W32.Pesin dan AntiPesin    6 November 2003

Virus patah hati made in Indonesia

Jika anda sering menggunakan disket dan termasuk pelanggan setia warnet atau sering bertukar data dengan rekan pengguna warnet, coba teliti apakah disket anda mengandung file :

My Love.exe

Kenangan.exe

Hallo.exe

Puisi Cinta.exe

My Heart.exe

Jangan Dibuka.exe

Mistery.exe

Dengan logo seperti dokumen MS Word(lihat gambar)

Jika ada artinya disket anda sudah terinfeksi virus Pesin yang sedang merambah warnet-warnet di Indonesia sejak bulan September 2003. Laporan infeksi kami dapatkan terutama dari warnet di pulau Jawa dan Sumatera. Meskipun Norman Virus Control sudah mendeteksi virus ini sejak bulan September 2003, namun karena ketidak tahuan pengguna internet yang menggunakan program antivirus yang tidak terupdate / bajakan dan tidak melakukan update dengan baik maka Pesin dapat dengan leluasa menyebarkan dirinya.

Sederhana tapi Efektif

Sebenarnya teknik penyebaran Pesin sangat sederhana, bahkan boleh dibilang kuno. Tetapi rupanya metode tersebut sangat cocok dengan kondisi pengguna komputer (warnet) di Indonesia yang pemanfaatan disketnya masih cukup tinggi. Pesin menyebar melalui perantaraan disket yang dimasukkan ke komputer yang terinfeksi untuk kemudian menginfeksi komputer lain yang bersih jika disket yang terinfeksi diakses oleh komputer lain. Metode ini sama seperti virus awal di tahun 1986an seperti Brain atau virus lokal Denzuko yang menyebarkan dirinya hanya melaui disket, tetapi saat itu media internet belum berkembang seperti hari ini sehingga penyebarannya tidak fenomenal seperti Lovebug atau Klez. Sebagai informasi tambahan, tidak seperti virus yang banyak menyebar sekarang, Pesin bahkan tidak dienkripsi. Boleh jadi penciptanya menganut pandangan "Untuk apa di enkrip, toh cepat atau lambat pasti akan berhasil di dekrip oleh vendor antivirus". Dan pandangan tersebut ada benarnya atau boleh dikatakan tepat karena enkripsi tidak akan membuat virus bertahan hidup lebih lama, hanya membuat lebih sulit untuk di oprek saja. Yang membuat satu virus bertahan hidup lebih lama adalah kejelian pembuat virus memanfaatkan situasi dan kondisi yang ada dan virus yang berhasil menyebar dengan luas tidak harus memiliki pemrograman yang canggih atau enjelimet. Salah satu bukti adalah virus Annakournikova dimana virus yang berhasil menggegerkan para pengguna internet di tahun 2001 diciptakan oleh remaja Belanda yang tidak memiliki pengetahuan yang luar biasa dalam pemrograman dengan menggunakan program pembuat virus Kalamar, tetapi virus ini berhasil mengelabui pengguna internet untuk mengklik lampiran ekstensi ganda yang datang karena menjanjikan gambar petenis cantik Anna Kournikova.

 

Cara Kerja

Pertama kali dijalankan, Pesin akan "menyamar" sebagai proses windows dengan nama SysTask.exe (dan bukan aplikasi) sehingga tidak akan terlihat di aplikasi pada Task Manager. Selain itu, Pesin akan mengkopikan dirinya ke direktori C:\MyDocuments dengan nama MyHeart.exe. Setelah berhasil mengaktifkan dirinya pada memori komputer, Pesin akan  membuka pesan pada MS Word dalam bahasa Indonesia / Inggris sebagai berikut :

 

 

 

Agar windows menjalankan dirinya secara otomatis setiap kali start, Pesin akan mengubah registri sebagai berikut :

 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
LoadService="%System%\Systask.exe /run"

 

Dimana "%System% adalah direktori sistem pada OS Windows seperti :

C:\Windows\System (Win 95/98/ME), C:\Windows\System32 (Win XP) dan C:\WINNT\System32 (Win NT/2000).

 

Jika berhasil aktif di memori, Pesin akan berusaha menginfeksi disket yang ada dengan mengkopikan dirinya dengan salah satu nama di bawah ini :

 

  • My Love.exe
  • Kenangan.exe
  • Hallo.exe
  • Puisi Cinta.exe
  • My Heart.exe
  • Jangan Dibuka.exe
  • Mistery.exe

 

Sedikit menyerupai Swen, Pesin berusaha menghalangi akses ke aplikasi :

 

  • Registry Editor
  • System Configuration
  • System Configuration Utility

 

Sehingga komputer yang terinfeksi akan kesulitan menjalankan ke tiga aplikasi di atas karena akses Mouse dan Keyboard untuk ke tiga aplikasi ini di blok. Hal ini cukup cerdik dan tentunya membingungkan pengguna komputer dengan kemampuan menengah sekalipun :).

 

Hal yang berbahaya yang dikandung oleh Pesin adalah ia akan mencoba untuk mengubah "Autoexec.bat" untuk menghapus folder Windows dan Program Files. Melihat yang di incar adalah direktori dan data program yang tidak memiliki nilai ekonomis dan dapat di install ulang kembali maka dapat disimpulkan bahwa pembuat Pesin ini tidak bermaksud jahat seperti pembuat Explorezip atau Kelz.E yang menghancurkan semua data MS Office dari pengguna komputer yang terinfeksi.

 

Disinfeksi

Untuk mendisinfeksi Pesin, langkah yang perlu dilakukan adalah sebagai berikut :

 

1.      Untuk Windows ME dan Windows XP non aktifkan dahulu System Restore.

2.      (Windows 95/98/ME), jalankan Windows dalam Safe Mode

atau

(Windows NT/2000/XP), masuk ke Task Manager [Ctrl][Shift][Esc], Klik tabulasi [Processes], klik [Image Name] untuk mengurutkan proses secara abjad dan cari proses dengan nama "SysTask.exe", lalu klik sekali pada proses "Systask.exe" dan klik [End Process] untuk mematikan Pesin.

3.      Scan komputer dengan program antivirus yang terupdate dan telah dapat mengenali Pesin, kami menggunakan Norman Virus Control yang dapat di download di ftp.cbn.net.id/vaksin dan bersihkan semua file yang terdeteksi sebagai Pesin.

4.      Bersihkan registri yang dirubah oleh Pesin dengan cara (jangan lupa back up dahulu registri anda, segala kesalahan dalam mengubah registri akan menyebabkan kerusakan OS menjadi tanggung jawab anda) :

o        Jalankan registry editor dengan cara [Start][Run] ketik [Regedit] dan tekan [Enter] anda akan mendapatkan menu Registry Editor

o        Masuk ke registri :

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
dan pada kolom kanan hapus registri

"LoadService"="%System%\SysTask.exe /run"

dengan cara klik kanan dan pilih delete.

o        Simpan kembali registri anda dan restart komputer.

 

Komputer anda sudah bersih dari Pesin.

 

Tools Pesin

Bagi anda yang mengalami kesulitan dalam mengutak atik registri, ternyata ada mahasiswa komputer yang baik hati dari Universitas di bilangan Kemanggisan yang membuatkan tools pembersih Pesin. Setelah kami coba, ternyata tools AntiPesin tersebut dapat berfungsi dengan cukup baik dengan beberapa catatan :

·        AntiPesin harus dikopikan dulu ke root c:\ baru dijalankan, jika tidak tools tersebut tidak dapat berfungsi dengan sempurna.

·        Setelah melakukan pembersihan Pesin, jika komputer tidak melakukan restart (karena satu dan lain hal), “sangat disarankan” untuk melakukan restart secara manual supaya perubahan registri dan penghapusan file virus dapat berjalan dengan sempurna.

·        Tools yang kami coba AntiPesin.B tidak dapat menghapus file SysTask.Exe (yang mengandung Pesin) di disket yang kami kopikan secara sengaja. Karena itu, untuk menjamin sistem anda bersih dari Pesin, kami merekomendasikan untuk tetap menggunakan program antivirus yang terupdate dan dapat mengenali Pesin dengan baik seperti Norman Virus Control, Kaspersky Antivirus atau TrendMicro.

 

Tools AntiPesin dapat di download di antipesin

Informasi terakhir dari salah satu korban Pesin adalah :

Selain dalam format Word, Pesin dengan cerdik memalsukan dirinya sesuai dengan file asli milik kita (contoh: "Laporan Akhir") sehingga kita terjebak untuk membuka file virus tersebut, sedangkan file asli milik kita yang berisi data-data direname menjadi "~Temp45". Nama file asli selalu terganti seperti itu dan untuk orang awam tentu mengira bahwa itu adalah file temporary word dan biasanya dihapus. Walhasil semua hasil kerja jadi hilang, kalau tidak hati-hati semua file bisa lenyap seketika karena virus tersebut (akibat tidak langsung).

Sebelum saya menemukan antivirus yang bisa melenyapkan virus menyebalkan itu, satu-satunya cara mendeteksi hanyalah ketika akan membuka file di window explorer, setting view files saya set Details agar terlihat jelas format file serta besarnya kapasitas file. Virus Pesin ini selalu muncul dalam bentuk Application dan besarnya selalu 256Kb. Kalau file virus dihapus, dia akan muncul lagi bahkan "berkembang biak".

PT. Vaksincom mengucapkan terimakasih kepada Sdr. Angga ang****@yahoo.com dan Sdri. Sari Indah sari******@yahoo.com atas kontribusinya memberikan informasi virus Pesin. Anda berdua berhak mendapatkan NVC for workstation dan update 1 tahun secara Gratis.

Dapatkan Norman Virus Control for workstation + Update Engine dan Definisi 1 tahun OEM (bitPROTECT) seharga Rp. 50.000,- **  setiap anda membeli hardware komputer bundling di kota Jakarta (Mangga Dua - Vaksincom 62303900 & Glodok Plaza - DMM Komputer 6230 2828), Bandung (Harrisma   421 0800), Surabaya (Ronar Komputer 8419841), Jogjakarta (Wirabuana Komputer 586 613 / 522 077) dan Medan (NusaMega Komptuer 734 9800)

** Ketentuan OEM berlaku.

AAT