W32/VBTroj.CEPA (Virus dudul di awal tahun 2010)

Redbastard

New member
Kalau McGyver membuat virus

virus-komputer.jpg



Masih ingat film McGyver yang dibintangi oleh Richard Dean Sanderson ? Di tangan McGyver, barang apapun yang ada di dekatnya bisa dijadikan sebagai alat atau senjata yang ampuh. Dengan bantuan Victorinox dan kreativitasnya, ia bisa meracik bahan-bahan yang biasa ada di rumah menjadi senjata mematikan seperti pelontar api sampai merakit bom. Rupanya hal yang sama terjadi pada dunia maya dimana hanya dengan bahasa pemrograman yang dipandang sebelah mata (VB Script) oleh para programmer diciptakan satu virus yang secara de Facto hari ini menjadi virus yang paling ganas dan paling banyak mengganggu di awal tahun 2010. Siapakah dia ? Tidak lain dan tidak bukan adalah Messenger yang di deteksi secara generik dengan nama W32/VBTroj.CEPA. Virus ini mampu melakukan banyak sekali hal seperti menginstal rootkit, memblok akses jaringan dan memanipulasi file hosts Windows supaya bisa melakukan pemblokiran akses ke situs-situs sekuriti pada komputer korbannya. Dan canggihnya lagi, file hosts tersebut di enkrip untuk menghindari deteksi dan perbaikan oleh program antivirus.

segitu dulu perkenalan tentang virus tersebut.. wekekekeke...

Virus dudul ini ini (W32/VBTroj.CEPA) dibuat dengan program bahasa Visual Basic tetapi efek yang dihasilkan cukup merepotkan, ia akan melakukan blok terhadap ”hampir” semua tools security termasuk antivirus yang umum sering digunakan oleh user dengan cara membaca ”nama file” dari aplikasi tersebut.

Virus ini juga akan melakukan blok akses ke beberapa situs sekuriti atau situs lain yang telah ditentukan dengan cara mengalihkan ke nomor ip 209.85.225.99 yang merupakan ip publik www.google.com (lihat gambar 1), hal ini secara tidak langsung sebenarnya menyebabkan Ddos terhadap situs Google.com.

Apakah ada hubungan atau tidak dengan serangan terhadap Google di China yang mengakibatkan Google mempertimbangkan untuk hengkang .... kita lihat saja. Yang jelas, makin banyak komputer yang terinfeksi oleh virus ini, maka akses (yang secara tidak langsung menyebabkan Ddos) terhadap situs awal Google akan makin tinggi.

Sehingga setiap kali user mencoba untuk akses ke website tertentu termasuk website security / antivirus, maka yang muncul adalah situs www.google.com. Untuk melakukan hal ini ia akan menambahkan alamat website yang akan di blok ke sebuah file HOSTS yang berada di direktori [C:\Windows\System32\Drivers\etc]

clip_image002.jpg
Gambar 1, Alamat website yang dialihkan oleh virus



Virus ini menyebar sangat cepat dengan memanfaatkan media chatting yang umum digunakan oleh user seperti Yahoo Messenger, MSN Messenger dan Skype dengan cara mengirimkan sebuah pesan dan melampirkan link untuk download sebuah file yang direkayasa seolah-olah file gambar (JPG) tetapi sebenarnya merupakan file virus yang sudah dikompres dengan nama file [%file%.JPG.ZIP] dengan ukuran yang berdeda-beda tegantung pada varian yang menginfeksi komputer tersebut, file yang dikompres tersebut mempunyai ekstensi EXE.

Jika menerima pesan tersebut sebaiknya jangan anda terima apalagi menjalankan file yang disertakan walaupun dari kontak Messenger teman yang anda kenal, memang bukan teman anda yang mengirimkan virus tetapi virus yang menginfeksi komputernya dan memanfaatkan rekening Messengernya.
(lihat gambar 2)


clip_image004.gif

Gambar 2, Contoh pesan yang dikirimkan oleh virus



Salah satu hal yang menyebabkan virus ini sukses menyebar selain menggunakan media yang disebutkan di atas, ia juga akan melakukan update untuk memperbaharui dirinya hal inilah yang menyebabkan scaner antivirus tidak dapat mendeteksi virus tersebut. Virus ini semakin kuat bercokol dengan bantuan sebuah file rootkit yang bertugas untuk melindungi file induk yang aktif di memori, sehingga pembersihan yang dilakukan melalui windows Normal, Safe Mode atau safe Mode With Command Prompt terkadang tidak dapat menyelesaikan masalah. |:mad:


dah dulu ah.. kepanjangan...|:mad:

Ntar disambung lagi di sesi :

Cara mengatasi serangan virus W32/VBTroj.CEPA


sumber : vaksincom
 
Last edited:
Back
Top