Setelah virus berhasil menginfeksi sistem komputer, untuk mempertahankan
eksistensinya virus akan melakukan blok terhadap tools atau program
yang dapat menghentikan penyebarannya. Khususnya tools atau program yang
banyak digunakan oleh user, dari analisa yang dilakukan oleh
Laboratorium virus Vaksincom ada beberapa “SOP” Standard Operating
Procedure atau prosedur standar yang dilakukan oleh programmer untuk
dimasukkan ke dalam payload virusnya. Mayoritas memanfaatka metode
manipulasi registri Windows. Aksi yang dilakukan cukup menyebalkan
seperti blok fungsi Windows, blok software sekuriti dan trik lain
seperti bagaimana menyembunyikan file virus dan dimana disembunyikan
supaya sulit terdeteksi oleh pengguna komputer / program antivirus.
Berikut
ini adalah rangkuman beberapa teknik favorit yang sering menjadi
payload virus lokal maupun mancanegara dan seperti biasanya Vaksincom
akan memberikan beberapa tips berguna di akhir artikel seperti bagaimana
menemukan lokasi penyembunyian file virus, menampilkan type file dan
ekstensi file yang dirubah oleh virus.
A. Blok Fungsi Windows
Dengan
tujuan untuk mempersulit proses pembersihan, virus akan mencoba untuk
melakukan blok terhadap beberapa fungsi Windows contohnya:
· Disable Registry Editor
· Disable MSConfig
· Disable Task Manager
· Disable System Restore
· Disable Folder Options
· Disable Klik kanan
· Disable Menu Run
· Disable Menu Search
· Disable Control Panel
· Disable CMD
· Disable Desktop
· Disable Windows Installer
B. Blok Software Sekuriti
Selain
melakukan blok terhadap fungsi Windows, virus juga akan berupaya blok
beberapa software sekuriti seperti firewall atau antivirus, baik dengan
cara mematikan proses, merubah registry ataupun menghapus file tertentu
dari program antivirus sehingga program antivirus tidak dapat
menjalankan fungsinya dengan baik. Agar hal ini tidak terjadi sebaiknya
instal antivirus yang mempunyai kemampuan untuk proteksi diri sendiri
(SelfPROtect) dari upaya virus yang berusaha untuk mematikan atau
mengacaukan proses antivirus, hal ini penting dilakukan agar antivirus
yang terinstal mampu memberikan perlindungan maksimal terhadap komputer
dari serangan virus yang berusaha untuk menguasai komputer. Salah satu
antivirus yang mempunyai kemampuan SelfPROtect adalah Dr.Web Anti-virus,
untuk informasi lebih jauh mengenai antivirus Dr.Web silahkan akses ke
situs www.drweb.com. (lihat gambar 1)
Gambar 1, Salah satu bentuk pertahanan diri yang dilakukan oleh Dr.Web Anti-virus
C. Blok Tools Sekuriti
Untuk
mempermudah proses pembersihan, Anda dapat menggunakan tools sekuriti
seperti Killbox, Process Explorer, HijackThis atau Sekuriti Tak Manager
untuk mematikan proses virus yang aktif di memori, tetapi kebanyakan
virus akan menghentikan [mematikan] setiap tools yang berhubungan dengan
sekuriti dengan cara membaca nama file atau membaca caption text
[judul] dari tools tersebut pada saat dijalankan. Hal ini diantisipasi
program antivirus dengan menggunakan nama acak untuk program adan
prosesnya setiap kali instalasi sehingga mempersulit virus untuk memblok
instalasi antivirus.
D. Manipulasi Registri Windows
Registry
merupakan suatu kumpulan database untuk menyimpan dan mengatur sistem
windows, semua fungsi windows tersimpan di dalam database registri Anda
dapat merubah atau menambah suatu key atau string pada registri tersebut
tapi kesalahan yang Anda lakukan dapat mempengaruhi sistem komputer,
oleh karena itu sebelum melakukan perubahan pada registri sebaiknya
backup terlebih dahulu registri Windows dengan cara:
· Buka program Registry Editor dengan cara klik [Start]
· Klik [Run]
· Pada kolom “Open” ketik regedit.exe
· Klik tombol [OK], sampai muncul layar “Registry Editor” di bawah ini : (lihat gambar 2)
Gambar 2, Tampilan Registry Editor
· Pada program Registry Editor kelik menu [File]
· Klik [Export]
· Pada
kolom “File name”, isi dengan nama file yang Anda inginkan [nama file
boleh bebas] dan tentukan lokasi penyimpanan file tersebut
· Klik tombol [Save]. (lihat gambar 3)
Gambar 3, Backup registry Windows
Kali
ini kita akan membahas mengenai lokasi yang sering di incar oleh virus,
baik virus lokal maupun macanegara. Untuk informasi mengenai pengertian
registri dan struktur registri silahkan klik link http://id.wikipedia.org/wiki/Windows_Registry
Registri yang paling banyak di serang virus
Seperti
yang sudah dijelaskan sebelumnya bahwa virus akan berupaya untuk
melakukan blok terhadap beberapa fungsi windows seperti “Registry
Editor, MSConfig, Task Manager, Folder Options” serta beberapa fungsi
Windows yang lain untuk mempermudah penyebarannya.
Berikut beberapa lokasi registri yang sering menjadi incaran virus diantaranya:
1. Registri pemicu virus agar aktif otomatis
Sudah
menjadi SOP, agar virus dapat aktif secara otomatis setiap kali
komputer booting, ia akan membuat string pada beberapa alamat registri
berikut, biasanya virus akan membuat string lebih dari satu dengan
tujuan untuk saling backup jika salah satu proses virus tersebut di
matikan sehingga akan mempersulit pada saat proses pembersihan.
Untuk
nama string pada registri ini berbeda-beda tergantung dari jenis
virusnya, contohnya jika komputer tersebut terinfeksi virus Rontokbro
maka akan membuat string Tok-Cirhatus-2619 seperti terlihat pada gambar 4 dibawah ini.
Gambar 4, String registry yang dibuat oleh virus Rontokbro
String di atas dibuat agar virus dapat
aktif walaupun komputer booting pada mode aman (safe mode) atau pada
saat user membuka aplikasi “Windows Explorer”, seperti contoh pada virus
Rontokbro yang akan merubah string Shell dan Userinit seperti yang terlihat pada gambar 5 di bawah ini.
Gambar 5, Alamat registri untuk merubah string Shell dan Userinit agar virus dapat aktif otomatis pada mode “normal” maupun “safe mode”
Beberapa
virus akan mengaktifkan dirinya secara otomatis sebagai screen saver
Windows sesuai dengan waktu yang telah ditentukan dengan melakukan
perubahan pada registri Windows berikut: (lihat gambar 6)
Gambar 6, Virus aktif sebagai screen saver Windows
Gambar 7, Contoh proses virus yang aktif di memory
- Registri untuk blok Login Windows
Harap
berhati-hati, banyak virus lokal yang akan memanfaatkan celah pada
string ini untuk blok agar user tidak dapat melakukan login Windows
[komputer akan selalu meminta Anda untuk mengisi user name dan password
secara terus menerus] dengan merubah lokasi Value pada string Userinit ke lokasi dimana file virus disimpan, hal ini pernah terjadi pada kasus virus Gnurbulf.B http://www.vaksin.com/2006/1006/flu_burung_b2.htm atau VBWorm.NFA http://www.vaksin.com/2007/0407/wayang.htm (lihat gambar 8)
Gambar 8, Virus lokal merubah path file pada string Userinit
- Registri untuk blok fungsi Windows
Ingin
tahu bagaimana virus lokal blok Registry/MSConfig/Task Manager atau
fungsi-fungsi windows lainnya ? Berikut contoh beberapa alamat registry
yang akan di incar oleh virus untuk melakukan blok terhadap fungsi
windows tersebut:
Biasanya virus juga akan memanfaatkan alamat registri
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
dengan
tujuan untuk manipulasi suatu file/program ketika dijalankan dengan
cara mengalihkan [debugger] ke file lain yang di inginkan contohnya
seperti pada kasus virus Lightmoon jika user membuka “Registry Editor
(regedit.exe) atau MSConfig maka virus akan mengalihkan/debugger ke
program “notepad” sehingga akan menampilkan program notepad yang berisi
bahasa ASCI sehingga user beranggapan bahwa “registry Editor (regedit)
atau MSConfig mereka telah dirusak oleh Lightmoon, kemungkinan terburuk
virus akan mengalihkan untuk menjalankan file virus yang sudah
dipersiapkan sebelumnya sehingga akan lebih semakin mempersulit pada
saat melakukan pembersihan atau menjalankan perintah lain yang mungkin
berbahaya seperti menghapus file dan perintah berbahaya lainnya. (lihat gambar 9)
Gambar 9, Fungsi regedit yang sudah di alihkan oleh Lightmoon pada saat membuka Registry Editor (regedit.exe) atau MSConfig
Gambar 11, Alamat registri untuk debugger suatu program jika dijalankan
- Registri untuk blok system sekuriti Windows [Antivirus dan Firewall]
Virus
juga akan mencoba untuk blok software sekuriti sebut saja firewall dan
antivirus. Hal ini dimaksudkan agar virus tersebut dapat dengan bebas
menguasai komputer korban, dibawah adalah alamat tegistri yang sering di
incar virus untuk disable antivirus dan firewall:
5. Registri untuk manipulasi Internet Explorer
Kalau
ini registri yang di incar oleh virus untuk merubah tampilan utama
(tampilan awal) pada saat membuka program “Internet Explorer” sehingga
jika user menjalankan program Internet Explorer maka akan membuka alamat yang sudah ditentukan oleh virus [bisa berupa alamat link atau file html yang di simpan di folder tertentu].
Virus
juga biasanya akan merubah judul internet (Window Title) seperti yang
pernah dilakukan oleh virus Solow, berikut contohnya: (lihat gambar 12
dan 13)
Gambar 12, Alamat Registry untuk merubah Start Page Internet Explorer
Gambar 13, Halaman utama Internet Explorer yang sudah diubah virus W32/Oryps
- Registri untuk blok akses file aplikasi (.com/.bat/.pif/.lnk/.scr/.inf/.exe)
Upaya
lain untuk mempertahankan dirinya, virus lokal juga akan melakukan
manipulasi terhadap file-file yang mempunyai ekstensi tertentu. Biasanya
virus akan memanfaatkan file dengan ekstensi yang biasa dijalankan oleh
user berupa file eksekusi seperti file dengan ekstensi .exe, .com,
.bat, .pif, .com atau .scr sehingga jika pengguna komputer menjalankan
file dengan ekstensi tersebut secara tidak langsung akan mengaktifkan
virus tersebut. (lihat gambar 14)
Untuk melakukan hal tersebut ia akan membuat string pada registri berikut:
Gambar 14, Contoh string yang dirubah oleh virus untuk manipulasi file yang mempunyai ekstensi EXE
- Registri untuk merubah tipe file dari “Application” menjadi tipe lain (contoh: “File Folder” / Mircosoft Word Document)
Nah...
ini registry yang sering dipakai oleh virus untuk manipulasi tipe file
virus agar file tersebut terlihat bukan sebagai file virus. Seperti yang
kita ketahui bahwa biasanya virus akan menyamarkan icon file yang
terinfeksi seperti menggunakan icon Folder/MS.Word atau gambar [JPG]
dengan tipe file sebagai “Application” atau “Screen Saver”, jika sang VM
masih menggunakan teknik ini maka user akan mudah mengetahui bahwa file
tersebut adalah virus, oleh karena itu agar file tersebut tidak
terlihat sebagai virus pembuat virus akan merubah tipe file tersebut
sesuai dengan icon yang menyertainya contohnya jika virus tersebut
menggunakan icon Folder maka ia akan merubah tipe file manjadi “File
Folder”, tetapi jika virus tersebut menggunakan icon MS.Word maka ia
akan merubah type file menjadi “Microsoft Word Document”. Ia juga akan melakukan hal yang sama terhadap file duplikat yang telah dibuat dengan tujuan untuk mengelabui user.
Bagaimana ia (virus) melakukannya ? Berikut registry yang akan di ubah : (lihat gambar 15 dan 16)
Gambar 15, Lokasi registy untuk merubah tpe file EXE (aplikasi)
Gambar 16, Virus lokal merubah type file manjadi File Folder
Untuk
menyempurnakan penyamaran tersebut sang VM akan menyembunyikan ekstensi
yang menyertai file tersebut, jadi walaupun Anda sudah menampilkan
ekstensi dari file tersebut maka ektensi dari file yang sudah terinfeksi
virus tidak akan dapat ditampilkan sehingga user akan kesulitan untuk
membedakan antara file asli dengan file virus.
Berikut registry yang akan di incar:
- Registri untuk menyembunyikan file dan ekstensi file
Biasanya virus lokal akan mencoba untuk menyembunyikan file induk yang sudah di buat dengan tujuan
agar tidak mudah untuk dihapus serta menyembunyikan ekstensi dari file
tersebut untuk mempersulit user membedakan antara file asli dan file
virus.
Jika Anda mencoba untuk menampilkan file dan ekstensi file yang disembunyikan dengan memilih opsi “Show
hidden files and folders” serta menghilangkan opsi “Hide extension for
known file types” dan “Hide protected operating system files
[recommended]”, setelah anda klik tombol [OK] jangan kaget jika opsi
yang sudah Anda rubah sebelumnya akan kembali ke setting awal sebelum
Anda rubah (lihat gambar 17).
Berikut registry yang akan diubah :
Gambar 17, Menu Folder Options yang akan dimanipulasi oleh virus
- Registri untuk merubah nama pemilik Windows
Biasanya para pembuat virus akan berusaha untuk membuat ciri khas tertentu untuk membedakan dengan virus lainnya
salah satunya dengan merubah nama pemilik [Owner] atau organisasi
[Organization] dari komputer tersebut dengan mencantumkan sebuah nama
yang unik [bisa juga sebagai inisial], seperti pada kasus virus
W32/Rabox yang akan merubah nama pemilik windows menjadi Borax (lihat
gambar 19). Berikut alamat registri yang akan di permak oleh virus:
(lihat gambar 18)
Gambar 18, Alamat registri Untuk merubah nama pemilik Windows
Gambar 19, Nama pemilik Windows yang diubah oleh virus Rabox.A
- Registri agar virus dapat aktif pada mode “safe mode with command prompt”
Semenjak
kemunculan virus rontokbro yang dapat aktif pada mode “safe mode maupun
safe mode with command prompt”, kini bermunculan virus lokal lainnya
yang akan mencoba agar dirinya dapat tetap aktif walaupun komputer
booting pada pada mode tersebut [rupanya kurang afdol jika hanya aktif
pada mode normal saja] berikut alamat registri yang akan dirubah oleh
virus : (lihat gambar 20)
Gambar 20, Alamat registri yang di ubah oleh virus agar aktif pada mode “Safe Mode With Command Prompt”
- Registri blok akses ke mode aman (Safe Mode dan Safe Mode With Command Prompt)
Untuk
mempersulit proses pembersihan, beberapa jenis virus akan blok agar
komputer tidak dapat melakukan booting baik pada mode aman (Safe Mode
atau Safe Mode With Command Prompt) dengan cara menghapus key [Minimal] dan [Network] yang berada pada registri berikut:
Gambar 21, Registri yang dirubah oleh virus agar aktif pada mode aman
Itulah
beberapa alamat registry yang sering menjadi incaran virus lokal dan
mancanegara, jika anda berminat mmepelajari registri, anda dapat
mempelajari di beberapa situs informatif seperti :
E. File-file yang diserang virus lokal
MS.Office/file
gambar/dan file yang dikompresi [ZIP/RAR] adalah sederetan file yang
biasanya akan diserang oleh virus mulai dari hanya sekedar disembunyikan
bahkan sampai dihapus. Ada sedikit tips agar data Anda khususnya file
MS.Office [Ms.Word] tidak diserang virus lokal yakni dengan menyimpan
file tersebut dengan format RTF [Rich Text Format] karena
biasanya virus lokal akan menyerang file dengan ekstensi .DOC atau Anda
juga dapat menggunakan program Open Office.
Tetapi hal yang terpenting adalah selalu backup data Anda,
karena virus akan selalu belajar dari pengalaman sehingga perubahan
yang dilakukan terhadap data tersebut tidak dapat menjamin file akan
aman dari virus.
F. Lokasi penyimpanan file induk virus
Untuk
menjaga eksisitesinya virus akan membuat file induk, file induk inilah
yang akan dijalankan secara otomatis setiap kali komputer booting. Nama
file yang digunakan terkadang mempunyai nama yang sama dengan nama file
System Windows seperti Lsass.exe, Winlogon.exe, Services.exe atau
Smss.exe hal ini dimaksudkan untuk mengelabui user sehingga user
ragu-ragu untuk menghapus file tersebut karena dikhawatirkan akan
merusak/mengganggu program Windows.
File
induk yang dibuat oleh virus walaupun mempunyai nama yang sama dengan
file system Windows tetapi lokasi penyimpanannya akan berbeda karena
tidak mungkin ada nama yang sama dalam satu ditekroti. Contohnya seperti
pada virus Rontokbro dan variannya dimana ia akan membuat file yang
sama seperti file system Windows seperti LSASS.exe, Services.exe atau
Winlogon.exe akan tetapi lokasi penyimpanannya berbeda yakni di
direktori [C:\Documents and settings\%Users%\Local Settings\Application
Data] sedangkan file system Windows yang asli akan disimpan didirektori [C:\Windows\System32].
Sebenarnya banyak sekali tools/software yang dapat digunakan untuk mengetahui lokasi
file induk virus yang dijalankan pertama kali, seperti Proceexp, Iknow
Prosess, Curreprosess, Sekuriti Task Manager (lihat gambar 22) atau
HijackThis [jika tools tersebut diblok Anda dapat menggunakan tools lain
yang tidak diblok oleh virus, silahkan tanya paman Google.
Gambar 22, Security Task Manager dapat digunakan untuk memeriksa lokasi file induk virus
Lalu
bagaimana cara membedakan antara file virus dengan file bukan virus ?
Sebenarnya ada beberapa tips yang dapat dilakukan untuk
membedakan/mengetahui file virus seperti :
- Melihat lokasi penyimpanan file
Untuk mengelabui user
biasanya virus akan membuat file induk dengan nama file yang sama
dengan file Windows sehingga user akan kesulitan untuk membedakan antara
file virus dengan file asli Windows, Contohnya file LSASS.exe,
WINLOGON.EXE, SERVICES.exe atau CSRSS.exe, tetapi jika anda jeli maka
anda akan dengan mudah untuk membedakan antara file virus dan file asli
Windows dengan cara melihat lokasi penimpanan file tersebut , contohnya
file LSASS.exe, Winlogon.exe milik Windows akan disimpan di direktori
[C:\Windows\system32] sedangkan file milik virus akan disimpan di
direktori lain, contohnya pada kasus virus Rontokbro akan di simpan
didirektori [C:\Documents and settings\%Users%\Local
Settings\Application Data].
Untuk
melihat lokasi file induk virus anda dapat menggunakan tools seperti
Proceexp atau Sekuriti Task Manager, lihat gambar 22 di atas.
- Menampilkan ekstensi file.
Biasanya virus akan menyamarkan icon yang menyertai file virus tersebut, seperti menggunakan icon atau [atau
icon lain] tetapi biasanya akan mempunyai ext. EXE/SCR/VBS atau
ekstensi lainnya. Dengan menampilkan ekstensi dari file tersebut maka
akan mempermudah untuk membedakan flie virus dan file asli dimana
seharusnya file MS.Word akan mempunyai ekstensi .DOC dan sebuah Folder
tidak akan mempunyai ekstensi dan tidak mempunyai ukuran, perhatikan
gambar 23 di bawah ini:
Gambar 23, Perbedaan antara file asli dan file virus
- Menampilkan tipe file
Dengan
menampilkan tipe file maka anda dapat membedakan apakah file tersebut
tergolong file aplikasi atau bukan, karena biasanya virus akan mempunyai
tipe file sebagai “Application” atau “Screen Saver” walaupun dengan
icon yang disamarkan [seperti menggunakan icon Folder/Ms.Word/txt]
(lihat gambar 24)
Gambar 24, Menampilkan tipe sebuah file
Catatan :
Ada
beberapa virus yang jika sudah menginfeksi komputer target maka ia akan
merubah tipe file yang terinfeksi atau file duplikat yang dibuat sesuai
dengan icon yang menyertainya, contohnya jika icon file yang terinfeksi menggunakan
“Folder” maka ia akan merubah type file tersebut menjadi “File Folder”
atau jika file yang terinfeksi tersebut menggunakan icon “MS.Word” maka
ia akan merubah tipe file tersebut menjadi “Microsoft Word Document” hal
ini dilakukan dengan tujuan untuk menggelabui user. (lihat gambar 25)
Gambar 25, Virus merubah tipe file sesuai dengan icon yang menyertainya
Catatan:
· Untuk menampilkan ekstensi file, lakukan langkah dibawah ini (lihat gambar 26)
§ Buka [Windows Explorer]
§ Klik menu [File]
§ Klik [Folder Options]
§ Pada layar “Folder Options”, klik tabulasi [View]
§ Pilih opsi “Show hidden files and folders”
§ Hilangkan tanda check list pada opsi “Hide extensions for known file types”
§ Klik tombol [Apply]
§ Klik [OK]
Gambar 26, Menampilkan ekstensi file yang disembunyikan
· Untuk menampilkan tipe file lakukan langkah berikut
§ Buka [Windows Explorer]
§ Klik menu [View]
§ Klik [Details]