W32.Pesin.A       24 Oktober 2003

Worm Pesin yang membuat pusink pengguna warnet Indonesia

Jika anda pengguna setia warnet atau sering bertukar data dengan rekan pengguna warnet, coba teliti apakah disket anda mengandung file :

My Love.exe

Kenangan.exe

Hallo.exe

Puisi Cinta.exe

My Heart.exe

Jangan Dibuka.exe

Mistery.exe

Jika ada artinya disket anda sudah terinfeksi virus Pesin yang memang sedang merambah warnet-warnet di Indonesia sejak bulan September 2003. Laporan infeksi kami dapatkan terutama dari warnet di pulau Jawa dan Sumatera. Meskipun Norman Virus Control sudah mendeteksi virus ini sejak bulan September 2003, namun karena ketidak tahuan pengguna internet yang menggunakan program antivirus yang tidak terupdate / bajakan dan tidak melakukan update dengan baik maka Pesin dapat dengan leluasa menyebarkan dirinya.

Sederhana tapi Efektif

Sebenarnya teknik penyebaran Pesin sangat sederhana, bahkan boleh dibilang kuno. Tetapi rupanya metode tersebut sangat cocok dengan kondisi pengguna komputer (warnet) di Indonesia yang pemanfaatan disketnya masih cukup tinggi. Pesin menyebar melalui perantaraan disket yang dimasukkan ke komputer yang terinfeksi untuk kemudian menginfeksi komputer lain yang bersih jika disket yang terinfeksi diakses oleh komputer lain. Metode ini sama seperti virus awal di tahun 1986an seperti Brain atau virus lokal Denzuko yang menyebarkan dirinya hanya melaui disket, tetapi saat itu media internet belum berkembang seperti hari ini sehingga penyebarannya tidak fenomenal seperti Lovebug atau Klez. Sebagai informasi tambahan, tidak seperti virus yang banyak menyebar sekarang, Pesin bahkan tidak dienkripsi. Boleh jadi penciptanya menganut pandangan "Untuk apa di enkrip, toh cepat atau lambat pasti akan berhasil di dekrip oleh vendor antivirus". Dan pandangan tersebut ada benarnya atau boleh dikatakan tepat karena enkripsi tidak akan membuat virus bertahan hidup lebih lama, hanya membuat lebih sulit untuk di oprek saja. Yang membuat satu virus bertahan hidup lebih lama adalah kejelian pembuat virus memanfaatkan situasi dan kondisi yang ada dan virus yang berhasil menyebar dengan luas tidak harus memiliki pemrograman yang canggih atau enjelimet. Salah satu bukti adalah virus Annakournikova dimana virus yang berhasil menggegerkan para pengguna internet di tahun 2001 diciptakan oleh remaja Belanda yang tidak memiliki pengetahuan yang luar biasa dalam pemrograman dengan menggunakan program pembuat virus Kalamar, tetapi virus ini berhasil mengelabui pengguna internet untuk mengklik lampiran ekstensi ganda yang datang karena menjanjikan gambar petenis cantik Anna Kournikova.

 

Cara Kerja

Pertama kali dijalankan, Pesin akan "menyamar" sebagai proses windows dengan nama SysTask.exe (dan bukan aplikasi) sehingga tidak akan terlihat di aplikasi pada Task Manager. Selain itu, Pesin akan mengkopikan dirinya ke direktori C:\MyDocuments dengan nama MyHeart.exe.

 

Agar windows menjalankan dirinya secara otomatis setiap kali start, Pesin akan mengubah registri sebagai berikut :

 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
LoadService="%System%\Systask.exe /run"

 

Dimana "%System% adalah direktori sistem pada OS Windows seperti :

C:\Windows\System (Win 95/98/ME), C:\Windows\System32 (Win XP) dan C:\WINNT\System32 (Win NT/2000).

 

Jika berhasil aktif di memori, Pesin akan berusaha menginfeksi disket yang ada dengan mengkopikan dirinya dengan salah satu nama di bawah ini :

 

  • My Love.exe

  • Kenangan.exe

  • Hallo.exe

  • Puisi Cinta.exe

  • My Heart.exe

  • Jangan Dibuka.exe

  • Mistery.exe

 

Sedikit menyerupai Swen, Pesin berusaha menghalangi akses ke aplikasi :

 

  • Registry Editor
  • System Configuration
  • System Configuration Utility

 

Sehingga komputer yang terinfeksi akan kesulitan menjalankan ke tiga aplikasi di atas karena akses Mouse dan Keyboard untuk ke tiga aplikasi ini di blok. Hal ini cukup cerdik dan tentunya membingungkan pengguna komputer dengan kemampuan menengah sekalipun :).

 

Hal yang berbahaya yang dikandung oleh Pesin adalah ia akan mencoba untuk mengubah "Autoexec.bat" untuk menghapus folder Windows dan Program Files. Melihat yang di incar adalah direktori dan data program yang tidak memiliki nilai ekonomis dan dapat di install ulang kembali maka dapat disimpulkan bahwa pembuat Pesin ini tidak bermaksud jahat seperti pembuat Explorezip atau Kelz.E yang menghancurkan semua data MS Office dari pengguna komputer yang terinfeksi.

 

Disinfeksi

Untuk mendisinfeksi Pesin, langkah yang perlu dilakukan adalah sebagai berikut :

 

  1. Untuk Windows ME dan Windows XP non aktifkan dahulu System Restore.

  2. (Windows 95/98/ME), jalankan Windows dalam Safe Mode

    atau

    (Windows NT/2000/XP), masuk ke Task Manager [Ctrl][Shift][Esc], Klik tabulasi [Processes], klik [Image Name] untuk mengurutkan proses secara abjad dan cari proses dengan nama "SysTask.exe", lalu klik sekali pada proses "Systask.exe" dan klik [End Process] untuk mematikan Pesin.

  3. Scan komputer dengan program antivirus yang terupdate dan telah dapat mengenali Pesin, kami menggunakan Norman Virus Control yang dapat di download di ftp.cbn.net.id/vaksin dan bersihkan semua file yang terdeteksi sebagai Pesin.

  4. Bersihkan registri yang dirubah oleh Pesin dengan cara (jangan lupa back up dahulu registri anda, segala kesalahan dalam mengubah registri akan menyebabkan kerusakan OS menjadi tanggung jawab anda) :

    • Jalankan registry editor dengan cara [Start][Run] ketik [Regedit] dan tekan [Enter] anda akan mendapatkan menu Registry Editor

    • Masuk ke registri :

      HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
      dan pada kolom kanan hapus registri

      "LoadService"="%System%\SysTask.exe /run"

      dengan cara klik kanan dan pilih delete.

    • Simpan kembali registri anda dan restart komputer.

 

Komputer anda sudah bersih dari Pesin.

 

AAT