Simply And Enjoy's : Teknik Rekayasa Favorit Virus dan Antisipasinya

Udah lama g tulis di menulis di blog ...setelah browsing ke sana kemari...Kali ini saya akan memberikan sedikit pengetahuan tentang bagaimana rekayasa Virus Komputer mengelabui user..sumber ini saya ambil dari Mas AJ Tau..teknisi vaksin com...
dari analisa yang dilakukan oleh Laboratorium virus Vaksincom ada beberapa “SOP” Standard Operating Procedure atau prosedur standar yang dilakukan oleh programmer untuk dimasukkan ke dalam payload virusnya. Mayoritas memanfaatka metode manipulasi registri Windows. Aksi yang dilakukan cukup menyebalkan seperti blok fungsi Windows, blok software sekuriti dan trik lain seperti bagaimana menyembunyikan file virus dan dimana disembunyikan supaya sulit terdeteksi oleh pengguna komputer / program antivirus.

Berikut ini adalah rangkuman beberapa teknik favorit yang sering menjadi payload virus lokal maupun mancanegara dan seperti biasanya Vaksincom akan memberikan beberapa tips berguna di akhir artikel seperti bagaimana menemukan lokasi penyembunyian file virus, menampilkan type file dan ekstensi file yang dirubah oleh virus.

A. Blok Fungsi Windows

Dengan tujuan untuk mempersulit proses pembersihan, virus akan mencoba untuk melakukan blok terhadap beberapa fungsi Windows contohnya:

· Disable Registry Editor

· Disable MSConfig

· Disable Task Manager

· Disable System Restore

· Disable Folder Options

· Disable Klik kanan

· Disable Menu Run

· Disable Menu Search

· Disable Control Panel

· Disable CMD

· Disable Desktop

· Disable Windows Installer

B. Blok Software Sekuriti

Selain melakukan blok terhadap fungsi Windows, virus juga akan berupaya blok beberapa software sekuriti seperti firewall atau antivirus, baik dengan cara mematikan proses, merubah registry ataupun menghapus file tertentu dari program antivirus sehingga program antivirus tidak dapat menjalankan fungsinya dengan baik. Agar hal ini tidak terjadi sebaiknya instal antivirus yang mempunyai kemampuan untuk proteksi diri sendiri (SelfPROtect) dari upaya virus yang berusaha untuk mematikan atau mengacaukan proses antivirus, hal ini penting dilakukan agar antivirus yang terinstal mampu memberikan perlindungan maksimal terhadap komputer dari serangan virus yang berusaha untuk menguasai komputer. Salah satu antivirus yang mempunyai kemampuan SelfPROtect adalah Dr.Web Anti-virus, untuk informasi lebih jauh mengenai antivirus Dr.Web silahkan akses ke situs www.drweb.com. (lihat gambar 1)

Blok Tools Sekuriti

Untuk mempermudah proses pembersihan, Anda dapat menggunakan tools sekuriti seperti Killbox, Process Explorer, HijackThis atau Sekuriti Tak Manager untuk mematikan proses virus yang aktif di memori, tetapi kebanyakan virus akan menghentikan [mematikan] setiap tools yang berhubungan dengan sekuriti dengan cara membaca nama file atau membaca caption text [judul] dari tools tersebut pada saat dijalankan. Hal ini diantisipasi program antivirus dengan menggunakan nama acak untuk program adan prosesnya setiap kali instalasi sehingga mempersulit virus untuk memblok instalasi antivirus.

D. Manipulasi Registri Windows

Registry merupakan suatu kumpulan database untuk menyimpan dan mengatur sistem windows, semua fungsi windows tersimpan di dalam database registri Anda dapat merubah atau menambah suatu key atau string pada registri tersebut tapi kesalahan yang Anda lakukan dapat mempengaruhi sistem komputer, oleh karena itu sebelum melakukan perubahan pada registri sebaiknya backup terlebih dahulu registri Windows dengan cara:

· Buka program Registry Editor dengan cara klik [Start]

· Klik [Run]

· Pada kolom “Open” ketik regedit.exe

· Klik tombol [OK], sampai muncul layar “Registry Editor” di bawah ini : (lihat gambar 2)

Gambar 2, Tampilan Registry Editor

· Pada program Registry Editor kelik menu [File]

· Klik [Export]

· Pada kolom “File name”, isi dengan nama file yang Anda inginkan [nama file boleh bebas] dan tentukan lokasi penyimpanan file tersebut

· Klik tombol [Save]. (lihat gambar 3)

Gambar 3, Backup registry Windows

Kali ini kita akan membahas mengenai lokasi yang sering di incar oleh virus, baik virus lokal maupun macanegara. Untuk informasi mengenai pengertian registri dan struktur registri silahkan klik link http://id.wikipedia.org/wiki/Windows_Registry

Registri yang paling banyak di serang virus

Seperti yang sudah dijelaskan sebelumnya bahwa virus akan berupaya untuk melakukan blok terhadap beberapa fungsi windows seperti “Registry Editor, MSConfig, Task Manager, Folder Options” serta beberapa fungsi Windows yang lain untuk mempermudah penyebarannya.

Berikut beberapa lokasi registri yang sering menjadi incaran virus diantaranya:

1. Registri pemicu virus agar aktif otomatis

Sudah menjadi SOP, agar virus dapat aktif secara otomatis setiap kali komputer booting, ia akan membuat string pada beberapa alamat registri berikut, biasanya virus akan membuat string lebih dari satu dengan tujuan untuk saling backup jika salah satu proses virus tersebut di matikan sehingga akan mempersulit pada saat proses pembersihan.

$Text Box: Alamat registry : § HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run § HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run$

Untuk nama string pada registri ini berbeda-beda tergantung dari jenis virusnya, contohnya jika komputer tersebut terinfeksi virus Rontokbro maka akan membuat string Tok-Cirhatus-2619 seperti terlihat pada gambar 4 dibawah ini.

Gambar 4, String registry yang dibuat oleh virus Rontokbro

$Text Box: Alamat registry: § HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon String: • Shell = %lokasi file virus% • Userinit = %lokasi file virus% Catatan: untuk value %lokasi file virus% pada string Shell dan Userinit ini berbeda-beda tergantung dari jenis virus yang menginfeksi.$

String di atas dibuat agar virus dapat aktif walaupun komputer booting pada mode aman (safe mode) atau pada saat user membuka aplikasi “Windows Explorer”, seperti contoh pada virus Rontokbro yang akan merubah string Shell dan Userinit seperti yang terlihat pada gambar 5 di bawah ini.

Gambar 5, Alamat registri untuk merubah string Shell dan Userinit agar virus dapat aktif otomatis pada mode “normal” maupun “safe mode”

Beberapa virus akan mengaktifkan dirinya secara otomatis sebagai screen saver Windows sesuai dengan waktu yang telah ditentukan dengan melakukan perubahan pada registri Windows berikut: (lihat gambar 6)

$Text Box: HKEY_CURRENT_USER\Control Panel\Desktop • SCRNSAVE.EXE = %xx% Catatan: %xx% menunjukan lokasi virus (contoh: C:\WINDOWS\GADISS~1.SCR)$

Gambar 6, Virus aktif sebagai screen saver Windows

Gambar 7, Contoh proses virus yang aktif di memory

Registri untuk blok Login Windows

Harap berhati-hati, banyak virus lokal yang akan memanfaatkan celah pada string ini untuk blok agar user tidak dapat melakukan login Windows [komputer akan selalu meminta Anda untuk mengisi user name dan password secara terus menerus] dengan merubah lokasi Value pada string Userinit ke lokasi dimana file virus disimpan, hal ini pernah terjadi pada kasus virus Gnurbulf.B http://www.vaksin.com/2006/1006/flu_burung_b2.htm atau VBWorm.NFA http://www.vaksin.com/2007/0407/wayang.htm (lihat gambar 8)

$Text Box: Alamat registry: § HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon String: • Userinit = %lokasi file virus% Catatan: untuk value %lokasi file virus% pada string Userinit ini berbeda-beda tergantung dari jenis virus yang menginfeksi.$

Gambar 8, Virus lokal merubah path file pada string Userinit

Registri untuk blok fungsi Windows

Ingin tahu bagaimana virus lokal blok Registry/MSConfig/Task Manager atau fungsi-fungsi windows lainnya ? Berikut contoh beberapa alamat registry yang akan di incar oleh virus untuk melakukan blok terhadap fungsi windows tersebut:

$Text Box: Alamat registri : • HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ System • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system String : § DisableRegistryTools -> Disable Registry Editor § DisableCMD -> Disable CMD § DisableTaskMgr -> Disable Task Manager Value : 1$

$Text Box: Alamat registri : • HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ policies\explorer String : § NoFolderOptions -> Disable Folder Options § NoRun -> Disable menu Run § NoFind -> Disable menu Search § NoTrayContextMenu -> Disable Klik kanan pada Tray menu § NoViewContextMenu -> Disable klik kanan pada Desktop Windows § NoControlPanel -> Disable Control Panel Value : 1$

Biasanya virus juga akan memanfaatkan alamat registri

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

dengan tujuan untuk manipulasi suatu file/program ketika dijalankan dengan cara mengalihkan [debugger] ke file lain yang di inginkan contohnya seperti pada kasus virus Lightmoon jika user membuka “Registry Editor (regedit.exe) atau MSConfig maka virus akan mengalihkan/debugger ke program “notepad” sehingga akan menampilkan program notepad yang berisi bahasa ASCI sehingga user beranggapan bahwa “registry Editor (regedit) atau MSConfig mereka telah dirusak oleh Lightmoon, kemungkinan terburuk virus akan mengalihkan untuk menjalankan file virus yang sudah dipersiapkan sebelumnya sehingga akan lebih semakin mempersulit pada saat melakukan pembersihan atau menjalankan perintah lain yang mungkin berbahaya seperti menghapus file dan perintah berbahaya lainnya. (lihat gambar 9)

Gambar 9, Fungsi regedit yang sudah di alihkan oleh Lightmoon pada saat membuka Registry Editor (regedit.exe) atau MSConfig

$Text Box: Alamat Registry: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options Contoh Key : § Msconfig.exe § Regedit.exe § Cmd.exe § Taskmgr.exe String : debugger Data Value = %lokasi file%$

Gambar 11, Alamat registri untuk debugger suatu program jika dijalankan

$Text Box: Disable “Microsoft Windows Installer [blok file yang mempunyai ekstensi MSI]” dan pembatasan Restore Point (System Restore) Alamat registry : HKEY_LOCAL_MACHINE \Software\Policies\Microsoft\Windows\Installer String: § DisableMSI § LimitSystemRestoreCheckpointing Value : 1$

$Text Box: Disable “System Restore” Alamat registry : HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore String : § DisableSR § DisableConfig Value : 1$

Registri untuk blok system sekuriti Windows [Antivirus dan Firewall]

Virus juga akan mencoba untuk blok software sekuriti sebut saja firewall dan antivirus. Hal ini dimaksudkan agar virus tersebut dapat dengan bebas menguasai komputer korban, dibawah adalah alamat tegistri yang sering di incar virus untuk disable antivirus dan firewall:

$Text Box: Alamat registry : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Sekuriti Center String : § AntiVirusDisableNotify § AntiVirusOverride § FirewallOverride § UpdatesDisableNotify Value : 1$

5. Registri untuk manipulasi Internet Explorer

Kalau ini registri yang di incar oleh virus untuk merubah tampilan utama (tampilan awal) pada saat membuka program “Internet Explorer” sehingga jika user menjalankan program Internet Explorer maka akan membuka alamat yang sudah ditentukan oleh virus [bisa berupa alamat link atau file html yang di simpan di folder tertentu].

Virus juga biasanya akan merubah judul internet (Window Title) seperti yang pernah dilakukan oleh virus Solow, berikut contohnya: (lihat gambar 12 dan 13)

$Text Box: Alamat registry: • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main String : § Search Page § Start Page § Windows Title Value : § Alamat acak [contoh: http://www.spyrozone.tk] § Start page [contoh: http://www.spyrozone.tk] § Windows Title [contoh: Hacked By Zay]$

Gambar 12, Alamat Registry untuk merubah Start Page Internet Explorer

Gambar 13, Halaman utama Internet Explorer yang sudah diubah virus W32/Oryps

Registri untuk blok akses file aplikasi (.com/.bat/.pif/.lnk/.scr/.inf/.exe)

Upaya lain untuk mempertahankan dirinya, virus lokal juga akan melakukan manipulasi terhadap file-file yang mempunyai ekstensi tertentu. Biasanya virus akan memanfaatkan file dengan ekstensi yang biasa dijalankan oleh user berupa file eksekusi seperti file dengan ekstensi .exe, .com, .bat, .pif, .com atau .scr sehingga jika pengguna komputer menjalankan file dengan ekstensi tersebut secara tidak langsung akan mengaktifkan virus tersebut. (lihat gambar 14)

Untuk melakukan hal tersebut ia akan membuat string pada registri berikut:

$Text Box: Alamat registry: • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\piffile\shell\open\command • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\lnkfile\shell\open\command • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command • HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scrfile\shell\open\command String : Default Value : %lokasi file virus%$