spesifikasi Virus Amburadul bisa dilihat di sini

sabtu kemaren (18 April 09) saya, mendapatken petuah untuk membasmi virus ini di komputer milik temanku. Awalnya saya tidak tahu menahu jikalau virus yang bersemayam di komputernya adalah virus Amburadul ini, jadi, saya berangkat dari rumah hanya bersenjataken PCMAV keluaran terbaru yang siap dieksekusi dari Flashdisk.

Saya sangat kaget ketika PCMAV tidak bisa di-RUN!!!

Akhirnya saya cek melalui Mbah Gugel, dan mengetahui bahwa virus yang bernama Amburadul itu ternyata memang secara khusus memblok antivirus gratisan yang powerfull ini (baca: PCMAV).

Akhirnya, saya coba mengikuti instruksi yang tertera pada web tersebut. Namun apa daya, saya, yang bisanya cuma me-double click icon, akhirnya gagal dan malah membuat windows jadi crash! karena waktu sudah mepet ke adzan maghrib, akhirnya misi saya hari itu dicukupken hingga di situ saja.

Keesoken harinya (Minggu, 19 April 09), seusai berolah raga futsal bersama teman-teman di pagi hari agar badan sehat, bakat tersalurkan, hati senang, saya berkonsultasi ke salah satu Pakar Telematika yang kebetulan adalah teman saya sendiri. Dengan entengnya, Pakar Telematika tersebut menjawab “Gampang atuh itu mah To… Ubah aja nama PCMAP nya, soalnya kan si pirus teh ngeblok supaya si PCMAP.exe tidak tereksekusi…” (PCMAP = PCMAV. harap maklum, Pakar Telematika tersebut orang sunda )

BEUUUUUUH! iya juga ya! kok kemaren sore tidak terpikirkan oleh saya!

Akhirnya setelah meng-install ulang windows yang hancur karena ulah saya, saya melaksanakan instruksi dari Pakar Telematika. Dan hasilnya:

PCMAV-CLN.exe, saya ubah namanya menjadi ngajaran.exe. dan,,,

ALHAMDULILLAAAAAAAAAH… berhasil,, berhasil,, berhasil,,

buat teman-teman yang komputernya punya hubungan spesial dengan virus Amburadul dan memiliki kemampuan berkomputer setaraf saya (bingung dengan instruksi-instruksi yang sangat sulit dimengerti), silahkan ikuti langkah-langkah di atas… moga manfaat…

Thanks to Pakar Telematika

(Penulis mohon maaf jika ada beberapa kalimat yang terkesan LEBAY, karena sesungguhnya penulis hanya ingin menuliskan apa-apa yang ada di dalam hatinya)

Moral dari cerita ini adalah: dalam menyelesaikan masalah seringkali kita hanya fokus terhadap sumber masalah, membuat kita tidak menyadari kelemahan yang ada pada diri. Teliti baik-baik permasalahannya lalu adaptasikan diri sehingga masalah dapat terselesaikan. ^^

Salah satu cara yang salah dalam mempromosikan wisata adalah dengan membuat virus. Hal ini dilakukan oleh pembuat virus Hokage Killer yang menggunakan nama-nama populer id Palangkaraya seperti Jembatan Kahayan, Palma yang sangat berpotensi memicu perang virus yang akhirnya merugikan komunitas IT Indonesia, khususnya komunitas IT Palangkaraya. Memang jelas bahwa pembuat virus adalah programmer-programmer muda yang cerdas dan rasa ingin tahunya besar, tetapi memiliki satu masalah besar yaitu kedewasaan sangat kurang dan tidak perduli (tidak sadar) akan akibat perbuatannya membuat dan menyebarkan virus dapat menyebabkan kerugian bagi pengguna komputer lain. Kemampuan pembuat virus Amburadul dapat dikatakan memadai, tetapi kemampuan Bahasa Inggrisnya sih kayanya sesuai namanya, Amburadul. Kalau ingin menyamaikan tantangan ke Hokage harusnya :

Hey, Hokage, This is my place, Wanna Start a War ??

(Hey Hokage, ini rumah gua, mau menggali kapak peperangan ?)

Tetapi mungkin karena terlalu banyak belajar coding sehingga jarang belajar Inggris dengan baik menjadi :

Hey, Hokage, Is this My places, Wanna start a war**

(Hey Hokage, Apakah ini rumah saya ? Mau menggali kapak peperangan ?)

** Moga-moga pembuat virus amburadul ini tidak mengeluarkan varian baru khusus memperbaiki kesalahan grammar.

Bagi anda yang sering ke Kalimantan Tengah, kemungkinan besar tahu dengan Jembatan Kahayan, yaitu jembatan yang membelah Sungai Kahayan di Kota Palangkaraya, Kalimantan Tengah, Indonesia. Jembatan ini memiliki panjang 640 meter dan lebar 9 meter, terdiri dari 12 bentang dengan bentang khusus sepanjang 150 meter pada alur pelayaran sungai. Jembatan ini pertama kali dibangun pada tahun 1995 dan selesai dibangun pada tahun 2001, serta diresmikan oleh Presiden Megawati Soekarnoputri pada tanggal 13 Januari 2002. Jembatan Kahayan menghubungkan Palangkaraya dengan dengan kabupaten Barito Selatan dan tembus ke kabupaten Barito Utara. Lalu apa hubungannya?

Setelah sebelumnya muncul virus VBWorm.NUJ (http://vaksin.com/2007/1107/moontox-bro.htm), baru-baru ini telah ditemukan salah satu virus hasil modifikasi VM Palangkaraya (kemungkinan) ini dapat dilihat dari script dan file induk yang akan di usung oleh virus ini.

Untuk saat ini sudah ada 3 varian dimana untuk masing-masing varian tersebut mempunyai ciri-ciri yang sama, virus ini lebih dikenal dengan nama W32/Amburadul.

Untuk varian pertama Norman mendeteksi sebagai W32/Agent.XQXM (54 KB)

Untuk varian ke dua mempunyai nama sebagai W32/Agent.ETOR (56 KB)

Untuk varian ke tiga mempunyai nama sebagai W32/Autorun.CQJ (52 KB)

Untuk varian ke empat mempunyai nama sebagai W32/Autorun.CIA (51 KB)

Cara paling mudah adalah menggunakan NOD32 portable.

1. Download NOd32 portable. http://www.indowebster.com/Esetzip__1.html
2. Matikan system restore
3. Extract File Eset.zip yang telah didownload.
4. Klik nod32.exe

Secara otomatis akan scan memori tunggu sampai selesai…

Setelah itu masuk ke action. sebelah kiri pilih clean kemudian sebelah kanan pilih delete.

Masuk ke setup. Checklist semuanya. kemudian klik Scan&Clean.

Setelah selesai lihat artikel berikut untuk memaintenance komputer.

Maintenance Komputer Sehabis Terkena Virus

Minggu ini merupakan minggu yang indah buat saya, bagaimana tidak adrenalin dipacu untuk memecahkan masalah virus Amburadul ini. Yang tidak habis pikir adalah bagaimana virus ini bisa masuk ke area yang benar-benar jauh dari teknologi. Anda bayangkan, akses internet terbatas dan hiruk pikuk perkotaan jauh dari sini. Sungguh hebat memang teknologi yang diciptakan manusia, bisa menembus batas..!!

Selidik punya selidik dan cari punya cari akhirnya saya mendapatkan artikel yang berguna. Berikut adalah langkah yang harus ditempuh oleh rekan :

1. Putuskan hubungan komputer yang akan dibersihkan dari jaringan

2. Matikan proses virus yang aktif di memory resident. Untuk mematikan proses tersebut gunakan tools “currprocess” (http://www.nirsoft.net/utils/cprocess.zip). Kemudian matikan proses virus yang mempunyai icon JPG dengan ekstensi EXE.

3. Repair registry yang sudah di ubah oleh W32/Agent.EQXM (dan varian). Untuk mempercepat proses perbaikan silahkan salin script dibawah ini pada program notepad kemudian simpan dengan nama repair.inf.

Jalankan file tersebut dengan cara:

* Klik kanan repair.inf
* Klik Install
[Version]
Signature=”$Chicago$”
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\comfile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\exefile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\piffile\shell\open\command,,,”"”%1″” %*”
HKLM, Software\CLASSES\regfile\shell\open\command,,,”regedit.exe “%1″”
HKLM, Software\CLASSES\scrfile\shell\open\command,,,”"”%1″” %*”
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, “Explorer.exe”
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, UncheckedValue,0×00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,CheckedValue,0×00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt,DefaultValue,0×00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, UncheckedValue,0×00010001,1
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, CheckedValue,0×00010001,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, DefaultValue,0×00010001,0
HKCU, Software\Microsoft\Internet Explorer\Main, Start Page,0, “about:blank”
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt, type,0, “checkbox”
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, type,0, “checkbox”
HKCU, Control Panel\International, s1159,0, “AM”
HKCU, Control Panel\International, s2359,0, “PM”
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, “cmd.exe”
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0×00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden,0×00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt,0×00010001,0

[del]
HKCU, Software\Microsoft\Internet Explorer\Main, Window Title
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kspoold.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kspool.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmc.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HokageFile.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rin.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SMP.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskkill.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\tasklist.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Obito.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KakashiHatake.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-CLN.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-RTP.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\boot.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HOKAGE4.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ansav.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Setup.exe,debugger
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Instal.exe, debugger
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Install.exe,debugger
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msiexec.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskmgr.exe
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ansavgd.exe
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, NoFind
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, DisableMSI
HKLM, SOFTWARE\Policies\Microsoft\Windows\Installer, LimitSystemRestoreCheckpointing
HKCR, exefile, NeverShowExt
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, PaRaY_VM
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, ConfigVir
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, NviDiaGT
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, NarmonVirusAnti
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, AVManager
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System, EnableLUA
HKLM, SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore

4. Disable “System Restore” selama proses pembersihan

5. Hapus file induk virus W32/Agent. EQXM (dan varian). Sebelum menghapus file tersebut sebaiknya tampilkan file yang tersembunyi caranya :

1.Buka Windows Explorer
2.Klik menu “Tools”
3.Klik “Folder Options”
4.Klik Tabulasi View
5.Pada kolom “Advanced settings”

§ Pilih opsi “Show hidden files and folders”
§ Unchek “Hide extensions for known file types”
§ Uncheck “Hide protected operating system files (Recommended)

Kemudian hapus file berikut (di semua Drive termasuk Flash Disk kecuali untuk file yang ada di direktori C:\Windows\system32\~A~m~B~u~R~a~D~u~L~)

· C:\Windows\system32\~A~m~B~u~R~a~D~u~L~

§ csrcc.exe
§ smss.exe
§ lsass.exe
§ services.exe
§ winlogon.exe
§ Paraysutki_VM_Community.sys
§ msvbvm60.dll

· C:\Autorun.inf
· C:\FoToKu xx-x-xxx.exe, dimana x menunjukan tanggal virus tesebut di aktifkan (contohnya: FoToKu 14-3-2008.exe)
· C:\Friendster Community.exe
· C:\J3MbataN K4HaYan.exe
· C:\MyImages.exe
· C:\PaLMa.exe
· C:\Images

6. Tampilkan file gambar yang telah disembbunyikan di Flash Disk dengan cara:

* Klik “Start” menu
* Klik “Run”
* Ketik “CMD”
* Pada Dos Prompt, pindahkan posisi kursor ke lokasi Flash Disk kemudian ketik perintah ATTRIB –s –h /s /d

Untuk pembersihan optimal dan mencegah infeksi ulang scan dengan antivirus yang up-to-date dan sudah dapat mengenali virus ini dengan baik. Nah buat rekan sekalian selamat mencoba dan kalau ada error bug jangan marahin saya OK..! Biar kita diskusikan bersama dan cari permasalahannya.

Tetap semangat..!

Majalah PC Media edisi 05/2008 telah terbit dengan disertai ekstra buku komputer Excel 2007 dan ekstra 1 CD Microsoft Office 2007. Bersamaan dengan itu pula, versi terbaru antivirus kebanggaan Indonesia, PC Media Antivirus 1.2, resmi dirilis ke publik. Pada rilis kali ini, PCMAV mampu mengenali 1.789 virus beserta variannya yang banyak dilaporkan menyebar luas di Indonesia, termasuk di antaranya virus ServMouse dan berbagai varian virus VBS.

Pada rilis PCMAV 1.1 sebelumnya, terdapat bug pada PCMAV Cleaner yang dijalankan pada sistem operasi berbasis Windows Vista. Bug rutin pemeriksaan memory, yang dapat mengakibatkan crash-nya PCMAV bahkan bisa mengakibatkan blue screen pada Vista, kini sudah dapat teratasi di PCMAV 1.2. Beberapa bug lain juga telah diperbaiki di rilis 1.2 ini.

APA YANG BARU ?

• Ditambahkan, database pengenal dan pembersih 107 viruslokal/asing/varian baru yang dilaporkan menyebar di Indonesia. Total 1.789 virus beserta variannya yang banyak beredar di Indonesia telah dikenal di versi 1.2 ini oleh engine internal PCMAV.
• Diperbaiki, kesalahan pada rutin khusus yang memeriksa virus jenis VBScript di memory pada PCMAV Cleaner, yang dapat mengakibatkan crash pada Windows Vista. Optimasi, pada engine yang menangani masalah hooking file pada PCMAV RealTime Protector.
• Diperbaiki, engine scan memory yang mengatur untuk virus jenis VBScript Encoded (VBE). Kini dapat lebih akurat dalam mendeteksi kehadiran virus ini di memory.
• Optimasi, pada engine yang bertugas untuk memeriksa integritas dari file PCMAV Cleaner dan RealTime Protector.
• Diperbaiki, beberapa bug dari RealTime Protector yang hanya terjadipada komputer tertentu, yang dapat mengakibatkan RTP crash. Serta masalah lain yang biasanya diakibatkan oleh “Plug and Play” dari perangkat USB atau Flash Disk.
• Diperbaiki, bug lain pada RealTime Protector yang mengakibatkan access violation error yang dikarenakan kurang sempurnanya proses inisialisasi pointer yang mengakses alamat memori tertentu.
• Improvisasi, pada engine bug report yang dapat melaporkan kesalahan yang terjadi pada PCMAV RealTime Protector.
• Optimasi, pada engine scan dan clean dengan mengoptimalisasi code sehingga bisa diakses lebih cepat, dan diperbaikinya beberapa rutin yang bisa menyebabkan memori leak, serta diikuti dengan penambahan error handling yang lebih ketat. Ditambahkan, heuristic baru yang dapat mengenali varian baru dari virus yang banyak menyebar.
• Diperbaiki, kesalahan deteksi (false alarm) pada beberapa program ataupun script juga pada pada program yang di-compile menggunakan Quick Batch File Compiler.
• Diperbarui, perubahan beberapa nama virus mengikuti varian baru yang ditemukan.
• Perbaikan beberapa minor bug dan improvisasi kode internal untuk memastikan bahwa PCMAV Cleaner & PCMAV RealTime Protector lebih dari sekadar antivirus biasa.

sumber : http://virusindonesia.com/

Update Build 1

Update Build1 untuk PCMAV telah dirilis. Sebanyak 8 virus baru yang banyak dilaporkan menyebar di Indonesia berhasil diatasi pada Update Build1 kali ini. Bagi Anda pengguna PCMAV 1.2 sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, pastikan terlebih dahulu PCMAV RealTime Protector tidak sedang berjalan. Jika iya, Anda harus menutup aplikasi tersebut terlebih dahulu. Lalu Anda cukup menjalankan PCMAV Cleaner (PCMAV-CLN.exe), tentunya komputer harus dalam keadaan aktif terhubung ke Internet (non-proxy). Fitur GetUpdates dari PCMAV secara otomatis akan memberikan alamat internet yang aktif di mana Anda bisa men-download file update tersebut. Letakkan file hasil download tersebut (PCMAV.vdb) ke dalam folder di mana PCMAV berada. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Namun bagi Anda yang ingin mendapatkan PC Media Antivirus (PCMAV) 1.2 RTP + CLN maupun file update Build 1 tersebut secara manual, Anda bisa men-download file-nya di area download di akhir tulisan ini.

Amburadul. Virus buatan lokal yang satu ini, banyak dikeluhkan oleh para pembaca PC Media. PCMAV 1.2 Build1 sudah mengenali dua varian dari virus ini yakni Amburadul.A dan Amburadul.B dengan ukuran sekitar 52Kb dan dalam keadaan terkompresi. Virus yang hadir dengan lambang menyerupai icon default untuk file gambar ini, akan membuat direktori baru untuk menaruh file – file induknya dengan nama ~A~m~B~u~R~a~D~u~L~² yang berada di bawah direktori System32 Windows. Nama file induk virus juga dibuat menyerupai file system Windows seperti csrss.exe, lsass.exe,
winlogon.exe dan lain sebagainya. Dalam aksinya, ia akan membuat file duplikat atas dirinya pada root drive, misalnya dengan nama Friendster Community.exe, J3MbataN K4HaYan.exe, MyImages.exe, dan banyak nama file lainnya terutama yang berbau pornografi untuk menarik perhatian user. Dan juga membuat file autorun.inf agar dapat running otomatis saat user mengakses drive yang dituju. Tidak terbatas di satu tempat itu saja, karena kita pun akan menemukan lebih banyak lagi file tiruan virus ini di penjuru komputer korban. Untuk memberitahu kehadirannya, virus ini pun akan menampilkan pesannya pada caption di Internet Explorer.

Daftar Tambahan Virus PCMAV 1.2 Update Build1:
Amburadul.A
Amburadul.B
Amburadul.inf
Danoe.vbs
Danoe.vbs.inf
Nita-Mahadewa.vbs.B
Paesa.vbs
Paesa.vbs.inf

DOWNLOAD

1. PC Media Antivirus (PCMAV) CLN + RTP 1.2
2. PC Media Antivirus (PCMAV) CLN + RTP 1.2 Build 1
3. Database Build 1

NB : Mohon maaf, link yang no 2 belum bisa, karena ada sesuatu hal. Tapi jangan khawatir, Link no 2 itu merupakan gabungan dari no 1 dan 3, jadi jika sudah mendownload no 1 dan no 3 tinggal di extrak dan tempatkan pada 1 folder.

Best Regard,