Zeecho Pattisahusiwa Ranking 5 (1 Bintang)
Jumlah posting : 55 Age : 38 Lokasi (KOTA-PROV) : Ambon Registration date : 23.12.08
| Subyek: DUNIA VIRUS KOMPUTER, ANGKER KAH? (TULISAN 3 DARI 4 BAGIAN) Wed May 06, 2009 10:46 pm | |
| BAGIAN 3. MEMBEDAH FILE VIRUS Disclaimer: Tulisan ini ditujukan hanya untuk edukasi. Penulis tidak bertanggung jawab atas penyalahgunaan tulisan ini.
Pada bagian ini, kita akan mencoba menganalisis apa sebenarnya yang dilakukan virus ketika menginfeksi komputer kita. Untuk sampelnya kita akan menganalisa virus intern (nama aslinya adalah Explorea versi 1.0). Kata orang “Tak kenal maka kenalan”. Oleh karena itu, kita kenalan dulu yuk dengan virus ini.
Ok, Next……
Virus ini saya peroleh sekitar bulan februari 2008 (agak jadul ya…). Dengan bermodalkan icon folder XP yang agak aneh (lumayan gede sih), si empunya ingin mengelabui orang lain dengan meng-copy-kan file virus untuk menggantikan file folder yang asli. Ukuran file ini lumayan gede sekitar 164 kb. Virus ini tidak di-compress (mungkin programmer newbie kali ya…. he…he…) sehingga kita dengan mudah mengetahui apa saja yang dilakukannya. Oh iya satu lagi, virus ini dibuat dengan visual basic 6.0 (tahunya darimana ya…. Entar baru diperlihatkan).
Ok, sampai disini dulu ya intro-nya nanti kepanjangan lagi…. Kita mulai aksi kita.
1. Tahap Persiapan
Dikarenakan file virus tidak di-compress (nah,… ini juga tahu darimana ya???? Pengen tahu??? Cari tahu sendiri dong), kita hanya membutuhkan beberapa peralatan dasar, diantaranya:
a. Sampel virus intern. b. Hexa Editor (kalo tidak ada boleh gunakan program bawaan windows seperti notepad). c. SysTracer. d. Virtual Machine Tools atau dapat juga menggunakan Emulator Executable.
Sebelumnya, saya akan menjelaskan sedikit mengenai kegunaan peralatan-peralatan diatas. Hexa Editor atau notepad digunakan untuk melihat isi file tersebut. SysTracer untuk mengetahui perubahan registry yang dilakukan oleh virus tersebut, dan yang terakhir adalah Emulator executable untuk menjalankan (run) virus yang akan dianalisa.
Masih mau lanjut…..? ok, kita lanjutkan.
2. Tahap Penjajakan
Berikut langkah-langkah yang dilakukan:
a. Buka program file virus dengan notepad atau hexa editor (disini saya hanya gunakan notepad). b. Coba dilihat sejenak, kita akan melihat rangkaian kata-kata yang dapat dibaca dengan jelas. Beberapa diantaranya adalah sebagai berikut:
1. Pesan moril virus
Untuk sebuah Perjuangan semua kankukorbankan ¬ Aku menyatakan Perang kepada semua ketidak adilan dan kebohongan-kebohongan. “KATAKAN YANG BENAR WALAUPUN PAHIT " Ikut memeriahkan kegiatan yang dilakukan agama lain diharamkan Islam pak Annas, tapi mengapa tetap dilakukan, apakah dirimu lupa akan ajaran agamamu. Kamu gadaikankah akidahmu itu? BIARKAN MEREKA LAKUKAN APA YANG AKAN MEREKA LAKUKAN TETAPI JANGAN KAMU MENDUKUNG IKUT MEMERIAHKANNYA DAN JANGAN MENGGANGU APA YANG MEREKA PERBUAT, KARENA MEREKA TIDAK MENGGANGGU KITA SEBAGAI MUSLIM. Ya Allah bukakanlah pintu hati pak Annas agar dia kembali kejalanmu yang benar. Ya Allah apakah hanya pesan ini dan doa yang bisa kulakukan agar pak Annas mau bertobat. Ya Allah, beri aku kekuasaan dan kekuatan, agar aku tidak hanya bicara, tapi bisa berbuat untuk menghancurkan segala bentuk kesesatan. Polisi katanya penegak hukum, kenapa brutal?. rakyay kecil yang tidak punya uang dan kekuasaan akan dibuat semena-mena, sedangkan para koruptor bisa berbuat apa saja. semua gampang dengan uang suap. gimana mo jadi penegak hukum,, wong masuk polisi aja harus pakai suap. jadi dapat disimpulkan jadilah polisi jika kamu mau menyuap dan disuap serta akan keneraka. musuh manusia yang baik bertambah, selain setan, polisi juga. ya Allah ampunilah dosa para polisi, sadarkan mereka jadikan para polisi penegak keadilan dan kebenaran yang sesungguhnya, bukan hanya wacana.. AMIN. Menjadikan AlQuran Sebagai Pegangan Hidup". Membaca tulisan tersebut sungguh menggetarkan hati. Apa benar itu diperbolehkan Islam, dengan MTQ yang bermegah-megahan, sedangkan tetangga masih kelaparan? Tolong dong Pak Rusli dan Pak Annas, kaji kembali perbuatanmu, berapa dana untuk itu, apakah sudah tidak ada lagi rakyatmu yang miskin. Kalian pemimpin, kelak akan dituntut Kepemimpinanmu. Ya Allah, bukakan hati Pak Rusli dan Pak Annas agar ia jadi pemimpin yang baik di negeri ini.
2. Directory tempat virus dibuat. D : \ Data( D )\Flasdisk\Mastr\VB6\Baru2\coba d\Explorea.vbp
3. Key registry yang akan dirubah.
- Software\Microsoft\Windows\CurrentVersion\Policies\System DisableRegistryTools (note: key ini untuk mendisable/mengunci registry tools).
- Software\Microsoft\Windows\CurrentVersion\Run (note: untuk menjalankan virus secara otomatis ketika windows dijalankan).
- Software\Microsoft\Windows\CurrentVersion\Policies\explorer NoFolderOptions (note: menghilangkan menu Tools-Folder Options pada Windows Explorer).
- Software\Microsoft\Windows\CurrentVersion\explorer\Advanced Hidden HidFileExt NoDrives StartMenuRun Start_ShowRun (note: untuk mendisable/enable pilihan hidden file, hide file extension, drive, menu Run pada start menu)
- HKEY_CLASSES_ROOT\exefile\shell\open\command\ C:\WINDOWS\Internt.exe (note: key ini dan keempat key dibawah berfungsi untuk menjalankan file virus ketika ada file executable lain yang dijalankan).
- HKEY_CLASSES_ROOT\lnkfile\shell\open\command\
- HKEY_CLASSES_ROOT\piffile\shell\open\command\
- HKEY_CLASSES_ROOT\batfile\shell\open\command\
- HKEY_CLASSES_ROOT\comfile\shell\open\command\
- Software\Microsoft\Windows\CurrentVersion\Policies\System HideFileExt (note: menghilangkan opsi Hide File Extension).
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\
4. Nama file untuk menulis log executable yang sedang berjalan C:\WINDOWS\exelog.txt
5. File induk C:\WINDOWS\Internt.exe
6. Run-time Microsoft Visual Basic 6.0 yang menunjukan bahwa virus ini dibuat dengan Visual Basic 6.0. MSVBVM60.DLL
7. Informasi executable - ProductName Explorea - FileVersion 1.00 - ProductVersion 1.00 - InternalName KOLEKSI2 - OriginalFilename KOLEKSI2.exe
c. Untuk membuktikan informasi diatas, kita dapat menjalankan virus pada emulator dan melihat file-file apa saja yang akan diinfeksi oleh virus ini. Sedangkan untuk perubahan registry, kita dapat menggunakan SysTrace.
3. Analisa Algoritma Virus
Dari hasil penjajakan diatas, kira-kira algoritma virus seperti berikut (algoritma ini mungkin saja tidak sesuai dikarenakan logika berfikir masing-masing orang tidak sama):
- Start - Copy file induk ke directory windows kemudian jalankan - Lakukan perubahan pada registry - Baca caption windows explorer, jika menunjukan sebuah drive, sembunyikan folder asli dan gantikan dengan file virus. - Jika ada program yang dijalankan, tulis keterangan program ke dalam file exelog.txt. - end
4. mem-bumihangus-kan virus.
Selanjutnya apa lagi boss…….? Sabarlah dikit, nggak sabaran kali kau ni…. Ok, mari kita lanjutkan…..
Kira-kira gimana caranya mem-bumihangus-kan ni virus ya….? Dari informasi-informasi yang telah diperoleh diatas, kita dapat merancang trik-trik untuk menghancurleburkan virus ini.
Pertama kita analisa terlebih dahulu kelemahan-kelemahan virus ini.
a. Saking bodohnya nie virus, dia tidak mengunci Task Manager. b. Perbedaan icon folder yang mencolok dapat digunakan untuk membedakan file virus dan folder asli. c. Ketika posisi view file pada windows explorer di set ke detail, akan terlihat beberapa perbedaan, defaultnya folder tidak berekstensi dan terdeteksi dengan tipe File Folder serta tidak mempunyai ukuran file. Sedangkan file virus berekstensi .exe, tipe file application, dan mempunyai ukuran sebesar 164 kb.
Berikut langkah-langkah untuk menghapus virus dari komputer kita.
1. Matikan proses virus dan pastikan tidak ada varian virus yang masih berjalan. Kita dapat menggunakan Task Manager atau program process explorer yang lain. 2. Buka folder windows dan hapus file intern.exe. 3. Dikarenakan registry editor terkunci, kita memerlukan program untuk mengganti nilai dari string registry DisableRegistryTools (note: manfaatkan om google untuk mencari cara membuka registry yang terkunci). 4. Ganti/hapus semua nilai string registry yang dirubah oleh virus. 5. Buka windows explorer dan hapus semua file virus. 6. Ganti attribute hidden pada semua folder yang terinfeksi menjadi normal (note: dapat menggunakan command prompt atau program lain). 7. Yang terakhir, ucapkan Alhamdulillah karena komputer anda telah bersih dari virus intern.
5. Informasi tambahan. Belakangan ini muncul beberapa virus dengan teknik silent tingkat tinggi yang sangat sulit dideteksi bahkan oleh antivirus sekalipun. Virus ini telah menyebar luas di beberapa warnet dengan nama file jwgkvsq.vmx dengan ukuran file 161 kb yang bersarang di folder Recycler pada flash disk ditambah dengan file Autorun.inf yang khas. Ketika menjangkiti komputer, virus ini akan menginfeksi file-file penting windows seperti COMMAND.COM, DOSX.EXE, HIMEM.SYS, MSCDEXNT.EXE, DAN REDIR.EXE (tahu khan apa kegunaan file-file tersebut??????). So,….. berhati-hatilah. | |
|