Rabu, 28 Maret 2012
Virus Membengkak Seukuran Harddisk
Kalau ditanya, virus apa yang bisa menandingi ?petasan hijau? alias tabung gas 3 kg yang sering meleduk dan memakan korban jiwa yang banyak sekali dalam beberapa bulan terakhir ini. Jawabannya adalah satu virus yang bernama Stuxnet. Mungkin pembaca tidak terlalu mengerti kalau dibilang Stuxnet, tetapi kalau di bilang Winsta, kemungkinan besar para administrator IT pernah mendengar tentang hal ini, walaupun tidak sampai mengalami luka bakar tetapi setidaknya pernah lembur gara-gara virus Winsta ini. Lalu apa hebatnya si Winsta ini ? Salah satu sebabnya adalah aksinya yang spektakuler menggelembungkan
ukuran dirinya (tidak sampai meleduk :p) sehingga harddisk sebesar apapun kapasitasnya akan penuh sehingga pengguna komputer kebingungan, kok harddisknya penuh yah. Dan hebatnya lagi, proses Stuxnet ini menggunakan file dll sehingga di load sebagai driver yang sah dari Realtek. Sehingga proses mendeteksi dan membasmi virus ini menjadi cukup sulit ... lha... harus menonaktifkan driver. Menurut pantauan Vaksincom, Indonesia termasuk negara dengan infeksi Winsta terbesar, sehingga para pengguna komputer yang mendadak mendapatkan message "Low Disk Space" jangan buru-buru beli harddisk dulu, tetapi periksa dulu apakah komputer anda terinfeksi virus Winsta atau tidak.Bagi pengguna komputer, harddisk merupakan media penyimpan yang sangat penting. Dengan kelebihan-nya pada kecepatan akses dan kapasitas yang sangat besar, tentunya dia menjadi media utama menjalankan OS dan menyimpan data digital yang saat ini makin membengkak ukurannya, dari data penting perusahaan seperti data base pelanggan, data email, desain, foto, koleksi lagu dan koleksi video.
Sebagai salah satu perangkat komputer yang sangat penting, harddisk merupakan favorit bagi semua kalangan. Bagi administrator IT, kalangan multi-media, programmer dan pengguna awam, harddisk yang sangat besar dapat digunakan sebagai tempat berbagi pakai data/dokumen pekerjaan atau program aplikasi, juga digunakan sebagai backup pekerjaan dari user itu sendiri serta media penyimpan utama seperti gambar, foto, video dan musik.
FILE VIRUS
Bagi anda pengguna internet, sebaiknya cukup waspada jika mengunjungi alamat website yang mengindikasi konten porno atau pengguna yang mengunduh software crack, karena bisa saja ternyata file tersebut justru memiliki script trojan "Stuxnet".
Jika anda sudah terlanjur menjalankan file tersebut, maka "Stuxnet" telah berhasil menginfeksi komputer, dan akan membuat beberapa file sebagai berikut :
Code:
C:\WINDOWS\system32\winsta.exe
C:\WINDOWS\system32\drivers\mrxcls.sys
C:\WINDOWS\system32\drivers\mrxnet.sys
File "winsta.exe" yang dibuat akan membengkak sebesar sisa ruang harddisk yang ada, sehingga menyebabkan harddisk menjadi penuh (biasa-nya drive C atau system dari OS). Sedangkan file mrxcls.sys dan mrxnet.sys merupakan file aktif yang digunakan untuk menginfeksi komputer dan perangkat lain yang terkoneksi (seperti USB Flash/removable drive).
Winsta.exe sendiri sebenarnya adalah file asli Windows yang berguna. WinStation Monitor, yaitu salah satu tools dari Microsoft yang digunakan pada Windows 2000 untuk melakukan monitoring Terminal Service pada sesi client. Lokasi file tersebut juga seharusnya berada pada C:\Program Files\Resources\winsta.exe. Keterangan lebih lanjut pada artikel berikut : http://support.microsoft.com/kb/320190
GEJALA & EFEK VIRUS
Beberapa gejala dan efek yang terjadi jika anda terinfeksi trojan "Stuxnet" adalah sebagai berikut :
- Harddisk komputer-komputer di jaringan kompak mendadak penuh dan mendapatkan peringatan "Low Disk Space". File winsta.exe yang bertambah besar menyesuaikan sisa ruang harddisk yang anda miliki (drive C atau system OS). (lihat gambar 1)
Gambar 1 . File Winsta bertambah besar, menyesuaikan sisa ruang harddisk yang ada
- Karena sisa ruang harddisk yang kosong, tentunya akan menimbulkan notifikasi dari system windows yang menginformasikan bahwa sisa ruang harddisk anda sudah kosong. (lihat gambar 2)
Gambar 2, Peringatan Low Disk Space yang disebabkan oleh membengkaknya Winsta sehingga menghabiskan sisa ruang harddisk.
- Karena ruang harddisk yang sudah kosong, maka anda tidak bisa menyimpan data atau menjalankan program tertentu yang membutuhkan sisa ruang harddisk / menggunakan cache.
- Komputer akan terasa hang/lambat dan bahkan jika anda terkoneksi jaringan akan terputus, hal ini dikarenakan "Stuxnet" yang menginfeksi komputer dan menginjeksi file system. Beberapa file system windows yang menjadi korban infeksi adalah :
1. Svchost : file yang berhubungan dengan koneksi jaringan, dengan menginfeksi file ini maka jaringan akan terputus.
2. Lsass : membuat komputer hang dan lambat serta restart sendiri, dilakukan dengan menginfeksi file ini.
3. Spoolsv : tidak bisa mencetak data lewat printer, hal ini dilakukan dengan menginfeksi file ini.
METODE PENYEBARAN VIRUS
Trojan "Stuxnet" memanfaatkan dengan baik penggunaan usb atau pun share jaringan yang full akses. Trojan akan melakukan infeksi komputer secara otomatis, karena dengan membuat 2 file yang akan ter-eksekusi dengan baik yaitu :
~WTR[angka_acak].tmp
~WTR[angka_acak].tmp
MODIFIKASI REGISTRY WINDOWS
Beberapa modifikasi registry yang dilakukan oleh virus "bekol" antara lain sebagai berikut :
- Menambah Registry
Code:
o HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxCls
o HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet
o HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxNet
o HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxCls
o HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXCLS
o HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXNET
o HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MRXCLS
o HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MRXNET
o HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRxNet
o HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxNet
o HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MRxCls
o HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXCLS
o HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_MRXNET
o HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MRXCLS
o HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_MRXNET
PEMBERSIHAN VIRUS
Langkah-langkah yang harus dilakukan untuk melakukan pembersihan virus ?bekol? adalah sebagai berikut :
- Bersihkan virus dengan menggunakan removal tools Dr.Web CureIt. Anda dapat mendownload pada link berikut : (lihat gambar 3)
http://www.freedrweb.com/download+cureit/
Gambar 3, Gunakan Dr Web Cureit untuk mendeteksi dan membasmi Stuxnet
- Perbaiki registry windows yang sudah di modifikasi oleh virus dengan langkah sebagai berikut :
o Salin script dibawah ini menggunakan wordpad. Klik menu [Start] > [All Programs] > [Accessoris] > [Wordpad].
Code:
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden,0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt,0x00010001,0
HKLM, SOFTWARE\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
[del]
HKLM, SYSTEM\CurrentControlSet\Services\MRxCls
HKLM, SYSTEM\CurrentControlSet\Services\MRxNet
HKLM, SYSTEM\ControlSet001\Services\MRxCls
HKLM, SYSTEM\ControlSet002\Services\MRxNet
HKLM, SYSTEM\CurrentControlSet\Services\Enum\Root\LEGACY_MRXClS
HKLM, SYSTEM\CurrentControlSet\Services\Enum\Root\LEGACY_MRXNET
HKLM, SYSTEM\ControlSet001\Services\Enum\Root\LEGACY_MRXClS
HKLM, SYSTEM\ControlSet002\Services\Enum\Root\LEGACY_MRXNET
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, ShowSuperHidden,0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, SuperHidden,0x00010001,1
HKCU, Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced, HideFileExt,0x00010001,0
HKLM, SOFTWARE\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
[del]
HKLM, SYSTEM\CurrentControlSet\Services\MRxCls
HKLM, SYSTEM\CurrentControlSet\Services\MRxNet
HKLM, SYSTEM\ControlSet001\Services\MRxCls
HKLM, SYSTEM\ControlSet002\Services\MRxNet
HKLM, SYSTEM\CurrentControlSet\Services\Enum\Root\LEGACY_MRXClS
HKLM, SYSTEM\CurrentControlSet\Services\Enum\Root\LEGACY_MRXNET
HKLM, SYSTEM\ControlSet001\Services\Enum\Root\LEGACY_MRXClS
HKLM, SYSTEM\ControlSet002\Services\Enum\Root\LEGACY_MRXNET
Simpan file dengan nama "repair.inf". Gunakan pilihan Save as type menjadi Text Document agar tidak terjadi kesalahan.
Klik kanan file "repair.inf" kemudian pilih "Install". Restart komputer.
- Bersihkan temporary file, hal ini agar dapat mencegah sisa trojan yang mencoba aktif kembali. Gunakan tools seperti "ATF Cleaner" atau gunakan fitur windows yaitu "Disk Clean-Up".
Solusi Darurat mengatasi Winsta :
Untuk mencegah agar tidak kembali menginfeksi, anda dapat menggunakan script berikut :
Code:
@echo off
del /f c:\windows\system32\winsta.exe
rem rd c:\windows\system32\winsta.exe
md c:\windows\system32\winsta.exe
del /f c:\windows\system32\drivers\mrxnet.sys
rem rd c:\windows\system32\drivers\mrxnet.sys
md c:\windows\system32\drivers\mrxnet.sys
del /f c:\windows\system32\drivers\mrxcls.sys
rem rd c:\windows\system32\drivers\mrxcls.sys
md c:\windows\system32\drivers\mrxcls.sys
attrib +r +h +s c:\windows\system32\winsta.exe
attrib +r +h +s c:\windows\system32\drivers\mrxnet.sys
attrib +r +h +s c:\windows\system32\drivers\mrxnet.sys
del /f c:\windows\system32\winsta.exe
rem rd c:\windows\system32\winsta.exe
md c:\windows\system32\winsta.exe
del /f c:\windows\system32\drivers\mrxnet.sys
rem rd c:\windows\system32\drivers\mrxnet.sys
md c:\windows\system32\drivers\mrxnet.sys
del /f c:\windows\system32\drivers\mrxcls.sys
rem rd c:\windows\system32\drivers\mrxcls.sys
md c:\windows\system32\drivers\mrxcls.sys
attrib +r +h +s c:\windows\system32\winsta.exe
attrib +r +h +s c:\windows\system32\drivers\mrxnet.sys
attrib +r +h +s c:\windows\system32\drivers\mrxnet.sys
Simpan file dengan nama "winsta.bat". Gunakan pilihan Save as type menjadi Text Document agar tidak terjadi kesalahan.
Klik 2x file tersebut.
- Untuk pembersihan yang optimal dan mencegah infeksi ulang, scan kembali menggunakan antivirus yang ter-update dan mengenali virus ini dengan
Rabu, 28 Maret 2012
Perbedaan Antara Windows 7 32-bit Dan Windows 7 64-bit
Kebanyakan dari kita pasti sudah pernah mendengar istilah 32-bit dan 64-bit, terutama bagi pengguna laptop. Tapi kebanyakan dari pengguna tidak mengerti apa maksud dan kegunaan dari sistem komputerisasi 32-bit atau 64-bit ini. Saat ini Windows 7 sebagai OS teranyar dari Microsoft berhasil mempopulerkan penggunaan sistem 64-bit kepada pengguna rumahan dan otomatis mulai meninggalkan penggunaan komputer 32-bit. Disini akan dijelaskan secara singkat sejarah penggunaan 32-bit dan 64-bit, kelebihan dan kekurangannya.Sejarah Singkat Komputer 64-bit
Apa yang dimaksud 64-bit? Dalam konteks diskusi tentang komputer pribadi 32-bit dan 64-bit, format XX-bit mengacu pada besarnya register CPU.
Register disini adalah jumlah penyimpanan yang digunakan oleh CPU ketika CPU tersebut menyimpan data. Hal ini diperlukan untuk mempercepat akses data sehingga kinerja dari komputer tetap optimal. Sehingga jika didasarkan pada besarnya register tersebut, CPU dengan register 64-bit dapat memproses data lebih banyak dibandingkan dengan CPU 32-bit yang lebih cepat dari CPU 16-bit dan 8-bit. Semakin banyak ruangan yang tersedia dalam sistem register CPU, maka semakin banyak juga proses yang dapat ditangani, khususnya dalam hal sistem memori. Sebagai contoh, sebuah CPU dengan register 32-bit, akan memmpunyai plafon sebanyak 232 alamat dalam register, sehingga kecepatan akses-nya juga terbatas hanya sampai 4GB RAM. Ini akan kelihatan besar sekali jika kita terapkan di zaman 40 tahun yang lalu, tapi tidak jika diterapkan pada komputer modern seperti sekarang ini. 
Meskipun komputer 64-bit tampak baru di dunia teknologi, tapi pada sesungguhnya telah ada semenjak beberapa tahun yang lalu. Komputer pertama yang menggunakan arsitektur 64-bit adalah Cray UNICOS, yang disetting untuk digunakan sebagai superkomputer 64-bit (Cray 1 dapat dilihat pada gambar diatas). Komputer 64-bit ini diperkirakan akan ramai menjadi super komputer atau komputer server hingga 15 tahun lagi, dan selama itu, para konsumen secara berangsur-angsur beralih ke komputer 64-bit, padahal pada kenyataannya banyak dari mereka yang sudah menggunakannya. Sebagai contohnya: Nintendo 64 dan PlayStation 2 yang memiliki processor 64-bit.
Di tahun 2000-an, orang-orang dibuat bingung dengan versi 64-bit. Buat apa menggunakan versi 64-bit, sedangkan sedikit sekali driver yang support. Di tahun 2001, kemudian Microsoft merilis Windows XP 64-bit Edition, tapi tetap saja dengan support driver yang terbatas. Tahun selanjutnya, OS X Panther dan Linux Distributions mulai membuat CPU yang support 64-bit dalam beberapa kapasitas. Selama 5 tahun, Mac OS X belum sepenuhnya bisa support 64-bit dengan merilis OS X Leopard. Kemudian, Microsoft membuat versi support 64-bit dengan Windows Vista-nya, tapi tetap saja, minim sekali driver yang support, sampai akhirnya keluarlah Windows 7 yang dapat mem-populerkan proses komputer 64-bit hingga ke pengguna rumahan
Apakah komputer kita support 64-bit
Ada beberapa cara untuk mengetahui OS yang dipakai 32-bit atau 64-bit caranya gampang klik kanan Computer pada menu Start Program, kemudian pilih Properties. Langkah tersebut akan mengantarkan kita pada menu System Properties , dan versi OS bisa kita lihat pada System type.
Ni contoh laptopnya saya haha jadi malu nih, cuma pake 32-bit
Mari melihat Kelebihan dan Kekurangannya
Beberapa Kelebihan dari sistem 64-bit :
Kita dapat menambah RAM memori secara gila-gilaan. Berapa lagi? Windows versi 32-bit atau sistem operasi sejenisnya mempunyai kapasitas RAM terbatas, yaitu hanya sampai 4096MB atau 4GB. Sedangkan untuk 64-bit, secara teoritis mampu mendukung sistem RAM kurang lebih sekitar 17 Milyar GBs. Namun secara realistis, karena masalah perizinan dan bukan karena masalah keterbatasan fisik, Windows 7 Home Edition memiliki keterbatas sistem RAM yang hanya mampu mendukung 16 GB, sedangkan Windows 7 Professional dan Ultimate mampu mendukung hingga 192 GB RAM.
Peningkatan efesiensi. Bukan hanya bisa meningkatkan sistem RAM pada sistem kita (tergantung juga motherboard), komputer 64-bit juga dapat lebih efisien dalam hal penggunaan RAM tersebut. Karena sifat dari sistem alamat 64-bit dan bagaimana Windows 64-bit dapat mengalokasikan memori sehingga kita dapat melihat hanya sedikit sistem memori kita yang digunakan oleh sistem sekunder, seperti video card. Meskipun kita hanya memasang jumlah RAM secara double, tetapi terasa lebih dari itu karena efisiensi-nya sistem baru tersebut.
Meningkatnya alokasi virtual memori per proses. Dibawah arsitektur 32-bit, Windows memiliki keterbatasan penggunaan memori untuk menjalankan aplikasi yaitu hanya sampai 2 GB saja, sedangkan game modern, aplikasi photo dan video editing serta aplikasi lainnya membutuhkan memori yang sangat besar. Dengan sistem 64-bit, semua itu bisa diatasi, sehingga secara teoritis kemampuannya dapat ditingkat hingga lebih dari 8TB virtual memori. Itu lebih dari cukup untuk editing Photoshop dan sesi Crysis. Pada penggunaan dan alokasi memori yang lebih efisien diatas, aplikasi-aplikasi dioptimalkan untuk sistem operasi 64-bit, seperti Photoshop dan VirtualBox, yang super cepat dan mengambil keuntungan penuh dari keleluasaan memori dan prosesor yang diberikan kepada mereka.
Nikmati kelebihan sistem keamanannya.Windows 64-bit dengan prosesor modern 64-bit memiliki sistem proteksi atau keamanan tambahan yang tidak tersedit di versi 32-bit. Sistem keamanan ini termasuk hardware D.E.P serta Kernel Patch Protection yang akan melindungi kita terhadap eksploitasi kernel, dan driver-driver yang harus sah secara digital yang dapat menahan driver tersebut dari infeksi virus.
Kerugian komputer 64-bit yang bisa dijadikan bahan pertimbangan:
Kita tidak dapat menemukan driver 64-bit untuk perangkat yang sudah tua meskipun perangkat tersebut sangat penting. Ini merupakan masalah serius, tapi jika hardware yang kita pakai diproduksi pada 1 atau 2 terakhir maka kita tidak akan menemui kesulitan, karena banyak vendor yang menyediakan driver versi 64-bit. Berbeda dengan hardware yang sudah tua, karena para vendor lebih banyak menghabiskan banyak waktu dan biaya untuk mendukung produk barunya dari pada menghabiskan waktu dan biaya untuk mendukung produk lama. Mungkin ini tidak akan masalah untuk mengganti atau meng-upgrade perangkat yang kecil-kecil, tapi bagaimana dengan perangkat yang membutuhkan biaya besar. Nah, hal ini harus menjadi bahan pertimbangan tersendiri.
Motherboard kita tidak mendukung memori RAM lebih dari 4GB. Meskipun jarang ataupun tidak terdengar memiliki motherboard yang akan mendukung prosesor 64-bit dari awal, tapi tidak akan mendukung memori RAM lebih dari 4GB. Dalam hal ini, kita masih bisa mendapatkan keuntungan dari prosesor 64-bit tapi kita tidak akan mendapatkan kelebihan-kelebihan seperti yang selama ini didambakan, yaitu akses lebih ke memori. Namun, harga perangkat keras begitu murah akhir-akhir ini, dan mungkin memang saatnya pensiun untuk motherboard lama dan meng-upgrade-nya pada saat bersamaan dengan upgrade OS.
Motherboard kita tidak mendukung memori RAM lebih dari 4GB. Meskipun jarang ataupun tidak terdengar memiliki motherboard yang akan mendukung prosesor 64-bit dari awal, tapi tidak akan mendukung memori RAM lebih dari 4GB. Dalam hal ini, kita masih bisa mendapatkan keuntungan dari prosesor 64-bit tapi kita tidak akan mendapatkan kelebihan-kelebihan seperti yang selama ini didambakan, yaitu akses lebih ke memori. Namun, harga perangkat keras begitu murah akhir-akhir ini, dan mungkin memang saatnya pensiun untuk motherboard lama dan meng-upgrade-nya pada saat bersamaan dengan upgrade OS.
Software legal atau masalah software yang berhubungan dengannya. Tidak semua software beralih ke 64-bit. Tidak seperti Windows versi sebelumnya, Windows 7 64-bit tidak semuanya mendukung aplikasi 16-bit. Jika secara kebetulan kita masih bisa menjalankan aplikasi lama secara legal, maka lupakan untuk meng-upgrade-nya. Karena aplikasinya 64-bit bukan berarti plugin dan extention-nya juga bisa berjalan di 64-bit. Photoshop dan FireFox contohnya, adalah aplikasi yang secara umum mengalami masalah seperti itu. Aplikasi tersedia untuk 64-bit tapi plugin-nya tidak mampu, padahal plugin tersebut juga penting.
Nah bagaimana? mau pake yang 32-bit atau 64-bit? Semua tergantung rakan, kalo saya sih masih nyaman-nyaman aja pake yang 32-bit
Wassalam.
