Newdotnet

Jangan samakan juga Newdotnet (www.newdotnet.com) dengan Dotnet (.net). Kalau .net merupakan produk unggulan dari perusahaan software Microsoft, sebaliknya Newdotnet adalah Spyware yang paling banyak menginfeksi komputer di Indonesia selama beberapa bulan terakhir ini (Top 10 Virus dan Spyware Vaksincom) dan sangat sulit dibasmi. Mungkin anda tidak sadar bahwa komputer anda sudah terinfeksi Newdotnet dan kami yakinkan anda jika anda adalah penggemar berat software gratisan / Freeware dan menginstalkan barang gratisan tersebut ke komputer anda, kemungkinan besar komputer anda sudah terinfeksi Newdotnet atau spyware lainnya.

Penjual Domain tipu-tipu

Sebenarnya Newdotnet merupakan perusahaan yang cukup besar dan dikelola dengan cukup profesional dengan salah satu bisnis utama menjual nama domain yang menarik. Tetapi jangan samakan NewDotNet dengan Network Solutions www.netsol.com atau www.joker.com yang menjual Top level domains di internet, Newdotnet memanfaatkan keawaman para pelanggannya yang "gaptek" dan tidak terlalu mengerti domain internet untuk mengeruk keuntungan dengan cara berbisnis yang “sedikit” menipu. Pasalnya begini, Newdotnet menawarkan nama domain yang menarik seperti .shop / .xxx / .club / .ltd / .inc / .travel / .tech / .sport / .family /


.law / .med dan .mp3 seakan-akan sebagai Top level domain. Top level domain adalah domain utama yang akan kita dapatkan sewaktu membeli membeli nama domain seperti www.tabloidpcplus.com dan setiap pembelian top level domain sudah otomatis termasuk subdomain seperti www.jakarta.tabloidpcplus.com atau www.support.tabloidpcplus.com. Dalam kasus Newdotnet ini setiap pembeli domain dari Newdotnet ini dikelabui "seakan-akan" mendapatkan top level domain padahal dalam kenyataannya yang didapatkannya adalah subdomain. Sebagai contoh jika anda membeli www.artis.xxx dari NewDotNet dan ketika anda mengetik www.artis.xxx anda seakan-akan dibawa pada Top level domain www.artis.xxx, tetapi dalam kenyataannya sebenarnya anda masuk ke subdomain www.artis.xxx.new.net, trik yang digunakan oleh Newdotnet ini adalah memodifikasi Winsock LSP (Layer Service Provider) dengan menambahkan Top level domain sehingga sewaktu anda mengklik www.artis.xxx, komputer anda secara otomatis memforward permintaan tersebut ke www.artis.xxx.new.net dan "celakanya" jika NewDotNet ini dihapus tidak sesuai dengan prosedur yang benar akan menyebabkan komputer anda tidak mampu mengakses internet dan email lagi karena error pada Winsock LSP.


Memanfaatkan Freeware untuk menyebarkan dirinya.

Seperti pada umumnya Spyware yang lainnya, NewDotNet memanfaatkan Freeware untuk menyebarkan dirinya. Sebenarnya, jika anda mencermati EULA (End User License Agreement) pada saat instalasi Freeware anda akan mendapati bahwa banyak pasal yang terkandung didalamnya memperbolehkan Freeware menginstal Spyware (yang biasanya diklaim sebagai program bantu atau tidak berbahaya) ke dalam komputer anda sehingga pembuat Freeware secara legal berhak untuk menginstal program tambahan apapun di komputer anda, termasuk Spyware. Bersama ini kami juga lampirkan EULA Radlight, Media Player yang menginstalkan NewDotNet ke komputer anda bersama dengan instalasi dirinya (lihat gambar 1).

Adapun Freeware yang dimanfaatkan oleh NewDotNet untuk menyebarkan dirinya dan sebaiknya anda hindari adalah Go!Zilla (Download Accelerator), BearShare (P2P Sharing), Mp3.Com (Musik Digital MP3), iMesh (P2P Sharing), Babylon (Penterjemah Bahasa), Webshots (Screensaver Indah), gDivx (Multimedia Player), BikiniDesk (Screensaver, Wallpaper), RadLight (Multimedia Player), RealOne Player (Audio & Video Player), UK Software (Software Fax, Webcam), Cydoor / LingoWare (Online Advertising Software), Grokster (P2P Sharing), KaZaA (P2P Sharing), AudioGalaxy (P2P Sharing), Mindset Interactive / NetPalNow / FavoriteMan (memberikan penawaran barang murah).

Informasi teknis

Seperti yang kami utarakan di atas, NewDotNet mengubah Winsock2 Layered Service Provider (LSP) dalam rangka menambahkan Top Level Domain agar subdomain dibawah *.new.net dapat tampil seakan-akan Top level domain pada komputer lokal. Jika anda menghilangkan NewDotNet tanpa prosedur yang benar (mendelete secara paksa), hal ini dapat menyebabkan komputer anda tidak akan dapat mengakses email maupun internet.

Jika hal ini terjadi pada anda, gunakan tools LSPFix yang ditulis oleh Counter Exploitation dan dapat di download dari http://www.cexx.org/lspfix.zip. Selain mengubah Windowc2 LSP, NewDotNet juga melakukan pengubahan atas Browser Helper Object (BHO) yang akan mengalihkan proses pencarian / searching dari Address Bar ke Search Engine NewDotNet pada www.qsrch.com (Quick Search) dan menampilkan pop up search.findsall.info yang juga merupakan bagian dari Quick Search. Celakanya, NewDotNet ini memiliki kemampuan mengupgrade dirinya dengan mendownload update dari server di client.new.tech atau upgrade.new.tech.

NewDotNet menjalankan dirinya menumpang komponen DLL windows (Dynamic Linked Function Libraties) Rundll32.exe dengan mengubah registri pada kunci registri :

rundll32 C:\windows\newdot~1.dll, NewDotNEtStartUp. Anda tidak dapat melumpuhkan DLL NewDotNet melalui MSCONFIG karena ia akan kembali lagi.

Bagaimana membasmi NewDotNet ?

Cara yang paling efektif untuk membasmi NewDotNet adalah dengan melakukan uninstal dari Add/Remove Programs pada Windows. Cari program dengan nama New.Net Applications dan New.Net Domains dan uninstal dari komputer anda, terkadang dalam proses uninstal ini akan disertai dengan konfirmasi bahwa Freeware yang anda instal juga harus ikut di uninstal juga.

Jika langkah id atas tidak berhasil, coba akses file uninstal*.exe pada direktori c:\Program Files\NewDotNet atau masuk ke direktori c:\Windows dan cari file dengan nama NSNuninstal*.exe dan jalankan untuk melakukan penghapusan.

Catatan : * adalah versi dari NewDotNet misalnya uninstal6_76.exe atau NSNunistal6_76.exe

Jika anda ingin melakukan pembasmian secara tanpa uninstaller atau langkah tersebut di atas tidak efekti, kami sarankan anda menggunakan program bantu AntiAdware seperti Lavasoft, Spybot atau Norman AdAware untuk mendeteksi NewDotNet dan hapus semua file yang terdeteksi sebagai NewDotNet, lalu bersihkan registri sebagai berikut :

Perhatian : Harap anda berhati-hati bermain dengan registri dan kami sarankan anda untuk membackup registri dahulu sebelum mengikuti langkah dibawah ini.

Klik [Start][Run] lalu ketik [regedit] dan tekan [OK] anda akan mendapatkan layar Registry Editor. Masuk ke alamat registri :

*

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Run
Dan hapus :
"New.net Startup"="rundll32 C:\Progra~1\Newdot~1\Newdot~1.dll, NewDotNetStartup"

Hapus juga kunci registri pada alamat sebagai berikut

*

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\Uninstall\New.net
*

HKEY_LOCAL_MACHINE\SOFTWARE\New.net
*

HKEY_CLASSES_ROOT\CLSID\{4A2AACF3-ADF6-11D5-98A9-00E018981B9E
*

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Tldctl2.Tldctl2c
*

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Tldctl2.Tldctl2c.1
*

HKEY_CLASSES_ROOT\Tldctl2.URLLink
*

HKEY_CLASSES_ROOT\Tldctl2.URLLink.1
*

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\ {4A2AACF3-ADF6-11D5-98A9-00E018981B9E}
*

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\ {DD521A1D-1F98-11D4-9676-00E018981B9E}
*

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Tldctl2.URLLink
*

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Tldctl2.URLLink.1
*

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Explorer\Browser Helper Objects\{4A2AACF3-ADF6-11D5-98A9-00E018981B9E}
*

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
\ModuleUsage \C:/WINDOWS/Downloaded Program Files/tldctl2.ocx

Sebagai alat analisa tambahan untuk menghadapi Sypwre, kami sarankan anda untuk mempertimbangkan tools Hijackthis yang dapat anda peroleh secara gratis dan dapat anda download pada http://www.spywareinfo.com/~merijn/ untuk menganalisa proses apa saja dan alamat aplikasi yang dijalankan oleh komputer anda.

Harap berhati-hati karena banyak aplikasi sistem yang terkandung dalam registri yang jika terhapus akan mengakibatkan sistem anda tidak berjalan dengan baik atau rusak. Tetapi, seperti kata iklan, kalau tidak mau kotor mana bisa belajar ? (AAT)