses yang Dicurigai
Yang dimaksud proses adalah program yang berjalan di latar belakang (background program), tidak memiliki form karena tidak dibuat untuk berinteraksi dengan user. Berbeda dengan program aplikasi yang memang terlihat karena harus berinteraksi dengan user. Virus biasanya dibuat sedemikian rupa sehingga ketika virus tersebut berjalan tidak terlihat sama sekali, ia hanya berupa proses. File virus yang sedang berjalan biasanya tidak dapat dihapus karena prosesnya sedang berjalan. Biasanya file virus tersebut baru dapat dihapus setelah prosesnya dihentikan.

Daftar program aplikasi dan proses yang sedang berjalan dapat dilihat menggunakan Windows Task Manager (TASKMGR.EXE) cukup dengan menekan tombol Ctrl + Alt + Del. Setelah jendela Windows Task Manager muncul, kita dapat memilih “Applications” untuk melihat daftar program aplikasi; atau “Processes” untuk melihat daftar proses. Pilihan lainnya adalah “Performance”, “Networking”, dan “Users”.

Untuk menghentikan program aplikasi yang sedang berjalan, pilih nama aplikasi dari daftar, kemudian klik tombol “End Task”. Untuk menghentikan proses yang sedang berjalan, pilih nama proses kemudian klik tombol “End Process”

Jika Windows Task Manager tidak dapat dijalankan, kita masih dapat melihat dan menghentikan proses yang sedang berjalan dari Command Prompt dengan memanggil program “TASKLIST.EXE” untuk melihat daftar proses, kemudian memanggil program “TASKKILL.EXE” untuk menghentikan proses.

Contoh:

· TASKLIST

· TASKKILL /F /IM Notepad.exe /IM MSPAINT.EXE

· TASKKILL /F /PID 1230 /PID 1253 /T

Keterangan:

Parameter “/F” yang berarti “FORCE” akan menyebabkan proses dihentikan secara paksa.

Parameter “/IM” berarti “IMAGE (NAME)”. Maksudnya proses yang akan dihentikan adalah proses dengan nama yang disebutkan setelah parameter “/IM”.

Parameter “/T” berarti “TREE” dan menyebabkan semua proses cabang juga dihentikan.

READMORE »