Begitulah sepenggal lirik lagu populer “Aku Cinta Dia” milik almarhum Chrisye
yang dibawakan kembali oleh penyanyi muda nan sensasional Gita Gutawa.
Di tengah krisis global dan isu flu
babi yang merebak dimana-mana, cinta sepertinya sangat diperlukan paling tidak
meredakan suasana permasalahan yang ada. Cinta dapat disampaikan melalui
berbagai media baik tulisan, perasaan maupun hal lainya.
Hal ini menjadi juga inspirasi bagi para pembuat virus dengan menyampaikan pesan
dengan cara yang berbeda, mengikuti pepatah “Banyak jalan menuju Roma
(bukan penyanyi dangdut)”
maka dengan dengan diplesetkan menjadi “Banyak jalan menebar Cinta
(bukan nama artis chadel :p)”
Jika pada umunya pembuat virus Cinta
membuat virus dengan membuat pesan pesan baik dalam bentuk dokumen (word atau
notepad) dan HTML (browser), maka kali ini pembuat virus menebar hanya dengan
menggunakan logo/icon virus yang berbentuk folder (asal jangan logo parpol..)
dan meninggalkan jejak file kosong “khq”. Jadi jika pada komputer anda atau
komputer server anda terdapat file “khq”, maka anda baru saja dikunjungi oleh
virus ini atau bahkan sudah menyebar virus “folder cinta” ini.
Pada varian virus ini, oleh Norman Virus Control teridentifikasi sebagai
Autorun.QBP.
(lihat gambar 1)
Gambar 1, Norman Virus Control mendeteksi sebagai Autorun.QBP
Ciri ciri file virus
Ciri ciri dari file virus Autorun.QBP,
diantaranya :
(lihat gambar 2)
·
Menggunakan icon “Folder Cinta”
·
Memiliki ukuran 793 kb
·
Type file “Application”
·
Ber-extension exe
Gambar 2, File virus W32/Autorun.QBP
Gejala / efek virus
Jika anda terinfeksi oleh virus
Autorun.QBP, maka akan menimbulkan gejala/efek sebagai berikut,
·
Disetiap file sharing akan muncul file virus dengan nama “[namaacak].exe”
dan file system yang kosong dengan nama “khq”. (lihat Gambar 2.) File khq ini
juga akan berada pada setiap root drive.
·
File virus aktif di memori
komputer dengan nama “csrcs.exe” pada proses dengan username lokal. Anda
dapat melihat dengan menggunakan task manager pada tab processes.
(lihat gambar 3)
Gambar 3, Virus aktif pada user lokal dengan nama file csrcs.exe
·
Tidak dapat menampilkan file yang sudah di hidden. (walaupun
“folder
options”
sudah di rubah ber-kali kali, akan kembali hidden)
lihat gambar 4.
Gambar 4, Show Hidden tidak bisa berubah
File file virus
Berbeda dengan beberapa virus lain yang menggunakan bahasa pemrograman Visual
Basic / bahasa C++, virus Autorun.QBP
dibuat dengan menggunakan script Autoit dan di kompress menggunakan UPX
Unpacker. Beberapa file virus yang akan muncul jika dijalankan, yaitu :
·
[namaacak.exe],
file virus yang berukuran 793 kb
(lihat gambar 5)
Gambar 5, 2 file yang dibuat oleh virus dengan atribut file RHSA
Pada jaringan, ia akan membuat 2 file (pada root folder lokal yg di sharing,
serta masuk pada folder/drive dalam jaringan yang full-sharing), yaitu :
·
khq,
file kosong yang yang merupakan jejak persinggahan virus Autorun.QBP
·
[namaacak.exe],
file virus yang berukuran 793 kb
(lihat gambar 6)
Gambar 6, 2 file yang dibuat oleh virus dalam jaringan yg full sharing
Cara pembersihan secara manual:
1.
Disconnect/putuskan hubungan komputer yang akan dibersihkan dari jaringan.
2.
Disable/matikan “System Restore”
selama proses pembersihan virus.
3.
Gunakan “Task Manager” untuk mematikan proses virus yang aktif. (kemungkinan
besar dengan nama “csrsc.exe”).
(lihat gambar 7)
Gambar 7, Task Manager untuk mematikan proses virus (End Process)
Untuk membuka task manager, dapat
dilakukan dengan menekan secara bersama
Ctr+Alt+Del, atau dengan klik kanan pada taskbar windows. Selanjutnya
matikan proses virus dengan klik [End Process] pada proses csrsc.exe.
4.
Hapus file utama dari virus Autorun.QBP,
yang terdapat pada C:\WINDOWS\system32, dengan nama
csrsc.exe yang berukuran 793 kb dan
Autorun.inf yang berukuran 1 kb.
Gunakan search/find, untuk mencari file virus duplikat yang lain, terutama pada
media sharing atau USB Flash/removable drive, file virus berukuran 793 kb,
berextension exe & ber type application serta file khq di seluruh drive.Jangan lupa untuk menampilkan attribute “Show hidden file…”
dan menghilangkan attribute “Hide protected operating…” pada
Folder Options. (lihat gambar 4).
5.
Hapus string registry yang sudah dibuat oleh virus. Untuk mempermudah dapat
menggunakan script registry dibawah ini.
Gunakan notepad, kemudian simpan dengan nama “repair.inf”
(gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan).
Jalankan repair.inf dengan klik kanan, kemudian pilih [install].
6.
Untuk pembersihan secara optimal terhadap virus
Autorun.QBP, gunakan Norman
Malware Cleaner
yang dapat
mendeteksi dan membasmi
virus ini dengan baik.
(lihat gambar 8). Jika anda ingin terproteksi dari virus ini dan virus
mancanegara lainnya, gunakan antivirus Norman Security Suite (Single User) atau
Norman Endpoint Protection (Corporate User) yang dapat mencegah komputer anda
terinfeksi virus mancanegara dan virus lokal dengan baik dan khusus pelanggan
korporat akan mendapatkan di support ONSITE Gratis oleh Vaksinis (teknisi PT.
Vaksincom).
Gambar
8,
Task Manager untuk mematikan proses virus (End Process)
Anda dapat mendownload
Norman Malware Cleaner
pada link berikut :
