SECURITY

lokal ini dengan nama W32/Obfuscated. A!genr. (lihat

gambar 1)

Gambar 1. Norman Security Suite dengan fitur DNA

SI Cuakep
Matching mendeteksi varian baru virus “Cuakep”

GEJALA & EFEK VIRUS

Beberapa gejala dan efek yang terjadi jika anda

BIKIN PUCET
terinfeksi varian virus cuakep yaitu sebagai berikut :

* Duplikasi file JPEG

Until this second.., until this minute.., and until today, I still love U.
When everything’s make me broken.. I just want you don’t know who I am..
Maybe, you never be mine, and I always to lonely..
Such a lonely day.., the most loneliest day of my life.
And if The time is coming.., I just want nobody know about me.
Sometime.. I look in your direction, although you pay me no attention.
You never know how much I need U, and also you never seen me.
I’ll always be waiting for U.., and always to Loving U..
Thanx for all the thing that make me sick..
F_Rom L4mpUN6 `with L0;v3
Jika Anda memiliki file gambar atau foto digital
dengan format JPEG, maka file akan disembunyikan
(hidden) dan yang akan muncul adalah file virus
dengan nama yang sama tetapi ekstensi file yang
berbeda. (lihat gambar 2)
Gambar 2. File virus menduplikasi file gambar atau
foto digital dengan format JPEG
*Membuka file gambar wanita cantik
Jika kita secara tidak sengaja menjalankan file virus
tersebut, tidak hanya file virus yang aktif melainkan

S
akan membuka sebuah gambar wanita cantik untuk
ebagian besar pengguna komputer, gambar atau foto digital merupakan mengalihkan perhatian korbannya. File gambar inilah
salah satu bentuk data yang sangat berharga. Tidak hanya untuk Anda yang seolah-olah menggantikan file gambar kita yang
yang berkecimpung dalam bidang usaha yang berhubungan dengan data sebelumnya.
digital seperti desainer grafis, tetapi pengguna komputer yang awampun
dapat dipastikan memiliki data digital yang berharga seperti foto keluarga, * Disable Folder Options
kenangan jalan-jalan, foto kelahiran anak, pernikahan dan sunatan yang sekali hilang, Untuk mencegah
tidak akan dapat tergantikan oleh uang berapapun besarnya. akses user agar dapat
Hal ini diperkuat dengan trend penggunaan gambar dalam berbagai aktivitas menampilkan file gambar
jejaring sosial seperti Friendster, Facebookdan Twitter sudah umum digunakan. atau foto digital yang
Bagi pengguna yang bergabung dalam forum dan milis (mailing list) pun juga dapat asli, virus melakukan
menyertakan foto atau gambar sebagai identitas. Jika dahulu semua dilakukan secara blok dengan cara Gambar 4. Menu
manual dengan menggambar di atas kertas, kini dapat dilakukan dengan komputer. menyembunyikan menu Folder Options yang
Bahkan jika penggunaan foto harus dilakukan dengan cetak film, maka sekarang Folder Options pada disembunyikan
anda dapat melakukan transfer file via komputer atau internet. Windows Explorer. (lihat
Jika Anda sering menggunakan gambar atau foto digital tentu akan sangat gambar 4)
khawatir jika terjadi kehilangan atau perubahan pada gambar atau foto digital yang
Anda miliki. Apalagi jika sebelumnya Anda sering mendengar serangan virus lokal *Disable Registry, Command Prompt dan Task
“amburadul” yang cukup populer bagi pengguna komputer di Indonesia. Virus yang Manager
ampuh dalam menyembunyikan gambar serta membuat file gambar palsu (padahal Untuk mencegah akses user agar tidak dapat
virus) ini cukup mampu membuat panik user yang memiliki gambar atau foto digital. mematikan proses virus dan mengembalikan fungsi
Hal ini kemungkinan menjadi inspirasi bagi para pembuat virus lokal yang lain, yang Windows menjadi seperti semula, virus melakukan
membuat jenis virus yang memiliki kharakteristik yang sama. Dan bagi anda yang blok beberapa fungsi administrasi komputer agar
memiliki foto dan gambar digital, khususnya yang mudah jantunganharap siaga tidak dapat dijalankan. Fungsi-fungsi tersebut
menjaga detak jantung anda karena telah menyebar salah satu varian virus yang tidak dapat dijalankan dengan baik, hanya akan
memiliki kharakter yang sama yaitu dengan nama “Cuakep”. memunculkan sebuah pesan bahwa telah dimatikan
Jika Anda Dengan update terbaru Norman Security Suite mendeteksi varian virus oleh “administrator” komputer. (lihat gambar 5)

22 e-LIFE Juni 2010


Gambar 5. Salah satu fungsi Windows yang telah di blok oleh virus
* Disable System Restore
dan Disable MSI Installer
Pada umumnya jika
komputer anda terinfeksi virus,
anda dapat mengembalikan ke
semula dengan memanfaatkan
fitur Windows yaitu System
Restore. Dengan fitur ini, kita
dapat mengembalikan pada
waktu-waktu tertentu yang kita
inginkan sebelum terinfeksi
virus. Virus “cuakep” mencegah
hal ini dengan mematikan fungsi
System Restore. Selain itu virus
juga mencegah user melakukan
instalasi program atau software
lain, dengan melakukan blok
pada MSI Installer. (lihat
gambar 6)
*Rubah data Properties
Computer
Virus “cuakep” juga merubah
data pada Properties Computer,
dengan menambahkan
beberapa pesan cinta yang
ditujukan untuk seseorang.
(lihat gambar 7)
*Membuat Jadwal (Schedule
task)
Virus “cuakep” juga
membuat jadwal atau schedule
task agar setiap saat dapat
tetap aktif dan berjalan pada
proses Windowswalau sudah
dimatikan proses virus-nya.
(lihat gambar 8)
* Rubah Wallpaper
Virus “cuakep” juga merubah Gambar 8. Schedule Task yang dibuat oleh
tampilan wallpaper pada desktop virus
menjadi gambar wanita cantik.
Dengan mematikan fungsi klik kanan pada desktop, virus
mencegah user merubah tampilan wallpaper. (lihat gambar 9)
Gambar 10. Pesan pada
Welcome Screen
SECURITY
bahasa pemrograman Visual Basic yang sudah di
kompress menggunakan UPX. Jika virus berhasil
menginfeksi komputer, maka virus akan membuat
beberapa file utama sebagai berikut :
- C:\ lvsys.sys
- C:\WINDOWS\ckpexp. exe
- C:\WINDOWS\ckpinfo. nfo
- C:\WINDOWS\ckplog. log
- C:\WINDOWS\system32 \ckp.exe
- C:\WINDOWS\system32 \ckp.jpg
- C:\WINDOWS\system32 \ckpauto. inf
- C:\WINDOWS\system32 \ckpcmd.exe
- C:\WINDOWS\system32 \ckpexp.exe
- C:\WINDOWS\system32 \ckplog.log
- C:\WINDOWS\system32 \sched32. exe
- C:\WINDOWS\system32 \startup32. exe
- C:\WINDOWS\system32 \Windows. exe
Gambar 6. Fungsi MSI Installer yang di blok
- C:\WINDOWS\system32 \Windows. scr
oleh virus.
- C:\WINDOWS\system32 \ lvsys.sys
Selain itu jika komputer memiliki partisi drive lain
atau memiliki mapping drive, maka virus “Cuakep”
akan membuat file virus yaitu:
- Autorun.inf
- RECYCLER\S-1-5-21-1757981266- 1326574676-
839522115\ lvsys.exe
Ciri-ciri file virus yaitu : (lihat gambar 11)
- Menggunakan icon gambar (JPEG)
- Memiliki ukuran file 198 kb
- Memiliki type file “application” (jika sudah terinfeksi
akan dirubah menjadi JPEG image)
Gambar 7. Properties Computer yang
ditambahkan sebuah pesan
Gambar 11. File virus cuakep
File pendukung lainnya yaitu :
- C:\WINDOWS\system32 \ckpcmd.jpg
- C:\WINDOWS\system32 \ckpexp.jpg
- C:\WINDOWS\system32 \startup32. jpg
- C:\WINDOWS\system32 \Windows. jpg
METODE PENYEBARAN
Sama seperti varian virus lokal yang lain, virus
cuakep masih memanfaatkan penggunaan removable
drive seperti flashdisk, external harddisk, dll sebagai
*Pesan pada Welcome
Screen
Virus “cuakep” juga
menampilkan sebuah
pop-up pesan pada Gambar 9.
jendela Welcome Screen. Tampilan
Pesan ini juga muncul wallpaper yang
dengancaption judul yang dirubah dan tidak
media penyebaran virus. (lihat gambar 12)
berbeda jika waktu pada bisa diganti
Gambar 12. Virus infeksi removable drive/flash disk
komputer tepat pada
tanggal 21 September. (lihat gambar 10) * Dan juga melakukan perubahan pada Registry.
Maka Berhati-hatilah jika PC anda memiliki
FILE VIRUS gejala-gejala diatas. Sumber: www.vaksin.com
Virus “Cuakep” dibuat dengan menggunakan e CAHYO DARUJATI | PRAKTISI IT SURABAYA
Juli 2010 e-LIFE 23