“Azree, minta tolong. Komputer aku kena virus,” pinta seorang kawan.

Saya pun pergi melihat komputernya. Apa yang berlaku adalah ‘desktop’nya hilang. Tidak kelihatan. Saya pun buka task manager dan menyedari yang ada satu program tiada di situ iaitu explorer.exe.

Hurm. Patutlah desktopnya tidak kelihatan. Dan kelihatan ada dua program yang pelik running pada ruang task manager tersebut. Dua program tersebut adalah Flash10.exe dan Macromedia.exe.

Sejak bila Flash sudah ada version 10? Malah setahu saya Adobe sudah pun membeli lesen Flash. Viruslah nampaknya. Setelah beberapa minit cuba mencari direktori kedua program pelik tersebut, akhirnya berjumpa juga.

Tetapi apabila saya delete fail tersebut, komputer tersebut restart sendiri. Alamak!

Maksudnya ada program lain yang disetkan supaya jika fail Flash10.exe tersebut didelete, maka komputer akan restart. Hurm. Dan setelah sejam lebih berperang dengan virus tersebut, akhirnya saya mengalah.

Manakan tidaknya, selepas satu fail cuba dibuang, ada fail lain yang telah diprogramkan supaya create semula fail tersebut. Dan apabila saya delete kedua-dua fail secara serentak, muncul kembali fail tadi seperti biasa. Maksudnya ada lagi fail lain yang bertindak untuk create fail yang satu itu.

Pening baca keterangan saya ini? Dan begitulah peningnya saya berperang dengan virus ini.

Biarlah saya mudahkan di sini. Sebenarnya si pembuat virus ini telah membuat entah berapa banyak fail yang saling bertindak untuk create fail-failnya jika didelete.

Sebagai contoh, katakan ada 4 fail semuanya. Fail 1 akan create Fail 2, Fail 2 akan create Fail 3, Fail 3 akan create Fail 4 dan Fail 4 akan create Fail 1. Maksudnya dia membuat satu kitaran proses yang entah berapa banyak fail yang terlibat.

Beberapa hari kemudian, saya berjumpa dengan rakan saya, Pikri, seorang rakan yang gemar mencari virus. Pada ketika itu satu sahaja katanya kepada saya, “Kena cari fail induk dahulu.”

Selang beberapa hari kemudian, akhirnya dia jumpa penyelesaiannya. Sebelum saya menulis cara-cara untuk menyelesaikan virus ini, baik kita berkenalan dahulu dengan virus ini yang saya rasa lebih dahsyat daripada Brontok.

Dan saat ini saya akan wujudkan satu lagi kategori pembincangan di blog StudioMuslim ini iaitu ‘Komputer dan Internet’.

Apa yang saya tulis di bawah ini adalah berdasarkan apa yang diberitahu oleh Pikri kepada saya. Maklumlah saya sudah mengalah dengan virus ini.

Mari Berkenalan Dengan JambanMU.com

Menurut kata Pikri, berkemungkinan besar yang mereka virus ini adalah seorang perempuan atau pun seorang lelaki ‘gay’. Ini dilihat pada registry yang dicreate oleh virus ini yang penuh dengan kata-kata kesatnya kepada tiga orang lelaki.

Dan virus ini lebih dikenali sebagai ‘JambanMU’ daripada Flash10.exe. Kalau dulu brontok dibuat oleh orang Indonesia, kali ini kita bertemu pula dengan virus yang dibuat oleh orang Malaysia.

Dan berkemungkinan besar si pembuat virus ini adalah orang Melayu berdasarkan tiga nama lelaki Melayu yang ditulisnya.

Bagaimana Disebarkan?

Ada dua kemungkinan virus ini disebarkan. Satu melalui flash application seperti LoveCalculator atau lain-lain application lagi. Contoh bagaimana ia menyerang, apabila kita cuba buka application tersebut, akan keluar satu soalan lebih kurang begini, “Your Flash is not updated. Please click here to update your flash to version Flash 10.”

Hurm. Lain kali jangan menggatal hendak mengira cinta. Haha. Tapi ini kemungkinan sahaja sebab saya sendiri tidak tahu application apa yang dibuka oleh rakan saya ini sampai komputernya dijangkiti virus JambanMU ini.

Kemungkinan kedua pula, seperti biasalah virus-virus zaman sekarang berjangkit melalui pendrive. Berkemungkinan anda perlu menulis nota besar-besar pada komputer anda, “Jangan memandai-mandai cucuh pendrive kat komputer ini!”

Haha. Tetapi saya ada jalan penyelesaian lain yang lebih baik daripada menulis nota besar tersebut. Nanti akan saya beritahu.

Cara Berfungsi

Selepas rakan saya si penggemar virus ini mengkaji virus JambanMU ini, dia telah mendapati ada beberapa fail yang telah dicreate dalam system32. Antara beberapa fail yang telah dia temui adalah:

1. C:\Windows\System32\CMD.COM
2. C:\Windows\System32\DXDIAG.COM
3. C:\Windows\System32\FLASH.10.EXE
4. C:\Windows\System32\JAMBANMU.COM
5. C:\Windows\System32\MSCONFIG.COM
6. C:\Windows\System32\PING.COM
7. C:\Windows\System32\REGEDIT.COM
8. C:\Documents and Settings\%User%\My Documents\MY SECRET.FOLD
9. C:\Documents and Settings\%User%\My Documents\My Music\NEW SONG.LAGU
10. C:\Documents and Settings\%User%\My Documents\My Music\NEW VIDEO.VIDZ
11. C:\Documents and Settings\%User%\My Documents\My Pictures\AWEKS.PIKZ
12. C:\Documents and Settings\%User%\My Documents\My Pictures\SERAM.PIKZ
13. C:\Program Files\Common Files\Microsoft Shared\MACROMEDIA.10.EXE
14. C:\Program Files\Common Files\Microsoft Shared\DAO\MSN.MSN
15. C:\Documents and Settings\%User%\Start Menu\Programs\Startup\(EMPTY).EMPTY

Bayangkan berapa banyak fail yang dicreate oleh virus ini. Ini baru yang ditemui dan berkemungkinan ada lagi fail-fail lain yang tidak dijumpai.

Kalau dilihat pada senarai fail yang ada, sim pembuat virus mencipta trick bagi siapa yang ingin membuka registry editor tetapi menaip ‘registry’ sahaja di ‘run’, maka apa yang dibuka adalah ‘REGEDIT.COM’ dan bukannya ‘REGEDIT.EXE’ yang sepatutnya.

Hal ini kerana komputer akan mencari fail berdasarkan susunan alphabetical. Jadi, ‘C’ akan dipilih terlebih dahulu berbanding ‘E’. Justeru, berhati-hati apabila ingin membuka registry editor tersebut. Taip penuh-penuh, ‘REGEDIT.EXE’. Begitu jua dengan CMD.EXE dan lain-lain lagi.

Ada dua peringkat virus ini berfungsi. Pada peringkat awalnya, ia hanya akan run Flash.exe sebagai primary process. Maknanya tidaklah terlalu mengganggu dan tidak merosakkan apa-apa setting pada registry.

Virus ini akan masuk peringkat kedua jika kita mengusik registry palsu yang dihasilkannya dan akan run pula Macromedia.exe. Apabila sampai tahap ini, beberapa setting penting seperti Task Manager, Search Menu, Folder Options, Show System File, dan yang paling teruknya Command Prompt juga dihilangkannya.

Kemudian virus ini juga akan delete semua fail dalam startup folder dan menggantikannya dengan fail-fail palsu yang dihasilkannya. Dan sebenarnya saranan paling bagus adalah format sahaja komputer anda. Haha.

Kalau pada waktu sekarang, virus Brontok sudah menduduki ranking nombor 2 sebagai virus yang paling teruk. Mungkin tidak lama lagi, sesudah virus JambanMU.com ini tersebar luas mungkin akan terus naik ke ranking nombor 1.

Cara Mengatasi

1. Update Virus

Bagi sesiapa yang komputernya masih selamat daripada virus ini, saya sarankan supaya anda update antivirus yang sedia ada. Setakat ini free antivirus seperti AVG dan Avira boleh mengesan terlebih dahulu virus ini.

Tetapi kalau sudah dijangkiti baru anda mahu install atau update, memanglah tiada gunanya lagi. Antivirus gunanya bukan apabila komputer sudah dijangkiti virus sahaja, tetapi adalah untuk mencegah komputer daripada dijangkiti virus. Ini saranan pertama bagi yang belum dijangkiti.

2. Batch Programming

Saranan kedua adalah bagi yang pandai bermain-main dengan batch programming. Kalau yang tidak tahu, boleh skip sahaja saranan kedua ini.

Kita perlu tahu proses virus ini berlaku iaitu apabila proses Macromedia.10.exe dimatikan, ia akan dijalankan semula oleh Flash.10.exe, sebaliknya apabila proses Flash.10.exe dimatikan, ia akan menyebabkan komputer shutdown dalam masa 2 saat.

Jadi kita perlu matikan kedua-dua proses Macromedia.exe dan juga Flash.exe serentak. Justeru, saranan si rakan penggemar virus saya ini menyarankan menggunakan batch programming. ‘Script’nya mudah sahaja.

goto killer

:killer

taskkill /im Flash.10.exe /im Macromedia.10.exe

shutdown -a

goto killer

Ada beberapa langkah lagi yang perlu dibuat.

1. Selepas anda buat fail batch tersebut, pergi pula ke registry editor. Ingat, taip penuh-penuh, ‘REGISTRY.EXE’. Kemudian pergi ke:

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

Dan delete sahaja empat registry palsu ini:

“NoFind”

“NoFolderOptions”

“DisableCMD”

“DisableTaskMgr”

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

Ubah sahaja value dua registry ini:

“HideFileExt” =0

“ShowSuperHidden” =1

3. Pergi ke HKCU\Software\Microsoft\Windows\CurrentVersion\Run dan delete apa-apa fail yang berkaitan dengan MSN di situ.
4. Tengok pula di HKLM\Software\Microsoft\Windows\CurrentVersion\Run dan delete juga apa-apa fail berkaitan MSN jika ada.

Ini sahaja yang perlu dibuat jika anda mengetahui serba sedikit mengenai batch programming dan juga berani mengubah value di registry editor.

3. Guna application yang sedia ada

Saranan ketiga saya ini mungkin tidak memeningkan lagi kepala anda. Maklumlah kita semua ini memang ada sifat malas dalam diri. Lagi-lagi kalau sudah ada application untuk buang virus JambanMU ini. Hehe.

Boleh download di sini.

Tetapi saya masih lagi menyarankan anda untuk format sahaja komputer tersebut jika sudah dijangkiti. Rasanya macam ada beberapa fail penting yang telah hilang.

Setiap artikel yang tersiar di StudioMuslim.com dihasilkan untuk tujuan pendidikan dan bersifat non-komersil. Pembaca bebas menyalin dan menyebarkan artikel yang terdapat di sini, namun alamat StudioMuslim.com hendaklah disertakan bersama untuk memudahkan proses rujukan.

Manakala untuk penerbitan semula dan berorientasikan komersil, setiap bahagian daripada artikel ini tidak boleh diterbitkan, disimpan untuk pengeluaran atau dipindahkan dalam bentuk lain, sama ada dengan cara bercetak, elektronik, mekanikal, fotokopi, rakaman dan sebagainya, tanpa izin daripada penulis terlebih dahulu.

Popularity: 44% [?]