“
Email yang dikirimkan dan mengandung virus Oficla memiliki ciri yang sama dengan Bredolab seperti : (lihat gambar 1) Gambar 1. Email yang dikirimkan dan mengandung virus Oficla FILE VIRUS Attachment file yang disertakan mengandung virus Oficla yang telah di kompress zip, berisikan file virus yang berukuran 48 kb dan memiliki icon mirip dokumen. Jika anda menjalankan file tersebut, maka virus akan membuat beberapa file induk yaitu : - C:Documents and Settingsklasnich eader_s.exe - C:Documents and SettingsklasnichLocal SettingsApplication Dataave.exe - C:WINDOWSsystem32 eader_s.exe GEJALA & EFEK VIRUS Beberapa gejala dan efek yang terjadi jika anda terinfeksi varian virus Oficla yaitu sebagai berikut : ü Scareware Fake Antivirus/Antispyware Sama seperti varian virus Bredolab, varian virus ini mendownload dan menjalankan file program yang mengindikasikan sebagai sebuah antivirus/antispyware. Dengan aksi palsu-nya program ini mencoba memberitahu pengguna bahwa di komputer tersebut terdapat banyak virus. (lihat gambar 2) Dan untuk hal itu antivirus/antispyware palsu tersebut meminta pengguna segera menggunakan program antivirus/antispyware palsu tersebut dengan syarat membayar sejumlah tertentu melalui online. (lihat gambar 3) Gambar 3. Website yang digunakan untuk melakukan pembelian Antivirus palsu secara online ü Mematikan firewall dan Security Center Windows dan mengganti-nya dengan fake Firewall dan fake Security Center Sama dengan hal-nya fake antivirus/antispyware, virus juga menggantikan fungsi dari Firewall Windows dan Security Center. (lihat gambar 4) Gambar 4. Fake Firewall beraksi menggantikan fungsi Firewall Windows. Dengan hal ini bertujuan agar meyakinkan pengguna serta membuat panik pengguna karena ada-nya serangan virus yang mencoba masuk komputer pengguna (lihat gambar 5) Gambar 5. Fake Security Center beraksi menggantikan fungsi Security Center Windows. ü Melakukan Koneksi ke server, update dan download trojan/spyware Agar sulit di deteksi oleh antivirus karena ia akan selalu mengupdate dirinya dan melakukan release ulang/download guna mencegah deteksi program antivirus. Anda tidak dapat menghentikan proses download yang berlangsung, sekalipun anda menutup browser anda karena proses download akan berlangsung di background (tidak terlihat). Untuk melihat aktivitas dari virus melakukan koneksi, update dan download trojan, dapat menggunakan perintah “”netstat“” pada command prompt. (lihat gambar 6) Gambar 6. Aksi virus melakukan koneksi, update dan download. ü Melakukan spam ke alamat e-mail tertentu Untuk menyebarkan dirinya ia akan mengirimkan email kesemua alamat email yang telah diperolahnya dengan melampirkan sebuah file dalam bentuk ZIP. Bagi anda yang mempunyai account Facebook harap berhati-hati jika menerima email yang anda terima seolah-olah berasal dari Admin Facebook karena kemungkinan email yang Anda terima adalah email yang berisi virus. Jika kita telurusi dengan tools monitoring jaringan seperti wireshark atau perintah “”netstat”" dari command prompt maka dapat dilihat dengan jelas bahwa komputer yang telah terinfeksi virus berusaha untuk mengirimkan email ke sejumlah alamat e-mail yang telah ditemukan dengan menyertakan sebuah file attachment yang berisi virus. (lihat gambar 7) Gambar 7. Aksi virus melakukan penyebaran melalui spam e-mail dengan attachment virus. REGISTRI VIRUS Tidak banyak perubahan registry yang dilakukan oleh virus Oficla, beberapa yang dilakukan perubahan yaitu : - Menambah Registry · Start-Up Agar virus dapat aktif pada saat start-up, maka virus membuat string berikut : Ø HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun Reader_s = C:WINDOWSSystem32 eader_s.exe Ø HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun reader_s = C:Documents and Settings%user% eader_s.exe · Executable virus Agar virus dapat berjalan saat pengguna menjalankan file executable, maka virus membuat string berikut : Ø HKEY_CLASSES_ROOT.exeDefaultIcon Ø HKEY_CLASSES_ROOT.exeShell - Merubah Registry · Executable virus Agar virus dapat berjalan saat pengguna menjalankan file executable, maka virus merubah string berikut : Ø HKEY_CLASSES_ROOT.exe (default) = secfile PEMBERSIHAN VIRUS Sebelum melakukan pembersihan virus , download dan install terlebih dahulu antivirus Norman Security Suite Pro (NSS Pro) dengan Intrusion Guard. Anda dapat melakukan download dengan melakukan registrasi form trial pada link berikut : http://www.norman.com/downloads/trial_registrations/58627/en Langkah-langkah yang harus dilakukan dalam melakukan pembersihan virus Oficla adalah sebagai berikut : - Putuskan koneksi jaringan/internet. - Matikan System Restore pada System Properties My Computer. (lihat gambar Gambar 8. Matikan System Restore Windows. - Matikan proses virus (menggunakan Advanced System Reporter). Bagi pengguna Norman Security Suite Pro dapat menggunakan fitur dari Intrusion Guard yaitu Advanced System Reporter. · Klik kanan logo/icon Norman, pilin Norman Security Suite. (lihat gambar 9)
Gambar 2. Scareware fake Antivirus/Antispyware beraksi
