 |
| Gambar 1 |
Anti Virus palsu ini sama seperti Anti Virus palsu sejenisnya yang menakut-nakuti korban dengan sejumlah deteksi virus dan peringatan yang tiada hentinya. Tampilannya sangat meyakinkan korbannya sehingga akan memancing korban untuk membeli serial key-nya.
Hal yang membedakan Antivirus asli dengan yang palsu secara umum adalah:
1. AV palsu melakukan scan tanpa diperintah
2. Pada AV palsu, tidak terlihat proses penginstalannya
3. Size filenya sangat ringan
4. Setiap kegiatan yang anda lakukan, anda akan diminta Register (membeli)
5. Biasanya akan melakukan blok terhadap aplikasi tertentu maupun semua aplikasi
6. Tidak bisa ditutup ataupun di-exit dan tampilan jendelanya selalu menimpa jendela aplikasi lainnya.
7. Datang tanpa diudang. Anda mendapatkan AV palsu ini bukan saat anda ingin mencari AV, melainkan anda dapatkan pada saat mencari hal lain yang kemudian diarahkan pada mendownload suatu file AV palsu ini.
Fake AV biasanya menyebar dengan memanfaatkan media sosial networking seperti Yahoo Messsager, MSN Messsager maupun Facebook dengan mengirimkan link virus ke semua account yang ada pada aplikasi tersebut.
Tipe file: Aplikasi (exe)
Jumlah Sampel: 2
Size: 357 kB, 323 kB
Sampel dari: Ponco Wibowo (Smadaver)
MD5: EA77763BDC21F76166A056BD6360DF26, D254AD03D36394C922028E34D4194484
CRC32: 104ACB68, 4B056DD4
Sewaktu pertama kali dijalankan, file ini akan membuat Induknya di C:\Documents and Settings\[USER]\Local Settings\Application Data yang bernama acak dan berlogo sama dengan file pertama tadi dengan Signature MD5 dan CRC32 yang sama juga:
  |
Kemudian file pertama yang dijalankan tadi akan dihapus untuk menghilangkan jejak dan akan munculkan pesan berikut ini tanpa ada tampilan proses instalasi:
Setelah korban mengklik tombol OK, maka Induk Security Shield mulai berjalan dan akan muncul tampilan yang mulai melakukan scan pura-pura terhadap komputer korban. Proses scan ini tidak bisa dihentikan maupun di-minimize (lihat gambar pertama di atas).
Setelah selesai melakukan scan tipu menipu, maka dia akan menampilkan Summary dari virus-virus yang dideteksinya pada komputer korban:
Apabila korban menekan Tombol Remove, maka korban akan diantarkan pada Website untuk membeli serial key dari Security Shield ini yang tentunya merupakan sebuah penipuan yang ingin mencuri informasi yang dimasukkan sewaktu ingin membeli serial key-nya.
Untuk lebih meyakinkan korbannya bahwa komputernya sedang terinfeksi virus-virus yang dideteksinya, maka sesekali akan muncul pesan dari Tray Icon Taskbar Fake AV ini:
Apabila korban menyimpan Report hasil scan dengan menekan Tombol Save Report pada gambar 1 di atas, maka akan tersimpan Report palsu dalam bentu notepad yang isinya adalah:
Sebagai pertahanan, Security Shield akan menghalangi setiap proses aplikasi yang akan dijalankan dengan menampilkan pesan berikut: (dalam hal ini saya mencoba menjalankan Smadav)
Bukan aplikasi dari luar saja yang dihalangi, tetapi aplikasi dari dalam sistem Windows juga dihalanginya seperti Task Manager, Regedit, dll. Ini membuat proses Fake AV ini tidak bisa di-Terminate melalui Task Manager ataupun aplikasi sejenisnya. Termasuk juga Rundll32.exe juga dihalanginya sehingga komputer korban tidak bisa menampilkan pesan Safely Remove Harware pada Drive USB.
Fake AV ini juga menampilkan jendela yang sangat mirip dengan Windows Security Center Alerts:
Coba perhatikan gambar tadi dengan seksama, Automatic Updates dan Firewall yang ditunjukkannya akan tetap pada status On walaupun sebenarnya dalam status Off. Jendela ini juga tidak bisa ditutup oleh korban (coba perhatikan kembali tombol closenya yang tidak bisa diklik).
Security Shield juga akan menampilkan Balloon pada Taskbar seperti yang dilakukan oleh wscntfy.exe:
Yang mana pada Balloon asli sebelah kiri (yang ditampilkan wscntfy.exe), akan keluar Tulisan Windows Security Alerts ketika pointer Mouse berada dekat dengannya. Tetapi tidak demikian pada Balloon sebelah kanan yang dimunculkan Fake AV ini.
Dari Balloon palsu inilah kemudian akan muncul pesan peringatan untuk meluluhkan hati korban yang sudah mulai ragu-ragu:
Sebagai "bonus", Security Shield juga menyediakan berbagai bahasa:
Pembersihan:
Security Shield akan aktif setiap user melakukan Log on Windows walaupun tidak merubah Registry pemicu otomatis seperti pada kebanyakan virus lainnya. Tetapi dia tidak aktif sewaktu boot pada safe mode maka pembersihannya cukup melakukan booting pada safe mode dan hapus file induk bernama acak (exe) pada C:\Documents and Settings\[USER]\Local Settings\Application Data yang bericon sama seperti pada gambar 2.
Karena Security Shield tidak mengacaukan Registry, maka sampai tahapan ini proses penghapusan telah selesai. Restart kembali dan boot pada mode normal untuk memastikan Fake AV Security Shield ini telah hilang.
Semoga berhasil
0 komentar:
Post a Comment