Blue Fantasy__si Tolol yang Patah Hati

Surabaya in my birthday.
Don’t kill me, i’m just send message from your computer. Terima kasih telah menemaniku walaupun hanya sesaat, tapi bagiku sangat berarti. Maafkan jika kebahagiaan yang kuminta adalah teman sepanjang hidupku. Seharusnya aku mengerti bahwa keberadaanku bukanlah disisimu, hanyalah lamunan dalam sesal. Untuk kekasih yang tak kan pernah kumiliki 3r1k1m0
____(diambil dari Vaksin.com

Begitulah sekelumit pesan dari virus yang sudah merasuki banyak komputer belakangan ini. Oleh PCMAV virus ini dideteksi dengan nama Blue Fantasy atau Erikimo.

Berikut petikan profilnya yang juga diambil dari Vaksin.com :

Setelah virus Banjir menyebar dan melakukan aksi harakiri pada data komputer korbannya, yang secara tidak langsung menghambat penyebaran dirinya. Ada satu virus yang cara berpikirnya terbalik dibandingkan dengan virus Banjir, virus ini dapat dikatakan tidak jahat dan aksi yang dilakukannya “hanya” menyembunyikan  file / folder di komputer yang menjadi korbannya dan membuat duplikat sebagai dirinya. Mungkin dampak aksi ini agak berbahaya jika korbannya memiliki penyakit jantung, melihat semua data di komputernya hilang dan terkejut tentunya “agak-agak” berbahaya bagi penderita jantung. Tetapi tentunya ini tidak bedanya dengan menonton film “Lewat Tengah Malam” atau “Terowongan Casablanca”. Padahal data komputer yang menjadi korban Blue Fantasy ini hanya di hidden dan dapat dikembalikan.

Jika virus Banjir (W32/PoisonIvy.NQ) menginfeksi komputer korbannya dan melakukan aksi bumi hangus pada data komputer korbannya, satu bulan belakangan ini muncul virus baru yang penyebarannya cukup merata / meluas di Indonesia, tetapi kabar baiknya, virus ini tidak menghancurkan data korbannya tetapi menyembunyikan data di komputer yang menjadi korbannya. Virus dengan ukuran 40 KB ini akan mengelabui korbannya dengan memalsukan dirinya sebagai icon folder dan memiliki kemampuan autorun (berjalan otomatis) menginfeksi komputer korban jika anda mencolokkan UFD (USB Flash Disk) yang sudah terinfeksi virus ini. Ciri khas virus ini adalah menampilkan pesan dengan header 81u3f4nt45y – 24.01.2007.

Setiap kali komputer login Blue Fantasy yang “mengaku” dari Surabaya ini akan menampilkan pesan (lihat gambar 1), selain itu ia juga akan mencoba untuk menyembunyikan file/folder yang ada di Flash Disk atau disetiap Drive dan untuk mengelabui user ia akan membuat file duplikat sesuai dengan folder yang disembunyikan.

Jika VBworm.MYE sudah aktif pada komputer target ia akan membuat beberapa file yang akan dijalankan setiap kali jika komputer dinyalakan diantaranya:

  • C:\Documents and Settings\%user%\Start Menu\Programs\Startup

    • Adobe Online.com

    • Adobe update.com

  • C:\Documents and Settings\%user%\Autoexec.bat

  • %Drive%:> autorun.inf

  • %Drive%:> Thumbs.com

  • %Drive%:> thumbs   .db

Catatan: %Drive% ini menunjukan lokasi Drive  [contoh Drive C:\ atau D:\]

Tidak Blok Fungsi Windows

Dilihat dari aksi yang dilakukan, VBWorm,MYE tidaklah terlalu membahayakan karena hanya sebatas menyembunyikan file/folder saja tidak seperti virus lain yang mencoba untuk menghapus file. Disamping itu untuk varian awalnya tidak akan melakukan blok terhadap fungsi Windows seperti Regedit, msconfig atau task manager serta beberapa tools security lainnya [HijackThis/killbox atau prosesxp]. Secara tidak langsung, virus ini menyebar meluas karena aksinya yang tidak terlalu jahat membuat virus ini “kurang” menjadi prioritas untuk diatasi dibandingkan dengan virus lain yang aksinya jahat seperti menghancurkan data atau memblok login.

Walaupun demikian VBWorm.MYE ini akan tetap mencoba untuk bermain-main dengan folder option dengan “selalu” mengaktifkan option “Do Not Show hidden files and folders” dan “Hide Extension for known files types” hal ini dimaksudkan agar user kesulitan untuk  menampilkan file/folder yang sudah disembunyikan dan mempersulit user untuk mengetahui ekstensi dari file tersebut. Untuk melakukan hal tersebut ia akan merubah string pada registry berikut :

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt

    • UncheckedValue = 1

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

    • CheckedValue = 0

    • DefaultValue = 2

Hati-hati dengan file berbentuk folder  berukuran 40 KB

Seperti yang sudah dijelaskan sebelumnya bahwa VBWorm.MYE akan menyembunyikan file/folder dan mencoba untuk membuat file duplikat sesui dengan folder yang disembunyikan dimana file duplikat tersebut akan di buat disetiap folder dan subfolder dengan ciri-ciri:

  • Menggunakan icon “Folder”

  • Ukuran 40 KB

  • Ekstensi .SCR

  • Type file “File Folder”

Agar file duplikat tersebut tampak seolah-olah berupa folder maka VBWorm.MYE akan merubah type file duplikat tersebut dari “Screen saver” menjadi “File Folder” selain itu VBWorm.MYE juga akan menyembunyikan ekstensi dari file duplikat tersebut sehingga semakin sempurnalah penyeramaran yang dilakukan oleh virus tersebut dengan demikian user akan mudah terjebak untuk menjalankan file tersebut, jika anda selalu ingat bahwa suatu folder (ditektori) TIDAK akan mempunyai ukuran semakin memperkecil peluang virus tersebut untuk menyebar dan memperkecil kemungkinan komputer anda terinfeksi virus ini. Untuk melakukan hal tersebut diatas ia akan membuat string pada registry berikut

  • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile

    • Default = File Folder

    • InfoTip

    • NeverShowExt

    • TileInfo

Menyebar secara Otomatis melalui Flash Disk

Sebagai media penyebarannya, VBWorm.MYE masih menggunakan Flash Disk dengan menyembunyikan file/folder yang ada dalam Flash Disk tersebut dan membuat file duplikat sesuai dengan file/folder yang disembunyikan dengan ukuran 40 KB dimana file tersebut akan menyamarkan dirinya dengan menggunakan icon “Folder”, selain itu VBWorm.MYE juga akan membuat 3 buah file utama sebagai file induk yang akan di aktifkan setiap kali user mencoba untuk akses Flash Disk yakni Autorun.inf, Thumbs.com dan thumbs   .db, file Thumbs  .db ini terdeteksi oleh Norman Virus Contol sebagai VBTroj.dam.

Agar virus ini dapat aktif secara otomatis setiap kali user akses Flash Disk tersebut tanpa harus menjalankan file yang terinfeksi secara manual, VBWorm.MYE  akan membuat file Autorun.inf (lihat gambar 4) dimana script ini berisi perintah untuk menjalankan file Thumbs.com dan sebagai pendukung agar dirinya dapat aktif VBWorm.MYE juga akan membuat file Thumbs    .db di direktori yang sama. Ke tiga file ini juga akan dibuat disetiap Drive sehingga setiap kali user akses terhadap drive tersebut maka secara tidak langsung akan mengaktifkan kembali VBWorm.MYE.

VBWorm.MYE juga akan menampilkan pesan seperti gambar 1 setiap kali komputer login dengan terlebih dahulu melakukan perubahan pada registri berikut:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

    • LegalNoticeCaption = 81u3f4nt45y – 24.01.2007 – Surabaya

    • LegalNoticeText = Surabaya in my birthday. Don’t kill me, i’m just send message from your computer. Terima kasih telah menemaniku walaupun hanya sesaat, tapi bagiku sangat berarti. Maafkan jika kebahagiaan yang kuminta adalah teman sepanjang hidupku Seharusnya aku mengerti bahwa keberadaanku bukanlah disisimu, hanyalah lamunan dalam sesal Untuk kekasih yang tak kan pernah kumiliki 3r1k1m0.

Membuat File Duplikat

Sebagai penutup ia akan membuat file duplikat disetiap folder dan sub folder dengan terlebih dahulu menyembunyikan file/folder asli yang dijumpainya. File duplikat tersebut mempunyai ciri-ciri : (lihat gambar 5)

  • Menggunakan icon “Folder”

  • Ukuran 40 KB

  • Ekstensi .SCR

  • Type file “File Folder”

Memang enak kalo nyontek artikel dari orang lain ya..hehehehe..tinggal kopi trus paste 😀

Anyway, kenapa saya menurunkan artikel ini dikarenakan :

  1. Saya sedang flu, jadi nggak konsen nulis artikel sendiri. Kepala mual perut pusing..
  2. Komputer saya juga kena Blue Fantasy ini, cuma bedanya komputer saya nggak menampilkan pesan “patah hati” seperti paragraf pembuka diatas.
  3. PCMAV saya mendeteksi virus Blue Fantasy. Jadinya saya nyangkut ke link-nya Vaksin.com
  4. Lagi-lagi dibuat oleh orang yang patah hati.

Melihat deksripsi dari vaksin.com diatas tampak jelas bahwa virus ini masih bekerja dengan cara-cara “biasa” seperti yang telah diungkit di artikel sebelumnya pada blog ini . Akan tetapi ada perbedaan dengan virus yang lain yaitu Blue Fantasy menempatkan file Autorun.inf di root media penyimpan.

Autorun ini merupakan file yang berisi seperangkat instruksi yang akan berjalan secara otomatis saat drive yang berisi Autorun.inf ini diakses. Sama seperti CDROM yang memunculkan program secara otomatis setelah dimasukkan ke drive.

Tapi bukan hal teknis yang ingin saya tajamkan disini, tapi hal non teknis yang ingin saya utamakan pada artikel kali ini : Cinta….

Yah namanya orang lagi jatuh cinta, kalau diputusin pasti sakit hati-nggak enak makan nggak enak tidur en sedih plus gundah gulana. Serasa  dunia ini akan berakhir tanpa kehadiran si dia. Tul nggak ? Saya yakin mbak mas semua pernah mengalami kegagalan cinte.

Tapi gimana orangnya sih dalam menghadapi kegagalan cinta.

Ada yang tegar kayak Rossa, ada juga yang sedih meratapi nasibnya trus jadi lembek.

Nah si pembuat virus ini saya pikir masuk dalam kategori nomor dua : Bukannya mengurusi sendiri kesedihannya, dia malah “membagi” kesusahannya dengan banyak orang dengan cara MEMBUAT VIRUS.

Entah karena nggak punya temen curhat atau skill programmingnya nggak tersalurkan karena belum ada lowongan di pabrik program. Atau bisa juga karena ingin pamer kali ya ?

Yah sudahlah…Mas atau Mbak pembuat Blue Fantasy dan virus “patah hati” lainnya, lain kali kalo gagal dalam percintaan mbok ya jangan bikin virus toh ! cobalah bikin apa gitu yang bikin kita-kita senang, bukannya menggerutui sampeyan.

Gimana kalo bikin Virtual Boy/Girl Friend ? jadi kita punya pacar virtual di desktop kita. Bisa di kencani, diajak makan, diajak bobo..kalo bosen tinggal uninstall aja avatarnya trus donlot lagi pacar yang baru. hehehehe…

Udah ah koq jadi ngelantur…

2 Responses

  1. betul juga tuh.. tapi aku barusan buat baru lagi, sesuai “Name” ya hanya infeksi file doc, xls, open office, photoshop, corel, autocad, adobe reader, avi, jpeg, bmp, gif… ya smentara itu dulu sajalah.. ntar kapan2 aku bikin yang lebih baik lagi yah..

    smoga yang terinfeksi bulan2 ini.. dikuatkan imannya

  2. haha..monggo..ditunggu..
    BTW bikin apa ya? saya rada OOT nih..bikin virus atau antivirus?
    sampeyan mau bikin virus yang lebih ok? ya silakan..berarti kemampuan anda jauh diatas saya :
    anda mungkin jago di unix, anda mungkin ahli di windows. Tapi ada banyak lagi yang lebih ahli diatas anda. kalau anda di sisi “gelap” anda berhadapan dengan lebih banyak orang di sisi “terang” yang ingin membuat internet sebuah tempat yang lebih baik. Masalah hati simpanlah hanya buat anda. Andaikan ingin diungkapkan, ungkapkanlah dengan tepat. Ingat bung..wanita tidak hanya satu. Saya yakin ada banyak wanita yang tertarik kepada anda. Anda pintar, pendidikan baik, orangtua baik. Apalagi? Sekarang tergantung pada anda. Apakah ingin menggelapkan hati anda dan dijauhi karena aura gelap anda?
    Saya coba menerawang anda :
    – Usia anda dibawah saya (<26). Wajar kalau emosi masih tak terkendali. Tapi tunggulah beberapa tahun lagi. Anda akan malu atas tindakan anda waktu “ABG”. Sekali lagi saya maklum. Saya juga pernah jadi ABG toh?
    U know..saya banyak mendengar rekan2 saya yang mahasiswa dan pelajar yang menyumpahi si pembuat virus karena skripsinya-tugas tugasnya “hilang”. Well..doa dari seluruh pengguna internet masak sih nggak didengar oleh 4JJ1 ?

    Apakah anda mau buat antivirus yang lebih baik? OK saya dukung anda karena saya sendiri nggak bisa bikin begituan. berjuanglah terus karena anda ada di sisi yang benar. Saya doakan anda berumur panjang, rezeki yang banyak dan kesehatan yang prima.
    mohon maaf kalau ada salah2 kata.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: