Membasmi MyHeart dan Hallo.Roro       6 Ferbuari 2004 (Artikel)

Artikel PC Plus no. 160, 27 Januari - 2 Februari 2004

 

Virus removal apa yang paling banyak diminta oleh netter Indonesia sepanjang bulan Januari 2004 ? Apakah Bagle yang baru muncul, Blaster atau varian Redlof ? Anda akan terkejut mendengar jawabannya bahwa bukan virus Top 10 yang dicari toolsnya, melainkan satu virus lokal yang penyebarannya ternyata sampai ke seluruh pelosok Nusantara, Pesin. Virus Pesin yang menciptakan file Myheart.exe di komputer korbannya ternyata masih sangat sulit diberantas. Salah satu sebabnya adalah karena kemampuannya untuk mengunci Keyboard dan Mouse setiap kali komputer korbannya menjalankan Regedit.

Lihat Gambar 1

 

Gambar 1

 

Salah satunya adalah Joni (nama sebenarnya) di joni**@telkom.net, yang bersama dengan temannya rame-rame menjadi korban dua virus lokal sekaligus, Pesin dan Redro. Trojan Redro akan menampilkan tulisan Hallo Roro setiap kali komputernya digunakan dan setiap jam 10.00 malam komputer akan otomatis dimatikan. Sedangkan Pesin akan memblok akses registri dari keyboard dan mouse setiap kali komputer menjalankan Registry Editor (regedit).

Sebenarnya Redro mengandung aksi yang cukup jahat untuk menghapus direktori Program Files dan direktori Windows, namun karena adanya bug dalam kode tersebut aksi tersebut tidak dijalankan oleh virus. Untuk menghadapi Redro, sebenarnya cukup mudah dengan menghapus file “systask.exe” pada c:\windows\system32 (Windows XP) dan “sysmng.exe” (Windows 98). Sedangkan untuk menghadapi Pesin secara manual cukup merepotkan karena seperti diutarakan di atas, Pesin melakukan aksi memblok akses ke registri editor sehingga setiap kali kita menjalankan Regedit, semua aktivitas keyboard dan mouse menjadi lumpuh.
 

Menyebar lewat jaringan

Satu hal yang cukup menarik adalah worm Pesin yang berhasil menginfeksi komputer yang terhubung pada jaringan akan “berusaha” untuk menyebarkan dirinya ke jaringan dengan cara mengkopikan dirinya ke semua drive yang di share pada jaringan dengan nama :

 

- My Love.exe
- Kenangan.exe
- Hallo.exe
- Puisi Cinta.exe
- My Heart.exe
- Jangan Dibuka.exe
- Mistery.exe

 

Tidak seperti Funlove yang akan mengusahakan dirinya berjalan secara otomatis pada komputer jaringan dengan menginfeksi file PE (Portable Executable) sehingga dijalankan oleh sistem windows atau Redlof yang akan berjalan secara otomatis karena memanfaatkan celah keamanan MS Virtual Machine. Pesin bersifat pasif dan selama user komputer korban di jaringan tidak “gatal” mengklik file yang baru dikopikan tersebut, Pesin tidak akan menginfeksi komputernya sehingga kemampuan infeksi Pesin pada komputer jaringan tidak perlu terlalu dikhawatirkan. Hal ini terlihat dari statistik yang kami dapatkan pada seluruh infeksi Pesin yang dilaporkan dimana 100 % infeksi yang terjadi adalah pada file di disket dan bukan di komputer jaringan. (lihat gambar 2)

 

Gambar 2
 

Recover file yang hilang karena Pesin

Salah satu informasi tambahan yang kami dapatkan dari para korban Pesin adalah sebagai berikut :
Selain dalam format Word, Pesin dengan cerdik memalsukan dirinya sesuai dengan file asli milik kita (contoh: "Laporan Akhir") sehingga kita terjebak untuk membuka file virus tersebut, sedangkan file asli milik kita yang berisi data-data direname menjadi "~Temp45". Nama file asli selalu terganti seperti itu dan untuk orang awam tentu mengira bahwa itu adalah file temporary word dan biasanya dihapus. Walhasil semua hasil kerja jadi hilang, kalau tidak hati-hati semua file bisa lenyap seketika karena virus tersebut (akibat tidak langsung).
Sebelum saya menemukan antivirus yang bisa melenyapkan virus menyebalkan itu, satu-satunya cara mendeteksi hanyalah ketika akan membuka file di window explorer, setting view files saya set Details agar terlihat jelas format file serta besarnya kapasitas file. Virus Pesin ini selalu muncul dalam bentuk Application dan besarnya selalu 256Kb. Kalau file virus dihapus, dia akan muncul lagi bahkan "berkembang biak".
Cara lain untuk merecover file yang dihapus oleh Pesin adalah menggunakan software Data Recovery seperti Get Back atau Ontrack Easy Recovery.

Cara manual remove Pesin
Salah satu cara yang sangat efektif untuk menghadapi keyboard dan mouse yang dikunci oleh Pesin adalah dengan menghentikan proses Pesin di komputer anda.

Tekan [Ctrl] [Shift] [Esc] (Win NT / 2000 / XP) dan matikan proses “SysTask.exe” setelah itu baru masuk ke Regedit untuk menghapus registri yang ditambahkan oleh Pesin.
Untuk Windows 98 tidak ada akses untuk memonitor proses sehingga memerlukan tools / software khusus Process Explorer dari Sysinternal yang dapat di download secara gratis di http://www.sysinternals.com/ntw2k/freeware/procexp.shtml. Jika anda tidak memiliki Process Explorer, alternatif lain yang dapat digunakan adalah mengakses windows melalui Safe Mode dimana pada mode ini proses Pesin di latar belakang tidak akan dijalankan oleh windows sehingga anda dapat menjalankan Regedit. Cara mengakses Safe Mode dari pada windows 98 adalah menekan tombol [F5] berulang-ulang pada saat menyalakan komputer pertamakali.
Setelah menghentikan proses Pesin, scan komputer dengan program antivirus yang terupdate dan telah dapat mengenali Pesin, kami menggunakan Norman Virus Control yang dapat di download di ftp://ftp.cbn.net.id/Vaksin/fscommand/norman_virus_control_eng.exe dan bersihkan semua file yang terdeteksi sebagai Worm:Pesin.A.

 

Bersihkan registri yang dirubah oleh Pesin dengan cara (jangan lupa back up dahulu registri anda, segala kesalahan dalam mengubah registri akan menyebabkan kerusakan OS menjadi tanggung jawab anda) :

 

  • Jalankan registry editor dengan cara [Start][Run] ketik [Regedit] dan tekan [Enter] anda akan mendapatkan menu Registry Editor

  • Masuk ke registri :

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    dan pada kolom kanan hapus registri

    "LoadService"="%System%\SysTask.exe /run"
    dengan cara klik kanan dan pilih delete.
    Simpan kembali registri anda dan restart komputer.
     

Tools Pesin dan Roro
Jika anda kesulitan untuk melakukan hal tersebut di atas, ada satu tool yang tersedia di internet dengan nama “AntiMyHeart” yang dapat di download di http://igm.ac.id/files/AntiMyHeart.zip atau ftp://ftp.cbn.net.id/Vaksin/fix-tools/MyHeart/anti_myheart.zip

Lihat gambar 3
 

Gambar 3

 

Tools ini di klaim oleh pembuatnya dapat membasmi semua versi Pesin dan Redro dan menurut pengetesan yang dilakukan oleh korban Pesin yang melaporkan ke Vaksincom, tools ini cukup efektif dan mudah digunakan dalam membasmi Pesin dan Redro dimana semua proses seperti penghapusan file dan perubahan registri akan dilakukan secara otomatis oleh tools ini. Satu catatan yang perlu diketahui jika anda menggunakan AntiMyHeart adalah tools ini akan merubah registri anda dengan menambahkan pada :
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion]
"RegisteredOrganization"="Junior Software"
"RegisteredOwner"="STMIK IGM"

salam,
AAT

Antivirus Specialist PT. Vaksincom