Minggu, 08 Juni 2014

Virus SKYPEE Shortcut Folder REV. 2

APA ITU VIRUS SKYPEE...?
Saya sendiri tidak tahu apakah ini virus atau bukan karena tidak terdetect oleh antivirus. Virus ini adalah virus yang sangat sulit untuk di bersihkan karena hampir semua antivirus tidak mampu mendeteksi nya. Saya sempat dibuat pusing , padahal "shortcut folder" yang muncul sudah saya hapus. Tetapi, shortcut kembali muncul ketika saya memulai ulang notebook saya.

GEJALA YANG TIMBUL APA SAJA...?
Biasanya akan muncul shortcut dari folder yang ada di semua harddrive dan juga folder skypee . Misal drive D: . Kemudian jika kita mencoba untuk membuka hidden dari folder system maka secara otomatis virus akan mengaktifkan kembali hide protected operating system files (dapat dilihat pada gambar 1). Sehingga kita tidak dapat menghapus folder skypee tersebut karena hidden

Gambar 1. Folder Option

PROSES APA YANG DILAKUKAN VIRUS INI...?
Jika kita membuka Windows Task Manager , lihat bagian processes. Pada bagian ini amati program apa yang berjalan. Program yang berjalan ini akan berada pada drive C: dengan attribut hide bernama google (Hidden folder). Disana akan ada program yang berjalan tersebut. kalau tidak salah berinisial Autolt3.exe dan berdeskripsi "Autolt v3 Script" (lihat gambar 2.). 

Gambar 2. Autolt3.exe folder path & description

APAKAH FOLDER SKYPEE INI DAPAT DIHAPUS...?
Tentu bisa, namun perlu cara khusus untuk menangani virus ini. Setidaknya kita akan perlu program zonealarm. Ketika startup , zonealarm akan menanyakan apakah program yang berjalan diperbolehkan atau tidak. Perhatikan program apa saja yang akan muncul. Pastikan program yang berjalan adalah program yang anda kenali atau yang anda install. Pada saat ini biasa nya program Autolt3.exe akan muncul. Saat zonealarm menanyakan program ini, liat deskripsi keberadaan program ini dan pilih deny. Pastikan juga semua hidden pada gambar 1. sudah anda hilangkan centang nya dan juga show hidden file. Gunakan perintah "End process" pada task manager jika program Autolt3.exe ini sudah terlanjur berjalan pada system (lihat gambar 1.)

 Gambar 3. Skypee & Google folder path on Drive C 

Gambar 4. Skypee folder path on other Drive 

Tahap berikutnya kita harus menghilangkan semua attribut hide pada semua drive. Cara ini hanya dapat dilakukan pada command prompt. Khusus untuk drive C: dimana file windows berada , command yang digunakan akan berbeda dari drive lain nya. Berikut gambar command untuk drive C:.

Gambar 5. perintah untuk drive C:


PERINGATAN, informasi yang saya sampaikan dibawah ini (tentang command prompt) mungkin akan membuat anda sedikit bingung karena banyaknya definisi dan teori, terutama bagi anda yang awam tentang command prompt. Jika anda ingin mengetahui fungsi dari command tersebut anda dapat membaca informasi dibawah. Namun bagi anda yang tidak ingin ambil pusing, maka anda (langsung baca ke "Hiraukan teori diatas") cukup mengikuti perintah pada Gambar 5. dan Gambar 6. DENGAN BENAR. Tujuan dari peringatan ini adalah untuk tidak memecah konsentrasi anda, sehingga anda lebih fokus mengikuti step step yang saya buat selanjutnya. 

Detail informasi pada Gambar 5. (tanpa tanda kutip saat di input di command prompt)
Pada command "C:\Users\Users>cd\"
C:\Users\Users > :: text ini muncul ketika kita memulai command prompt. Arti dari text ini menunjukkan lokasi sub folder  dari drive C: , yang saat ini sedang diakses oleh command prompt. Prinsipnya sama ketika kita mengakses windows explorer. Hanya saja text diatas meununjukkan alamat dari lokasi folder. Sebelum command "C:\>attrib -h /d /s" kita eksekusi, kita harus memastikan command prompt sedang mengakses drive C: (bukan mengakses folder ataupun sub folder yang ada didalam drive C:). Oleh sebab itu kita harus mengakses drive C: terlebih dahulu dengan menggunakan command "cd\". Sehingga text yang muncul selanjutnya adalah "C:\>" yang berarti command prompt sedang mengakses drive C:  Pada tahap ini kita siap untuk menginput command "C:\>attrib -h /d /s" untuk di eksekusi.

Pada command "C:\>attrib -h /d /s"
Perintah "attrib" bertujuan untuk merubah suatu attribute file maupun folder. Sub command "-h" berfungsi untuk menghapus attribut hidden pada file atau folder. Sub command "/d" berfungsi untuk memproses folder. Sub command "/s" berfungsi untuk memproses file yang cocok sesuai fungsi "-h" pada "suatu folder Abc" dan semua sub folder dari "suatu folder Abc" (Abc= contoh nama folder). Secara umum fungsi "attrib -h /d /s" digunakan untuk menghapus file ataupun folder yang memiliki attribut hidden agar file tersebut tidak lagi ter-hidden. Informasi command attrib dapat dilihat pada gambar A berikut ini.

Gambar A. Attrib Detail Information

Detail Informasi pada Gambar 6. (Bacalah terlebih dahulu step step sebelum Gambar 6. dibawah)
Pada command "C:\Users\Users>d:"
Perbedaan pada perintah ini hanya pada command "d:" . Karena saat ini command prompt sedang mengakses drive C: ,  maka untuk dapat mengakses drive lain, misal drive D: maka digunakan command "d:". Jika ada drive lain setelah drive D:, misal drive E: maka cukup mengganti command "d:" menjadi "e:".

Pada command "D:\>attrib -s -h /d /s"
Perbedaan pada perintah ini hanya pada sub command "-s" . Sub command "-s" berfungsi untuk menghapus attribut system pada file atau folder. Alasan kenapa sub command ini tidak digunakan pada drive C: adalah agar attribut system pada system windows TIDAK terganggu oleh command attrib yang sedang digunakan.

Detail Informasi pada Gambar 7. (Bacalah terlebih dahulu step step sebelum Gambar 7. dibawah)
Command "del" adalah untuk menghapus file atau folder. "skypee" adalah nama folder yang akan dihapus beserta isi dari folder tersebut. Keterangan "Could not find C:\skypee" ini menyatakan bahwa folder "skypee" tidak ditemukan pada drive C: . Maka dapat disimpulkan bahwa folder "skypee" pada drive tersebut telah benar-benar dihapus.

"Hiraukan teori diatas"

Untuk drive D: dan semua partisi lain yang anda punya, anda dapat menggunakan perintah pada Gambar 6. Untuk perintah ini anda dapat menggunakan jendela command prompt yang baru, atau anda dapat menginput perintah ini setelah mengeksekusi perintah pada Gambar 5 tanpa membuka jendela command prompt yang baru. Pada Gambar 6 berikut ini menggunakan jendela Command prompt baru.

Gambar 6. perintah untuk partisi lain

Setelah semua folder di unhidde, delete semua folder SKYPEE lewat my computer yang ada pada Gambar 3. dan Gambar 4.. Untuk drive C: , delete juga Folder GOOGLE yang berada di drive C: (bukan yang berada di program file ataupun my document tapi langsung ketika kita mengklik drive C:). Delete juga semua folder yang menjadi Shortcut dari semua hard drive (Gambar 8.). Untuk memastikan semua folder SKYPEE telah dihapus, gunakan perintah ini untuk setiap drive yang telah di hapus folder SKYPEE nya.

Gambar 7. perintah untuk cek drive C: dan drive lainnya.

Untuk mempermudah pencarian folder yang menjadi Shortcut dapat menggunakan perintah pada gambar 8. . Biasanya shortcut ini berkapasitas 846 bytes dan berlokasi di cmd (C:\Windows\System32\). Jika anda menemukan shorcut ini, segera Delete (hati-hati , jangan salah hapus, cermati dengan baik).

Gambar 8. Search command & Shortcut Folder path on Drive.

Sebenarnya, masih belum selesai sampai disitu. Kita juga harus menghapus data registry yang telah tertanam di windows. Jika tidak di hapus , maka saat startup program ini akan muncul dengan memberikan alert error karena folder SKYPEE telah dihapus sebelumnya. Sebelumnya, bukalah terlebih dahulu program CCleaner. Pilih peralatan dan pilih Startup. Kemudian klik kanan pada AntiUsbWorm atau AntiWormUpdate , lalu buka dengan registry editor. Akan terdapat 2 path pada RegEdit, yaitu HKCU & HKLM (dapat dilihat pada gambar 9, 10 dan 11).

PENTING. Sebelum menghapus registry pada langkah ini, ada baiknya jika anda mem back-up terlebih dahulu registry anda. Langkah nya, buka registry editor > klik kanan "computer" (lihat Gambar B.) > klik "export" > isi nama registry, pilih folder tempat anda akan menyimpan file registry ini (sebaiknya menggunakan folder baru dan pada lokasi yang mudah di ingat) kemudian klik "save". Tujuan Back-Up ini adalah agar saat terjadi kesalahan saat menghapus registry (terutama bagi anda yang awam dengan registry editor), anda dapat meng-"import" kembali data registry anda sebelumnya. Langkah nya, buka registry editor > klik "file" > klik "import" > pilih file back-up registry anda > klik "open". PERLU DIINGAT bahwa file registry yang anda back-up, MASIH MENYIMPAN data registry virus skypee. Setelah mengikuti step berikutnya dengan benar, sebaiknya segera hapus file back-up registry yang masih menyimpan virus skypee tersebut.


Gambar B. Back-Up Registry

Ini hanyalah langkah pencegahan, jika anda mengikuti step step yang saya buat dengan benar, maka anda tidak perlu repot-repot membackup file registry ini (hiraukan informasi ini dan langsung ke Gambar 9.). 

Gambar 9. String path location via CCleaner.

 Gambar 10. Autolt3.exe Regedit path HKCU.

Gambar 11. Autolt3.exe Regedit path HKLM.

Hapuslah string dari registry editor di diatas (gambar 10 & 11). HATI HATI ketika menghapus string ini, Pastikan anda menghapus string dari program Autolt3.exe yang berada pada folder C:\GOOGLE\ pada deskripsi "DATA" di registry editor. Setelah string dihapus, kita juga harus mematikan startup yang dibuat oleh program Autolt3.exe tersebut. Disini kita bisa menghentikan nya dari system configuration (ketik msconfig di RUN). Pada TAB startup pilih Autolt3.exe dengan manufacturer Autolt Team dan location sesuai dengan alamat string pada gambar 10 &11.

 Gambar 12. MSCONFIG Tab Startup , HKLM string.

Gambar 13. MSCONFIG Tab Startup , HKCU string & Startup Folder path.

Namun cara ini tidak saya saran kan. Lebih baik menggunakan program CCleaner. Buka program CCleaner (seperti gambar 9.). Pilih TAB Tools (Peralatan), kemudian pilih startup. Pada TAB windows, pilih program Autolt3.exe kemudian klik kanan untuk menghapus program ini. Hapus AntiUsbWorm dan AntiWormUpdate untuk HKCU & HKLM. Hapus juga "AntiUsbWormUpdate.ink" dan "AntiWormUpdate.ink" untuk startup (Total yang dihapus = 6, dapat dilihat pada gambar 14 & 15).

 Gambar 14. AntiUsbWorm dan AntiWormUpdate untuk HKCU & HKLM.

Gambar 15. AntiUsbWormUpdate.ink dan AntiWormUpdate.ink untuk startup.

Setelah selesai, pc anda telah bebas dari virus ini. step yang saya buat sedetil yang saya bisa. Selain itu penggunaan command Prompt dan registry editor sangat beresiko jika salah menggunakan nya. karena bagi anda yang jarang menggunakan command prompt ataupun registry editor , mungkin akan kesulitan mengikuti step yang saya buat di atas. karena itu jika anda kesulitan , tuliskan lah pada bagian komentar. mudah-mudahan saya dapat membantu problem anda.

UPDATE

Setelah cukup lama, akhirnya update virus dari beberapa vendor software antivirus telah dapat mendeteksi virus ini. Untuk saat ini, software antivirus yang telah saya uji untuk mendeteksi virus ini adalah SMADAV (update data-base per 24 november 2015) dan AVAST. Kedua antivirus ini terbukti cukup ampuh mencegah infeksi virus lebih dini akibat menggunakan flashdisk yg terinfeksi virus Skypee. NAMUN, untuk pencegahan, saya sangat menyarankan untuk SELALU scan flashdisk yg terhubung ke komputer/laptop anda. Selain itu, rutin melakukan scan virus minimum sebulan sekali.

Dari hasil pengujian yang saya lakukan, SMADAV cenderung aktif mendeteksi virus saat terhubung ke sistem. Bersamaan dengan itu, AVAST juga sangat ampuh mendeteksi shortcut yang terinfeksi. Dengan demikian saya menyimpulkan, kedua antivirus ini cukup mumpuni untuk mengatasi virus skypee.

Saya juga sempat melakukan pengujian lain. Saya dengan sengaja mengabaikan deteksi dari SMADAV terhadap virus tersebut. Namun, AVAST langsung mengkarantina virus ini ketika saya mengakses folder flashdisk di windows explorer. Dari pengujian tersebut, saya membuat deskripsi hasil pengujian saya berikut ini.


  1. SMADAV mampu mendeteksi virus pada flashdisk lebih dini.
  2. AVAST lebih cendrung mendeteksi virus shortcut, namun sedikit agak lama dari SMADAV.
  3. AVAST akan langsung mengkarantina virus tanpa ada pengambilan perintah, SMADAV cepat mendeteksi virus, namun PERLU pengambilan perintah LANGSUNG dari USER untuk menindaklanjuti virus tersebut (apakah akan dihapus, dipulihkan, atau dikarantina).
  4. Meskipun telah bebas dari virus, NAMUN terkadang, didalam flashdisk masih terdapat folder virus skypee beserta program Autolt3.exe didalam folder tersebut. Yang lebih mengherankan lagi, baik SMADAV maupun AVAST, TIDAK menggangap file tersebut sebagai virus (Mungkin karena tidak ter-Scan). Oleh sebab itu, ketika anda menemui folder ini di flashdisk anda, SEGERA lah anda hapus. Karena jika program Autolt3.exe tanpa sengaja tereksekusi (ter klik 2x atau ter-enter) maka dikhawatirkan virus akan menginfeksi sistem dan menyebar ke seluruh disk drive. Isi folder skypee dapat dilihat pada gambar 16. berikut ini 
    Gambar 16. Isi Folder Skypee
  5. Tidak ada JAMINAN bahwa sistem anda akan betul-betul AMAN dengan menggunakan kedua antivirus diatas. Selagi anda masih menjumpai flashdisk yg terinfeksi, terhubung ke sistem anda, maka RESIKO terinfeksi virus ini akan tetap ada.
  6. Langkah pencegahan yg dapat dilakukan adalah dengan selalu melakukan scan terhadap reomoveable disk apapun yang terhubung ke sistem anda. Kemudian menghapus virus yg terdeteksi.
  7. Meskipun berhasil mencegah infeksi virus, namun virus ini ternyata sempat masuk ke registri dan mengubah beberapa string sehingga mengakibatkan Hilangnya Checked Mark Hidden Files and Folders.
Bagi yang berminat/tertarik ingin mengetahui isi folder skypee, berikut saya lampirkan link download sample virus ini.

DISCLAIMER
Sample virus ini diberikan hanya sebagai media informasi dan pengembangan ilmu pengetahuan terhadap virus. Penggunaan sample virus dan berbagai hal "apapun" yang terjadi akibat pemakaian sample virus tersebut, sepenuhnya menjadi tanggung jawab "pengguna" sample virus. Dengan mendownload dan/atau menggunakan sample virus tersebut untuk kegiatan apapun, anda secara sukarela menyetujui syarat dan ketentuan yang berlaku.

SampleVirusSkypee (link sudah tidak dapat digunakan karena file hosting mem-block file ini)

Sekian posting kali ini. Semoga revisi yang saya buat dari posting sebelumnya, dapat membantu sobat blogger semua.







29 komentar:

  1. makasih atas postingannya gan, tapi saya masih bingung dengan command prompt gan,

    BalasHapus
    Balasan
    1. saya sarankan untuk memahami lebih dulu fungsi perintah command prompt tersebut sebelum di eksekusi agar tidak terjadi kesalahan.
      Terimakasih atas kunjungan nya..

      Hapus
  2. makasiih gan postingan bagus nih.. saya sangat terbantu..

    BalasHapus
    Balasan
    1. Sama sama gan..
      Terimakasih atas kunjungan nya..

      Hapus
  3. Makasih banget gan postingannya.. ijin copas utk catatan pribadi ya...

    BalasHapus
    Balasan
    1. silakan gan..
      Terimakasih atas kunjungan nya..

      Hapus
  4. Ane curiga sama virus skypee ini. menurut agan gimana? Apa kelebihan virus AutoIt3 dot exe ini? Selain nggak di detect sama anti virus?

    BalasHapus
    Balasan
    1. terima kasih atas komentarnya.
      dari pengalaman saya, virus ini dapat meregenerasi secara otomatis (saat starup) JIKA masih ada sisa registry pada windows. oleh karenanya tidak cukup hanya dengan menghapus file/menghentikan proses nya. virus ini juga membuat sebagian fungsi win explorer tidak dapat digunakan (misal fungsi "hidden files and folder", jika kita pilih show maka akan secara otomatis menjadi hidden). sehingga menghapus file virus yang terhidden menggunakan win explorer menjadi tidak mungkin. solusi nya tentu menggunakan cmd. hanya ini informasi yang saya ketahui dan semoga dapat membantu.

      Hapus
  5. Komentar ini telah dihapus oleh pengarang.

    BalasHapus
  6. gan sudah sampe di system configuration dicari kok gk ketemu terus pas ane restart keluar notepad yang isinya

    [.ShellClassInfo]
    LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787

    itu maksudnya apa ya terus solusinya gimana mohon arahannya ya

    BalasHapus
  7. gan sudah sampe di system configuration dicari kok gk ketemu terus pas ane restart keluar notepad yang isinya

    [.ShellClassInfo]
    LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787

    itu maksudnya apa ya terus solusinya gimana mohon arahannya ya

    BalasHapus
    Balasan
    1. Terima kasih untuk komentar nya
      pada system configuration > tab startup, jika tidak di temukan "starup item" yang tertera di atas (Gambar 12 & 13) maka tidak perlu penanganan lebih lanjut. Karena "starup item" ini hanya muncul JIKA masih terdapat SISA registry pada windows (misal, registry pada gambar 10 & 11 belum di delete). Untuk kasus notepad saya juga mengalami hal yg sama. Solusinya akan saya berikan di postingan berikut :
      http://daly-engineering.blogspot.com/2015/05/fix-muncul-nya-desktopini-saat-star-up.html

      Semoga bermanfaat

      Hapus
  8. Gan. minta pencerahan. ini ada shortcut namaya system volume. location C:/windows/system32. gag mau dihapus. kalo lainnya udah kehapus. gimana gan. maksih

    BalasHapus
    Balasan
    1. Terima kasih untuk komentarnya.
      Pastikan folder virus skypee dan proses Autolt3.exe sudah dihentikan (lihat task manager).Saya sarankan untuk meng scan local disk tempat shortcut tersebut berada menggunakan smadav. Semoga dapat membantu.

      Hapus
  9. kalo misalnya di instal ulang windoswnya gimana ???
    apakah virus yang ada di partisi lain akan menjakiti system kembali

    BalasHapus
    Balasan
    1. Terima kasih untuk komentarnya. Jika partisi lain TERBUKTI menyimpan virus tersebut, maka harus dibersihkan terlebih dahulu. Menginstal ulang windows tidak lah selalu baik. Instal ulang sebaiknya dilakukan jika system windows telah mengalami crash dan error yang sudah tidak dapat diatasi lagi. Jika memang ingin menginstal ulang, maka sebaiknya seluruh partisi diFORMAT. Ini untuk mencegah virus di partisi lain menjangkiti system. Namun, anda harus menerima resiko kehilangan semua DATA. Tentu solusi ini tidaklah relevan dan sangat merugikan. Jika memang terpaksa diinstal ulang, maka, solusi yg lebih baik adalah membersihkan virus dari seluruh partisi. Pastikan seluruh partisi benar-benar BERSIH dan jangan menggunakan flashdisk untuk kegiatan apapun, kecuali instal ulang. Ini berguna agar virus tidak masuk ke partisi. Kemudian lakukan instal ulang windows tanpa harus memformat partisi lain. Dengan demikian PC akan bebas dari virus. Semoga solusi ini dapat membantu.

      Hapus
  10. virus ini sepertinya ganas untk system jaringan...

    BalasHapus
    Balasan
    1. Terimakasih atas komentarnya.
      Untuk kasus sistem jaringan, saya belum pernah menjumpainya. Dari pengalaman saya, virus cenderung lebih aktif menginfeksi sistem melalui flashdisk yg terinfeksi. Oleh sebab itu, saya menyimpulkan bahwa, aktifitas copy-paste menggunakan flashdisk, LEBIH BERESIKO menginfeksi sistem. Tentunya kita perlu meng-scan flashdisk menggunakan antivirus untuk meminimalisisr resiko terinfeksinya sistem.

      Hapus
  11. Apakah virus ini bisa datang dari software broswer seperti google chrome ya? Setiap saya install google chrome. Seminggu kemudian pasti ada virus kaya gini.

    BalasHapus
    Balasan
    1. Terimakasih atas komentarnya.
      Saya mendapati virus ini masuk ke sistem melalui flashdisk yg terinfeksi. Untuk kasus anda diatas, saya belum pernah mengalaminya. Kemungkinan besar, virus ini telah menginfeksi sistem. Saya sarankan untuk melakukan scan virus menyeluruh ke seluruh diskdrive. Saya merekomendasikan menggunakan Boot-Scan. Karena proses Scanning dilakukan sebelum start-up. Tingkat keberhasilan proses scanning ini cukup tinggi. Semoga dapat membantu.

      Hapus
  12. Awalnya virus ini saya biarkan, lama2 flashdisk saya kok ngulah, gak bisa diformat, file-file yg ada di flashdisk jg gak bisa dihapus.

    BalasHapus
    Balasan
    1. Terimakasih atas komentarnya.
      Untuk kasus anda diatas, kemungkinan besar flashdisk telah mengalami cukup banyak bad-sector. Atau bisa jadi, flashdisk sudah mengalami kerusakan. Agar dapat mengetahui indikasi lain, saya sarankan untuk membersihkan dulu virus ini dari sistem anda. Kemudian lakukan scanning pada flashdisk serta bad-sector pada flashdisk. Semoga dapat membantu.

      Hapus
  13. Gan ane search shortcutnya dah kaga ada lagi, berarti lanjut atau gimana?

    BalasHapus
    Balasan
    1. Terimakasih atas komentarnya. Jika shortcut sudah berhasil dibersihkan, langkah selanjutnya adalah mengecek sisa registry virus yg tertinggal lalu membersihkannya. Langkah-langkahnya dapat dilihat diposting. Untuk pencegahan, lakukan scan menggunakan antivirus ke seluruh harddisk.

      Hapus
  14. Akan dicoba dulu caranya semoga mau hilang.

    bagi yang ingin menambah ilmu di bidang komputer bisa dilihat di situs berikut ini http://www.computer-course-center.com/

    BalasHapus
  15. cuma di blog ini yg bisa menjelaskan dgn sangat jelas..terimakasih gan ilmunya, sekarang sudah hilang virusnya...

    tambahan dari saya gan, kalau bisa coba ditambahin tutorial memunculkan "attrib" yg not recognized... karena saya waktu coba cmd , pas ketik attrib -h /d /s katanya attribnya ga tersedia...jadi googling lagi cara munculkannya akhirnya bisa.

    BalasHapus
    Balasan
    1. Terima kasih atas komentar dan sarannya. Mudah-mudahan dalam waktu dekat dapat segera saya tambahkan.

      Hapus
  16. ini virus yang hampir bikin ane pasrah, mau nginstal ulang aja rasanya, folder2 ane tiba2 muncul shortcut sendiri, mau dihapus gak bisa, tp Alhamdulillah sekarn udh gakada lagi AUtoit3.exe nya..

    artikelnya membantu banget gan :) thanks ya

    BalasHapus

Back to top