EFzgNjAX1DyP6wvDI9fujGFJjaw Blog for Newbie: Virus Google atau W32/SmallTroj.VPCG

Virus Google atau W32/SmallTroj.VPCG

Kwik, Kwek dan Kwak adalah keponakan Paman Donald yang terkenal dengan kenakalannya. Namun di dunia internet Indonesia, pada akhir 2009 ini juga telah diramaikan oleh Trio Kwek-Kwek lainnya.
Yang pertama (Kwik) adalah virus yang mengeksploitasi Facebook seperti Bredolab dan Zbot, Kwek adalah virus yang mengeksploitasi Yahoo Messenger dan sedang dianalisa oleh Vaksinis. Yang terakhir adalah Kwak, virus yang mengarahkan semua akses situs sekuriti ke Google.

Berikut analisa aksi virus Google (Kwak) yang dikenal dengan nama generik W32/SmallTroj.VPCG dan terdeteksi menginfeksi ribuan komputer di Tanah Air pada awal Desember 2009.
Virus ini perlu diwaspadai karena selain memblok akses ke situs sekuriti, ia juga sangat sulit dibersihkan secara manual dan membutuhkan Windows Mini PE Live CD untuk dibersihkan secara tuntas karena ia menggunakan teknik rootkit yang menyamar sebagai services dan drivers.

Walaupun virus ini dibuat dengan program bahasa Visual Basic tetapi efek yang dihasilkan cukup merepotkan, ia akan melakukan blok terhadap hampir semua tools security termasuk antivirus yang umum sering digunakan oleh user dengan cara membaca 'nama file' dari aplikasi tersebut.

Virus ini juga akan memblok akses ke beberapa website sekuriti dan website lain yang telah ditentukan dengan cara mengalihkan ke nomor IP 209.85.225.99 yang merupakan ip public google. Jadi setiap kali user mencoba untuk akses ke website tertentu termasuk website security/antivirus, maka yang muncul bukan web yang Anda inginkan tetapi website www.google.com. Untuk melakukan hal ini ia akan menambahkan alamat website yang akan di blok ke sebuah file dengan nama [C:\Windows\System32\Drivers\etc\hosts]

Mengenalinya

Sebenarnya tidak terlalu sulit untuk mengenali ciri-ciri virus ini, salah satunya adalah jika user mengakses web security/web antivirus maka ia akan di-direct ke website www.google.com.

Cara lain yang dapat dilakukan adalah dengan memeriksa file host windows Anda. Jika terdapat IP 209.85.225.99 yang diikuti alamat website maka kemungkinan besar komputer telah terinfeksi virus ini.
 Pada saat virus ini diaktifkan, ia akan membuat beberapa file induk dan mendownload beberapa file lainnya dari alamat web yang telah ditentukan sebelumnya. File ini akan disimpan di beberapa lokasi yang akan diaktifkan setiap kali komputer dinyalakan. Virus ini juga akan menyamarkan dirinya sebagai file service Windows dan sebuah drivers sehingga mempersulit dalam proses pembersihan.

Untuk memperlancar aksinya ia juga akan memblok beberapa fungsi Windows termasuk disable system restore, disable Windows Firewall, disable RPC DCOM, disable upgrade Service Pack 2 atau tidak bisa menampilkan file yang tersembunyi dengan merubah string pada registry

Pembersihan Virus
Untuk pembersihan dari virus ini anda silahkan download di Situs resminya Norman disini

7 komentar:

rumahbisnis21 mengatakan...

Mantabs Sob.Thx infonya

tradingthelines mengatakan...

Kenapa ya virus di buat :) (pertanyaan bodoh hihihi)

pusing meusti instal ulang mulu klo kena virus

Arya Muhamad mengatakan...

anda benar saat akses terhadap alamat web diredirect selalu periksa file hosts. File ini sangat berguna bahkan bisa dimanfaatkan untuk membuat software anti situs porno yang sederhana.

kalo virus itu langsung terdeteksi sebelum running oleh kaspersky internet security 2010.

AryaX2

Otong mengatakan...

Waduh... gitu yak.. thanks infonya

Diar mengatakan...

waks kompku kena virus google.. ada cara praktis gak ya tanpa minipe? dah ta format kok masih ada?

Eka Hendrayana mengatakan...

@diar : kalo lebih praktis mungkin pakai norman antivirus aja bisa dicari di norman.com
kalo virusnya masih ada berarti virus tersebut masih menjangkit di partisi lainnya atau file salah satunya masih terjangkit virus google itu

Rian mengatakan...

jadi mendingan pake norman ya