Virus yang paling memusingkan vendor antivirus di tahun 2009 , jawabannya bukan Conficker atau

Alman. Conficker boleh menjadi virus yang paling di takuti oleh administrator jaringan tetapi saat ini
sudah banyak sekali tools yang disediakan oleh vendor-vendor antivirus bisa membersihkan dan
membasmi Conficker dengan tuntas dan bisa dipastikan Conficker sudah memasuki masa purna bakti.
virus yang bernama Virut, ia tidak mengandalkan eksploitasi celah keamanan untuk menyebarkan dirinya
sehingga tidak ada patch yang dapat menangkalnya (hal inilah yang menyebabkan penyebarannya tidak
secepat Conficker) tetapi jangan anda pandang enteng virus ini, karena Virut termasuk virus yang paling
ditakuti oleh vendor antivirus . Adapun aksi Virut juga bisa membuat administrator khawatir seperti :
1. Mendisable Windows File Protection yang tujuannya sangat mulia (untuk Virut) karena ia ingin
menginfeksi seluruh file sistem OS Windows.
2. Menyebarkan dirinya melalui halaman web. HTML, ASP, PHP.
3. Menginfeksi Host file Windows, sehingga ia memiliki kontrol penuh terhadap koneksi internet
komputer yang di infeksinya.
4. Melakukan kontak remote ke IRC server.
5. Menjadikan komputer korbannya server zombie untuk mendownload update virus dan perintah
lain seperti mendownload master email spam dan menyebarkan ke alamat-alamat yang telah
ditentukan.
Menurut pengamatan Vaksincom saat ini sangat sulit ditemukan program cleaner untuk membersihkan
Virut dengan tuntas dan jika terdeteksipun, kerusakan / infeksi yang diakibatkan oleh Virut ini sangat
meluas sehingga banyak korban yang memilih melakukan jurus Pasopati, alias format.

Metode Penyebaran virus

Banyak cara yang coba dilakukan untuk menginfeksi komputer korban. Beberapa hal yang dilakukan
yaitu sebagai berikut :
Infeksi pada crack/keygen yang ada pada situs-situs crack. Ini merupakan salah satu cara efektif
yang dilakukan pembuat virus

Mengirim e-mail yang disertakan link ataupun attachment tertentu (SPAM). Perhatikan email
anda danjangan hiraukan email-email yang memiliki konten tidak jelas.
File sharing (terutama program executable) pada jaringan. Pada beberapa developer program
aplikasi, memilki cara agar program dapat jalan pada jaringan perusahan adalah dengan
digunakannya sharing file khususnya sharing full. Hal ini justru menyebabkan serangan virus baik
Alman, Sality bahkan Virut dapat leluasa menginfeksi file
Penggunaan removable drive seperti USB, Card Reader, dan media tulis lainnya. Bagi anda yang
biasa menyimpan file executable harap di perhatikan dan di cek selalu untuk menghindari infeksi
file pada komputer.

Disable Windows File Protection

Saat pertama kali dijalankan, W32/Virut.DG akan berusaha menginjeksi file Winlogon.exe pada
proses system. Dengan menginjeksi file tersebut, virus telah mendisable Windows File Protection
(System File Checker). Hal ini dilakukan dengan mengubah/patch file sfc.dll dan sfc_os.dll. Hal ini
dilakukan agar mampu menginfeksi seluruh file system Windows dan mempermudah infeksi
seluruh file executable (exe dan scr) pada komputer tersebut

Infeksi File Executable

Sama seperti halnya Sality dan Alman, Virut mampu menginfeksi file dalam hal ini file executable yang di
infeksi adalah :
.EXE dengan type file Application
.SCR dengan type file Screen Saver
File executable yang telah terinfeksi virus akan bertambah sebesar 22 kb.

Infeksi File Web

Selain menginfeksi file executable, virus juga menginfeksi beberapa file web atau HTML yaitu yang
memiliki extention berikut :
.HTM
.ASP
.PHP

Infeksi File Hosts

Untuk mempermudah aksinya mendownload sekumpulan malware dan tetap terkoneksi pada remote
server, virus menambahkan script pada header host file. Hal yang sama dilakukan seperti saat
menginfeksi file HTML (dengan menambahkan script pada file HTML).

Remote Server (IRC Server)

Saat terkoneksi internet, virus melakukan kontak ke remote server/IRC (Internet Relay Chat)
menggunakan port 65520. Beberapa IP yang digunakan yaitu :
91.212.220.156:65520
91.121.221.157:65520
Beberapa IP tersebut memiliki domain sebagai berikut
dns2.zief.pl
nss2.ircgalaxy.pl
proxim.ircgalaxy.pl
proxima.ircgalaxy.pl

Zombie Server (Download Server)

Setelah melakukan kontak, akan dilanjutkan dengan melakukan koneksi pada beberapa server zombie
dengan berbagai port untuk mendownload sekumpulan malware. Beberapa IP tersebut diantaranya
yaitu :
211.95.79.170:80 (HTTP)
65.54.82.160
218.61.7.9
Disalah satu server zombie tersebutlah , virus mendapatkan data IP atau komputer yang akan
mendapatkan serangan SPAM
SPAM Action
Virus akan melakukan serangan SPAM kepada IP-IP yang terdapat pada data komputer pada server
zombie. Secara khusus, virus menyerang IP yang menggunakan MX (Mail Exchanger) dengan memiliki
account user pada beberapa alamat e-mail, yaitu

yahoo.com,gmail.com
Disable Firewall (Turnoff Firewall)
Windows Firewall dimatikan dan di proteksi. Hal ini dilakukan untuk mencegah akses pengguna komputer
mengaktifkan kembali

File Program Error (gagal dijalankan)

File aplikasi/executable tidak bisa dijalankan, baik karena ukuran sudah berubah maupun karena telah
terinfeksi virus. Biasanya jika anda ingin menjalankan suatu program baik program antivirus ataupun
program aplikasi lainnya, akan muncul error saat dijalankan

Replace/Inject Network Driver

Salah satu akibat yang ditimbulkan oleh virus ini adalah berusaha menggantikan file network ataupun
menginjeksi file tersebut. Driver network yang berusaha digantikan adalah :
ndis.sys
TCPIP.sys
Akibat yang ditimbulkan adalah rusaknya driver network walaupun sudah anda re-install driver sehingga
komputer tersebut tidak dapat terkoneksi pada jaringan.
File Virus
Varian W32/Virut.DG memiliki beberapa file virus yang diantaranya sebagai berikut : (lihat gambar 12)
C:\Documents and Settings\%user%\reader_s.exe
C:\Documents and Settings\%user%\%user%.exe
C:\WINDOWS\fonts\services.exe
C:\WINDOWS\SoftwareDistribution\Download\[random_folder]\[nama_random].tmp
C:\WINDOWS\system32\reader_s.exe
C:\WINDOWS\system32\servises.exe
Cara Pembersihan Virus
Matikan System Restore (XP/ME) (pada saat digunakan)
Hapus dan matikan proses virus yang aktif. Gunakan Norman Malware Cleaner untuk mematikan
sekaligus menghapus virus dapat mendownload pada link berikut :
http://normanasa.vo.llnwd.net/o29/public/Norman_Malware_Cleaner.exe
Sebaiknya anda men-download pada komputer yang masih bersih atau simpan file tersebut
dengan extension file executable lain seperti com atau cmd.
Sebelum anda menjalankan file Norman Malware Cleaner, sebaiknya rubah terlebih dahulu extension file
tersebut menjadi com atau cmd, atau anda kompress file tersebut menjadi zip. Jalankan file yang berada
dalam zip atau yang sudah berubah menjadi com atau cm

Norman Malware Cleaner mampu menghapus virus, membersihkan file yang terinfeksi
virus, serta memperbaiki driver yang terinfeksi.
Setelah selesai proses pembersihan, disarankan segera restart komputer.

Hapus string registry yang telah dibuat oleh virus. Untuk mempermudah dapat menggunakan script
registry dibawah ini.

[Version]
Signature="$Chicago$"
Provider=Vaksincom Gendong Virut Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del