Perlihatkan Tulisan

Seksi ini mengijinkan Anda untuk melihat semua tulisan yang dibuat oleh anggota ini. Catatan bahwa Anda hanya bisa melihat tulisan yang dibuat dalam area di mana Anda memiliki akses terhadapnya.


Topik - Ki@mhu

Halaman: [1] 2
1
Konsultasi Virus / Stop Ransomware yang Membuat Berbagai Macam Ekstensi
« pada: Juni 16, 2019, 02:57:37 PM »


Daftar list ekstensi Stop Ransomware:

Gunakan fitur Find (CTRL+F) untuk mencari
Versi Lama: .STOP, .SUSPENDED, .WAITING, .PAUSA, .CONTACTUS, .DATASTOP, .STOPDATA, .KEYPASS, .WHY, .SAVEfiles, .DATAWAIT, .INFOWAIT, .puma, .pumax, .pumas, .shadow, .djvu, .djvuu, .udjvu, .djvuq, .uudjvu, .djvus, .djvur, .djvut .pdff, .tro, .tfude, .tfudeq, .tfudet, .rumba, .adobe, .adobee, .blower, .promos, .promoz, .promock, .promoks, .promorad, .promok, .promorad2, .kroput, .kroput1, .charck, .pulsar1, .klope, .kropun, .charcl, .doples, .luces,  .luceq, .chech, .proden, .drume, .tronas, .trosak, .grovas, .grovat, .roland, .refols, .raldug, .etols, .guvara, .browec, .norvas, .moresa, .verasto, .hrosas, .kiratos, .todarius, .hofos, .roldat, .dutan, .sarut, .fedasot, .forasom, .berost, .fordan, .codnat, .codnat1, .bufas, .dotmap, .radman, .ferosas, .rectot, .skymap, .mogera, .rezuc, .stone, .redmat, .lanset, .davda, .poret, .pidon, .heroset, .myskle, .boston, .muslat, .gerosan, ,vesad, .horon, .neras, .truke, .dalle, .lotep, .nusar, .litar, .besub, .cezor, .lokas, .godes, .budak, .herad, .berosuce, .gehad, .madek, .tocue, .darus, .lapoi, .todar, .dodoc, .bopador, .novasof, .ntuseg, .ndarod, .access, .format, .nelasod, .mogranos, .cosakos, .nvetud, .lotej, .kovasoh, .prandel, .zatrov, .masok, .brusaf,  .londec, .krusop, .mtogas, .coharos, .nasoh, .nacro .pedro, .nuksus, .vesrato, .masodas, .cetori, .carote

Versi Baru: .coharos .shariz .gero .hese .xoza .seto .peta .moka .meds .kvag .domn .karl .nesa .boot .noos .kuub .reco .bora .leto .nols .werd .coot .derp .nakw .meka .toec .mosk .lokf .peet .grod .mbed .kodg .zobm .rote .msop .hets .righ .gesd .merl .mkos .nbes .piny .redl .nosu .kodc .reha .topi .npsg .btos .repp .alka .bboo .rooe .mmnn .ooss .mool .nppp .rezm .lokd .foop .remk .npsk .opqz .mado .jope .mpaj .lalo .lezp .qewe .mpal .sqpc .mzlq .koti .covm .pezi .zipe .nlah .kkll .zwer .nypd .usam .tabe .vawe .moba .pykw

Belakangan ini sangat ramai kasus STOP (DJVU) Ransomware yang muncul dengan berbagai ekstensi dan membuat korban bingung apa yang harus dilakukan. Mengapa Decryptor ada yang berfungsi dan mengapa ada yang tidak? Jika tidak berfungsi, harus bagaimana?
Cara penyebaran ransomware ini adalah menyamar/menyusup sebagai aplikasi crack, keygen, patch, activator, loader dan bundle adware yang didistribusikan melalui situs penyedia software gratisan dan bajakan. Jadi anda harus sangat berhati2 bila bertemu dengan situs2 dan aplikasi tersebut. Dan jangan sekali2 mematikan antivirus anda saat berselancar di internet dan menjalankan program bajakan.
Jika Anda masih ragu apakah Ransomware Anda termasuk varian Stop atau bukan, silahkan pelajari cara mencari tahunya di ID Ransomware.



Jika bukan, berhentilah membaca karena informasi yang Anda cari tidak ada di sini. Mari ke halaman umum khusus Ransomware saja: http://www.konfirmasi.com/index.php?qa=3170&qa_1=terkena-virus-ransomware-baca-sebelum-melakukan-konsultasi

Informasi yang akan saya sampaikan berikut ini hanya merupakan ringkasan dari halaman: https://www.bleepingcomputer.com/forums/t/671473/stop-ransomware-stop-puma-djvu-promo-drume-help-support-topic/
Versi terjemahan Bahasa Indonesia: https://s.id/5-PLJ

Hal pertama yang Saya (mungkin juga Anda) rasakan dari membaca halaman di atas adalah terlalu banyak informasi di sana yang mungkin membuat Anda bingung harus mencerna yang mana yang akan berguna sehingga saya hanya menyampaikan yang perlu Anda tahu saja sebagai korban yang berharap file anda bisa dibuka kembali. Itulah latar belakang Saya membuat Thread ini, menuntun langkah Anda tanpa harus membaca halaman di atas.

Tetapi jika Anda ingin tahu segala seluk beluk dan kabar terbarunya, Anda boleh pantau rutin halaman di atas.

Mari kita mulai.

STOP Djvu Ransomware pada dasarnya memiliki dua versi.
1. Versi Lama: Sebagian besar ekstensi dimulai dengan .djvu hingga .carote. versi ini sebelumnya didukung oleh STOPDecrypter jika terinfeksi dengan OFFLINE KEY.
2. Versi Baru: Perpanjangan terbaru yang dirilis sekitar akhir Agustus 2019 setelah para penjahat beralih ke kunci baru yang kuat secara kriptografis yang dilindungi oleh enkripsi RSA sehingga tidak mungkin untuk mendekripsi tanpa membayar tebusan. Untuk kunci spesifik korban tersebut dimulai dengan .coharos, .shariz hingga .msop, .hets. versi baru ini tidak pernah didukung oleh STOPDecrypter.

Sebagai hasil dari perubahan yang dilakukan oleh penjahat, STOPDecrypter tidak lagi didukung dan telah dihentikan dan diganti dengan STOP Ransomware Decryptor (dirilis untuk 148 varian) yang dikembangkan oleh Emsisoft dan Demonslay335 (Michael Gillespie)
Kedepannya semua orang harus menggunakan Decrypter buatan Emsisoft.

Download Decryptor
Emsisoft Decryptor for STOP Djvu Ransomware v1.0.0.4
Unduh disini decryptornya atau di situs resminya
Update Offline Keys sudah tersedia untuk 44 varian .gero .hese .seto .peta .moka .meds .kvag .domn .karl .nesa .noos .kuub .reco .bora .nols .werd .coot .derp .meka .toec .mosk .lokf .peet .grod .mbed .kodg .zobm .msop .hets .mkos .nbes .reha .topi .repp .alka .nppp .remk .npsk .opqz .mado .covm .usam .tabe .vawe

Baca tutorial lengkapnya disini


Tentang Kunci Online atau Offline
Emsisoft Decryptor mendukung dan hanya mencoba mendekripsi file anda jika dienkripsi oleh salah satu dari STOP (DJVU) OFFLINE KEY dan ONLINE ID yang dikenal jika pasangan file yang tepat dipasok ke formulir pengiriman seperti dijelaskan disini GT500. Untuk varian STOP (Djvu) yang lebih baru, para penjahat beralih ke kunci baru yang kuat secara kriptografis yang dilindungi oleh enkripsi RSA sehingga tidak mungkin untuk mendekripsi tanpa membayar penjahat untuk kunci spesifik korban tersebut. Emsisoft hanya bisa mendapatkan kunci privat setelah korban telah membayar dan memberikannya kepada m. Meskipun dukungan untuk sebagian besar ID OFFLINE telah ditambahkan ke decrypter, tidak ada ID ONLINE yang didukung.

KUNCI OFFLINE adalah kunci kode-keras yang digunakan jika malware gagal mendapatkan KUNCI ONLINE dari server perintah dan kontrol saat Anda online saat ransomware mengenkripsi file Anda. Setiap ekstensi varian hanya memiliki satu ID OFFLINE. Jika tidak ada KUNCI OFFLINE yang tersedia untuk varian tertentu, maka kami tidak dapat membantu Anda saat ini.

Jika malware dapat mencapai server perintah itu, ia akan memperoleh dan menggunakan KUNCI ONLINE (unik untuk setiap korban). Kami tidak dapat membantu Anda mendekripsi file yang dienkripsi dengan KUNCI ONLINE karena tidak ada cara untuk mendapatkan akses ke server perintah penjahat dan mereproduksi atau mengambil KUNCI ini. Jika malware tidak dapat berkomunikasi dengan server perintahnya, maka malware tersebut akan menyerah dan beralih ke KUNCI OFFLINE yang sulit. Beberapa korban mungkin memiliki KUNCI OFFLINE & ONLINE karena malware berjalan beberapa kali dan melakukan upaya berulang untuk mendapatkan KUNCI ONLINE, kadang-kadang berhasil berkomunikasi dengan server, kadang-kadang gagal dan beralih ke KUNCI OFFLINE.

Cara mengidentifikasi file anda dienkripsi dengan kunci offline atau kunci online

Tambahan
Stop Ransomware juga mencuri password selain mengenkripsi file korban, STOP ransomware juga telah mulai menginstal Trojan pencuri kata sandi Azorult di komputer korban untuk mencuri kredensial akun, dompet cryptocurrency, file desktop, dan banyak lagi. Korban yang telah terinfeksi dengan STOP Varian Ransomware harus segera mengubah kata sandi ke akun online apa pun yang digunakan, terutama yang disimpan di browser. Korban juga harus mengubah kata sandi dalam perangkat lunak seperti Skype, Steam, Telegram, dan Klien FTP. Akhirnya, para korban harus memeriksa semua file yang tersimpan di desktop Windows untuk mendapatkan informasi pribadi yang kini berada di tangan para penyerang.

2
Bug, Kritik, Saran / DIPINDAHKAN: makasihh
« pada: Maret 20, 2018, 12:05:18 AM »

3

Berhubung karena Smadav sedang fokus ke virus ini, izinkanlah Saya membuka Thread baru tentang ini. Smadav dengan cukup jeli menghapus virus ini di Flashdisk, tetapi masih terkendala menghapusnya di dalam sistem. Jadi dengan thread ini, diharapkan dapat dikumpulkan pengguna Smadav untuk tanya jawab mengenai virus ini, membantu pembersihan virus ini, mengumpulkan sampel, sharing berita terbaru mengenai virus ini, dan juga kritik/saran terhadap Smadav yang berhubungan dengan virus ini.

Semoga kita mendapatkan banyak sampel baru Bundpil yang belum bisa dideteksi Smadav di sini untuk dimasukkan dalam Database Smadav yang selanjutnya.

Dengan tidak bermaksud melangkahi pembahasan detil Bundpil di sini: http://www.viruslokal.com/2015/11/gen-bundpil-virus-yang-paling-banyak-menyebar-di-indonesia/

Bundpil/Gamaure/Andromeda adalah virus yang membuat Shortcut di Flashdisk. Shortcut ini meniru nama Drive USB, lengkap dengan keterangan Sizenya.



Yang mana isi seluruh file maupun folder yang ada di dalam Flashdisk itu dipindahkan ke dalam satu folder dengan karakter Unicode tanpa nama:







Virus ini juga akan menaruh induknya ke dalam Folder tanpa nama ini. Folder ini telah di-Hidden dan berartribut sistem. Yang mana hanya dapat dilihat jika settingan Folder Options sudah seperti ini: https://www.bleepingcomputer.com/tutorials/how-to-see-hidden-files-in-windows/

Jika Settingan Folder Options belum seperti yang dijelaskan di atas, User tidak bisa melihat folder tanpa nama ini. Mau tidak mau, dia akan membuka/menjalankan Shortcut tersebut karena tidak terilhat lagi file atau folder yang lain. Jadi, idenya adalah menyembunyikan semua file di dalam flashdisk dengan harapan user terpaksa menjalankan Shortcut ini untuk mencari datanya kembali.

Shortcut ini berisi perintah untuk menjalankan induknya (yang telah disimpannya di dalam folder tanpa nama ini juga) sekaligus membuka isi folder tanpa nama ini untuk memperlihatkan isinya.

Contoh isi perintah Shortcut (klik kanan Shortcutnya dan pilih Properties untuk melihatnya) dari Sampel Bundpil yang saya dapati:

Kode: [Pilih]
%SystemRoot%\\\\\system32\\\\rundll32.exe  \\\\\\\\\\\%~@~~@~~@%%~@%@@.1,aaaWeeaaaaeaeeau
Dan induk virus (di dalam folder tanpa nama itu) yang dituju dari perintah di atas adalah:



Kode: [Pilih]
%windir%\System32\rundll32.exe  \u.szd,gvcjazkvmjiyerba
Dan induk virus (di dalam folder tanpa nama itu) yang dituju dari perintah di atas adalah:



Kode: [Pilih]
C:\Windows\system32\rundll32.exe  \-___-_----_-___------__---_----_--__-----_-__--.{E10ADEC5-27C7-40F5-B304-A1111D9FD169},ONJFBA6zsunjfsrt
Dan induk virus (di dalam folder tanpa nama itu) yang dituju dari perintah di atas adalah:




Begitu dijalankan, Bundpil akan membuat induknya di dalam sistem, bisa di folder ini:

Kode: [Pilih]
C:\ProgramData
C:\Users\[Nama User]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

Kemudian membuat Registry untuk otomatis menjalankan dirinya setiap kali Windows nyala.

Hal yang unik yang membuat Bundpil sulit terdeteksi oleh AntiVirus adalah, dia selalu menggunakan Proses Windows untuk menjalankan aksinya. Dari perintah shortcut di atas adalah rundll32.exe, ada juga yang menggunakan msiexec.exe.

Dengan penyamaran proses ini, diharapkan User maupun AntiVirus lebih sulit dalam mendeteksinya.

Jika sistem Anda sudah terkena virus ini dan sudah coba Scan dengan Smadav, namun virusnya hanya terdeteksi di flashdisk saja, di sistem tidak terdeteksi, coba langkah berikut ini:

Scan dengan Mencentang Opsi Deep-scan Uknown Start-Up



Sebelum mulai Scan, centang dulu opsi di atas. Nantinya Bundpil akan terdeteksi dan tinggal di Fix saja.

Scan Bundpil Detector

Dikutip dari sini: http://www.viruslokal.com/2017/04/basmi-tuntas-virus-shortcut-bundpil/

Download: Link1 | Link2

Cara penggunaanya juga cukup mudah :

[spoiler]1. Instal toolnya kemudian klik Open Scanner

2. Klik tombol S C A N

Hasilnya akan terlihat seperti dibawah apabila tidak terdeteksi adanya infeksi virus bundpil



Apabila ada terdeteksi virus bundpil maka secara otomatis virus akan dibersihkan seperti gambar dibawah ini



[/spoiler]


Bagaimana jika tidak bersih juga?

Cari file hasil karantina oleh Bundpil Detector terhadap file yang terdeteksi di Flashdisk. Lokasi folder karantinanya adalah:

Kode: [Pilih]
C:\Program Files\Bundpil Detector\Karantinaatau
Kode: [Pilih]
C:\Program Files (x86)\Bundpil Detector\Karantina
Upload file zip di dalam folder karantina ini ke forum ini, caranya adalah:

[spoiler]

[/spoiler]

Akan kami teliti untuk dimasukkan ke dalam Database Smadav yang selanjutnya.

Terus, bagaimana cara membersihkannya?

Selagi menunggu Smadav melakukan Update, kami bisa membantu Anda membersihkannya secara manual. Untuk tujuan itu, silahkan melampirkan dua buah log farbar: http://www.konfirmasi.com/index.php?qa=877&qa_1=mohon-baca-ini-sebelum-melakukan-konsultasi-virus

4
Pada kasus ini, Smadav bisa membersihkan dari Flash Disk, tetapi Full Scan dari Komputer tidak terdeteksi. Adapun Sampel bisa didapatkan di sini: https://www.sendspace.com/file/a012l9.

Setiap kali dijalankan, Sizenya selalu berubah-ubah yang mana kode Hash juga akan berubah. Jadi, butuh peningkatan Heuristic agar bisa terdeteksi.

Apakah ini termasuk virus lokal? Jika iya, Smadav harus komitmen untuk membasmi segala varian dari virus ini.

5
Bug, Kritik, Saran / Smadav melewatkan beberapa Registry Ini untuk Di-Fix
« pada: Maret 09, 2016, 06:04:22 PM »
Dalam melancarkan aksinya, virus sering membuat value name:

AntiVirusDisableNotify
FirewallDisableNotify
UpdatesDisableNotify
AntiVirusOverride
FirewallOverride
UacDisableNotify

Bernilai 1, pada key:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center, dan
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc

Yang dalam hal ini, Smadav belum mendetect perubahan registry ini walaupun sudah dicentang opsi Deep (Over 1500 registry Value).

Atau mungkin ini sudah dipertimbangkan terlebih dahulu, ya?  :)

6
Bug, Kritik, Saran / Saran untuk Fitur One-Virus By-User
« pada: Maret 09, 2016, 03:46:04 PM »

Fitur ini merupakan kelebihan Smadav untuk mengatasi False Positive (File yang seharusnya virus, tapi dianggap aman oleh Scanner Anti-Virus), yang mana user bisa membantu menambah satu lagi defenisi virus yang akan dideteksi Smadav untuk proses Scanning selanjutnya.

Jika pada satu sistem operasi, terinfeksi lebih dari satu file virus yang kebetulan juga lolos dari pendeteksian Smadav, akan lebih repot jika kita hanya bisa menambah satu defenisi saja per proses Scanning, yang mana harus dilakukan scanning berulang-ulang untuk setiap penambahan satu defenisi file virus itu.

Saran saya, mungkin bisa diperbanyak lagi tambahan defenisinya virusnya. Tidak hanya satu, terima kasih..  :)

7
Belakangan ini setelah Ramnit, Malware menjadi kurang produktif terutama yang bertipe Trojan, Worm, dan injecting file (exe, dll, HTML). Apakah ini  karena OS Windows 7 ataupun 8 yang telah memiliki User Access Control dan Windows Defender, sehingga celah keamanan menjadi lebih kecil dibanding Windows XP? Mohon pencerahannya..  ^:)^

8
Saran untuk Forum / Penambahan Fitur Multi Quote
« pada: November 13, 2012, 12:44:57 AM »
Fitur Multi Quote adalah quote untuk beberapa kutipan sekaligus sebelum di-Reply. Sehingga lebih efisien dalam mengulang percakapan, pernyataan, dan pertanyaan para Smadaver. Seperti yang terdapat pada format New Kaskus.

Bagaimana pendapat Agan? ;)

9
Teknologi Antivirus / Menguji Ketahanan HIPS dan Firewall Komputer Anda
« pada: Desember 28, 2011, 03:51:59 PM »
Kutip
A zero-day virus (also known as zero-day malware or next-generation malware) is a previously unknown computer virus or other malware for which specific antivirus software signatures are not yet available. Traditionally, antivirus software relies upon signatures to identify malware.

Bagaimana melindungi virus yang lolos terhadap pendeteksian AntiVirus Anda? Jawabannya adalah Proteksi Default-Deny. Jika Default-Allow mengijinkan proses yang tidak dikenali, maka Default-Deny mencegatnya dan memberi User peringatan sampai User mengijinkannya.

Bagaimana cara menambahkan Proteksi Default-Deny? Bisa menambahkan Firewall, HIPS, ataupun Behaviour Blocker.

HIPS (Host Intrusion Prevention System) adalah kemampuan suatu Anti Virus untuk memonitor, menginterupsi (pause), memberitahukan, dan memberikan wewenang kepada user dalam mengatur segala proses offline yang berjalan di komputer.

Firewall itu hampir sama dengan HIPS tetapi Firewall melibatkan proses Online/jaringan suatu komputer.

Kombinasi kedua kemampuan ini memberikan kesempatan kepada user untuk mencegat aksi virus yang belum terdeteksi oleh Database maupun teknik Heuristic Anti Virus tersebut sehingga sangat menyulitkan virus untuk masuk ke dalam sistem kita serta dapat melumpuhkan aksi Malware yang sudah benar-benar berhasil masuk ke dalam sistem sehingga tidak bisa memulihkan dirinya ketika Anti Virus dalam melakukan Scan, Repair, dan Delete. :-bd

Untuk agan yang memakai AV yang belum dilengkapi oleh HIPS maupun Firewall, disarankan untuk mencari AV yang menyediakannya atapun memakai software tambahan.
Tetapi, tidak semua teknologi HIPS dan Firewall itu sama pada setiap Software. Mungkin ada beberapa kategori yang belum dimonitor oleh HIPS/Firewall anda. Bagaimana cara mengetahui seberapa ampuh HIPS/Firewall yang kita pakai?

Berikut software-software yang bisa digunakan sebagai tester:
http://www.testmypcsecurity.com/securitytests/all_tests.html

Bagaimana cara kerja tester ini?
Tester ini melancarkan berbagai aksi simulasi serangan yang biasanya dilakukan oleh virus sehingga bertindak seolah-olah sebagai virus tetapi sebenarnya dia bukan virus. Jadi, walaupun tester berhasil menembus pertahanan AV anda, komp anda tetaplah aman karena ini hanya bersifat simulasi.

Sebagai contoh tester yang sangat lengkap dan ampuh adalah Comodo Leak Test. Tester ini menguji HIPS sekaligus Firewall yang anda pakai. Tester ini memberikan skor kepada hasil test dan memberikan list test apa-apa saja yang berhasil dan tes apa-apa saja yang gagal.
Untuk anda pengguna Comodo, sudah pasti tes ini akan memberikan hasil 100% karena tidak mungkin suatu perusahaan menciptakan alat penguji yang malah menunjukkan kelemahan produknya.. :)

Silakan mencoba tester ini dan beritahukan hasil yang anda peroleh beserta Anti Virus yang agan pakai.. Lampirkan juga log file HTML hasil test di sini.. :)
Contoh log:
[spoiler]COMODO Leaktests v.1.1.0.3
Date   11:24:58 PM - 11/2/2011

OS   Windows XP SP3 build 2600

1. RootkitInstallation: MissingDriverLoad   Protected
2. RootkitInstallation: LoadAndCallImage   Protected
3. RootkitInstallation: DriverSupersede   Protected
4. RootkitInstallation: ChangeDrvPath   Protected
5. Invasion: Runner   Protected
6. Invasion: RawDisk   Protected
7. Invasion: PhysicalMemory   Protected
8. Invasion: FileDrop   Protected
9. Invasion: DebugControl   Protected
10. Injection: SetWinEventHook   Protected
11. Injection: SetWindowsHookEx   Protected
12. Injection: SetThreadContext   Protected
13. Injection: Services   Protected
14. Injection: ProcessInject   Protected
15. Injection: KnownDlls   Protected
16. Injection: DupHandles   Protected
17. Injection: CreateRemoteThread   Protected
18. Injection: APC dll injection   Protected
19. Injection: AdvancedProcessTermination   Protected
20. InfoSend: ICMP Test   Protected
21. InfoSend: DNS Test   Protected
22. Impersonation: OLE automation   Protected
23. Impersonation: ExplorerAsParent   Protected
24. Impersonation: DDE   Protected
25. Impersonation: BITS   Protected
26. Hijacking: WinlogonNotify   Protected
27. Hijacking: Userinit   Protected
28. Hijacking: UIHost   Protected
29. Hijacking: SupersedeServiceDll   Protected
30. Hijacking: StartupPrograms   Protected
31. Hijacking: ChangeDebuggerPath   Protected
32. Hijacking: AppinitDlls   Protected
33. Hijacking: ActiveDesktop   Protected
Score   330/330[/spoiler]

NB:
[spoiler]Untuk mendapatkan hasil yang maksimal, abaikan peringatan RTP AntiVirus Anda dan sebaiknya anda tidak memblok tester (CLT.exe) ini dengan HIPS anda langsung (dengan fitur Treat as atau sejenisnya). Tetapi dengan memblok satu-satu aksi test yang dilancarkannya. Jika anda mengijinkan semua aksi testnya, maka HIPS anda dianggap rentan dan tidak lulus test.. Anda juga harus menginjinkan CLT.exe untuk memodifikasi isi dari CLT log.html agar anda dapat mempublikasikan hasil test anda dengan membaca kembali log ini..[/spoiler]

10
Saya yakin smadavers di sini pasti minimal memakai 1 Anti Virus baik itu yang lokal maupun yang impor. Ada juga yang mengkombinasi keduanya agar bisa bekerja memberantas Virus luar maupun lokal. :-bd
Karena merasa terancam, si pembuat virus mulai melakukan upaya untuk melumpuhkan Anti Virus dan Firewall dengan harapan virus ini dapat bertahan. Agar tidak lumpuh begitu saja, Vendor AV mulai menerapkan self defense.

Self Defense adalah kemampuan suatu software security untuk mempertahankan dirinya dari serangan maut virus. Serangan itu dapat berupa menghentikan (terminate) aplikasi (*.exe) dari AV yang sedang beroperasi ataupun memblokirnya melalui registry, menginjeksikan script tambahan pada file exe sehingga virus dapat menumpangnya, dan menghapus (ato mgkn rename) file2 dari AV. :(

AV impor kebanyakan uda dilengkapi self defense, sedangkan AV lokal setau ane belum memadai (ato mgkn blm ada x yah? :-\).

Kita juga bisa membuatkan pertahanan bagi AV lokal ini dengan bantuan software sehingga "seolah2" AV lokal ini sudah punya self defense nantinya. Kalo saya sih memakai Comodo Firewall utk tujuan ini. Gak tau dengan software lain. Kalo ada, bisa share di sini.. :)

Secara default, Comodo sudah melindungi registry kita agar virus tidak membuat key utk memblok AV tanpa persetujuan kita. Tetapi Comodo belum melindungi dihapusnya, direname, ato diterminate suatu file tertentu secara maksimal tanpa setting tambahan. Nah.. Mari kita buatkan.. 8)


Sebagai contoh, saya ingin membuat pertahanan utk smadav (mengapa harus smadav? Yah eeaalahhh... Ini kan forumnya smadav ;D). Langkah2nya adalah:

[spoiler]Bagi yang belum ada Comodo, download Comodo Firewall dan install.[/spoiler]

[spoiler]Setelah selesai, buka bagian defense+, buka defense+ setting, klik tab monitoring setting, Pastikan Protected Registry Keys dan Protected Files/Folfers tercentang. Tetapi lebih direkomendasikan jika semuanya tercentang.[/spoiler]

[spoiler]Baiknya kita buatkan satu grup dulu file2 yang akan dilindungi comodo, sebenarnya membuat grup ini tidaklah penting. Hanya saja agar terlihat lebih rapi. :)
Buka Computer Security Policy, Klik tab protected files and folders, klik tombol groups di barisan vertikal sebelah kanan kemudian klik add--a new group. Namakan saja Smadav dan klik apply.
Kemudian scroll daftar grup tadi ke bagian paling bawah, cari nama grup yang barusan kita buat kemudian klik kanan di grup tersebut dan klik add. Cari path folder lokasi instalasi smadav anda. Kemudian klik kiri pas di folder Smadav tsb (ingat!! Folder Smadav!! Bukan file2 yang ada di dalam folder smadav. Lihat gambar attachment di bawah biar lebih jelas) dan klik panah kanan (-->). Setelah path folder tadi uda masuk di daftar, kemudian klik apply 2 kali.. Oke.. Kita telah membuat satu grup tambahan dengan nama "Smadav".[/spoiler]

[spoiler]Sekarang mari buat pertahanan agar virus tidak bisa menghapus dan merename isi2 di dalam folder "smadav" tadi. Masih pada tab protected files and folders, klik add--file groups--Smadav. Coba cek di list, apakah grup "Smadav" sudah ada di list? Jika sudah ada berarti sudah berhasil[/spoiler]
 
[spoiler]Kemudian kita akan membuat agar proses smadav tidak seenaknya saja diterminate oleh virus dan mgkn tidak bisa diinjeksikan script virus seperti pada virus sality dan ramnit. Klik tab Defense rules untuk membuat rules pertahanan bagi semua file2 yang ada di grup "Smadav" tadi. Klik add--select--file groups--smadav (jangan klik apply dulu!!!). Kemudian klik customize (di sinilah kita membuat rules pertahanan), centang semua pada "allow", khusus utk run as executable, centang pada "ask" aja. Kemudian klik tab protection settings, set "active" utk interprocess memory access dan processes' termination (sisa dua lagi dibuat inactive saja).
Tetapi, kita harus buat pengecualian utk file2 tertentu yang boleh masuk/tembus ke pertahanan ini. Klik modify pada interprocess access memory, klik add--file groups, tambahkan untuk "windows system application" dan "smadav" dan klik apply. Lakukan modify yang sama juga pada processes' termination. Klik ok dan apply sampai anda kembali kepada jendela utama. Tutup saja jendela utamanya. Nahh.. Dengan ini, berarti hanya pertahanan ini hanya bisa dijebol oleh sistem aplikasi windows dan file2 dari smadav sendiri. Ini penting terutama apabila agan ingin melakukan update online.[/spoiler]

Selesai!!!

Mari kita uji. Coba buka smadav dulu.. Buka task manager.. Coba terminate proses "SMΔRTP.exe". Yang berhasil, saya jadikan pacar.. ;D ;D (Sialnya, mayoritas di forum ini tuh cow.. :P)
Hasilnya, SMΔRTP.exe sekarang telah kebal oleh interupsi2 dari virus maupun dari user. Bahkan ketika kita telah menutup aplikasi comodo, SMΔRTP.exe juga tidak bisa diterminate. Mantap!! :-bd

Oke.. Sekarang smadav sudah lebih garang \m/.

Sebagai tambahan, ternyata comodo juga telah menerapkan pertahanan bagi dirinya sendiri.. Gak percaya? Coba liat bagian Defense+ Rules dan cari grup yang bernama "Comodo Internet Security" dan coba agan intip rules pertahanannya.. :D

Penting:
[spoiler]Walaupun file2 di dalam folder smadav tidak bisa dimodif oleh virus, tetapi masih bisa dimodif oleh user. Hal ini karena Comodo menganggap explorer.exe itu sebagai aplikasi yang dipercaya. Lihat saja di Defense+ Rules, cari %windir%\explorer.exe

Rules pertahanan ini tidak akan berfungsi jika status Defense+ dalam keadaan disabled.[/spoiler]

Okehh.. Maaf kalo uda pada tau.. Cuma Nubi ingin sekedar berbagi. Kalo ada masukan dan pertanyaan, silahkan.. :)

Halaman: [1] 2