Khasanah Islam

Tool Clean html injection Ramnit Annie.sys Beautiful Girl

Salah satu aksi yang dilakukan oleh Beautiful Girl / Annie.sys selain menyembunyikan file DOC/DOCX/RTF juga akan menginjeksi file HTM/HTML pada header dan footer file HTML dalam upaya menyebarkan dirinya, sehingga jika user membuka file HTM/HTML yang sudah di susupi kode jahat Trojan.JS.Autorun.A maka secara otomatis akan mengaktifkan virus tersebut.

Informasi lengkap mengenai Annie.sys dapat di akses di situs Vaksincom :

Annie.sys is beautiful girl
Metode Penyebaran dan Cara Membasmi Annie.sys

Bagi anda yang mengelola situs web atau banyak berurusan dengan file html, tentunya hal ini akan sangat memusingkan anda. Apalagi jika file html yang terinfeksi jumlahnya sangat bnayak. Dibawah ini Vaksincom memberikan caranya bagaimana mengembalikan file HTM/HTML yang sudah di injeksi oleh Trojan.JS.Autorun.A, berikut langkah-langkah nya.
  • Pilih file HTM/HTML yang akan di bersihkan
  • Klik kanan file tersebut dan pilih [Open with]
  • Lalu pilih text editor untuk melihat isi file tersebut, anda dapat menggunakan program Notepad (lihat gambar 1)
Gambar 1, Edit file HTM/HTML menggunakan notepad

Atau buka program notepad terlebih dahulu (lihat gambar2):
  • Klik [Start]
  • Klik [RUN] kemudian ketik 'notepad.exe' pada dialog box RUN
  • Lalu klik tombol [OK]).


Gambar 2, membuka aplikasi notepad

Setelah program notepad muncul, klik menu [File] kemudian klik [Open...] dan pilih file HTM/HTML yang akan di bersihkan, lihat gambar 3.


Gambar 3, membuka File HTM/HTML

Kemudian akan muncul layar 'Open'. Pada layar 'Open' pastikan anda sudah memilih 'All Files (*.*)' untuk menampilkan semua file, lihat gambar 4.
Gambar 4, memilih file HTM/HTML yang akan di bersihkan

  • Kemudian akan muncul program [Notepad] yang berisi koding html dari file tersebut (lihat gambar5)

Gambar 5, Script file HTM/HTML

  • Pada bagian header file, hapus script <!--[ANNIE83E333BF08546819]--> (Lihat gambar 5)
  • Kemudian pada bagian footer hapus script mulai dari:
    <html><script type="text/javascript"><!--var ayfp6=new ActiveXObject('Scripting.FileSystemObject') sampai akhir (lihat gambar 6)

Gambar 6, Script virus yang terdapat pada footer HTM/HTML

  • Simpan hasil perubahan dengan cara klik menu [File] dan klik [Save]
  • Lakukan hal yang sama terhadap semua file HTM/HTML yang anda miliki.

Cara mudah repair file HTM/HTML dengan menggunakan tools Vaksin Cleaner
Jika anda memiliki banyak file html yang terinjeksi tentunya jari anda bisa kapalan kalau sampai harus memberishkan ratusan atau ribuan file html yang terinjeksi, karena itu Vaksincom dengan bantuan Yayat membuatkan tools untuk membersihkan injeksi dari Annie.sys dan Ramnit :).

Untuk mempercepat perbaikan terhadap file HTM/HTML yang sudah di injeksi oleh Trojan.JS.Autorun.A anda dapat menggunakan tools Vaksin Cleaner. (lihat gambar 7).

Gambar 7, Tampilan Vaksin Cleaner

Pada tools Vaksin Cleaner terdapat beberapa fungsi yakni:

  • Vaksin Cleaner akan mematikan proses virus Trojan.JS.Autorun.A
  • Vaksin Cleaner akan menghapus file yang di drop oleh Trojan.JS.Autorun.A
  • Vaksin Cleaner akan memperbaikin registri yang sudah di ubah oleh virus Trojan.JS.Autorun.A
  • Vaksin Cleaner akan mempqerbaiki (repair) file HTM/HTML yang sudah di injeksi oleh virus Trojan.JS.Autorun.A
  • Vaksin Cleaner mempunyai tools untuk menampilkan file yang disembunyikan oleh virus Trojan.JS.Autorun.A
  • Vaksin Cleaner dilengkapi tools untuk mencari dan menghapus file duplikat yang dibuat oleh virus Trojan.JS.Autorun.A
  • Vaksin Cleaner dilengkapi dengan log hasil pemeriksaan
Pada saat tools Vaksin Cleaner di jalankan, ia akan mematikan virus Trojan.JS.Autorun.A yang aktif di memori kemudian akan melakukan perbaikan terhadap registry yang sudah di ubah oleh virus dan melakukan penghapusan terhadap file yang di drop oleh virus Trojan.JS.Autorun.A, hal ini dilakukan untuk mencegah virus aktif kembali.

Untuk melakukan pemeriksaan file HTM/HTML, lakukan langkah berikut: (lihat gambar 8)
  • Unduh file Vaksin Cleaner disini
  • Unduh file MSCOMCTL.OCX disini
    file ini adalah Microsoft Common Control dan diperlukan untuk menjalankan tools VaksinCleaner yang dibuat dengan VB Script.
  • Kopikan file MSCOMCTL.OCX pada direktori yang sama dengan VaksinCleaner.exe.
  • Buka aplikasi Vaksin Cleaner dengan klik ganda.
  • Klik tombol [Browse to folder/drive] untuk menentukan drive/folder yang akan diperiksa
  • Kemudian klik tombol [Scan]
  • Tunggu beberapa saat sampai proses selesai dilakukan
  • Jika ditemukan adanya File HTM/HTML yang sudah di injeksi oleh virus, klik tombol [Cleanup Files] untuk merepair file tersebut.
  • Tunggu beberapa saat sampai proses pencarian selesai dilakukan.

Gambar 8, Hasil scan Vaksin Cure It

Anda juga dapat menampilkan kembali file DOC, DOCX dan RTF yang disembunyikan oleh virus Trojan.JS.Autorun.A dengan cara:
  • Pada aplikasi Vaksin Cleaner, Klik tombol [Tools]
  • Klik tombol [Set Atribut file], kemudian akan muncul layar 'Set Atribut File/Folder'. Lihat gambar 9.

Gambar9, Menu pilihan Set Atribut File/Folder
  • Kemudian pilih salah satu opsi yang anda inginkan yakni 'Set Attribut all files/folder' untuk menampilkan semua file/folder (lihat gambar 10) dan 'Custom by Extension [.DOC | .DOCX | .RTF]' (lihat gambar 11) untuk menampilkan file dengan ekstensi .DOC, .DOCX maupun .RTF

Gambar 10, Antar muka 'Set Atribut File/Folder'

Gambar 11, Antar muka 'Set Atribut File by Extension'
  • Untuk melihat log scaner, klik tombol [Log File] (lihat gambar 12)
           
            Gambar 12, Log file
Untuk meyakinkan agar komputer anda tidak terinfeksi kembali oleh Annie.sys atau virus berbahaya lain seperti Ramnit yang menginjeksi file html anda, anda dapat menggunakan antivirus G Data Antivirus yang mampu mendeteksi dan mencegah infeksi malware dengan efektif. Ilihat gambar 13)


Gambar 13, G Data dapat mendeteksi dan melindungi komputer dari ancaman Annie.sys dan malware lain dengan baik

Sumber : vaksin[dot]com

Tips merawat cartridge printer inkjet

Printer adalah barang yang penting. Tanpa printer kita tidak bisa mencetak hasil pekerjaan kita. Tapi printer seringkali diabaikan untuk pemeliharaannya. Berikut ada beberapa tips untuk merawat cartridge printer inkjet agar awet dan tetap bisa digunakan dalam jangka waktu yang panjang.

1. Jika tinta pada cartridge habis, segeralah isi.

Tinta adalah pelumas untuk head printer. Contohnya, tinta warna tetap digunakan meskipun yang akan dicetak adalah warna hitam, begitu juga sebaliknya. Jika anda mencetak dengan tanpa adanya tinta warna, berarti anda merusak head printer karena tidak adanya pelumas/tinta pada saat gesekan saat mencetak. Itulah alasan kenapa beberapa printer tidak bisa mencetak jika tidak adanya tinta warna meskipun anda tidak menggunakannya. Jika anda membiarkan cartridge warna kehabisan tinta, maka tinta sisa yang ada akan menyumbat head printer dan lama-lama akan permanen sampai cartridge tersebut tidak bisa digunakan. Jadi segeralah isi jika cartridge anda sudah mulai kehabisan tinta. Jangan dibiarkan terlalu lama atau anda harus membeli lagi cartridge baru.

2. Jangan keseringan menghidupkan dan mematikan printer.


Usahakan untuk membiarkan printer tetap hidup, di samping tidak menyedot banyak daya alias hemat listrik juga karena bisa memperpanjang umur cartridge. Saat printer dinyalakan, printer mengirimkan sinyal untuk segera mengganti tinta pada head agar tidak tersumbat. Jika anda mematikan printer dan lain waktu anda menghidupkannya lagi, maka printer tetap akan melakukan penggantian tinta pada head. Ini adalah penghamburan tinta. Beberapa cartridge printer bisa menampung 3-7 ml tinta, dan saat dilakukan cleaning, 2-3 ml tinta terbuang percuma. Disamping itu, busa penampung tinta akan cepat basah/penuh. Dan jika busa tersebut mulai basah kuyup, maka printer tidak akan bisa mencetak. Biaya perbaikannya lebih mahal ketimbang harga dari printer itu sendiri. Usahakan untuk tetap menghidupkan printer dan jangan keseringan di-cleaning.

3. Jika anda terpaksa untuk mematikan printer, matikanlah dari tombol power pada printer, jangan mencabut colokan/stekernya langsung.


Printer akan melakukan shutdown sendiri sebagaimana mestinya. Seperti membersihkan tinta sisa pada head dan menutupnya agar tidak terjadi penyumbatan. Dengan mematikannya lewat tombol power pada printer, hal-hal tersebut akan dilakukan oleh printer.

Sumber:blolang[dot]blogspot - kaskus[dot]co[dot]id

Tips Agar Baterai Android Menjadi Lebih Awet


http://images.detik.com/content/2013/08/20/510/151211_ch460.jpg
Keawetan baterai menjadi isu penting dalam penggunaan smartphone, termasuk Android. Smartphone canggih menjadi kurang mantap jika baterainya cepat habis.Dengan kapasitas yang bertambah besar, baterai di sebagian besar ponsel Android sekarang memang lebih awet dibanding generasi terdahulu. Namun ada beberapa cara untuk lebih memaksimalkannya.Sebagian tips untuk menambah performa baterai berikut ini mungkin sebagian sudah diketahui. Namun tidak ada salahnya untuk menyimaknya lagi. Berikut tipsnya :

1. Jaga Suhu Ponsel Tetap Dingin

Jika ponsel terkena suhu panas, ada kemungkinan baterai melemah daya tahannya dan juga lebih cepat rusak. Karenanya, jangan biarkan ponsel terpapar suhu panas berlebihan atau terkena sinar matahari secara langsung. Baterai akan lebih awet jika ponsel digunakan dalam suhu kamar. Jika berada di luar ruangan, lebih baik jika ponsel ditaruh saja di dalam tas dan jangan terlalu banyak dikeluarkan.

2. Turunkan Brigthness Layar & Screen Timeout

Tips ini tampaknya sudah sering disampaikan, namun tetap perlu ditegaskan lagi. Layar memang komponen utama yang paling banyak menghabiskan daya tahan baterai.Karenanya, penting untuk menurunkan tingkat brigthness atau kecerahan layar. Perlakuan ini dipastikan akan menambah daya tahan baterai.

Tentunya penurunan tingkat brigthness tidak perlu dilakukan sampai total seluruhnya. Turunkan sampai tingkat di mana mata masih dapat melihat layar dengan nyaman.Selain tingkat brigthness, setting screen time out juga perlu diperhatikan. Setting ini mengatur berapa lama layar akan menyala jika tidak lagi disentuh.

Ada baiknya untuk mempersingkat waktu screen timeout. Sehingga layar akan segera mati jika tidak dipakai dan memperpanjang umur baterai.

3. Gunakan Power Saving Mode & Matikan Vibrasi

Sebagian ponsel Android punya power saving mode yang bisa diakses dalam setting. Sesuai namanya, power saving mode ditujukan untuk menghemat penggunaan baterai. Jika power saving mode diaktifkan, ia akan melakukan beberapa teknik untuk menghemat baterai. Misalnya mematikan koneksi seperti Wi Fi atau Bluetooth, dan menurunkan kecerahan layar.

Power saving mode memiliki pengaruh cukup signifikan dalam performa ponsel. Jadi disarankan agar mengaktifkannya saat baterai terindikasi mulai melemah.Mengaktirkan mode getaran atau vibrasi untuk mengingatkan panggilan atau notifikasi lain juga cukup haus baterai. Jika tidak diperlukan, sebaiknya mode vibrasi tidak dipergunakan.

4. Matikan Koneksi yang Tidak Perlu

Ponsel Android biasanya penuh dengan konektivitas. Termasuk Wi Fi, Bluetooth ataupun GPS. Ketiganya menurunkan daya tahan baterai yang tidak sedikit.Maka jika tidak digunakan, ada baiknya ketiga fitur tersebut dimatikan saja. Misalnya Bluetooth digunakan hanya saat akan mentransfer data atau memakai bluetooth headset.

Dan GPS hanya perlu diaktifkan jika akan mencari arah. Dan Wi Fi hanya dinyalakan jika sudah berada di tempat yang dipastikan punya sinyal Wi Fi.

5. Perhatikan Penggunaan Flash & Wallpaper

Penggunaan flash di kamera memakan daya tahan baterai cukup besar. Karenanya, jangan terlalu keasyikan memakainya untuk memperpanjang daya baterai.Demikian juga wallpaper animasi. Memang memakai wallpaper animasi terasa lebih keren dan lebih menarik dibandingkan wallpaper statis.

Namun wallpaper bergerak mengahbiskan baterai lebih cepat ketimbang wallpaper statis. Gunakan hanya saat dibutuhkan, untuk kasus ini mungkin hanya pada saat ingin dipamerkan ke teman.

6. Stop Mencari Sinyal

Ada kalanya pengguna smartphone berada di area yang susah sinyal. Dalam keadaan ini, ponsel tetap akan secara aktif mencari sinyal.

Proses pencarian sinyal tersebut memakan daya tahan baterai yang tidak sedikit. Sehingga jika tidak benar-benar dibutuhkan, ponsel dimatikan saja atau dipindah ke flight mode sehingga proses pencarian sinyal dihentikan.


Proses Pembentukan Tanah /Lahan Gambut



Akhir-akhir ini aktivis Greenpeace sering melakukan kampanye penolakan penggunaan minyak kelapa sawit yang diproduksi oleh suatu perusahaan ternama di Indonesia. Konon, kampanye tersebut dipicu oleh ketidaksetujuan aktivis Greenpeace terhadap produksi minyak kelapa sawit yang berasal dari lahan gambut yang katanya dilindungi dan juga merupakan habitat orangutan. Namun, kali ini saya tidak akan membahas akar permasalahan yang terjadi antara kedua belah pihak tersebut. Saya akan membahas tentang lahan gambutnya, yaitu pengertian, proses pembentukan dan klasifikasi lahan gambut. 
Lahan gambut adalah lahan yang memiliki lapisan tanah kaya bahan organik (C-organik > 18%) dengan ketebalan 50 cm atau lebih. Bahan organik penyusun tanah gambut terbentuk dari sisa-sisa tanaman yang belum melapuk sempurna karena kondisi lingkungan jenuh air dan miskin hara. Oleh karenanya lahan gambut banyak dijumpai di daerah rawa belakang (back swamp) atau daerah cekungan yang drainasenya buruk.
Pembentukan Lahan Gambut
Gambut terbentuk dari timbunan sisa-sisa tanaman yang telah mati, baik yang sudah lapuk maupun belum. Timbunan terus bertambah karena proses dekomposisi terhambat oleh kondisi anaerob dan/atau kondisi lingkungan lainnya yang menyebabkan rendahnya tingkat perkembangan biota pengurai. Pembentukan tanah gambut merupakan proses geogenik yaitu pembentukan tanah yang disebabkan oleh proses deposisi dan tranportasi, berbeda dengan proses pembentukan tanah mineral yang pada umumnya merupakan proses pedogenik (Hardjowigeno, 1986).
Proses pembentukan gambut dimulai dari adanya danau dangkal yang secara perlahan ditumbuhi oleh tanaman air dan vegetasi lahan basah. Tanaman yang mati dan melapuk secara bertahap membentuk lapisan yang kemudian menjadi lapisan transisi antara lapisan gambut dengan substratum (lapisan di bawahnya) berupa tanah mineral. Tanaman berikutnya tumbuh pada bagian yang lebih tengah dari danau dangkal ini dan secara membentuk lapisan-lapisan gambut sehingga danau tersebut menjadi penuh (Gambar 1a dan 1b).
Bagian gambut yang tumbuh mengisi danau dangkal tersebut disebut dengan gambut topogen karena proses pembentukannya disebabkan oleh topografi daerah cekungan. Gambut topogen biasanya relatif subur (eutrofik) karena adanya pengaruh tanah mineral. Bahkan pada waktu tertentu, misalnya jika ada banjir besar, terjadi pengkayaan mineral yang menambah kesuburan gambut tersebut. Tanaman tertentu masih dapat tumbuh subur di atas gambut topogen. Hasil pelapukannya membentuk lapisan gambut baru yang lama kelamaan memberntuk kubah (dome) gambut yang permukaannya cembung (Gambar 1c). Gambut yang tumbuh di atas gambut topogen dikenal dengan gambut ombrogen, yang pembentukannya ditentukan oleh air hujan. Gambut ombrogen lebih rendah kesuburannya dibandingkan dengan gambut topogen karena hampir tidak ada pengkayaan mineral.
Gambar 1. Proses pembentukan gambut

Klasifikasi Gambut
Secara umum dalam klasifikasi tanah, tanah gambut dikenal sebagai Organosol atau Histosols yaitu tanah yang memiliki lapisan bahan organik dengan berat jenis (BD) dalam keadaan lembab < 0,1 g cm-3 dengan tebal > 60 cm atau lapisan organik dengan BD > 0,1 g cm-3 dengan tebal > 40 cm (Soil Survey Staff, 2003).
Gambut diklasifikasikan lagi berdasarkan berbagai sudut pandang yang berbeda; dari tingkat kematangan, kedalaman, kesuburan dan posisi pembentukannya.
Berdasarkan tingkat kematangannya, gambut dibedakan menjadi:
  • Gambut saprik (matang) adalah gambut yang sudah melapuk lanjut dan bahan asalnya tidak dikenali, berwarna coklat tua sampai hitam, dan bila diremas kandungan seratnya < 15%.
  • Gambut hemik (setengah matang) (Gambar 2, bawah) adalah gambut setengah lapuk, sebagian bahan asalnya masih bisa dikenali, berwarma coklat, dan bila diremas bahan seratnya 15 – 75%.
  • Gambut fibrik (mentah) (Gambar 2, atas) adalah gambut yang belum melapuk, bahan asalnya masih bisa dikenali, berwarna coklat, dan bila diremas >75% seratnya masih tersisa.
Berdasarkan tingkat kesuburannya, gambut dibedakan menjadi:
  • Gambut eutrofik adalah gambut yang subur yang kaya akan bahan mineral dan basa-basa serta unsur hara lainnya. Gambut yang relatif subur biasanya adalah gambut yang tipis dan dipengaruhi oleh sedimen sungai atau laut.
  • Gambut mesotrofik adalah gambut yang agak subur karena memiliki kandungan mineral dan basa-basa sedang
  • Gambut oligotrofik adalah gambut yang tidak subur karena miskin mineral
    dan basa-basa. Bagian kubah gambut dan gambut tebal yang jauh dari
    pengaruh lumpur sungai biasanya tergolong gambut oligotrofik
Gambut di Indonesia sebagian besar tergolong gambut mesotrofik dan oligotrofik (Radjagukguk, 1997). Gambut eutrofik di Indonesia hanya sedikit dan umumnya tersebar di daerah pantai dan di sepanjang jalur aliran sungai. Tingkat kesuburan gambut ditentukan oleh kandungan bahan mineral dan basa-basa, bahan substratum/dasar gambut dan ketebalan lapisan gambut. Gambut di Sumatra relatif lebih subur dibandingkan dengan gambut di Kalimantan.
Berdasarkan lingkungan pembentukannya, gambut dibedakan atas:
  • Gambut ombrogen yaitu gambut yang terbentuk pada lingkungan yang hanya dipengaruhi oleh air hujan
  • Gambut topogen yaitu gambut yang terbentuk di lingkungan yang mendapat pengayaan air pasang. Dengan demikian gambut topogen akan lebih kaya mineral dan lebih subur dibandingkan dengan gambut ombrogen.
Berdasarkan kedalamannya gambut dibedakan menjadi:
  • Gambut dangkal (50 – 100 cm),
  • Gambut sedang (100 – 200 cm),
  • Gambut dalam (200 – 300 cm), dan
  • Gambut sangat dalam (> 300 cm)
Berdasarkan proses dan lokasi pembentukannya, gambut dibagi menjadi:
  • Gambut pantai adalah gambut yang terbentuk dekat pantai laut dan mendapat pengayaan mineral dari air laut
  • Gambut pedalaman adalah gambut yang terbentuk di daerah yang tidak dipengaruhi oleh pasang surut air laut tetapi hanya oleh air hujan
  • Gambut transisi adalah gambut yang terbentuk di antara kedua wilayah tersebut, yang secara tidak langsung dipengaruhi oleh air pasang laut.
Sumber: Agus, F. dan I.G. M. Subiksa. 2008. Lahan Gambut: Potensi untuk Pertanian dan Aspek Lingkungan. Balai Penelitian Tanah dan World Agroforestry Centre (ICRAF), Bogor, Indonesia [http://www.worldagroforestry.org/downloads/publications/PDFs/B16019.PDF]

Annie.sys is beautiful girl [virus Trojan.JA.Autorun.A]

Hati-hati jika anda menjumpai file dengan nama yang cukup menggoda anda untuk membuka fil tersebut, terlebih dengan icon video karena biasanya virus akan menggunaan nama-nama file yang 'eksotik' untuk mengundang rasa keingintahuan user terhadap file tersebut, seperti yang dilakukan oleh salah satu virus Trojan.JA.Autorun.A yang akan menyamarkan dirinya dengan membuat 5 file shortcut di setiap drive dengan nama Beautiful_girl_part_1.lnk s/d Beautiful_girl_part_5.lnk. Sama seperti yang di lakukan oleh Virus Ramnit, virus ini juga akan menginjeksi file HTM/HTML untuk menyebarkan dirinya dengan menyisipkan code pada footer file HTM/HTML tersebut. G Data Antivirus dengan teknologi Active Hybryd dan Close Gap technology mendeteksi malware ini sebagai Trojan.JS.Autorun.A (lihat gambar 1)



Gambar 1, G Data mendeteksi Annie.sys atau Beautiful Girl sebagai Trojan.JS.Autorun.A


Informasi File induk

Malware ini dibuat menggunakan program bahasa Java Script dengan ukuran file sekitar 9 kb. Pada saat file tersebut di aktifkan maka akan menjalankan file wmplayer.exe atau windows media player (lihat gambar 3) dengan tujuan mengelabui korbannya yang 'mengharapkan' video wanita cantik. Tujuan utama aksi ini adalah menjalankan script yang terkandung di dalam file tersebut, kemudian akan membuat beberapa file induk yang akan di simpan di beberapa lokasi:

  • %System%\drivers\annie.sys (%system% menunjukan lokasi drive yang berbeda-beda, contohnya C:\Windows\System32\Drivers\annie.sys)
  • %System%\annie.ani (%system% menunjukan lokasi drive yang berbeda-beda, contoh C:\Windows\System32\annie.ani)

Untuk mengelabui user, virus ini akan membuat 5 (lima) buah file shortcut (lnk) yang akan di simpan di semua root drive termasuk removable media/USB Flash. File shortcut ini berisi script untuk menjalankan file annie.ani yang ada di drive yang sama (Script file annie.ani C:\Windows\system32\wscript.exe //e:jscript.encode annie.ani /q:1), sehingga jika user menjalankan file tersebut maka secara otomatis akan mengaktifkan virus tersebut dengan terlebih dahulu akan menjalankan program Windows Media Player (wmplayer) seperti pada gambar 3.

Adapun file shortcut yang akan dibuat oleh Trojan.JS.Autorun.A adalah (lihat gambar 2):

  • beautiful_girl_part_1.lnk
  • beautiful_girl_part_2.lnk
  • beautiful_girl_part_3.lnk
  • beautiful_girl_part_4.lnk
  • beautiful_girl_part_5.lnk


Gambar 2, File induk malware Beautiful Girl



Gambar 3, Windows Media Player yang akan di tampilkan untuk menyamarkan aksi malware menginfeksi komputer korbannya


Autorun Registry Windows

Untuk memastikan agar dirinya ini dapat aktif secara otomatis pada saat user menyalakan komputer, malware ini akan membuat string pada registry editor berikut:




  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

    • Userinit = C:\WINDOWS\system32\userinit.exe,wscript.exe //e:jscript.encode C:\WINDOWS\system32\drivers\annie.sys /e

Blok Fungsi Windows dan Tools Security

Untuk memperlancar aksinya, Trojan.JS.Autorun.A akan melakukan blok terhadap beberapa fungsi windows seperti:

  • Registry Editor
  • Task Manager
  • Microsoft Management Console (secpol.msc/gpedit.msc/device manager dll)
  • File Assosiasi
  • System Restore
  • Tidak dapat menampilkan ekstensi file
  • Tidak dapat menampilkan file yang tersembunyi (hidden)

Untuk melakukan hal tersebut, ia akan membuat string pada registry editor berikut:

  • Disable Registry Editor (lihat gambar 4)
    • Key : HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
    • Value: DisableRegistryTools
    • Data: 0x00000001



Gambar 4, Disable Registry Editor

  • Disable Task Manager (lihat gambar 5)
    • Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
    • Value: DisableTaskMgr
    • Data: 0x00000001


Gambar 5, Disable Task Manager

  • Disable file assosiasi
    • Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
    • Value: NoFileAssociate
    • Data: 0x00000001

  • Disable Microsoft Management Console / MMC (lihat gambar 6)
    • Key: HKCU\Software\Policies\Microsoft\MMC
    • Value: RestrictToPermittedSnapins
    • Data: 0x00000001


Gambar 6, Disable Microsoft Management Console / MMC

  • Disable System Restore
    • Key: HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore
      Value: DisableConfig
    • Value: DisableSR
    • Data: 0x00000001

  • Tidak dapat menampilkan file yang tersembunyi (super hidden)
    • Key:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
    • Value: UncheckedValue
    • Data: 0x00000001

  • Tidak dapat menampilkan ekstensi file (hide extention)
    • Key:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
    • Value: UncheckedValue
    • Data: 0x00000001

  • Tidak dapat menampilkan menu 'Open With' dengan menghapus key berikut:
    • HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With


Blok Tools Security

Selain blok fungsi Windows, Trojan.JS.Autorun.A juga akan blok beberapa software security berdasarkan nama file yang sudah ditentukan.

  • Disable tools 'Kill Process' atau file/program yang mempunyai nama TASKKILL.exe
    • Key: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskkill.exe
    • Value: Debugger
    • Data: 'cmd.exe /c rem'




  • Disable tools untuk merubah atribut file atau file/program yang mempunyai nama ATTRIB.exe
    • Key: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\attrib.exe
    • Value: Debugger
    • Data: 'cmd.exe /c rem'

  • Disable dan menghapus tools 'SysInternals Autostart' atau file/program yang mempunyai nama AUTORUNS.exe
    • Key: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution
Options\autoruns.exe

    • Value: Debugger
    • Data: 'cmd.exe /c del /q /f'
  • Disable dan menghapus tools 'SysInternals Procees Explorer' atau file/program yang mempunyai nama PROCEXP.exe
    • Key: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe
    • Sets value: Debugger
    • Data: 'cmd.exe /c del /q /f'

  • Disable tools/File/program yang mempunyai nama REG.exe
    • Key: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\reg.exe
    • Value: Debugger
    • Data: 'cmd.exe /c rem'

  • Disable dan menghapus tools RegAlyzer atau file/program yang mempunyai nama RegAlyzer.exe
    • Key: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RegAlyzer.exe
    • Value: Debugger
    • Data: 'cmd.exe /c del /q /f'

  • Menghapus file INF jika file tersebut di install
    • Key : HKEY_CLASSES_ROOT\inffile\shell\Install\command
    • Key : HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\command
    • Value : Default
    • Data : cmd.exe /c del /q /f '%1'

  • Menghapus file type Registry jika di jalankan
    • Key : HKEY_CLASSES_ROOT\regfile\shell\open\command
    • Key : HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\Install\command
    • Value : Default
    • Data : cmd.exe /c del /q /f '%1' 
Metode Penyebaran
 
Untuk menyebarkan dirinya Annie.sys akan memanfaatkan celah autorun Windows dengan membuat file autorun.inf serta file induk annie.ini (file ini akan disembunyikan) di setiap drive termasuk removable media/USB Flash, sehingga malware ini dapat langsung aktif secara otomatis pada saat user mengakses Drive.
File autorun.inf ini berisi perintah untuk menjalankan file annie.ini dengan menggunakan sricpt sebagai berikut :

[autorun]
shellexecute=wscript.exe //e:jscript.encode annie.ani /a
shell\open\command=wscript.exe //e:jscript.encode annie.ani /a
shell\explore\command=wscript.exe //e:jscript.encode annie.ani /a

Selain itu, virus ini juga akan membuat 5 (lima) buah file shortcut disetiap drive termasuk removable media/usb flash dengan nama
beautiful_girl_part_1.lnk s/d beautiful_girl_part_5.lnk, file ini berisi script
(C:\Windows\system32\wscript.exe //e:jscript.encode annie.ani /q:%x%) untuk menjalankan file annie.ani yang berada di drive yang sama (%x% menunjukan angka 1 - 5), lihat gambar 7 di bawah.


Gambar 7, File shortcut malware Annie.sys / Beautiful Girl

Jika file shortcut tersebut (beautiful_girl_part_1.lnk s/d beautiful_girl_part_1.lnk) di jalankan, maka akan menjalankan program windows media player (wmplayer) dan akan menjalankan file virus annie.ini. Lihat gambar 8.

Gambar 8, Program Windows Media Playar yang muncul saat Trojan.JS.Autorun.A di jalankan

Menyebar melalui CD / DVD
 
Malware ini juga menyebarkan dirinya melalui CD / DVD dengan cara menyimpan 2 buah file yakni autorun.inf dan annie.ini ke folder (%LOCALAPPDATA%\Microsoft\CD Burning\) dengan membaca lokasi registry berikut sehingga pada saat anda melakukan burn CD/DVD file tersebut akan ikut terkopi secara otomatis.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
  • CD Burning = C:\Documents and Settings\%user%\Local Settings\Application Data\Microsoft\CD Burning
Catatan: %LOCALAPPDATA%, menunjukan lokasi yang berbeda-beda (contohnya C:\Documents and Settings\adang\Local Settings\Application Data\Microsoft\CD Burning\)

Aksi Malware
Pembuat malware ini kelihatannya tidak bermaksud jahat dan menghancurkan data komputer korbannya. Jika berhasil menginfeksi komputer korbannya, Annie.sys tidak akan bertingkah seperti Megan Young, tetapi sebaliknya ia akan merepotkan korbannya dengan menyembunyikan file yang mempunyai ekstensi *.DOC/*.RTF/*.DOCX. Untuk mengelabui user dan mencari korban lebih banyak lagi ia akan membuat file duplikat yang mempunyai nama yang sama dengan nama file yang disembunyikan (hidden).

Berikut ciri-ciri file duplikat Trojan.JS.Autorun.A (lihat gambar 9)
  • Mempunyai nama file yang sama dengan nama file yang di sembunyikan
  • Mempunyai ekstensi file *.JSE (JavaScript Encode), ekstensi ini akan disembunyikan
  • Mempunyai ukuran 9 KB

Gambar 9, Penampakan file duplikat virus pada komputer yang terinfeksi (icon dan type file sama)

Injeksi File HTM / HTML
Anda tentu masih ingat dengan kasus virus Ramnit yang akan menginjeksi file HTM / HTML untuk menyebarkan dirinya, hal ini juga akan di lakukan oleh Trojan.JS.Autorun.A dengan menambahkan baris penanda pada header (<!--[ANNIE83E333BF08546819]-->) dan kode virus pada footer sehingga jika user menjalankan file HTM/HTML yang sudah terinfeksi tersebut akan langsung mengaktifkan virus tersebut. Anda bisa membayangkan jika virus ini menginjeksi file HTM / HTML pada webserver, hal inilah yang menyebabkan virus ini dapat menyebar dengan cepat. Lihat gambar 10

Gambar 10, Kode penanda virus pada header file HTM/HTML

Cara membersihkan Trojan.JS.Autorun.A
Berikut cara untuk mengatasi Trojan.JA.Autorun.A
  1. Matikan proses virus yang aktif di memori. Untuk mematikan proses virus ini anda dapat menggunakan tools Cproces. Silahkan download tools tersebut di link berikut:
Setelah tools tersebut berhasil di download, piih proses dengan nama cscript.exe (lihat gambar 11), lalu klik kanan pada file tersebut dan klik 'Kill Selected Processes'
Gambar 11, Mematikan proses Trojan.JS.Autorun.A
  1. Reparasi registry Windows yang telah diubah oleh virus. Untuk mempercepat perbaikan registry tersebut silahkan salin script di bawah ini pada program NOTEPAD kemudian simpan dengan nama REPAIR.VBS, Kemudian klik ganda file [REPAIR.VBS].
Dim oWSH: Set oWSH = CreateObject("WScript.Shell")
on error resume Next
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command\","""%1"" %*"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command\","""%1"" %*"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command\","""%1"" %*"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command\","""%1"" %*"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\CLASSES\regfile\shell\open\command\","regedit.exe %1"
oWSH.Regwrite "HKEY_CLASSES_ROOT\regfile\shell\open\command\","regedit.exe %1"
oWSH.Regwrite "HKEY_CLASSES_ROOT\*\shellex\ContextMenuHandlers\Open With\","{09799AFB-AD67-11d1-ABCD-00C04FC30936}"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell","Explorer.exe"
oWSH.Regwrite "HKEY_LOCAL_MACHINESoftware\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit", "Userinit.exe,"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile\shell\Install\command\","C:\windows\System32\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1"
oWSH.Regwrite "HKEY_CLASSES_ROOT\inffile\shell\Install\command\","C:\windows\System32\rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 %1"
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFileAssociate")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistriTools")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Policies\Microsoft\MMC")
oWSH.RegDelete("HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFileAssociate")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistriTools")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Autoruns.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\reg.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regAlyzer.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskkill.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\attrib.exe\")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig")
oWSH.RegDelete("HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableSR")
oWSH.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden",1, "REG_DWORD"
oWSH.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden",1, "REG_DWORD"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\UncheckedValue",1,"REG_DWORD"
oWSH.Regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\UncheckedValue",0,"REG_DWORD"
  1. Hapus file file induk virus yang berada di direktori berikut:
    • %System%\drivers\annie.sys (%system% menunjukan lokasi yang berbeda-beda, contohnya C:\Windows\System32\Drivers\annie.sys)
    • %System%\annie.ani (%System% menunjukan lokasi yang berbeda-beda, contoh nya C:\Windows\System32\annie.ani)
    • beautiful_girl_part_1.lnk (semua drive)
    • beautiful_girl_part_2.lnk (semua drive)
    • beautiful_girl_part_3.lnk (semua drive)
    • beautiful_girl_part_4.lnk (semua drive)
    • beautiful_girl_part_5.lnk (semua drive)
    • autorun.inf (semua drive)
    • annie.ani (semua drive)
Agar tidak terjadi kesalahan pada saat menghapus file induk virus tersebut sebaiknya tampilan file yang tersembunyi terlebih dahulu dengan cara: (lihat gambar 12)
    • Buka [Windows Explorer]
    • Klik menu [Tools]
    • Klik [Folder Options]
    • Klik tabulasi [View]
    • Pada kolom [Advanced settings]
      • Checklist opsi 'Show hidden files and folders'
      • Uncheck opsi 'Hide extension for known file types' dan 'Hide protected operating system files (Recommended)'

Gambar 12, Folder Options untuk menampilkan ekstensi file dan file yang tersembunyi
    • Kemudian klik tombol [OK]
  1. Hapus file duplikat virus yang mempunyai ciri-ciri
    • Mempunyai nama file yang sama dengan nama file yang di sembunyikan
    • Mempunyai ekstensi file *.JSE (JavaScript Encode)
    • Mempunyai ukuran 9 KB
Agar tidak terjadi kesalahan dalam menghapus file duplikat virus tersebut sebaiknya tampilan ekstensi file terlebih dahulu dengan cara:
    • Buka [Windows Explorer]
    • Klik menu [Tools]
    • Klik [Folder Options]
    • Klik tabulasi [View]
    • Pada kolom [Advanced settings], uncheck opsi 'Hide extension for known file types' kemudian klik tombol [OK] (lihat gambar 12)
Untuk mempermudah proses penghapusan, silahkan gunakan tools Search Windows dengan format pencarian seperti terlihat pada gambar 13. Kemudian hapus file dengan ciri-ciri yang sudah disebutkan di atas.

Gambar 13, Mencari dan menghapus file duplikat virus
  1. Tampilkan file yang disembunyian oleh virus dengan cara: (lihat gambar 14)
    • Klik menu [Start]
    • Klik [RUN]
    • Pada dialog box RUN, ketik CMD kemudian klik tombol [OK]
    • Kemudian akan muncul layar Command Prompt.
    • Pindahkan kursor ke lokasi root Drive dengan menggunakan perintah CD\ kemudian klik tombol [Enter].
    • Lalu pindahkan kursor ke lokasi yang akan di periksa dengan menggunakan format perintah CD %DriveFolder% (%DriveFolder% adalah lokasi Drive atau Folder yang akan diperiksa) kemudian klik tombol [Enter].
    • Untuk menampilkan file yang disembunyikan (semua file ) ketik perintah :
ATTRIB -s -h -r /s /d kemudian klik tombol [Enter]

Gambar 14, Menampilkan file yang tersembunyi (semua file)
    • Untuk menampilkan file yang disembunyikan (berdasarkan ekstensi tertentu) ketik perintah ATTRIB -s -h -r *.doc /s /d kemudian klik tombol [Enter]
Catatan : *.doc ganti dengan ekstensi *.rtf atau *.docx
  1. Untuk pembersihan optimal, silahkan scan menggunakan Norman Security Suite atau G Data Antivirus. Untuk mendapatkan antivirus G Data silahkan kunjungi http://www.virusicu.com/store/antivirus.php untuk G Data Antivirus atau http://www.virusicu.com/store/totalprotection.php untuk G Data total Protection.

    Sumber : vaksin[dot]com
Share

Planetcopas