Selasa, 11 Januari 2011

SMADAV ? ANTIVIRUS atau VIRUS ?




SMADAV KEBANGGAAN ANAK INDONESIA
Wah judulnya merangsang banget nih. Buat yang pakai antivirus itu aku minta maaf ya! Ini cuma pendapatku dan pengalamanku saja kalo emang smadav tu nyebelin banget. Fuih dendam dah aku ama antivirus ini. Kenapa? Nyimak dulu dah pengalamanku tentang smadav!

Sekilas keren, smadav bikinan orang indonesia. Hehehe kalo beneran bagus aku sebenarnya tertarik makai karena yah menghargai produk bikinan anak bangsa lah. Tapi belum sempat makai dah dendam dulu. Aku cinta flashdiskku. Di flashdisk selalu ada software-software aneh dan ada juga portable apps dari portableapps.com buat keperluan mendadak. Nah suatu hari aku ngeprint karena yah biasa lah orang kere ga punya printer. Betapa kagetnya aku di flashdissku ditemukan virus sama smadav. Ampun dah, virus itu ada di portableapps ama di foler yang buat aku naruh sopwer-soper anehku. Ya ampun aku kira itu beneran virus. Nah sampe di rumah aku test sopwer yang dari portableapps di flashdisku ga bisa. Wah sial aku kira itu bener-bener virus. Ternyata cuma asa hapus aja. Abis itu aku install ulang dah sopwer dari portableapps. Aku scan di berbagai antivirus update ga ada virusnya (kaspersky, nod32, avira). Yup aku yakin ga ada virusnya dan ternyata eh ternyata saat aku ngeprint lagi dihajar lagi dah flashdiskku pakek smadav. Wah gila tu antivirus! Kenapa sih nyebelin banget?

Itu alasan pertama aku benci antivirus itu. Alasan kedua adalah file autorun.inf dah. Emang sih biasanya virus nama filenya autorun.inf aku setuju. Tapi apa semua file yang bernama autorun.inf adalah virus? Wah sial tuh antivirus. Selain hapus file-file yang ada di portableaps ternyata dia juga hapus autorun.inf di flashdiskku. Padahal kan itu aku pakek buat ganti icon. Sebenarnya dihapus ga masalah sih, tapi masalah yang bikin aku sakit hati adalah dia bikin proteksi bikin folder namanya aneh yaitu autorun.inf, zzzzz.zzz ama yang satunya lupa. Tu ga bisa dihapus semua. Terpaksa dah aku buka linux buat hapus folder itu. Nah baru bisa dah bikn file autorun.infnya. Nah yang bikin aku tambah marah adalah aku ga bisa bikin autorun.inf buat bikin icon flashdiskku lagi gara-gara antivirus sialan itu. Fuih sial kenapa sih ada yang makek antivirus jelek ikek gitu aja bikin emosi aja. Aman tapi tak beretika itu lah smadav.

Nah tapi apa smadav dijamin aman? Ga juga tuh flashdisk temenku pakek smadav banyak banget virusnya discan di komputerku. Nah kalo antivirus jelek tak beretika kek giru siapa ya yang makek? Tapi kenapa ya masi ada juga gitu yang makek. Aduh-aduh parah dah smadav. I hate smadav! Jadi setiap aku ngeprint harus buka linux ama install ulang. Wah Parah! Yang makek smadav sory yah! Aku cuma share isi hatiku aja nih!

neh cek sendiri kelemahan SMADAV :
  1. SMADAV tidak mampu membaca virus yang dienscript
  2. SMADAV tidak memiliki database yang eksternal
  3. SMADAV memakai unicode namun lemah di file unicode
  4. SMADAV memiliki folder "nul" yg mencegah scaning AV lain
  5. SMADAV belum memiliki fitur RTP (Real-Time Protection) yang berfungsi untuk menjaga komputer setiap saat agar tidak terinfeksi virus
  6. Database SMADAV yang sebenarnya hanya ratusan
  7. Not Eye Catching and User Frendly
  8. Sering Sekali False Alarm (Salah Deteksi) dan Salah Tanggap
  9. Mengacaukan Registry Editor
  10. Tidak Ada Fitur "Create Hand Stick"
  11. selanjutnya akan dipostingin lebih lanjut....he.3x
silahkan di liat juga yach..
Smadav 2010 Rev. 8.0 terbaru saya dapat langsung dari situsnya yang berupa file ZIP. Berikut adalah isi paket file nya:

* Smadav 2010 Rev. 8.0.exe
* Readme.txt

File utamanya adalah Smadav 2010 Rev. 8.0.exe. Saya sudah cek update, dan ternyata file/database Smadav yang saya miliki sudah up-to-date. Selanjutnya, file tersebut saya jalankan pada komputer yang telah terinfeksi oleh 3 malware yang saya siapkan sebelumnya. Namun alangkah terkejutnya, saya mendapati bahwa ternyata Smadav tidak bisa dijalankan, dan muncul pesan error sebagai berikut:

Smadav error MSVBVM60.DLL

Error ini diakibatkan karena Smadav tidak menemukan file MSVBVM60.DLL pada system. Karena Smadav masih dibuat menggunakan Visual Basic, file MSVBVM60.DLL dibutuhkan oleh aplikasi VB untuk dapat berjalan dengan baik, karena file ini berisikan run-time library yang dibutuhkan oleh aplikasi tersebut. Trik untuk menghapus atau mem-block file ini sebenarnya sudah sangat sering diterapkan oleh beberapa malware, salah satu contohnya adalah Brontok. Tentu saja, dalam kasus ini file tersebut telah di-block oleh Brontok sebagai pertahanan dirinya.

Sebenarnya ini adalah error yang sangat fatal untuk Smadav, dan ini merupakan ancaman yang sangat serius untuk Smadav. Ini bisa saja dimanfaatkan oleh seorang pembuat malware untuk melakukan blocking terhadap file MSVBVM60.DLL, maka Smadav pun tidak dapat dijalankan. Semoga pembuatnya peduli akan hal ini, dan segera mencari solusinya.

Seharusnya ini sebagai pertanda bahwa Smadav tidak bisa melanjutkan ke tahap berikutnya dikarenakan error tersebut. Begini, saya mencoba memposisikan diri sebagai orang yang sangat awam mengenai komputer, dan komputer terinfeksi oleh malware, dan pada saat menjalankan antivirus, kita mendapati pesan error tersebut, sehingga antivirus tidak bisa dijalankan. Apa yang akan dilakukan selanjutnya? :)

Namun, setelah saya merundingkan masalah ini, akhirnya saya memutuskan untuk memberi kesempatan pada Smadav untuk terus meneruskan pengujian ini.

Lalu apa yang harus dilakukan jika Anda menemui masalah seperti itu?

Silakan Anda copy file MSVBVM60.DLL dari komputer lain, file tersebut lazimnya terdapat pada C:\Windows\System32\. Lalu, tempatkan file tersebut pada direktori Smadav. Maka seharusnya, Smadav akan dapat berjalan normal (Berharap semoga malware-nya tidak lagi memblock file tersebut. Karena ada beberapa malware yang akan tetap mem-block file ini bagaimanapun caranya).

Setelah saya copy kan file yang dimaksud, kini Smadav dapat berjalan normal. Layar pertama yang muncul menunjukan bahwa Smadav telah mendeteksi kehadiran dari virus:

Smadav Alert

Setelah itu ia melakukan scan otomatis dan mendeteksi beberapa virus, yang menyatakan bahwa telah terdeteksi virus di komputer tersebut namun Smadav telah berhasil membersihkannya. Sepertinya Smadav melakukan tugasnya dengan baik:

Smadav Alert

Semua virus terdeteksi telah di-fix, lalu muncul peringatan seperti ini, yang mengharuskan kita melakukan scan secara menyeluruh. Seperti yang telah dikatakan sebelumnya, saya akan melakukan semua hal yang dianjurkan oleh antivirus yang saya uji.

Smadav Alert 3

Beberapa saat kemudian, proses scanning selesai, dan menampilkan layar seperti di bawah ini yang menyatakan bahwa proses full scan telah selesai dan berhasil membasmi virus tersebut.

Smadav Scanning Finished

Dan berikut adalah cuplikan laporan dari hasil scan:

Smadav Scanning Results

Sesuai SOP atau Standar Operation Procedure saya, komputer tersebut saya restart setelah selesai membasmi virus/malware. Lalu, kini barulah saya melakukan evaluasi terhadap apa yang dilakukan oleh Smadav.
Results

Hasil dari uji coba Smadav cukup mengejutkan, tidak seperti yang saya harapkan, dan ini semua diluar dugaan. Mengapa? Karena Smadav tidak berhasil dalam uji coba kali ini. Ia gagal dalam membasmi dua virus berikut ini:

* Email-Worm.Win32.Brontok.n (alias RontokBro, Brontok, MyBro). POINT 0 [FAILED]
* Net-Worm.Win32.Kido.ih (alias Conficker, Downadup, Kido). Point 0 [FAILED]

Ia hanya berhasil membasmi satu malware saja, yakni:

* IM-Worm.Win32.Sohanad.bm (alias Autoit, Sohanad, Hakaglan, YahLover, SillyFDC). Point: 15 [PASSED]

Dalam setiap pengujian yang saya lakukan. Inilah yang saya maksud “berhasil” dan “tidak berhasil“:

* Berhasil: Jika malware tersebut tidak aktif lagi, dengan kata lain, memory telah bersih, begitu juga dengan semua file malware yang terdapat di komputer tersebut telah hilang. Maka dari itu saya melakukan restart setelah system berhasil dibersihkan, untuk mencari tau apakah malware tersebut aktif lagi apa tidak. Jika antivirus berhasil mendeteksi file malware, tapi ia tidak bisa melakukan disinfeksi malware tersebut di memory, sudah sangat dipastikan bahwa antivirus tersebut tidak mampu mengatasi malware tersebut. Dan apabila antivirus dapat membasmi malware, tetap masih menyisakan traces atau jejak yang tidak berbahaya yang ditinggalkan oleh malware tersebut, ini masih dianggap berhasil.
* Tidak berhasil: Jika malware masih aktif setelah komputer dibersihkan, atau bahkan antivirus tidak mendeteksi malware tersebut.

Dalam pengujian, Smadav tidak mendeteksi secara akurat file virus Email-Worm.Win32.Brontok.n (alias Brontok), tapi engine heuristic berhasil mendeteksi virus tersebut, dengan codename “New Heuristic (172)“, namun ternyata masih gagal dalam proses disinfeksi. Untuk Net-Worm.Win32.Kido.ih (alias Conficker), Smadav berhasil mendeteksi file malware secara tepat dengan nama “Conficker”, namun ia gagal dalam melakukan disinfeksi Conficker secara menyeluruh terutama di memory.

Berikut adalah cuplikan process dari Brontok yang masih aktif:

Smadav Process Explorer

Traces:

Traces atau jejak dari virus yang masih tertinggal, seperti file pendukung, registry, file hosts, dan lain sebagainya:

* Email-Worm.Win32.Brontok.n: All traces [FAILED]
* Net-Worm.Win32.Kido.ih: All traces [FAILED]
* IM-Worm.Win32.Sohanad.bm: No traces. [SUCCESS]

Bagaimana saya menilai?

Masing – masin malware yang saya uji memiliki point masing – masing tergantung tingkat kesulitan dan kompleksitasnya:

* IM-Worm.Win32.Sohanad.bm = 15
* Email-Worm.Win32.Brontok.n = 35
* Net-Worm.Win32.Kido.ih = 50

Apabila Antivirus tersebut berhasil membasmi ketiganya, maka akan mendapat point 100. Dan apabila proses pembasmian suatu malware dikatakan berhasil, namun masih menyisakan traces atau jejak yang ditinggalkan malware, walau dianggap berhasil, namun nilai akan dikurangi 5 untuk tiap malware yang masih tersisa traces-nya.

Untuk itu, nilai pengujian kali ini untuk Smadav adalah: 15
Conclusion

Sungguh disayangkan bagi Smadav yang merupakan antivirus yang paling banyak digemari oleh masyarakat Indonesia (sesuai hasil research saya), namun tidak berhasil dalam membasmi malware seperti yang telah saya uji. Worm lokal sekelas Brontok, yang kenyataannya sudah lama menyebar luas, yang secara teori seharusnya Smadav mampu membersihkannya, namun ternyata gagal. Kalau yang terjadi pada Conficker, saya tidak terlalu kaget, karena dari awal Smadav memang menyatakan tidak mampu dalam membasmi malware yang datang dari luar Indonesia. Alasan ketidakmampuan ini saya belum dapat pastikan, apakah karena memang kurangnya sampel virus atau dari segi teknis antivirus itu sendiri. Saya perlu adakan research tersendiri atas hal ini.

neh daftar virus yang bikin SMADAV KO !

10 virus luar
1.Storm Worm
Muncul taon 2006, disebut “Storm Worm” karena nyebar via email dengan judul “230 dead as storm batters Europe”. Storm worm adalah program Trojan house. beberapa versinya bisa buat komputer menjadi bots. Atau biasa digunakan hacker untuk spam mail melalui internet.
2. Leap-A/Oompa- A
Mac yang punya konsep security through obscurity yakin tidak akan terserang virus karena OS nya sistem tertutup. Tapi tahun 2006, virus Leap-A atau biasa disebut Oompa-A muncul. Nyebar lewat iChat pada Mac. Setelah Mac terserang, virus itu akan mencari kontak melalui iChat dan kirim pesan ke tiap kontak itu. Pesannya itu berisi file corrupt yang berbentuk JPEG. Memang tidak berbahaya, namun hal ini menyatakan bahwa masih mungkin akan ada virus berbahaya yang menyerang MAC.
3. Sasser and Netsky
Penciptanya anak Jerman umur 17 tahun, Sven Jaschan. Sasser nyerang Microsoft Windows. Sasser ini ga nyebar via email. Tapi jika satu komputer koneksi ke komputer yang kena virus ini. Virus ini bikin komputer tidak bisa di-shutdown tanpa cabut power. Netsky nyebar melalui email dengan 22 Kb attachment file dan jaringan Windows. Bisa bikin serangan DoS. Sven Jaschan tidak dipenjara hanya diberi masa percobaan 1 taon 9 bulan, karena umurnya masih di bawah 18 taon.
4. MyDome (Novarg)
Mulai nyerang tanggal 1 Februari 2004, virus ini buat backdoor di OS. Pertama kali tanggal 1 itu mulai DDoS. Kedua, tanggal 12 Feb, virus ini berhenti menyebar dan mulai buat backdoors. MyDoom menyebar via email, selain itu selalu search di search engines, seperti Google mulai menerima jutaan permintaan pencarian dan bikin lambat sampai akhirnya crash. Gara2 MyDoom, Senator US Chuck Schumer mengajukan pembuatan National Virus Response Center.
5.SQL Slammer/Saphire
Muncul Januari 2003, nyebar cepet lewat internet. Waktu itu bikin layanan ATM Bank Amerika crash, ancurnya layanan 911 Seattle, dan Continental Airlines membatalkan beberapap penerbangan karena eror check in ama tiketing. Bikin rugi lebih dari $1 milliar sebelum dipacthed.
6.Nimda
Ini juga tahun 2001, kebalikan dari kata “admiN”. Penyebarannya sangat cepat, menurut TruSecure CTO Peter Tippet, Nimda hanya butuh 22 menit buat menjadi Top Ten saat itu. Target nya server2 Internet, menyebar lewat Internet. Nimda akan ngebuat backdoor ke OS. jadi penyerang bisa akses ke server dan berbuat apa saja Nimda juga menjadi DDoS.
7.Code Red & Code Red II
Muncul musim panas 2001, nyerang OS Windows 2000 & NT. Virusnya bakal bikin buffer penuh jadi ngabisin memori. Paling seru waktu berhubungan ama White House, semua komputer yang kena virus ini bakalan otomatis akses ke web server di White House barengan, jadi bikin overload, alias serangan DDoS. Akhirnya Microsoft rilis patchnya saat itu.
8.The Klez
Nongol taon 2001, menyebar via email, replikasi trus kirim ke orang2 di address book. Bikin komputer ga bisa beroperasi, bisa berhentiin program antivirus.
9.ILOVEYOU
Abis “Melissa”, muncul dia dari Filipina, bentuk nya worm, program standalone dapat me-replikasi sendiri. Menyebar via email, judulnya”surat cinta” dari pengagum rahasia . Original file nya LOVE-LETTER- FOR-YOU.TXT. vbs. VBS singkatan Visual Basic Scripting. Penciptanya adalah Onel de Guzman dari Filipina.
10.Melissa
Dibikin taon 1999 sama David L Smith, basicnya Microsoft Word macro. Menyebar via email dengan dokumen “Here is that document you asked for, don’t show it to anybodey else.”. Kalau sampe dibuka, virus akan replikasi dan otomatis ngirim ke top 50 di address book email. Smith dipenjara 20 bulan ama denda $5000 dan melarang akses komputer tanpa pengawasan.

For Update . . .

9 Virus Lokal 
1. Windx-Maxtrox
Virus yang dibuat dengan Visual Basic ini memiliki ukuran tubuh asli sekitar 77Kb, tanpa di-pack. Virus yang diduga kuat berasal dari daerah Sulawesi Utara ini memiliki kemampuan infeksi file executable. Tepatnya, ia akan menginfeksi program yang ada di direktori Program Files. Teknik infeksi yang cukup cerdik ia terapkan untuk menghindari pendeteksian engine heuristic dari antivirus. Ciri khas yang dapat dikenali pada komputer terinfeksi adalah berubahnya gambar wallpaper dari desktop menjadi gambar animasi.
2. Autoit varian
Ciri khas virus yang satu ini adalah dibuat menggunakan program automation scripting. Yang jika di compile menjadi sebuah file executable, yang juga di-pack menggunakan UPX. Dan hampir 90% virus autoit beserta semua varian yang saya miliki, menggunakan icon mirip folder dalam penyamarannya. Virus ini juga biasanya akan membuat sebuah file autorun.inf pada saat menyerang disk drive ataupun flash drive.
3. Malingsi
Virus bertubuh gemuk dengan ukuran 705.312 bytes ini dibuat menggunakan Visual Basic yang di-pack menggunakan PECompact. Sepertinya virus ini ditujukan untuk menyerang virus lain, ini terlihat dari pesan yang ada di tubuhnya. Virus ini berkembang biak dan menyebar menggunakan perantara mIRC, yang bertindak sebagai Bot.
4. Recycler varian
Yang menjadi ciri khas dari virus ini adalah teknik bagaimana ia menyebar. Dari semua varian yang saya miliki, cara yang dilakukannya adalah sama, yakni menyamar seperti layaknya Recycle Bin. Contohnya disaat virus ini menyerang flash disk. Di flash disk korban akan terdapat folder dengan nama Recycler yang di dalamnya terdapat folder yang menggunakan nama alpha numeric contohnya “S-1-5-21-1482476501-1644491937-682003330-1013″ dengan icon mirip dengan icon Recycle Bin. Jika folder ini di-klik atau diakses dari Explorer, file virus tidak akan nampak. Untuk melihatnya, Anda bisa masuk ke command prompt dengan perintah “dir /a”.
5. Fdshield
Virus yang dibuat menggunakan bahasa Delphi ini menggunakan icon yang menyerupai Internet Explorer. Memiliki ukuran file sebesar 553.472 bytes, tanpa di-pack. Satu hal yang mencolok dari virus ini adalah dari nama yang digunakan saat menyebar, yang bertuliskan “17++ Sexs & Rahasia Wanita artis Indonesia (foto2_kamera tersembunyi_liputan).exe”. Bagi user yang tidak hati – hati, akan menyangka file tersebut merupakan file HTML. Jika Anda lihat pada direktori C:\Windows\System32, akan ditemukan sebuah file induk dengan nama “rundl32.exe”. Jangan tertipu lagi! Itu bukanlah file bagian dari Windows, tapi itu memang adalah file virus. Perhatikan huruf “L” yang cuma satu. Dan sekarang lihat pada Schedule Task, ada Job baru dengan nama “Windows FD Shield” yang akan mengeksekusi file virus diwaktu yang telah ia tentukan.
6. Purwo variant
Satu lagi varian baru, Purwo.C, masih dibuat menggunakan Visual Basic, dengan badan berukuran sekitar 56KB, murni tanpa di-pack. Virus ini menggunakan icon mirip dokumen Word milik MsOffice untuk menipu calon korbannya. Saat menginfeksi ia menciptakan sebuah folder dengan nama “Purwokerto Under Cover” yang diberi attribut hidden, dan berisi sebuah file bernama “KoruptorPurwokerto.exe” pada setiap drive yang ia temukan. Di dalam folder C:\Windows\System32\system juga ada file windowss.exe, dan di C:\Windows\javaa\service.exe. Di waktu tertentu ia akan menampilkan layar hitam yang berisi teks pesan dari pembuatnya. Dan hati-hati, virus ini juga akan menghapus beberapa file milik Anda yang ia temui.
7.Formalin
Icon yang digunakan oleh virus ini menyerupai layaknya folder, dan ia dibuat menggunakan Visual Basic. Pada Formalin.D, ukuran filenya sebesar 18.432 bytes, dengan kondisi di-pack menggunakan UPX. Virus ini menciptakan folder “samaran” dengan nama seperti Bocoran soal UAN dan UAS, My Completed Downloads, Wallpaper Picture, krack Program, Jgn dibuka !!!, Nitip Data (jgn dihapus), dan lain sebagainya. Pada komputer terinfeksi, caption di Internet Explorer akan berubah menjadi “Your computer has been infected virus Formalin”. Ia juga mencoba untuk melumpuhkan “safe-mode” dengan cara menghapus beberapa registry terkait. Dan pada file properties sang virus, di bagian description milik version information akan ada tulisan seperti “Kasian dch loe”.
8. Raider.vbs variant
Virus jenis VBScript ini jika file virusnya dibuka dengan Notepad, tidak banyak string yang bisa dibaca karena dalam kondisi ter-enkripsi. Ini sudah menjadi kebiasaan dalam setiap variannya. Biasanya, pada Registry, ia akan memberikan pengenal dengan membuat key baru di HKLM\Software dengan nama sama seperti nama pada computer name, dengan isinya berupa string value seperti nama virus tersebut, Raider, serta tanggal komputer tersebut kali pertama terinfeksi.
9. Autorunme variant
10. Rieysha variant


2 komentar:

  1. yo di bantu rek team smadav... biar lebih tokcer.... percuma kan klo cuma bs cari kelemahnnya...............

    BalasHapus