Sabtu, Agustus 15, 2009

Virus Deadlock alias Tibs.DKKR

Jika komputer anda menampilkan pesan seperti gambar di atas, maka anda harus hati-hati dan selalu ingat untuk membackup semua data anda karena virus Deadlock akan membuat komputer anda "deadlock" alias di hancurkan semua datanya, baik data di seluruh harddisk, flashdisk, dan O/S windows sehingga komputer anda akan mengalami Gagal Booting dengan pesan NTLDR is Missing.
Virus deadlock ini berusaha menghapus data komputer, kenapa di katakan demikian. Virus ini sebenarnya masih masuk ke dalam keluarga Visual Basic yang di kompresi dengan menggunakan program Petite 2.x dengan ukuran 80 KB. Ikon yang digunakan juga tidak di samarkan dan tetap menggunakan ikon aplikasi. Lihat gambar.
Ciri Utama dari virus ini adalah dengan merubah desktop dengan pesan sosial dari si pembuat virus, biasanya pesan ini akan muncul pada waktu yang sudah di tentukan, dngan munculnya pesan ini makan semua file yang ada di semua drive akan di hapus termasuk program dan file system Windows. Jadi jika anda melihat pesan ini pada komputer anda, kemungkinan sudah terlambat karena sebentar lagi data anda akan di hancurkan. Lihat gambar.
Jika Virus ini aktif di komputer ia akan membuat beberapa file yang dijalankan pada saat komputer dinyalakan.
  • C:\Windows\system32\apache.exe
  • C:\Windows\system32\mysql.exe
Pemiliha nama apache dan mysql bertujuan menyamarkan dirinya sebagai program Apache dan Mysql. Agar file tersebut aktif secara otomatis pada saat komputer dinyalakan, ia akan membuat beberapa string registry berikut :
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • mysql = C:\Windows\system32\mysql.exe
  • HKEY_CURENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • apache = C:\Windows\system32\apache.exe
Virus ini cukup cerdik dalam mengelabuhi user, user tidak akan curiga jika sebenarnya komputer tersebut telah terinfeksi karena tidak ada tanda-tanda yang biasa di lakukan virus lokal lainnya seperti disable Task Manager /Msconfic/Regedit atau Folder Options. User baru sadar bahwa komputer telah terinfeksi pada saat telah terlambat dimana muncul pesan dari si pembuat virus yang kemudian diikuti dengan munculnya pesan error "Windows file protection" yang menandakan ada suatu program yang berusaha menghapus file system windows.

Dalam perkembangannya virus ini akan menyebar secara otamatis. Virus ini akan aktif setiap kali user mengakses suatu drive / flashdisk dengan memanfaatkan "autorun windows" dengan membuat 3 buah file yaitu : Lihat gambar
  1. [Desktop.ini] yang berisi script untuk menjalankan file [folder.htt]
  2. [Folder.htt] berisi script untuk menjalankan file utama [ flashguard.exe]
  3. [Flashguard.exe] adalah file induk yang akan dijalankan

Virus Deadlock laksana sebuah bom waktu yang akan menghancurkan komputer target pada waktu yang telah ditentukan. Virus ini akan menjalankan aksinya setiap tanggal 12-13 sekitar jam 08.00 - 09.00 setiap bulan dengan cara menghapus semua file/data termasuk file system windows yang ada di semua drive termasuk juga Flashdisk dengan menggunakan perintah cmd.exe /c del f/s/q/a dan cmd.exe /c rd /s /q , sehingga jika komputer itu di restart maka akan muncul pesan error berikut :

Untuk mencegah terinfeksi virus ini, Vaksincom menyarankan anda menggunakan program antivirus yang dapat mendeteksi virus ini dengan baik. Norman Endpoint Protection mendeteksi virus Deadlock sebagai Tibs.DKKR.
Jika anda menginginkan data anda yang menjadi korban Deadlock ini kembali, jangan sekali- kali menginstall ulang OS anda ke harddisk yang mengandung data anda yang hilang tersebut. lakukan proses recovery data penting dengan menggunakan aplikasi data recovery dan metode yang benar. Jika anda menginstall ulang OS anda ke harddisk yang mengandung data yang ingin di recover, kemungkinan keberhasilan recovery akan sangat rendah.

Sumber info : Vaksincom




Tidak ada komentar:

Posting Komentar