Pernahkah anda merasa bahwa ada yang aneh dengan komputer anda? Misalnya tiba – tiba komputer anda sangat lambat, muncul pop-up yang menyatakan bahwa komputer anda terinfeksi oleh virus. Memang banyak modus virus pada saat ini, diantaranya adalah mencoba untuk menyamai salah satu interfaces vendor antivirus terkenal. Jika kita kurang teliti, alih -alih komputer terbebas oleh virus, malah data dan uang kita yang hilang. Hal ini terjadi pada salah satu komputer teman saya, dia mengatakan bahwa komputer nya terinfeksi virus. Anehnya dia bilang, dia tidak pernah menginstall antivirus tersebut. Sedangkan antivirus yang sudah ada tidak mendeteksi sama sekali adanya ancaman.
Saya langsung teringat beberapa kasus tentang antivirus palsu atau antivirus rogue yang sempat “ngetrend” beberapa bulan yang lalu. Saya pun langsung berangkat ke tempat teman saya. Perkiraan saya benar adanya, antivirus rogue menempel dan sudah berjalan dengan tampilan hampir mirip dengan salah satu vendor antivirus terkenal.
Gambar diatas merupakan tampilan pop-up yang mirip dengan salah satu vendor antivirus. Antivirus palsu diatas, akan memberitahu kepada anda bahwa komputer anda telah terinfeksi dan untuk membersihkannya antivirus palsu ini meminta anda untuk membayar license. Jangan sampai anda tertipu dengan hal ini, karena hal tersebut justru yang diinginkan oleh si pembuat antivirus palsu tersebut. Uniknya apapun yang kita klik akan menuju konfirmasi untuk membeli license antivirus palsu tersebut.
Virus ini cukup cerdas, dengan menamakan file induk hampir mirip dengan file windows dengan attribut hidden, readonly, superhidden. Selain itu virus ini memiliki kemampuan untuk memblock situs – situs pencarian seperti bing, google, dan yahoo. Jika kita melihat file hosts windows pada komputer yang terinfeksi oleh antivirus ini, maka akan muncul list- list situs yang di blok.
Hosts: 212.95.49.48 www.google.com
Hosts: 212.95.49.48 us.search.yahoo.com
Hosts: 212.95.49.48 uk.search.yahoo.com
Hosts: 212.95.49.48 search.yahoo.com
Hosts: 212.95.49.48 www.google.com.br
Hosts: 212.95.49.48 www.google.it
Hosts: 212.95.49.48 www.google.es
Hosts: 212.95.49.48 www.google.co.jp
Hosts: 212.95.49.48 www.google.com.mx
Hosts: 212.95.49.48 www.google.ca
Hosts: 212.95.49.48 www.google.com.au
Hosts: 212.95.49.48 www.google.nl
Hosts: 212.95.49.48 www.google.co.za
Hosts: 212.95.49.48 www.google.be
Hosts: 212.95.49.48 www.google.gr
Hosts: 212.95.49.48 www.google.at
Hosts: 212.95.49.48 www.google.se
Hosts: 212.95.49.48 www.google.ch
Hosts: 212.95.49.48 www.google.pt
Hosts: 212.95.49.48 www.google.dk
Hosts: 212.95.49.48 www.google.fi
Hosts: 212.95.49.48 www.google.ie
Hosts: 212.95.49.48 www.google.no
Hosts: 212.95.49.48 www.google.de
Hosts: 212.95.49.48 www.google.fr
Hosts: 212.95.49.48 www.google.co.uk
Hosts: 212.95.49.48 www.bing.com
Jadi jangan berharap anda bisa membuka google untuk mencari cara mengatasi virus ini, jika sudah terinfeksi antivirus palsu ini. Virus ini membuat beberapa file sebagai proteksi dirinya. Diantaranya :
c:documents and settingsAll UsersApplication Data.wtav
c:windowssystem32%_randomname_%.tmp.dll
c:windowssystem32%_randomname_%.tmp.dll
c:windowssystem32%_randomname_%.tmp.dll
c:windowssystem32USRINI~1.EXE
Jika komputer anda sudah terlanjur terinfeksi antivirus palsu ini, langkah yang harus di tempuh adalah sebagai berikut :
- Download combofix
- Matikan koneksi internet
- Matikan system restore windows
- Kemudian close semua program, setelah itu jalankan combofix
note : perlu diingat menjalankan combofix bisa mengakibatkan beberapa kasus komputer hang, atau blue screen. Jika diibaratkan obat, combofix merupakan obat keras yang mempunyai efek samping beragam. Gunakan combofix jika anda benar – benar yakin
Ada baiknya jika kita melakukan tindakan pencegahan terhadap virus sejenis ini, diantaranya adalah dengan melakukan :
- Selalu mengupdate antivirus anda
- Gunakan strict security setting pada browser Internet Explorer
- Gunakan plugin noscript pada browser selain Internet Explorer
- Selalu mengupdate Java dan flash player plugin terbaru
- Jangan mengakses situs – situs porno, karena virus jenis ini kebanyakan bersumber dari situ porno
Di ESET virus ini dideteksi sebagai Win32/Sirefef.BD trojan. Jika anda menggunakan ESET Antivirus, anda cukup mengupdate database ESET terbaru. Kemudian melakukan fullscan pada semua drive komputer anda. Tunggu hingga proses scan anda selesai, dan komputer anda pun terbebas dari antivirus palsu ini.
