AwesomeHP Foistware

06 Maret 2014
AwesomeHP Foistware
Datang tak diundang, pergi bikin susah
Apa rasa nya kalau ada tamu tak di undang, nyelonong masuk kerumah kita tanpa permisi ? Datang tak diundang, pergi bikin susah (alias susah di uninstal). Itulah istilah yang cocok untuk foistware yang satu. Untuk kali ini tim vaksin masih berkutat dengan foistware dan kali ini kita akan membahas foistware yang bernama AwesomeHP. (lihat gambar 1)

Foistware adalah program tidak diinginkan yang umumnya ikut terinstal secara otomatis bersama dengan program lain, umumnya freeware yang populer. Tujuan foistware menginstalkan dirinya adalah untuk mendapatkan keuntungan finansial dari komputer yang terinstal dan umumnya dilakukan dengan cara mengganti search engine default (Google, Bing atau lainnya) dengan search engine yang berafiliasi dengan pembuat foistware sehingga hasil iklan dari search yang dilakukan pengguna komputer akan masuk ke kantong pembuat foistware. Yang sering menjadi masalah adalah hasil pencarian yang diberikan foistware menjadi kurang obyektif dan akan mengutamakan kepentingan pembuat foistware dimana iklan yang memberikan penawaran tertinggi yang akan tampil meskipun terkadang hasil pencariannya tidak relevan dengan yang dicari. Hal ini tentu merugikan pengguna komputer yang terinfeksi foistware.
20140306I_awesomefoistware04
Gambar 1 , Gambar antarmuka Browser setelah di hijack oleh awesomehp.com
Awal Mula

Kalau ditanya darimanakah awal mulanya aplikasi itu terinstal dan menghijack browser kita, mungkin banyak yang bingung. Karena pada umumnya pengguna komputer tidak teliti dalam menginstall piranti lunak dan tidak membaca EULA end user license agreement dalam instalasi piranti lunak. Dalam kasus ini laboratorium Vaksincom menemukan foistware ini dalam Installer Ken Ward´s Zipper. Ken Ward´s Zipper adalah merupakan salah satu program yang memiliki banyak fungsi yang cukup populer dibidang pengompresan data. Dengan program ini kita bisa mengkompres file-file apa saja. Jadi jika di PC kita banyak terdapat file2 yang berserakan maka kita bisa menyatukannya dengan program ini dan file2 yang kita satukan itu juga secara otomatis akan ter kompress sehingga tentunya akan menghemat space hardisk di PC kita.

Jika anda cukup teliti, saat instalasi awal anda jangan pernah memilih Quick (Recommended) (lihat gambar 2) atau pada piranti lunak lain lain dinamai custom install (Recommended) dan anda bisa memilih untuk tidak menginstal awesomehp ke komputer anda dengan memilih advanced dan unceklist install awesomehp. Akan tetapi tidak semua software yang ditumpangi AwesomeHp yang mempunyai fitur seperti itu.
20140306I_awesomefoistware03
Gambar 2 , license agreement dan kotak instalasi Ken Ward´s Zipper yang sudah termasuk instalasi Awesomehp.
Jika anda memilih instalasi Quick (Recommended) maka secara otomatis awesomehp akan ikut terinstal pada sistem anda dan mulai menjalankan aksinya. Jika sudah aktif di komputer korbannnya, awesomehp akan aktif sebagai proses dengan nama PluginService.exe dan wprotectmanager.exe (lihat gambar 3)
20140306I_awesomefoistware08
Gambar 3 Plugin Services.exe & wprotectmanager.exe adalah Services yang dijalankan ketika Awesomehp sudah Running
Jika anda telah terlanjur menginstall awesomehp maka foistware ini akan mengganti default search engine dan default homepage pada browser anda, Awesomehp pun otomatis menginstall third party adds on Quick Install pada Mozilla Firefox (lihat gambar 4) dan Quick Install serta Extended Protection pada Google Chrome. Salah satu trik standar yang digunakan foistware adalah mereka akan menghindari menggunakan Add-on dengan nama yang mudah di identifikasi seperti awesomehp sebagai nama Add-on yang bisa membantu jika pengguna komputer ingin membuang aplikasi ini. Tetapi nama yang dipilih tidak ada hubungannya dengan nama aplikasi awesomehp.com. Kemungkinan hal ini dilakukan untuk mempersulit identifikasi ketika pengguna komputer memutuskan untuk tidak menggunakan aplikasi awesomehp dan melakukan uninstal.
20140306I_awesomefoistware01
Gambar 4 Adds on dengan nama Quick Start 3.1.2 secara otomatis terinstall dan terintegrasi ke Mozilla Firefox
Setelah default search engine dirubah, ketika kita mengetikan/mencari pada kolom pencariannya,maka ia langsung meredirect/megalihkan hasil pencariannya ke awesomehp.com. Beberapa situs sekuriti mengkategorikan hal ini sebagai pembajakan browser. PEmbajakan browser ini akan mengakibatkan aksi merugikan pengguna komputer seperti tingginya tampilan iklan yang tidak relevan pada browser, pop up yang bisa saja menuntun pada instalasi aplikasi tidak diinginkan atau malware dan pada akhirnya akan menguras sumberdaya komputer dan mengakibatkan komputer menjadi pelan.


Remove AwesomeHP Foistware dari Komputer
  1.     Klik [Start] pilih [Control Panel]
  2.     Pilih [Programs and Features] Windows 7 atau [Add or Remove Programs] Windows XP.
  3.     Pilih dan Uninstall [WPM17.8.0.3325] [SupTab] dan [IePlugin Service12.27.0.3326] (Lihat gambar 5)
20140306I_awesomefoistware10
 Gambar 5 , Software yang harus diuninstal untuk menghilangkan awesomehp dari komputer
4. Hapus website AwesomeHP

(http://www.awesomehp.com/?type=sc&ts=1393389487&from=adks&uid=ST320LM001XHN-M320MBB_S2TJJ9AD203221) pada kolom target yang terdapat pada shortcut properties pada setiap Browser, di desktop, taskbar maupun start menu sehingga pada kolom target hanya tersisa "C:\Program Files\Mozilla Firefox\firefox.exe", "C:\Program Files\Internet Explorer\iexplore.exe" atau "C:\Program Files\Google\Chrome\Application\chrome.exe" tergantung setiap browser (Lihat Gambar 6)
20140306I_awesomefoistware05
 Gambar 6, Tampilan Properties pada Browser yang perlu diperbaiki
5. Hapus Adds Ons yang telah di install bersamaan dengan di installnya awesomehp. Sebagai contoh tim Vaksincom menggunakan Mozilla Firefox (lihat gambar 7) Untuk Masuk ke Add On Klik [Firefox Menu] dan pilih [Add On] dan Google Chrome (lihat gambar 8) untuk masuk ke add on pada Firefox Klik [Menu] [Tools] dan pilih [Extension]
20140306I_awesomefoistware09
 Gambar 7, Hapus Adds Ons Quick Start 3.1.1 dan Extended Protection 3.1.1 untuk menghilangkan awesomehp.com
Klik gambar tempat sampah di sebelah tulisan Enabled pada kedua Add Ons di atas dan berikan konfirmasi untuk menghilangkan kedua Adds Ons ini dari Firefox.

Untuk Google Chrome, Extended Protection cukup membandel karena akan kembali sekalipun telah dihapus setelah anda restart browser. Adapun cara menghapus permanennya adalah sebagai berikut :

1. Klik [Menu] [Chrome] [Tools] [Extensions] atau ketik: chrome://extensions/ di alamat browser. Berikan centang pada [Developer Mode] anda akan mendapatkan alamat extension (lihat gambar 8). Dalam contoh Vaksincom ditemukan alamatnya ada di : "C:\Users\<username>\AppData\Local\Google\Chrome\User Data\Default\Extensions\(Extension ID)"
20140306I_awesomefoistware02
Gambar 8 Menghilangkan Extensions Chrome Extended Protection 3.1.1 secara permanen
2. Setelah anda menemukan alamat lokasi Extensions, hapus Folder pada id extensions yang terlihat pada gambar 8. Contoh penghapusan folder extensions bisa dilihat pada gambar 9 di bawah ini.
20140306I_awesomefoistware06
 Gambar 9 . Letak lokasi folder Extension Chrome yang harus dihapus pada Windows Explorer
6. Rubah tampilan Homepage, Search Engine Default ke pengaturan semula, untuk kali ini tim Vaksin memberikan contoh cara merubah ke pengaturan semula pada Google Chrome. Jika anda membutuhkan bantuan peramban lain, silahkan hubungi Vaksinis (teknisi Vaksincom) di info@vaksin.com.
  • Pilih settings pada browser Google Chrome dengan cara ketik: chrome://settings di kolom alamat pada peramban/browser.
  • Pada [On startup] pilih [Open the New Tab page]
  • Pada [Appearance] klik centang [Show Home button] dan klik [Change] pada New Tab page. (lihat gambar 10)
20140306I_awesomefoistware11
 Gambar 10, Langkah lanjutan menghilangkan extension Extended Protection 3.1.1 pada Chrome
Anda akan mendapatkan pop up box seperti gambar 11. Pilih [Use the New Tab page]
20140306I_awesomefoistware13
 Gambar 11, Pilih [Use the New Tab page]
  • Pada Column Search Pilih “Google” Sebagai Default Search Engine
20140306I_awesomefoistware12
Catatan :

Untuk memastikan perlindungan dari foistware yang merugikan dan terkadang mengunduh malware ke komputer korbannya, ada baiknya anda melindungi komputer anda dengan program antivirus yang terupdate seperti G Data total Protection 2014.
20140306I_awesomefoistware07
Salam,


Paisal Abdau
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: