Virus SKYPEE Shortcut Folder REV. 2

APA ITU VIRUS SKYPEE...?

Saya sendiri tidak tahu apakah ini virus atau bukan karena tidak terdetect oleh antivirus. Virus ini adalah virus yang sangat sulit untuk di bersihkan karena hampir semua antivirus tidak mampu mendeteksi nya. Saya sempat dibuat pusing , padahal "shortcut folder" yang muncul sudah saya hapus. Tetapi, shortcut kembali muncul ketika saya memulai ulang notebook saya.

GEJALA YANG TIMBUL APA SAJA...?

Biasanya akan muncul shortcut dari folder yang ada di semua harddrive dan juga folder skypee . Misal drive D: . Kemudian jika kita mencoba untuk membuka hidden dari folder system maka secara otomatis virus akan mengaktifkan kembali hide protected operating system files (dapat dilihat pada gambar 1). Sehingga kita tidak dapat menghapus folder skypee tersebut karena hidden. 

Gambar 1. Folder Option

PROSES APA YANG DILAKUKAN VIRUS INI...?

Jika kita membuka Windows Task Manager , lihat bagian processes. Pada bagian ini amati program apa yang berjalan. Program yang berjalan ini akan berada pada drive C: dengan attribut hide bernama google (Hidden folder). Disana akan ada program yang berjalan tersebut. kalau tidak salah berinisial Autolt3.exe dan berdeskripsi "Autolt v3 Script" (lihat gambar 2.). 

Gambar 2. Autolt3.exe folder path & description

APAKAH FOLDER SKYPEE INI DAPAT DIHAPUS...?

Tentu bisa, namun perlu cara khusus untuk menangani virus ini. Setidaknya kita akan perlu program zonealarm. Ketika startup , zonealarm akan menanyakan apakah program yang berjalan diperbolehkan atau tidak. Perhatikan program apa saja yang akan muncul. Pastikan program yang berjalan adalah program yang anda kenali atau yang anda install. Pada saat ini biasa nya program Autolt3.exe akan muncul. Saat zonealarm menanyakan program ini, liat deskripsi keberadaan program ini dan pilih deny. Pastikan juga semua hidden pada gambar 1. sudah anda hilangkan centang nya dan juga show hidden file. Gunakan perintah "End process" pada task manager jika program Autolt3.exe ini sudah terlanjur berjalan pada system (lihat gambar 1.)

 Gambar 3. Skypee & Google folder path on Drive C 

Gambar 4. Skypee folder path on other Drive 

Tahap berikutnya kita harus menghilangkan semua attribut hide pada semua drive. Cara ini hanya dapat dilakukan pada command prompt. Khusus untuk drive C: dimana file windows berada , command yang digunakan akan berbeda dari drive lain nya. Berikut gambar command untuk drive C:.

Gambar 5. perintah untuk drive C:

PERINGATAN, informasi yang saya sampaikan dibawah ini (tentang command prompt) mungkin akan membuat anda sedikit bingung karena banyaknya definisi dan teori, terutama bagi anda yang awam tentang command prompt. Jika anda ingin mengetahui fungsi dari command tersebut anda dapat membaca informasi dibawah. Namun bagi anda yang tidak ingin ambil pusing, maka anda (langsung baca ke "Hiraukan teori diatas") cukup mengikuti perintah pada Gambar 5. dan Gambar 6. DENGAN BENAR. Tujuan dari peringatan ini adalah untuk tidak memecah konsentrasi anda, sehingga anda lebih fokus mengikuti step step yang saya buat selanjutnya. 

Detail informasi pada Gambar 5. (tanpa tanda kutip saat di input di command prompt)

Pada command "C:\Users\Users>cd\"

C:\Users\Users > :: text ini muncul ketika kita memulai command prompt. Arti dari text ini menunjukkan lokasi sub folder  dari drive C: , yang saat ini sedang diakses oleh command prompt. Prinsipnya sama ketika kita mengakses windows explorer. Hanya saja text diatas meununjukkan alamat dari lokasi folder. Sebelum command "C:\>attrib -h /d /s" kita eksekusi, kita harus memastikan command prompt sedang mengakses drive C: (bukan mengakses folder ataupun sub folder yang ada didalam drive C:). Oleh sebab itu kita harus mengakses drive C: terlebih dahulu dengan menggunakan command "cd\". Sehingga text yang muncul selanjutnya adalah "C:\>" yang berarti command prompt sedang mengakses drive C:  Pada tahap ini kita siap untuk menginput command "C:\>attrib -h /d /s" untuk di eksekusi.

Pada command "C:\>attrib -h /d /s"

Perintah "attrib" bertujuan untuk merubah suatu attribute file maupun folder. Sub command "-h" berfungsi untuk menghapus attribut hidden pada file atau folder. Sub command "/d" berfungsi untuk memproses folder. Sub command "/s" berfungsi untuk memproses file yang cocok sesuai fungsi "-h" pada "suatu folder Abc" dan semua sub folder dari "suatu folder Abc" (Abc= contoh nama folder). Secara umum fungsi "attrib -h /d /s" digunakan untuk menghapus file ataupun folder yang memiliki attribut hidden agar file tersebut tidak lagi ter-hidden. Informasi command attrib dapat dilihat pada gambar A berikut ini.

Gambar A. Attrib Detail Information

Detail Informasi pada Gambar 6. (Bacalah terlebih dahulu step step sebelum Gambar 6. dibawah)

Pada command "C:\Users\Users>d:"

Perbedaan pada perintah ini hanya pada command "d:" . Karena saat ini command prompt sedang mengakses drive C: ,  maka untuk dapat mengakses drive lain, misal drive D: maka digunakan command "d:". Jika ada drive lain setelah drive D:, misal drive E: maka cukup mengganti command "d:" menjadi "e:".

Pada command "D:\>attrib -s -h /d /s"

Perbedaan pada perintah ini hanya pada sub command "-s" . Sub command "-s" berfungsi untuk menghapus attribut system pada file atau folder. Alasan kenapa sub command ini tidak digunakan pada drive C: adalah agar attribut system pada system windows TIDAK terganggu oleh command attrib yang sedang digunakan.

Detail Informasi pada Gambar 7. (Bacalah terlebih dahulu step step sebelum Gambar 7. dibawah)

Command "del" adalah untuk menghapus file atau folder. "skypee" adalah nama folder yang akan dihapus beserta isi dari folder tersebut. Keterangan "Could not find C:\skypee" ini menyatakan bahwa folder "skypee" tidak ditemukan pada drive C: . Maka dapat disimpulkan bahwa folder "skypee" pada drive tersebut telah benar-benar dihapus.

"Hiraukan teori diatas"

Untuk drive D: dan semua partisi lain yang anda punya, anda dapat menggunakan perintah pada Gambar 6. Untuk perintah ini anda dapat menggunakan jendela command prompt yang baru, atau anda dapat menginput perintah ini setelah mengeksekusi perintah pada Gambar 5 tanpa membuka jendela command prompt yang baru. Pada Gambar 6 berikut ini menggunakan jendela Command prompt baru.

Gambar 6. perintah untuk partisi lain

Setelah semua folder di unhidde, delete semua folder SKYPEE lewat my computer yang ada pada Gambar 3. dan Gambar 4.. Untuk drive C: , delete juga Folder GOOGLE yang berada di drive C: (bukan yang berada di program file ataupun my document tapi langsung ketika kita mengklik drive C:). Delete juga semua folder yang menjadi Shortcut dari semua hard drive (Gambar 8.). Untuk memastikan semua folder SKYPEE telah dihapus, gunakan perintah ini untuk setiap drive yang telah di hapus folder SKYPEE nya.

Gambar 7. perintah untuk cek drive C: dan drive lainnya.

Untuk mempermudah pencarian folder yang menjadi Shortcut dapat menggunakan perintah pada gambar 8. . Biasanya shortcut ini berkapasitas 846 bytes dan berlokasi di cmd (C:\Windows\System32\). Jika anda menemukan shorcut ini, segera Delete (hati-hati , jangan salah hapus, cermati dengan baik).

Gambar 8. Search command & Shortcut Folder path on Drive.

Sebenarnya, masih belum selesai sampai disitu. Kita juga harus menghapus data registry yang telah tertanam di windows. Jika tidak di hapus , maka saat startup program ini akan muncul dengan memberikan alert error karena folder SKYPEE telah dihapus sebelumnya. Sebelumnya, bukalah terlebih dahulu program CCleaner. Pilih peralatan dan pilih Startup. Kemudian klik kanan pada AntiUsbWorm atau AntiWormUpdate , lalu buka dengan registry editor. Akan terdapat 2 path pada RegEdit, yaitu HKCU & HKLM (dapat dilihat pada gambar 9, 10 dan 11).

PENTING. Sebelum menghapus registry pada langkah ini, ada baiknya jika anda mem back-up terlebih dahulu registry anda. Langkah nya, buka registry editor > klik kanan "computer" (lihat Gambar B.) > klik "export" > isi nama registry, pilih folder tempat anda akan menyimpan file registry ini (sebaiknya menggunakan folder baru dan pada lokasi yang mudah di ingat) kemudian klik "save". Tujuan Back-Up ini adalah agar saat terjadi kesalahan saat menghapus registry (terutama bagi anda yang awam dengan registry editor), anda dapat meng-"import" kembali data registry anda sebelumnya. Langkah nya, buka registry editor > klik "file" > klik "import" > pilih file back-up registry anda > klik "open". PERLU DIINGAT bahwa file registry yang anda back-up, MASIH MENYIMPAN data registry virus skypee. Setelah mengikuti step berikutnya dengan benar, sebaiknya segera hapus file back-up registry yang masih menyimpan virus skypee tersebut.

Gambar B. Back-Up Registry

Ini hanyalah langkah pencegahan, jika anda mengikuti step step yang saya buat dengan benar, maka anda tidak perlu repot-repot membackup file registry ini (hiraukan informasi ini dan langsung ke Gambar 9.). 

Gambar 9. String path location via CCleaner.

 Gambar 10. Autolt3.exe Regedit path HKCU.

Gambar 11. Autolt3.exe Regedit path HKLM.

Hapuslah string dari registry editor di diatas (gambar 10 & 11). HATI HATI ketika menghapus string ini, Pastikan anda menghapus string dari program Autolt3.exe yang berada pada folder C:\GOOGLE\ pada deskripsi "DATA" di registry editor. Setelah string dihapus, kita juga harus mematikan startup yang dibuat oleh program Autolt3.exe tersebut. Disini kita bisa menghentikan nya dari system configuration (ketik msconfig di RUN). Pada TAB startup pilih Autolt3.exe dengan manufacturer Autolt Team dan location sesuai dengan alamat string pada gambar 10 &11.

 Gambar 12. MSCONFIG Tab Startup , HKLM string.

Gambar 13. MSCONFIG Tab Startup , HKCU string & Startup Folder path.

Namun cara ini tidak saya saran kan. Lebih baik menggunakan program CCleaner. Buka program CCleaner (seperti gambar 9.). Pilih TAB Tools (Peralatan), kemudian pilih startup. Pada TAB windows, pilih program Autolt3.exe kemudian klik kanan untuk menghapus program ini. Hapus AntiUsbWorm dan AntiWormUpdate untuk HKCU & HKLM. Hapus juga "AntiUsbWormUpdate.ink" dan "AntiWormUpdate.ink" untuk startup (Total yang dihapus = 6, dapat dilihat pada gambar 14 & 15).

 Gambar 14. AntiUsbWorm dan AntiWormUpdate untuk HKCU & HKLM.

Gambar 15. AntiUsbWormUpdate.ink dan AntiWormUpdate.ink untuk startup.

Setelah selesai, pc anda telah bebas dari virus ini. step yang saya buat sedetil yang saya bisa. Selain itu penggunaan command Prompt dan registry editor sangat beresiko jika salah menggunakan nya. karena bagi anda yang jarang menggunakan command prompt ataupun registry editor , mungkin akan kesulitan mengikuti step yang saya buat di atas. karena itu jika anda kesulitan , tuliskan lah pada bagian komentar. mudah-mudahan saya dapat membantu problem anda.

UPDATE

Setelah cukup lama, akhirnya update virus dari beberapa vendor software antivirus telah dapat mendeteksi virus ini. Untuk saat ini, software antivirus yang telah saya uji untuk mendeteksi virus ini adalah SMADAV (update data-base per 24 november 2015) dan AVAST. Kedua antivirus ini terbukti cukup ampuh mencegah infeksi virus lebih dini akibat menggunakan flashdisk yg terinfeksi virus Skypee. NAMUN, untuk pencegahan, saya sangat menyarankan untuk SELALU scan flashdisk yg terhubung ke komputer/laptop anda. Selain itu, rutin melakukan scan virus minimum sebulan sekali.

Dari hasil pengujian yang saya lakukan, SMADAV cenderung aktif mendeteksi virus saat terhubung ke sistem. Bersamaan dengan itu, AVAST juga sangat ampuh mendeteksi shortcut yang terinfeksi. Dengan demikian saya menyimpulkan, kedua antivirus ini cukup mumpuni untuk mengatasi virus skypee.

Saya juga sempat melakukan pengujian lain. Saya dengan sengaja mengabaikan deteksi dari SMADAV terhadap virus tersebut. Namun, AVAST langsung mengkarantina virus ini ketika saya mengakses folder flashdisk di windows explorer. Dari pengujian tersebut, saya membuat deskripsi hasil pengujian saya berikut ini.

1. SMADAV mampu mendeteksi virus pada flashdisk lebih dini.
2. AVAST lebih cendrung mendeteksi virus shortcut, namun sedikit agak lama dari SMADAV.
3. AVAST akan langsung mengkarantina virus tanpa ada pengambilan perintah, SMADAV cepat mendeteksi virus, namun PERLU pengambilan perintah LANGSUNG dari USER untuk menindaklanjuti virus tersebut (apakah akan dihapus, dipulihkan, atau dikarantina).
4. Meskipun telah bebas dari virus, NAMUN terkadang, didalam flashdisk masih terdapat folder virus skypee beserta program Autolt3.exe didalam folder tersebut. Yang lebih mengherankan lagi, baik SMADAV maupun AVAST, TIDAK menggangap file tersebut sebagai virus (Mungkin karena tidak ter-Scan). Oleh sebab itu, ketika anda menemui folder ini di flashdisk anda, SEGERA lah anda hapus. Karena jika program Autolt3.exe tanpa sengaja tereksekusi (ter klik 2x atau ter-enter) maka dikhawatirkan virus akan menginfeksi sistem dan menyebar ke seluruh disk drive. Isi folder skypee dapat dilihat pada gambar 16. berikut ini 
   
   Gambar 16. Isi Folder Skypee
5. Tidak ada JAMINAN bahwa sistem anda akan betul-betul AMAN dengan menggunakan kedua antivirus diatas. Selagi anda masih menjumpai flashdisk yg terinfeksi, terhubung ke sistem anda, maka RESIKO terinfeksi virus ini akan tetap ada.
6. Langkah pencegahan yg dapat dilakukan adalah dengan selalu melakukan scan terhadap reomoveable disk apapun yang terhubung ke sistem anda. Kemudian menghapus virus yg terdeteksi.
7. Meskipun berhasil mencegah infeksi virus, namun virus ini ternyata sempat masuk ke registri dan mengubah beberapa string sehingga mengakibatkan Hilangnya Checked Mark Hidden Files and Folders.

Bagi yang berminat/tertarik ingin mengetahui isi folder skypee, berikut saya lampirkan link download sample virus ini.

DISCLAIMER

Sample virus ini diberikan hanya sebagai media informasi dan pengembangan ilmu pengetahuan terhadap virus. Penggunaan sample virus dan berbagai hal "apapun" yang terjadi akibat pemakaian sample virus tersebut, sepenuhnya menjadi tanggung jawab "pengguna" sample virus. Dengan mendownload dan/atau menggunakan sample virus tersebut untuk kegiatan apapun, anda secara sukarela menyetujui syarat dan ketentuan yang berlaku.

SampleVirusSkypee (link sudah tidak dapat digunakan karena file hosting mem-block file ini)

Sekian posting kali ini. Semoga revisi yang saya buat dari posting sebelumnya, dapat membantu sobat blogger semua.