Lagi-lagi pengguna internet Indonesia cukup digemparkan serangan virus asing. Peneliti dari vaksincom menyebutnya W32/gent.FUVR. Virus ini mampu membuat komputer atau server anda kehabisan nafas alias lambat beroperasi karena tiba -tiba ia akan berusaha dengan intens mendownload file dari situs web tertentu (kebanyakan di Cina) untuk "mengupdate" dirinya. "Update" ini tentu saja hanya untuk  mengacaukan kerja komputer anda. "Hebatnya” virus ini juga aktif memanfaatkan YM (Yahoo Messenger). Jadi, jika YM anda tahu-tahu bertingkah aneh dalam beberapa hari ini ….Siap-siap dan Waspadalah.



Untuk memastikan W32/Agent.FUVR aktif di komputer anda (Windows XP), silahkan periksa C:\Windows\AppPatch dan cari file-file dengan nama :

· AcXtrnel.dll
File ini merupakan file palsu (file imitasi) yang mirip dengan file dll OS Microsoft Windows “AcXtrnal.dll”

· AcSpecf.dll
File ini juga merupakan file palsu yang mirip dengan file dll OS Microsoft Windows “AcSpecfc.dll”

· AcPlugin.dll
File ini adalah memang benar file dll dari Microsoft Windows (Microsoft Plus), tetapi lokasi file ini seharusnya ada di C:\Program Files\Microsoft Plus dan bukan di c:\Windows\AppPatch. Microsoft Plus adalah add on untuk Windows XP. Namun yang membingungkan Microsoft Plus adalah add on yang saat ini sudah tidak dilanjutkan produksinya.

· Jview.dll
Jview sebenarnya adalah file Java, tetapi virus ini dengan cerdik melakukan delay / menunda aktivasi Jview yang asli (jika ada). Dengan cerdas virus ini mengubah setting registry sehingga yang dijalankan adalah Jview yang bervirus.

Hati-hati jika Anda menjumpai sejumlah file dengan nama Microsoft.vbs, Microsoft.bat atau Microsoft.pif pada local disk (C:\). Jika kita buka file Microsoft.bat maka akan terlihat jelas bahwa file ini akan menjalankan file dengan nama Microsoft.pif begitupun dengan file Microsoft.vbs. File Microsoft.pif ini sendiri di kompres dengan menggunakn UPX.

Jika file di atas dijalankan, Microsoft.bat / Microsoft.vbs maka akan langsung mengaktifkan file Microsoft.pif yang tersembunyi / hidden. Dan jika file microsoft.pif ini anda langsung hapus, ada konsekuensinya. Jika anda lakukan penghapusan, sebagai gantinya akan ada banyak sekali file library (dll) yang aktif di memori, file ini juga akan di aktifkan setiap kali user mengakses Internet Explorer.

Virus ini akan membuat koneksi internet atau jaringan juga menjadi lambat karena setelah ia aktif, ia akan selalu mencoba untuk melakukan koneksi internet dan mencoba untuk mendownload file gambar dengan format GIF dan file EXE kesejumlah situs yang telah ditentukan seperti :

· http://root.51113.com/root.gif

· http://hk.www404.cn:53/ads.js

· http://err.www404.cn:443/014.html

Menurut pengamatan Vaksincom, situs yang mengandung file virus ini sangat banyak dan bervariasi dan rata-rata merupakan domain yang berasal dari Cina sehingga disinyalir kuat virus ini berasal dari Cina. Karena kemampuannya mendownload file update, maka secara teknis virus ini memiliki kemampuan mengupdate dirinya seperti antivirus sehingga termasuk dalam virus dengan resiko tinggi. Walaupun varian awal sudah terdeteksi sejak akhir 2007, tetapi varian yang ditemukan tersebut terlihat berbeda dengan varian awal dan terbukti berhasil mengecoh banyak program antivirus yang sebelumnya berhasil mendeteksinya.Di bawah ini adalah contoh varian program gif atau exe

File gif dan exe tersebut akan disimpan di direktori berikut

Virus ini juga akan aktif bersamaan dengan Yahoo Messenger dan pada beberapa kasus menimbulkan error pada Script file.



BAGAIMANA CARA MENGATASINYA ?

Source : pingubian.wordpress.com, vaksin.com