SystemTools: Remove All Spyware from Your PC

SystemTools. Beberapa hari yang lalu, sebagian user di kagetkan dengan adanya aplikasi SystemTools yang tanpa mereka sadari aplikasi tersebut adalah “FakeAntivirus” atau “Antivirus Palsu”. Malware sejenis pernah di bahas pada postingan sebelumnya yang berjudul FakeAV-Downloader.G. Laporan di dapat dari user yang mendownload salah satu antivirus lokal dari website resminya yang kemudian justru menjalankan antivirus palsu.

A. Info Malware
Nama: SystemTools
Asal: Belum diketahui
Ukuran File: 397 KB (407,040 bytes)
Packer: -
Pemrograman: Visual C++
Icon: Random
Tipe: Trojan
B. Tentang Malware
Awalnya, kami mendapat laporan mengenai user yang mendapat pesan di Facebook dan isinya adalah sebuah link yang jika dibuka maka akan mendownload sebuah file dengan nama surprise.exe. Setelah file tersebut di jalankan, user merasakan keanehan yang terjadi pada komputernya. Contohnya seperti Firefox tidak bisa di buka, juga Task Manager dan beberapa file aplikasi lainnya.
Selain beberapa aplikasi tidak bisa di buka, wallpaper pada desktop komputer user berubah seperti pada gambar berikut.

Malware tipe Trojan ini mengingatkan kita pada salah satu virus yang sempat menghebohkan Indonesia yaitu Windx-Maxtrox pada tahun 2008 yang juga mengubah desktop. Kesuksesan SystemTools ini menyebar di indonesia adalah:
1. Menyebar melalui Facebook dan salah satu website yang menyediakan fasilitas download gratis.
2. Pada saat pengguna mengunduh SystemTools ini dari Internet, beberapa antivirus luar negeri belum ada yang mendeteksinya sebagai malware.

Dibuat menggunakan C++ tanpa di-pack, malware ini juga memiliki keistimewaan lain. Yaitu kemampuan untuk merubah DateTimeStamp pada informasi headernya. Sehingga hash MD5nya selalu berubah meskipun ukuran filenya sama.

Harga antivirus palsu ini juga tidak tanggung-tanggung.
1 tahun lisensi: $ 59.95
2 tahun lisensi: $ 69.95
Lifetime lisensi: $ 79.95
Lifetime premium support: $ 19.95
C. Companion/File yang dibuat
Setelah aktif di memory, system tools akan membuat beberapa file seperti:
1. Membuat file [nama acak].tmp yang sebenarnya adalah file gambar (BMP / Bitmap) dan nantinya akan dijadikan wallpaper dekstop pada folder C:\Documents and Settings\[nama user]\Local Settings\Temp

2. Membuat file yang akan di jalankan setelah startup dengan nama acak dan file lain tanpa ekstensi pada folder C:\Documents and Settings\All Users\Application Data\[folder dengan nama acak]
D. Hasil Infeksi
Setelah aktif di memory, malware ini akan memblok setiap file aplikasi, kecuali file dengan nama file system seperti pada gambar di bawah:

Malware juga memunculkan pesa-pesan palsu seperti gambar berikut:


Selain menampilkan wallpaper yang berubah seperti yang telah ditampilkan sebelumnya, malware juga terkadang menampilkan pesan Blue Screen Of Death (BSOD) yang menandakan seolah olah sistem komputer sudah benar-benar rusak.

Memaksa user untuk melakukan registrasi agar mendapatkan kode aktivasi dan membersihkan semua malware yang di laporkan oleh SystemTools.

Agar bisa berjalan saat startup, SystemTools membuat value registry baru di:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\[nama acak], “C:\Documents and Settings\All Users\Application Data\[nama folder aca]\[nama acak].exe”
E. Pembersihan
Untuk pembersihan, dapat dilakukan dengan 2 cara. Yaitu dengan cara manual dan cara langsung menggunakan PCMAV.
Cara manual:
1.Cari file task manager (taskmgr.exe) yang terdapat pada folder
C:\WINDOWS\system32\taskmgr.exe

2.Copy file tersebut ke My Documents, dengan klik kanan lalu pilih menu
Send to My Documents.
3.Buka folder My Documents, kemudian Rename file “taskmgr.exe” menjadi “Explorer.exe” dan jalankan file tersebut, maka akan tampil Task Manager.

4.Cari proses dengan nama aneh misalnya “eImHbDk02400.exe” kemudian kill proses tersebut (End Process).

5.Buka Windows Explorer, aktifkan fungsi “Show Hidden Files and Folders” pada “Folder Options” dengan memilih menu Tools – Folder Options – View, pilih Show Hidden Files and Folders, lalu klik OK.

6. Masuk ke folder “C:\Documents and Settings\All Users\Application Data” cari dan hapus folder dengan nama aneh, misalnya “eImHbDk02400″ yang di dalamnya terdapat file dari SystemTools.

7. (Opsional, jika boleh dilakukan atau tidak masalah jika tidak dilakukan) Masuk ke folder “C:\Documents and Settings\[nama user]\Local Settings\Temp“, cari dan hapus file Temporary (tmp) yang ukurannya tidak wajar (2MB ~ ) karena file tersebut adalah file bitmap yang dijadikan wallpaper pada desktop user yang terinfeksi.

8.Aktifkan Kembalikan fungsi “Do not show hidden files and folders“.
Pilih menu Tools – Folder Options – View, pilih “Do not show hidden files and folders“, dan klik OK.

9.Log Off Komputer.
10.Komputer kembali normal.

Virus terbaru saat ini

M3Reincarnation.B: Desktop Menjadi Screensaver

M3Reincarnation.B dibuat menggunakan bahasa pemrograman Visual Basic tanpa di-pack. Berukuran sekitar 292 KB dan menggunakan icon folder Windows 98/2000 yang sebenarnya sudah jarang sekali ditemukan malware dengan icon seperti ini. Membuat beberapa duplikat worm dengan nama file seperti :

C:\readme.txt
C:\version.sys
C:\AVG.exe
C:\version.sys
C:\ccinfo.exe
C:\v.reg
C:\vv.reg
C:\vvv.reg
C:\m3r.sys
C:\m3r.txt
C:\csw.exe
C:\WINDOWS\ readme.txt
C:\WINDOWS\ ccinfo.exe
C:\WINDOWS\msginax.dll
C:\WINDOWS\creditcardinfo.txt.exe
C:\WINDOWS\system32\readme.txt

Sebagai perlindungan , M3Reincarnation.B men-disable beberapa tools Windows seperti :

• Folder Options
• Run Command
• System Restore
• Regedit

Agar bisa berjalan sendiri saat startup Windows, M3Reincarnation.B membuat startup di registry dengan nama Stack yang mengarah pada C:\AVG.exe.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Stask

FlyFF: Reinkarnasi Amburadul

FlyFF. Worm Amburadul adalah salah satu worm yang sempat membuat banyak user kewalahan dibuatnya. Meng-hidden semua file gambar dan

di gantikan dengan file bertipe (.exe) tapi dengan nama file yang sama dengan file asli. Pada varian lain ditemukan Amburadul juga menghapus beberapa file video.

Random8: Worm Pembuat Shortcut

Virus Random8. Salah satu worm yang paling banyak beredar di masyarakat saat ini. Worm ini dibuat dengan menggunakan bahasa pemrograman Visual Basic tanpa di-pack dan memiliki icon standar aplikasi Visual Basic. Walaupun varian-varian yang ditemukan sampai saat ini tidak menunjukkan payload yang destruktif, tetapi munculnya varian-varian baru dan penyebarannya yang cepat perlu diwaspadai terutama

flashdisk dan harddisk.

MyLovely: Menebar Pesan Cinta

MyLovely. Cinta bisa datang kapan saja, tetapi Anda tidak akan mengharapkan pesan cinta dari worm yang satu ini. Saat komputer Anda terinfeksi oleh worm MyLovely, file tertentu yang Anda klik akan menampilkan pesan seperti pada gambar diatas.

Bandot.C: Merayakan Event Dengan Cara Unik

Bandot.C. Sesuai informasi dari worm ini sendiri pada file yang diciptakannya, ia telah dibuat sejak tahun 2007, tetapi variannya masih ditemukan sampai saat ini. Dibuat dengan bahasa pemrograman Visual Basic dan berukuran sekitar 88 KB, ciri yang mudah terlihat dari worm ini adalah menampilkan icon Found New Hardware pada system tray dan menampilkan pesan tertentu sesuai dengan tanggal sistem.

Labuan: Mencari dan Menghapus File Video

Labuan. Walaupun sederhana dan berukuran kecil, worm berukuran sekitar 20 KB ini dapat menyebabkan dampak yang besar, yaitu terhapusnya file-file video yang memiliki ekstensi file tertentu.

Amis: Menyamar Sebagai File Mp3

Amis. Tipuan dengan teknik social engineering masih menjadi senjata ampuh malware agar pengguna menjalankannya, sebagaimana yang dilakukan oleh worm ini. Dengan icon menyerupai aplikasi Winamp dan membuat file tampak memiliki ekstensi *.mp3, sekilas file worm tersebut merupakan file mp3 biasa yang siap untuk didengarkan. Tetapi jika pengguna cukup waspada, file worm ini mudah dikenali dari type, size, maupun tampilan property yang tampak saat cursor mouse diarahkan pada file tersebut (seperti pada gambar).

FaLoNgel: Beranak Pinak Dalam Hard Drive

FaLoNgel. Melihat screenshot diatas, kehadiran worm ini jelas mudah diketahui, karena ia memanipulasi registry tertentu yang menyebabkan icon yang tampil pada desktop dan menustart menjadi lebih besar dari ukuran default. Tetapi membersihkannya bukanlah perkara mudah, karena ia akan beranak pinak didalam hard drive membuat ribuan file. Lebih buruk lagi, ia dapat menghapus file-file dengan ekstensi antara lain *.doc, *.html, *.htm, *.db, *.ocx dan menggantinya dengan duplikat worm.