Jika suatu saat anda tengah melirik jam di pojok sebelah kanan taskbar dan tiba-tiba melihat sebuah kata CETiX di sebelahnya, kemungkinan PC anda terkena virus ini. Cetik merupakan suatu kata dalam bahasa bali yang dapat diartikan sebagai racun. Hari ini saya disibukkan oleh kemunculan virus ini. Sebenarnya virus lokal ini sudah lama melalangbuana, namun baru kali ini 'bertemu' dengan si cetik yang centil ini.
Setelah generasi virus brontok dan kawan-kawannya, para pembuat virus lokal pun kini semakin pintar dalam hal memblokir celah-celah yang dapat memungkinkan user untuk 'membunuh' ciptaannya tersebut. Pembuat virus ini memang terlihat lebih piawai dalam menginjeksi sistem windows. Ciri-ciri PC yang terkena virus ini antara lain :
1.Tidak bisa menjalankan file berextension exe,com,bat, termasuk Regedit,Task Manager,
Command Prompt;
2.Di jendela explorer akan muncul pesan dari pembuat virus :
CETiX : Don't Kill Me Please...! My name is CETiX,Nice to meet you...
3.Seluruh file yang diinfeksi berukuran 45 kb.
4.Mengubah Registered Owner di System Properties menjadi xz,CETiX BALi
5.File teks/pesan di C:\infoBali.txt dan C:\aboutCetix.html, di desktop juga muncul file aboutCetix.html ini
Isi file infoBali.txt :
W32.CETiX.XZ
CETIK/RACUN/POISON/TOXIC From BALI
WARNING !
KOMPUTER ANDA KERACUNAN !!!
Hello ! My name is CETiX, Nice to meet you...
xz-h4ck'99
CETIK/RACUN/POISON/TOXIC From BALI
WARNING !
KOMPUTER ANDA KERACUNAN !!!
Hello ! My name is CETiX, Nice to meet you...
xz-h4ck'99
Ketika mencoba melakukan scan dengan PCMav 1.2, virus langsung merespon :
WARNING!!!Virus or threat found! (PCMAV-CLN.exe) Please don't use AntiVirus!...
lalu file PCMAV-CLN dan PCMAV-RTP pun langsung dirubah mejadi folder berextension exe...
Pembuat virus rupanya berusaha menutup segala kemungkinan aksi pembersihan si cetik ini.
Saya coba jalankan PCMAV dari CD, virus langsung menutup paksa kembali. Masih dari CD, saya coba jalankan Process Explorer, responnya berbeda dengan sebelumnya :
WARNING!!! AntiVirus Detected! Your system will reboot now!...
dan PC pun langsung direstart olehnya...
Dalam kondisi normal atapun Safe Mode, hasilnya selalu begitu. Sebenarnya dari CD yang dibuat yang berisi PCMAV, jika kita paksa menekan enter terus menerus, PCMAV-CLN dapat dijalankan, namun sayang tidak terdeteksi juga.
Ketika coba menelusuri memakai CD Hiren's Boot, didapati ada beberapa file yang dicurigai :
- di tiap drive : autorun.inf
- di tiap drive : untitled.exe
- di tiap drive : xz.exe
- di startup : vserve.exe
- di c:\windows\cetix.exe
- di c:\windows\racun.exe
- di c:\windows\system32\toxic.exe
- di c:\windows\system32\poison.exe
Virus ini masih aktif di memori, untuk menonaktifkannya bisa menggunakan tool VBlister.
Lalu repair registry dengan script ini. Hapus juga file atau folder yang berextension exe dan juga yang berukuran 45 kb.
|