Tugas Pengantar Teknologi Komunikasi dan Informatika

VIRUS DAN ANTIVIRUS:

XFLY & SMADAV

Anggota Kelompok: Albertus Aditya Rifky Fachry M 140810130053 140810130061

PROGRAM STUDI TEKNIK INFORMATIKA FAKULTAS MATEMATIKA DAN ILMU PENGETAHUAN ALAM UNIVERSITAS PADJADJARAN 2013

Mata kuliah : Pengantar Teknologi Komunikasi dan Informatika Hari, tanggal : Kamis, 12 Desember 2013 Kelompok : Albertus Aditya (140810130053) Rifky Fachry M (140810130061) VIRUS XFLY XFly merupakan sebuah virus local dan dibuat menggunakan Visual Basic. Memiliki ukuran tubuh sebesar 143.360 bytes tanpa di-compress. Dan ia dapat menyamar sebagai folder, file MP3 WinAmp atau yang lainnya dengan cara mengubah secara langsung resource icon yang ada pada tubuhnya. Ini akan lebih mempersulit user awam dalam mengenalinya. Pada komputer terinfeksi, saat menjalankan Internet Explorer, caption-nya akan berubah menjadi ..:: x-fly ::.., dan saat memulai Windows pun akan muncul pesan dari si pembuat virus pada default browser. Atau setiap waktu menunjukan pukul 12:30, 16:00, atau 20:00, virus ini pun akan menampilkan layar hitam yang juga berisi pesan dari si pembuat virus. Ia menyebarkan diri ke segala penjuru drive di komputer korban, memanipulasi registry, berganti icon, bahkan menghilangkan data. Kali pertama virus dijalankan, yang ia lakukan adalah membuat le induk pada drive C dan D (jika ada), tepatnya ia akan membuat folder baru pada drive C:souly dan D:souly serta menaruh beberapa le induknya pada folder tersebut. Selain itu, ia juga menempatkan beberapa file induk execu table lainnya pada root drive C dengan nama yang tak lazim, yakni MSNTLR.DYS, MSFLC.FYS, MSDLF.HHS, PSK.y, dan satu lagi bernama fadly_keren.ocx. Sementara pada direktori Windows dan System32, selain terdapat le induk lainnya, ia pun mengextract icon yang disimpan pada section Resource di tubuhnya ke direktori System32 tersebut, serta membuat lagi le dengan nama mediaplayer.exe dan rj.html pada folder startup Windows. Ia pun tak lupa membuat back-up terhadap le MSVBVM60. DLL pada direktori C:WINDOWSSystem dengan nama MSVBVM60.DLL dan rambe.dat. Setelah le induk berhasil disebar, tugas selanjutnya adalah memanggil beberapa le induk tersebut, jadi memory pun akan dipenuhi dengan process dari sang virus. Ini sangat membuat kerja processor bertambah berat dan akan sangat terasa saat menjalankan beberapa aplikasi secara bersamaan. Setidaknya pada memory akan terdapat process virus dengan nama RCSS. EXE, r4m83.exe, isass.exe, realplay.exe, MSNTLR.DYS, MSFLC. FYS, MSDLF.HHS, dan PSK.y. Yang dilakukan oleh virus ini untuk dapat running otomatis saat memulai Windows memang cukup berlebihan, ia membuat lebih dari 20 item Run baru di registry. Yang pertama, ia akan memanipulasi nilai Userinit yang ada pada key HKLMSOFTWAREMicrosoftWindowsNTCurrentVersionWinlogon menjadi C:WINDOWSsystem32userinit.exe, C:windowssystem32RCSS.exe. Windows akan menganggap string C:windowssystem32RCSS.exe, yang merupakan salah satu le induk virus ini sebagai parameter, yang akhirnya akan dieksekusi juga oleh Windows. HKLMSOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonShell dan HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogonSystem juga mengalami hal yang sama, nilainya diubah menjadi C:WINDOWSsystem32RCSS.exe. Selebihnya ia membuat beberapa itum run lainnya pada key HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun dan HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun.Beberapa extension pun ia ubah default open-nya agar mengarah kepada le induk di c:WINDOWSr4m83.exe. Extension yang ia ubah tersebut adalah .LNK, .PIF, .BAT, dan .COM. Tidak hanya normal mode, SafeMode pun ia infeksi dengan cara mengubah nilai AlternateShell yang ada pada key HKLMSYSTEMControlSet001ControlSafeBoot, HKLMSYSTEMControlSet002ControlSafeBoot,dan HKLMSYSTEMCurrentCon-trolSetControlSafeBoot, yang diarahkan kepada le induk yang sama seperti di atas, yakni C:WINDOWSsystem32RCSS.exe. Ini akan berakibat aktifnya sang virus walaupun dalam modus SafeMode.

Dengan masih menggunakan bantuan Registry, ia mengeset beberapa restriction untuk menunjang kelangsungan hidupnya. Dengan cara menambahkan beberapa item baru seperti NoFolderOptions, NoFind, NoRun, DisableTaskMgr, dan DisableCMD pada key HKLMSOFTWAREMicrosoftWindowsCurrentVersionPoliciesExplorer, yang tak lain maksudnya adalah untuk tidak memperbolehkan user untuk mengakses menu Folder Options, Search/Find, Run, Task Manager, dan Command Prompt. Serta untuk Folder Options, ia set untuk tidak menampilkan le dengan attribut hidden dan system, serta menyembunyikan extension dari setiap le yang dikenal. Selain itu, ia pun men-disable System Restore milik Windows. Virus XFly ini menciptakan le exe-cutable dengan nama yang tak lazim, namun bisa dieksekusi. Seperti contohnya, MSNTLR.DYS atau MSFLC.FYS. Jadi, apabila ada le misalnya dengan extension berupa .DYS, dan user menjalankan dengan mengklik dua kali pada explorer, Windows akan menjalankannya selayaknya le executable (.EXE). Bagaimana ia melakukannya? Sebelumnya ia telah meregister extension baru yang telah ia tentukan seperti .DYS,.FYS, .HHS, dan .FLY pada registry HKEY_CLASSES_ROOT dan mengesetnya sedemikian rupa agar dikenali layaknya le executable. Agar selalu dapat mengelabui korbannya, virus ini memiliki kemampuan untuk mengubah resource icon dirinya. Normalnya sebuah le executable memiliki section resource. Dalam section resource ini bisa terdiri atas berbagai macam data. Salah satunya adalah icon. Secara teknis, jika executable virus ini dibedah, pada section resource akan terdapat resource dengan nama OCX. Resource OCX ini berisi kumpulan icon yang akan digunakannya nanti. Virus ini akan mengextract icon yang ada pada resource OCX pada direktori System32 dengan nama avg.ico, word.ico, rmb5.ico, mp3.ico, jpg.ico, dan folder.ico. Dari namanya, pasti Anda sudah bisa mengira tampilan icon tersebut seperti apa. Dan yang dilakukan oleh virus ini adalah mengubah resource icon pada beberapa le executable induknya menggunakan icon yang baru yang telah ia extract sebelumnya. Media yang banyak dipakai oleh virus-virus di Indonesia untuk menyebar adalah ash disk. Jika terinfeksi virus ini, pada ashdisk akan terdapat le baru dengan nama New Folder. exe tentunya dengan icon mirip folder dan sebuah le dengan nama autorun.inf. Bukan hanya itu, ia juga memiliki kemampuan untuk menyebar melalui jaringan dengan mencari sharing older yang aktif yang memiliki akses write agar virus ini dapat mengkopikan dirinya ke sharing folder tersebut. Biasanya untuk menarik perhatian user, virus ini akan membuat le dengan nama berbau pornogra . Saat user mencolokan ash disk, virus ini dengan segera akan mencari le dengan extension .MPG, .WMV, .AVI, .JPG, .SCR, ZIP, dan .RAR. Apabila ditemukan, maka ia akan menghapus le tersebut dan menggantikannya dengan le virus dengan nama yang hampir sama. Segala cara dikerahkan untuk dapat selalu bertahan hidup. Komponen Timer yang ada pada tubuhnya, secara simultan akan membaca caption dan atau window class dari setiap apikasi yang running, apabila ditemukan aplikasi yang masuk dafar blacklist-nya, ia akan segera menampilkan layar hitam berisi pesan dari si pembuat virus, dan selama layar hitam ini muncul, sang user tidak akan bisa berbuat apaapa. Beberapa string yang ada dalam daftar black list-nya, antara lain PROCESS, SETUP, RESOURCE HACKER, HEX WORKSHOP, HIJACKTHIS, KILLBOX, dan masih banyak lagi yang lainnya. Pesan Virus Pada komputer terinfeksi, caption dari Internet Explorer, akan berubah menjadi ..:: x-y ::.., dengan default page yang mengarah pada le C:Documents and SettingsAll UsersStart MenuProgramsStartuprj.html yang merupakan le pesan virus. File ini pun akan dijalankan otomatis pada saat memulai Windows karena berada pada folder StartUp. Selain itu, sebuah le pesan virus dengan nama x-y.html pun akan terlihat jelas pada Desktop, tepatnya berada pada C:Documents and SettingsAll UsersDesktopx-y.html. Dan setiap waktu menunjukkan pukul 12:30, 16:00, atau 20:00, virus ini juga akan menampilkan layar hitam yang berisi pesan darii pembuat virus.

ANTIVIRUS SMADAV SmadAV adalah antivirus lokal tak berbayar yang dikhususkan untuk mengatasi virusvirus lokal ataupun mancanegara yang menyebarluas di Indonesia. Smadav dapat digabungkan dengan hampir semua antivirus internasional. Setelah digabungkan, Smadav akan melindungi komputer dari virus lokal dan antivirus internasional tersebut yang akan melindung Anda dari virus internasional secara keseluruhan. Sejarah Penemuan SmadAV dibentuk oleh Zainuddin Nafarin alias STC alias Zai, yang merupakan murid Sekolah Menegah Umum 2 Pahandut Palangka Raya, Kalimantan Tengah kelas XI IA 1 pada tahun 2006. Zainuddin merupakan warga asli dari Amuntai, Kalimantan Selatan, dan ia fasih berbahasa Banjar. Zainuddin tinggal di daerah pinggiran Kota Palangkaraya, tepatnya di tengah daerah hutan rawa. Smadav tercipta karena awal mulanya, secara tak sengaja Zai mengenal Visual Basic di laboratorium komputer SMAN-2 Palangkaraya pada sekitar pertengahan menjelang akhir (bulan Oktober) tahun 2006. Lalu Zai mulai mencoba untuk mempelajarinya, dan beberapa bulan setelah itu lahirlah Smadav v1.0. Tetapi karena kesibukannya akhirnya pengembangan SmadAV ditunda hingga diselesaikan pada tahun 2008. Smadav pertama kali diciptakan di kota Palangkaraya, tapi lokasi pengembangannya lebih banyak memakan tempat di daerah Jogjakarta dikarenakan kesibukannya kuliah di Fakultas Ilmu Komputer Universitas Gadjah Mada. SmadAV mulai dikembangkan dari kejengkelan virus-virus lokal yang menjangkiti komputer teman-teman Zai. Ada dua hal yang membuatnya jengkel, pertama virus lokalnya sendiri. Kedua, Zai harus datang ke rumah masing-masing teman Zainuddin Nafarin tersebut untuk membantu membersihkan virus lokal di komputernya secara manual. Karena hal inilah mau tidak mau harus mau agar teman Zainuddin Nafarin tetap terbantu dan Zainuddin Nafarin tidak repot lagi, sejak saat itu Zainuddin mulai mengembangkan aplikasi SmadAV. Zainuddin Nafarin menamakannya SmadAV karena SMA Zainuddin Nafarin adalah SMAN-2 Palangkaraya, biasa dipanggil Smada. Jadi, SmadAV=Smada+AV (Smada Antivirus). Cara kerja SmadAV bekerja dengan 3 teknik scanning, yaitu: 1. Internal Database SmadAV mempunyai signature virus yang disimpan dalam database internal. Signature tersebut disimpan dalam Basis STC (Basis 100) dan telah dikalkulasi sedemikian rupa menggunakan kalkulasi STC32 langsung dari tubuh virusnya. Tujuan penggunaan Basis STC disini adalah untuk menghemat penggunaan string sehingga ukuran file .exe SmadAV akan menjadi lebih kecil. Dan tujuan penggunaan Kalkulasi STC32 ini agar proses scanning menjadi Super Cepat, tidak seperti teknik HASH lambat yang biasa digunakan Antivirus lainnya, seperti CRC32, MD5, dan sejenisnya. 2. Heuristic Icon (Smad-Eye) Salah satu titik kelemahan virus lokal adalah menggunakan icon yang relatif sama. Biasanya virus lokal menggunakan icon folder, office, image, dan icon social-engineering lainnya. Tujuannya jelas untuk menipu korban agar mengklik dan mengaktifkan virus tersebut. Mudah untuk mendeteksi virus lokal, dengan hanya melihat icon, kita sudah bisa membedakan yang mana virus dan bukan. SmadAV sudah mempunyai mata (Smad-Eye) untuk melihat program yang menggunakan Icon Social-Engineering. 3. Heuristic VBS (Smad-Reader)

Smad-Reader adalah teknik heuristic yang dikhususkan untuk membaca source code file VBS. Dengan teknik heuristic ini SmadAV mampu mendeteksi hampir semua Virus VBS dengan akurat tanpa perlu database/signature. Teknik heuristic ini hanya ada di SmadAV dan belum pernah ada pada antivirus lokal lainnya. Antivirus lokal lainnya saat ini masih menggunakan database/signature untuk mendeteksi virus VBS. Cara kerja SmadReader adalah sebagai berikut. Virus-virus VBS mempunyai banyak kesamaan pada sourcecode-nya, seperti penggunaan Objek File System, pengeditan file/folder, dan pengeditan registry. Dari kesamaan inilah SmadAV menentukan apakah suatu file adalah virus VBS atau bukan, yakni dengan membaca source code dan membandingkannya dengan kesamaan-kesamaan source code virus VBS pada umumnya. Jika SmadAV menemukan cukup banyak source code yang mirip dengan source code yang biasanya digunakan Virus VBS maka file tersebut adalah Virus VBS. Namun, ada masalah ketika suatu file VBS di-enkripsi sehingga source code-nya tidak dapat dibaca, untuk kasus ini SmadAV mempunyai engine khusus yang mampu menentukan apakah suatu virus yang di-enkripsi adalah virus VBS atau bukan. Server Server luar (Internasional) memang cenderung lebih murah daripada server lokal (IIX). Khususnya untuk Shared Hosting yang sangat murah di luar negeri. Smadaver.com tidak memakai Shared Hosting, tapi memakai VPS (Virtual Private Server) yang jauh lebih mahal dan lebih stabil untuk forum yang cukup besar. Saat ini Server Smadav.net ada di daxa Rp.2.500.000,-/bulan dan Server Smadaver.com dan viruslokal.com menggunakan Virtual Private Server di Dreamhost, bayarnya antara $50-$100 per bulan atau Rp.500.000,/bulan (Rp6.000.000 Rp12.000.000 per tahun). Jadi bisa melayani Smadaver dengan kecepatan maksimum. Keamanan Proses Smadav Pada saat diklik Smadav mengecek secara sembunyi-sembunyi dulu (agar tidak di-kill virus) keadaan komputer, jika ada virus akan langsung di-kill Smadav sebelum GUI(Tampilan) Smadav-nya muncul. Dan ini berlangsung kurang dari 3 detik. Cleaning File Kalau Smadav gagal melakukan cleaning, sebenarnya dokumennya tidak akan dihapus tapi dikarantina, jadi masih bisa mengembalikannya (undelete) di tab Quarantine. Ada beberapa kemungkinan yang menyebabkan cleaning file dokumen gagal (sehingga harus dikarantina): 1. File dokumen dirasuki (bergabung) dengan tubuh virus 2. File dokumen disembunyikan di tempat yang tidak bisa digapai smadav Kalau sudah yakin semua data aman, maka semua virus yang dikarantina dapat dihapus. Autorun.inf Folder autorun.inf Smadav berfungsi untuk menangkis virus yang membuat file autorun.inf. Autorun.inf hanya dideteksi jika ada di Flashdisk/Removable disk, tidak di CD/DVD Drive. Komputer Zai sangat sering terinfeksi Conficker gara-gara Zai sering lalai dalam meneliti di Lab Smadav, Conficker sering lepas dan menginfeksi komputer Zai sendiri, tapi Conficker tetap gagal menginfeksi flashdisk dengan membuat file autorun.inf, soalnya kan sudah dikunci dengan Smad-Lock. autorun.inf yang menjadi virus itu kemungkinan hanya menduplikasi diri agar mirip dengan semua folder di drive tersebut termasuk folder autorun.inf, jadi virusnya akan berekstensi exe bernama autorun.inf.exe Folder Recycler di Flashdisk adalah 100% Virus Conficker. Harus diperhatikan bahwa folder autorun.inf itu memiliki atribut system+hidden jadi tidak akan membuat bingung pengguna awam karena komputer di pengguna awam kebanyakan tidak menampilkan file system+hidden. Hanya komputer advanced pengguna saja yang

kebanyakan menampilkan file system+hidden, dan mereka sebagian besar sudah tahu kegunaan folder autorun.inf. Windows 7 sudah tidak menggunakan dan mengabaikan file autorun.inf di removable disk. Sebenarnya fitur autorun.inf di removable disk sudah banyak dikritik oleh pengguna Windows XP karena sangat berbahaya dan menjadi celah yang sangat bagus bagi virus, Smadav hanya ingin memutus rantai virus yang sebagian besar di Indonesia menyebar luas lewat autorun.inf. Jadi sangat tidak direkomendasikan untuk menghapus folder autorun.inf buatan Smadav. Sampai saat ini hampir semua virus (99%) tidak mampu menghapus folder autorun.inf Smadav. Smad-Lock Folder Smad-Lock ini tidak bisa d-scan oleh Smadav Rev. 4 dan versi-versi sebelumnya. Ini karena pathnya mempunyai karakter Unicode yaitu . Sama halnya dengan virus juga tidak bisa men-scan dan menginfeksi file-file di dalamnya, karena untuk membuat suatu program bisa memasuki folder ini programmer harus membuat kode yang mendukung karakter Unicode sehingga harus merombak ulang semua kode yang belum mendukung Unicode. Smadav 2009 Rev. 5 sudah dirombak ulang dan sudah mendukung Unicode. Smad-Lock hampir tidak mungkin bisa dimodifikasi oleh virus. Virus penginfeksi folder memang menduplikasi diri mirip semua folder yang ditemukannya termasuk folder autorun.inf milik Smad-Lock. Tapi virus penginfeksi folder ini tidak bisa masuk ke folder " Smad-Lock " Folder Smad-Lock memang hanya diperuntukkan untuk filefile yang dibuka dengan program buatan microsoft, seperti office, explorer, notepad, dll. Hanya sedikit program non-microsoft yang bisa membuka file dalam folder Smad-Lock. Smadav sudah memberikan notifikasi dan catatan yang cukup dalam folder Smad-Lock pada file Read Me. Memang ada kira-kira 5% virus lokal yang bisa masuk folder Smad-Lock, tapi hampir tidak ada yang bisa menginfeksi dokumen di dalamnya. Alasan yang sangat kuat untuk membuat fitur Smad-Lock: 90% virus (baik virus lokal ataupun virus luar) yang ada di Indonesia sekarang menyebar lewat autorun.inf ini, jadi dipersilakan untuk menggunakan fitur pada file autorun.inf tapi bersiap-siaplah karena file autorun.inf Anda akan di-replace oleh virus dan Removable Disk Anda akan terinfeksi. Kalau Anda lebih mementingkan keamanan, aktifkanlah Smad-Lock (Autorun.inf), sampai saat ini hampir semua virus (99%) tidak mampu menghapus folder autorun.inf Smadav. Smad-RTP Smad-RTP hanya mencegah eksekusi virus dari Explorer dan flashdisk. Jadi tidak akan ada infeksi registry jika eksekusi virus berhasil dicegah. Smadav tidak otomatis melakukan scanning terhadap seluruh aktifitas file di komputer, karena inilah Smadav menjadi sangat ringan proteksinya. Jadi Smadav akan mencegah Anda mengeksekusi file virus sesaat ketika Anda membuka folder-nya lewat Explorer. Registry Smadav selalu bisa membersihkan registry yang dideteksinya, jika perbedaan string adalah Forbidden String dan belum bisa memperbaiki secara otomatis serta terdeteksi lagi walaupun sudah dibersihkan, kemungkinan ada infeksi virus yang selalu mengubahnya ke nilai semula. Flashdisk Misalnya Smadav ada di flashdisk dan terinfeksi dan pengguna membuka Smadav dari media tersebut, maka Smadav memperingkatkan bahwa berkasnya telah rusak. Tidak ada pengamanan yang 100%, tapi kita harus usahakan pengamanan terbaik yang bisa dilakukan.

Kelebihan a. Ukuran file yang relatif kecil Ukuran file Smadav yang relatif kecil memberi beberapa keuntungan, terutama dalam hal mengunduh, menginstal, dan mengoperasikannya. Jangan khawatir, Smadav anti virus akan 'memberati' komputer Anda saat diaktifkan. b. Penggunaan bahasa Indonesia Karena dibuat oleh anak bangsa, Smadav menggunakan bahasa Indonesia sebagai bahasa pengantarnya. Ini memudahkan kita untuk memahami pesan dan cara penggunaan Smadav, karena kita tidak perlu khawatir terjadi miscommunication yang mungkin terjadi saat kita menggunakan antivirus buatan luar negeri. c. Kompatibel dengan antivirus lain Biasanya sebuah program antivirus tidak dapat digunakan secara berbarengan dengan program antivirus lain dalam 1 komputer, karena program antivirus lainnya menggunakan desain sistem sebagai pelindung utama dan satu-satunya dari virus, sehingga keberadaan antivirus lain akan disalahartikan sebagai ancaman virus. Hal ini tidak perlu dikhawatirkan jika menggunakan Smadav. Smadav dirancang untuk bisa 'bersahabat' dengan program antivirus lain, sehingga keberadaan Smadav pada komputer Anda berbarengan dengan antivirus lain justru akan meningkatkan perlindungan akan virus-virus yang mungkin menyerang. d. Tidak perlu sering-sering di-update Jika biasanya program-program antivirus meminta Anda untuk mengunduh database virus yang sudah diperbarui setiap minggu, bahkan setiap hari, dengan Smadav Anda tidak perlu sering-sering melakukannya. Database virus dan versi Smadav diperbarui 1 bulan sekali, jadi Anda hanya perlu meng-update antivirus ini sekali dalam sebulan.