Laporan Praktek Kerja Industri di Biro Tekinfo PT.

Petrokimia Gresik Tahun 2009

BAB VI
PENGENALAN VIRUS DAN JENIS - JENIS VIRUS

6.1 ASAL MULA VIRUS

Saat ini, pastilah kita semua selaku pengguna jasa komputer dan jaringan
(Internet) sudah sangat sering mendengar istilah ‘virus’ yang terkadang
meresahkan kita.
6.1.1 Dibawah ini beberapa tahapan pertama kali ditemukannya virus antara
lain:
6.1.1.1 Pada tahun 1949, John Von Neuman, menggungkapkan" teori
self altering automata " yang merupakan hasil riset dari para
ahli matematika.
6.1.1.2 Pada tahun 1960, lab BELL (AT&T), para ahli di lab BELL
(AT&T) mencoba-coba teori yang diungkapkan oleh john v
neuman. Para ahli tersebut membuat program yang dapat
memperbanyak dirinya dan dapat menghancurkan program
buatan lawan. Program yang mampu bertahan dan
menghancurkan semua program lain, dianggap sebagai
pemenangnya.
6.1.1.3 Dan pada tahun 1980, program tersebut yang akhirnya
dikenal dengan nama "virus" ini berhasil menyebar diluar
lingkungan laboratorium, dan mulai beredar di dunia cyber.

6.2 PENGERTIAN VIRUS

Pertama kali istilah “virus” digunakan oleh Fred Cohen pada tahun
1984 di Amerika Serikat. Virus komputer dinamakan “Virus” karena
memiliki beberapa persamaan mendasar dengan virus pada istilah
kedokteran (biological viruses). Tetapi memiliki perbedaan yang mendasar
dengan program-program lainnya, yaitu virus dibuat untuk menulari
program-program lainnya, mengubah, memanipulasinya bahkan sampai
merusaknya. Virus adalah program kecil yg kerjanya bisa merusak files dan

SMK Negeri 4 Bojonegoro 53

Laporan Praktek Kerja Industri di Biro Tekinfo PT. Petrokimia Gresik Tahun 2009

system komputer. Apabila program virus tidak diklik / tidak dibuka dia tidak
bekerja, tetap diam saja dan idak dapat merusak.
Program virus dibawa oleh EMAIL VIRUS sebagai lampiran email,
EMAIL VIRUS dikirim memakai nama siapa saja, yg diperoleh dari To dan
CC. Sasaran virus adalah menelusuri address-book dan mailbox user dimana
saja, sehingga virus seolah-olah dikirim oleh orang yg saling kenal (unsur
adu domba).

6.3 CIRI-CIRI PROGRAM VIRUS

6.3.1 Ciri- ciri virus antara lain:
6.3.1.1 Berukuran kecil, < 100KB, dan punya extensi : *.scr *.clp *.pif
*.bat *.exe *.com *.txt *.doc Dan terkadang file tsb dibungkus
dgn file *.zip. Juga terkadang memakai nama tipuan, misalnya
dgn nama file HotMovie.mpeg.scr. Sesungguhnya ia adalah file
virusberextensi.scr
contoh: Beethoven's_Symphony_No.XP2002.Zip.scr
6.3.1.2 Selain berukuran kecil, dapat dikenali juga dari subyeknya
(aneh2) a.l sbb: Weah ^_^ :)) Hokki=) Hi :) ello!=)) Hello -:))
Hey, dude, it's me ^_^ Re your text access Mpeg Re: Text
message Re:Msg reply Re: Is that your document? Beethoven's
ymphony No"Jika anda menerima email dgn subyek seperti itu,
langsung dihapus saja, tak perlu dibuka. Ada yang perlu dicatat
disini, virus hanya akan menulari apabila program pemicu atau
program yang telah terinfeksi tadi dieksekusi, disinilah
perbedaannya dengan "worm".

6.4 KRITERIA VIRUS

6.4.1 Suatu program yang disebut virus baru dapat dikatakan adalah benar-
benar virus apabila minimal memiliki 5 kriteria :
1. Kemampuan suatu virus untuk mendapatkan informasi
2. Kemampuannya untuk memeriksa suatu program
3. Kemampuannya untuk menggandakan diri dan menularkan

SMK Negeri 4 Bojonegoro 54

Laporan Praktek Kerja Industri di Biro Tekinfo PT. Petrokimia Gresik Tahun 2009

4. Kemampuannya melakukan manipulasi

5. Kemampuannya untuk menyembunyikan diri.

6.5 JENIS – JENIS VIRUS

6.5.1 Virus Makro
Virus ini ditulis dengan bahasa pemrograman dari suatu aplikasi bukan
dengan bahasa pemrograman dari suatu Operating System. Jika pada
komputer mac dapat menjalankan aplikasi word maka virus ini bekerja pada
komputer bersistem operasi Mac.contoh virus:
- variant W97M, misal W97M.Panther anjang 1234 bytes, kanmenginfeksi
NORMAL.DOT dan menginfeksi dokumen apabila dibuka.
- WM.Twno.A;TW panjang 41984 bytes, akan menginfeksi Dokumen
Ms.Word yang menggunakan bahasa makro, biasanya berekstensi *.DOT
dan *.DOC.
6.5.2.Virus File/Program
Virus ini menginfeksi file file yang dapat dieksekusi langsung dari
sistem operasi,baik itu file application (*.EXE), maupun *.COm
biasanya juga hasil infeksi dari virus ini dapat diketahui dengan
berubahnya ukuran file yang diserangnya.

6.6 BEBERAPA CARA PENYEBARAN VIRUS

Virus untuk dapat menyebar ke komputer satu ke komputer lain pasti
membutuhkan suatu media, diantaranya:
6.6.1 Disket, media storage R/W
Media penyimpanan eksternal dapat menjadi tempat menetap ataupun
sebagai media penyebarannya. Media yang bisa melakukan operasi R/W
(read dan Write) sangat memungkinkan untuk ditumpangi virus dan
dijadikan sebagai media penyebaran. Untuk itu selalu scan disket ataupun
USB sebelum dibuka.

SMK Negeri 4 Bojonegoro 55

Laporan Praktek Kerja Industri di Biro Tekinfo PT. Petrokimia Gresik Tahun 2009

6.6.2 Jaringan ( LAN, WAN,dsb)

Hubungan antara beberapa computer secara langsung sangat
memungkinkan suatu virus ikut berpindah saat terjadi
pertukaran/pengeksekusian file/program yang mengandung virus.
6.6.3 WWW (internet)
6.6.4 Software yang Freeware, Shareware atau bahkan Bajakan
6.6.5 Attachment pada Email, transferring file
Penyebaran virus akhir-akhir ini menggunakan email attachment
dikarenakan semua pemakai jasa internet menggunakan email untuk
berkomunikasi.
6.7 Beberapa Jenis Dari Virus dan Cara Penanggulangannya.
6.7.1 Virus Fujack

Viking adalah sosok virus mancanegara yang sangat ditakuti

administrator jaringan karena sekali berhasil menginfeksi satu komputer
dalam jaringan akan langsung menyebar dan melumpuhkan seluruh
komputer yang terhubung ke intranet, bahkan dalam banyak kasus
mampu menembus pertahanan komputer dengan antivirus yang
terupdate sekalipun karena kemampuannya polymorphic di dukung oleh
kemampuan mengupdate dirinya melalui internet dengan sangat cepat
sehingga dapat mengelabui antivirus yang telah mendeteksinya.
Ditambah dengan ciri khas infeksinya dengan menginjeksi file
executable dan mengeksploitasi celah keamanan IPC $ dalam rangka
menyebarkan dirinya ke komputer lain di jaringan membuatnya tidak
tertahankan sekali berhasil menginfeksi satu saja komputer di jaringan,
dalam waktu singkat seluruh komputer di jaringan akan berhasil
dikuasainya. Apakah ini sudah cukup ? Ada satu metode infeksi yang
belum dimiliki Viking, penyebaran via external drive yang marak
digunakan oleh virus Indonesia sehingga secara tidak langsung
penyebaran Viking kurang efektif pada komputer-komputer yang tidak
terhubung ke intranet / internet. Tetapi pembuat virus juga manusia,
mereka belajar dari pengalaman masa lalu sehingga ia mengeluarkan
virus baru dengan kemampuan tambahan menyebar melalui external

SMK Negeri 4 Bojonegoro 56

Laporan Praktek Kerja Industri di Biro Tekinfo PT. Petrokimia Gresik Tahun 2009

drive (UFD (USB Flash Drive), External HDD, Memory Card dan
lainnya)). Ibarat kata Gita Gutawa, inilah salah satu virus yang masuk
kategori Sempurna. Virus yang dikenal dengan nama W32/Fujack ini
karena &ldquo;bibitnya&rdquo; adalah pembuat Viking, maka virus ini
tidak kalah sakti dengan Viking. Dengan beberapa kesamaan seperti
kemampuan polymorphic dan update diri ke internet, eksploitasi celah
keamanan dan kemampuan penyebaran di jaringan yang sangat efektif.
Bedanya, Fujack tidak mengeksploitasi celah keamanan IPC $
(kemungkinan karena IPC $ ini sangat efektif jika korbannya adalah
Windows 2000 dan penggunanya sekarang makin berkurang), sebagai
&ldquo;gantinya&rdquo; virus baru ini dibekali dengan kemampuan
melakukan dictionary attack pada account administrator dan folder yang
di password dimana hampir dapat dipastikan default password setting
windows dan password lemah akan dapat ditembus oleh virus ini. Selain
itu, apakah karena di &ldquo;ilhami&rdquo; oleh virus lokal buatan
Indonesia, virus baru dengan nama Fujack ini juga memiliki kemampuan
penyebaran melalui External Disk dan hebatnya ia akan menambahkan
Autorun.inf pada external drive yang akan menjalankan virus yang
dikopikan pada drive tersebut. Gamesetup.exe Jika mendadak komputer
anda memiliki file dengan nama gamesetup.exe pada folder Startup,
maka anda harus ekstra hati-hati karena artinya Fujack
sudah mampir ke komputer anda. (lihat gambar 1) Gambar 1, Fujack
datang dalam file dengan nama GameSetup.exe Dan bila anda terhubung
ke jaringan, maka pekerjaan rumah besar menanti anda. Mengapa ?
Seperti virus Viking, Fujack memiliki keahlian dalam menginfeksi
jaringan. Dalam menjalankan aksinya menyebar ke jaringan, jangankan
folder sharing yang tidak dilengkapi password (yang secara de facto
memang sering di temukan di jaringan-jaringan intranet UKM, bahasa
kerennya SME = Small and Medium Enterprise), folder yang dilengkapi
dengan password sekalipun berhasil dimasuki oleh Fujack dengan
dictionary attack yang mencapai 100 password yang paling sering
digunakan oleh administrator seperti, pw123, mypass123, asdf, qwerty,

SMK Negeri 4 Bojonegoro 57

Laporan Praktek Kerja Industri di Biro Tekinfo PT. Petrokimia Gresik Tahun 2009

login, 12345678, abc123, administrator dan mypc. Jadi jika anda

administrator jaringan yang tidak melengkapi pertahanan dengan
password yang baik dan semua settingan masih default bisa dipastikan
Fujack akan dengan mudah menginfeksi komputer / jaringan intranet
anda. Mematikan software sekuriti dan system tools windows Salah satu
payload Fujack yang patut dikhawatirkan adalah ulahnya &ldquo;balas
dendam&rdquo; mematikan beberapa program sekuriti seperti AVP,
McAfee dan Symantec.
Payload ini berbahaya karena dengan lumpuhnya program
antivirus berarti komputer tidak memiliki pertahanan terhadap virus
apapun sehingga secara tidak langsung Fujack membukakan pintu bagi
semua virus ITW (In The Wild) sekalipun sebelumnya sudah terdeteksi
oleh program antivirus tersebut. Tetapi karena antivirus sudah
dilumpuhkan Fujack maka virus lain dengan leluasa akan dapat
menginfeksi komputer. Celakanya, jika virus yang masuk bersifat
merusak data seperti Kamasutra atau Kespo. Adapun system tools
windows yang dilumpuhkan oleh Fujack adalah Task Manager dan
Registry Editor. Menyebar melalui website dan mengupdate dirinya
Fujack memiliki kemampuan menyebar melalui website di internet.
Caranya adalah menginfeksi file html dan kemudian memasukkan link
yang mengandung virus tersebut ke dalam html. Bahkan ada varian
Fujack yang tampil sebagai file .gif yang memanfaatkan Iframe untuk
membawa korbannya ke website yang mengandung virus. Salah satu
rahasia kehebatan Fujack adalah kemampuannya mengupdate dirinya
melalui internet. Hal ini dilakukan melalui website
http://www.ac86.cn/88 tetapi saat ini link update tersebut sudah tidak
aktif lagi, namun dengan mudah pembuat Fujack mengeluarkan varian
baru dengan link update baru. Dari sini dapat kita lihat bahwa pembuat
Fujack meniru vendor antivirus yang mengandalkan update untuk
mendeteksi dan membasmi varian virus baru. Menyebar melalui external
media dan membuat file autorun. Berbeda dengan virus mancanegara
lain yang mengandalkan penyebaran melalui internet, email dan intranet.

SMK Negeri 4 Bojonegoro 58

Laporan Praktek Kerja Industri di Biro Tekinfo PT. Petrokimia Gresik Tahun 2009

Fujack memiliki satu payload tambahan yang mirip dengan virus lokal.
Apakah di ilhami oleh virus Indonesia, hanya pembuat Fujack yang tahu.
Payload tambahan yang menjadi &ldquo;lagu wajib&rdquo; bagi virus
lokal Indonesia adalah kemampuan menyebar melalui External Drive
seperti UFD, external harddrive dan memory card dimana Fujack akan
mengkopikan dirinya sebagai file &ldquo;setup.exe&rdquo;. Tetapi file
&ldquo;setup.exe&rdquo; saja tidak cukup karena tidak dapat berjalan
secara otomatis setiap kali External Drive di akses / dihubungkan ke
komputer, karena itu virus ini juga akan membuat file
&ldquo;autorun.inf&rdquo; yang otomatis akan dijalankan setiap kali
External Drive dihubungkan ke komputer atau folder mengandung virus
diakes oleh komputer. File &ldquo;autorun.inf&rdquo; sendiri nantinya
akan menjalankan file virus &ldquo;setup.exe&rdquo; guna menginfeksi
komputer korbannya. Fitur autorun ini pada awalnya sebenarnya
merupakan fitur yang banyak diaplikasikan pada CD Rom / DVD Rom
dimana setiap kali kita memasukkan CD/ DVD fitur ini akan secara
otomatis menjalankan menu pada CD / DVD. Tetapi ibarat pistol,
ditangan orang yang salah akan digunakan untuk tujuan yang negatif /
merusak. Bagaimana cara efektif mengatasi Fujack Ada beberapa
tindakan pencegahan yang perlu anda lakukan untuk mencegah Fujack
menginfeksi komputer anda. Pertama tentunya anda harus menerapkan
password yang baik dan benar pada username dan folder sharing di
seluruh jaringan. Meskipun kelihatannya sepele tetapi dalam
pelaksanaannya banyak administrator jaringan yang menghadapi kendala
dalam hal ini, hambatan utama adalah kendala dari pengguna komputer
yang mau mudah dan tidak mau pusing merubah kebiasaan kerja,
walaupun salah. Kedua, walaupun klise tetapi tetap penting adalah instal
antivirus yang sudah mampu mendeteksi virus Fujack. Menurut catatan
penulis, hampir semua antivirus termasuk Norman sudah mampu
mendeteksi Fujack (lihat gambar 2). Gambar 2, Norman Virus Control
mendeteksi Fujack Yang menjadi masalah adalah Fujack mampu
mengupdate dirinya dengan cepat sehingga sangat sulit di deteksi oleh

SMK Negeri 4 Bojonegoro 59

Laporan Praktek Kerja Industri di Biro Tekinfo PT. Petrokimia Gresik Tahun 2009

antivirus sehingga anda membutuhkan cara ketiga yang merupakan

sumbangan dari teknisi Vaksincom khusus untuk pembaca Chip dan
tidak anda temui saat ini di internet atau di vendor antivirus lain :).
Caranya adalah denga mengelabui Fujack bahwa komputer anda telah
terinfeksi. Seperti kita ketahui, untuk mencegah proses looping sehingga
menyebabkan crash Fujack akan mengecek keberadaan dirinya di
komputer calon korbannya. File yang di cek adalah spoclsv.exe (yang
merupakan file proses virus), jika file ini ditemukan maka ia akan
berhenti menginfeksi komputer dan komputer anda akan aman dari
infeksi Fujack, sekalipun tanpa perlindungan antivirus. Tetapi ingat,
metode ini efektif untuk menghadapi semua varian Fujack yang
menyebar sampai hari ini dan tidak tertutup kemungkinan varian baru
yang mampu mengatasi pengelabuan ini. Sekuriti adalah proses,
nantinya pasti akan ditemukan lagi cara lain yang efektif mengelabui
varian Fujack baru (jika ada). Untuk sementara pembuatan file palsu
spoclsv.exe mampu menghentikan penyebarannya di jaringan.

6.7.2 Virus Rontokbro

Dari sekian banyak virus lokal yang ada hanya 3 virus yang
berhasil membumi yaitu rontokbro, kangen dan fawn. Tetapi dari 3 jenis
virus tersebut hanya rontokbro yang mampu memberikan kerugian
psikologi yang cukup besar dibandingkan dengan virus lokal yang lain.
Kini para pengguna internet Indonesia dan di belahan dunia lain
juga kebagian aksi virus baru yang diberi nama W32/Rontokbro@mm,
virus ini mampu menyebarkan dirinya dengan mass mailing (email
massal) dan memupuskan "tradisi" virus lokal yang mengandalkan UFD
sebagai sarana penyebaran utamanya.
Virus yang mulai menyebar pada tanggal 13 Oktober 2005 ini
kemampuan rekayasa sosial yang tinggi dan dapat dikatakan berciri asli
Indonesia dan virus lokal seperti memalsukan "icon" dirinya sebagai file
tidak berdosa baik sebagai file MS Office ataupun sebagai folder,

SMK Negeri 4 Bojonegoro 60

Laporan Praktek Kerja Industri di Biro Tekinfo PT. Petrokimia Gresik Tahun 2009

menyembunyikan folder options, melakukan restart komputer jika

menemukan kata tertentu pada header browser.

6.7.2.1 Asal mula nama Rontokbro

Menurut pengamatan teknisi laboratorium virus
Vaksincom, ternyata pembuat virus ini mendapatkan ilham
membuat virus ini dari satwa langka Indonesia, Elang Brontok
yang memiliki nama latin Spizaetus cirrhatus, selain itu rupanya
pembuat virus Rontokbro berasal dari salah satu universitas
pemerintah di Jawa Barat. Gara-gara Rontokbro ini juga
Vaksincom jadi mau tidak mau mencari sedikit informasi tentang
Elang Brontok ”Lightmorph” yang ternyata merupakan satwa
burung khas Indonesia.

6.7.2.2 Ciri-ciri Komputer yang Terinfeksi Rontokbro Antara lain :

1. File yang terinfeksi Rontokbro.N mempunyai ukuran
sebesar 42kb dengan icon folder tetapi dengan extension
EXE.
2. Rontokbro juga akan melakukan perubahan pada file
C:\AUTOEXEC.BAT dengan menambahkan baris perintah
”PAUSE" Agar Rontokbro dapat aktif begitu komputer
dinyalakan, ia akan membuat registry beberapa registry key.
3. Disable Registry editor
Virus ini juga akan menonaktifkan program yang dimungkinkan
dapat mempersingkat keberadaan mereka" diantaranya fungsi
registry editor dengan menambahkan sebuah registry key.
4. Menyembunyikan Folder Option
Virus ini akan menghilangkan [folder options] pada menu [tools]
pada [Windows explorer], sehingga user tidak akan bisa
menampilkan setiap file yang disembunyikan (hidden) oleh virus
tersebut, dengan menambahkan string value :. NoFolderOptions"
=dword:00000001 pada registry key HKEY_CURRENT_USER\

SMK Negeri 4 Bojonegoro 61

Laporan Praktek Kerja Industri di Biro Tekinfo PT. Petrokimia Gresik Tahun 2009

Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Rontokbrojuga akan membuat task schedule pada windows
dimana schedule ini akan dijalankan setiap jam 5.08 PM, dengan
menjalankan file yang berada didirektori: C:\Documents and
Settings\%Users%\Templates

5. Restart Komputer Otomatis

Salah satu kelebih yang dimiliki oleh rontokbro adalah dapat
menyebabkan komputer restart, Rontokbro akan merestart
komputer jika anda berusaha menjalankan suatu program tertentu
dan menjalankan software pengganti Task manager seperti
pocket killbox bahkan HijackThis dan salah satu kelebihan lain
yang dimiliki adalah kemampuannya untuk merestart komputer
walaupun dalam mode "safe mode", oleh karena itu dibutuhkan
trik untuk menangani masalah tersebut.

6. Rontokbro akan mengambil alamat email pada semua file

yang mengandung ext.
- .asp - .html - .doc
- .cfm - .php - .eml
- .csv - .txt - .wab
6.8.1.5 Cara Membersihkan Rontokbro Sebagai Berikut :
Anda dapat melakukan langkah berikut:
a. Restart komputer dan masuk dalam mode "safe mode with
command prompt", dengan cara menekan tombol [F8] ketika
komputer restart.
b. Setelah masuk mode "Command Prompt" tekan tombol
[CTRL] + [ALT] +[Del] secara bersamaan, kemudian pilih [Task
Manager], setelah layar Task Manager muncul, klik menu [File]
pilih [New Task (Run..), kemudian ketik [explorer] pada jendela
[create new task file] setelah itu klik enter.

SMK Negeri 4 Bojonegoro 62

Laporan Praktek Kerja Industri di Biro Tekinfo PT. Petrokimia Gresik Tahun 2009

c. Kemudian akan muncul layar desktop (layaknya masuk ke

mode "safemode")
d. Aktifkan kembali fungsi registry editor dan hapus string yang
dibuat oleh virus, tulis script seperti yang ada pada langka [3],
kemudian simpan menjadi nama file "repair.inf", setelah itu
jalankan file tersebut dengan cara: klik kanan file [repair.inf]
kemudian pilih [install]
e. Hapus option [Smss], [Empty] dan [Sempalong] pada
msconfig ditabulasi [startup)
f. Agar "Folder option" pada windows explorer dapat muncul,
restart kembali komputer dan lakukan seperti langkah pada point
(a dan b)
g. Setelah komputer masuk ke mode "safe mode" tampilkan
semua file yang disembuyikan (lakukan perubahan ini pada
"folder option", selanjunya ikuti petunjuk pembersihan rontokbro
seperti yang ada pda point (6-9)
h. Restart komputer dan masuk kembali ke mode "safe mode"
jangan ke posisi "normal" karena file induk dari virus ini masih
ada (eksplorasi.exe dan sempalong.exe)
i. Tampilkan file yang disembunyikan, lakukan perubahan ini
pada [folder Option]
j. Hapus file yang dibuat oleh rontokbro
- C:\Windows dengan, nama file eksplorasi.exe (hidden)
- C:\windows\shellnew, dengan nama sempalong.exe(hidden)
- C:\WINDOWS\system32, dengan nama %username"s
Setting.scr (hidden)
7. Edit kembali file autoexec.bat di direktori C:\ dan hapus baris
perintah [pause].
8. Hapus scheduled tasks yang dibuat oleh rontokbro (klik
[Start], [Settings], [Control Panel], kemudian klik 2 kali menu
[scheduled tasks].

SMK Negeri 4 Bojonegoro 63

Laporan Praktek Kerja Industri di Biro Tekinfo PT. Petrokimia Gresik Tahun 2009

9. Hapus file yang dibuat oleh virus, untuk lebih cepatnya

gunakan fasilitas [search]
- Klik [Start]
- Klik [Search], kemudian klik [For Files or Folders]
- Kemudian pilih [All files or Folders]
- Klik option [What size is it ?]
- Kemudian pilih option [Specify Size (in Kb)]
- Pada kombo Box, pilih [At most] kemdian isi ukuran file
dengan angka [43], setelah itu klik [Search]
- Setelah proses pencarian selesai, sortir berdasarkan ukuran
(size), kemudian hapus file yang mempunyai ukuran 42 kb,
jangan sampai terjadi kesalahan dalam penghapusan file karena
ada beberapa file windows yang mempunyai ukuran 42 kb, cari
file yang icon folder dengan extension. EXE,
l. Untuk pembersihan lebih cepat sebaiknya anda gunakan
antivirus yang sudah dapat mengenali rontokbro.N
6.7.3 Virus Borax
W32/Rabox di Indonesia menyebar sejak awal April 2006.
Rupanya boraks tidak hanya tersedia di dunia nyata, di dunia mayapun
boraks kini sudah ada dan beredar bebas yang mengakibatkan masalah
serius bagi komputer terinfeksi.
Dengan up-date terbaru Norman sudah berhasil mengenali virus ini
dengan nama W32.Rabox (lihat gambar 1). Rabox mempunyai beberapa
aksi seperti disable registry editor, task manager, membuat file duplikat
dan lain-lain walaupun metode yang digunakan berbeda.
Sama seperti virus Codex, Rabox juga menyampaikan pesan
"kemanusiaan" ?? hal ini bisa dilihat dimana ia akan membuat file
dengan nama about.html didirektori [C:\Documents and
Settings\suport\My Documents].
Rabox akan menyamarkan icon yang menyertai file yang telah
terifeksi yakni dengan menggunakan icon “folder” tetapi jika
diperhatikan file ini sebenarnya berupa file aplikasi dengan ekstensi .exe,

SMK Negeri 4 Bojonegoro 64

Laporan Praktek Kerja Industri di Biro Tekinfo PT. Petrokimia Gresik Tahun 2009

dengan ukuran file bervariasi. Jika file tersebut dijalankan maka akan
muncul pesan error seolah-olah file tersebut sedang di digunakan (lihat
gambar 3) :

Gambar 3, Pesan error palsu yang ditampilkan oleh Rabox

Setelah itu ia akan membuat beberapa file yang akan berusaha
dijalankan pertama kali setiap kali komputer dinyalakan, seperti:
• C:\Documents and Settings\%users%\My Documents\Dlhost.exe
• C:\Windows\lodctr32.exe
• C:\Windows\system32\note.exe
Rabox sedikit berbeda dengan antivirus lokal lainnya dimana Rabox
tidak akan membuat string pada RUN pada registry sehingga jika komputer yang
telah terinfeksi di restart, Rabox tidak akan aktif kecuali jika user mencoba
menjalankan kembali file yang telah terinfeksi. dan ia dapat kembali aktif yaitu
dengan cara merubah link program “notepad” pada registry tools agar
menjalankan file yang telah terinfeksi Rabox yakni "note.exe" yang ada
didirektori C:\Windows\system32, sehingga jika user menjalankan file text [.txt]
secara tidak langsung akan mengaktifkan virus ini.
• Disable Fungsi Windows
Rabox juga mencoba untuk mematikan beberapa fungsi windows, seperti
- Registry Editor
- Task Manager
- Disable Run
- Disable Search

SMK Negeri 4 Bojonegoro 65

Laporan Praktek Kerja Industri di Biro Tekinfo PT. Petrokimia Gresik Tahun 2009

Perhatikan gambar 4 dibawah ini :

Gambar 4, Rabox menghilangkan menu “Search” dan “Run”

Rabox akan mencoba untuk disable Task Manager, jika user mencoba
untuk menjalankan Task Manager maka tidak akan muncul pessan error yang
menyatakan bahwa Task Manager telah di Disable tetapi Rabox akan mematikan
tampilan layar monitor, jika hal ini terjadi tekan tombol yang ada di keyboard
untuk mengembalikan ke posisi normal akan tetapi layar Task Manager tetap
tidak dapat di buka, sehiggga untuk mematikan proses ini anda harus
menggunakan tools pengganti seperti Process Explorer.

• Disable System Security

Rabox akan mencoba untuk disable system security termasuk firewall
dan antivirus dengan cara mematikan services “real time monitor “ serta
mencegah agar antivirus untuk melakukan up-date.
Walaupun Rabox tidak sampai menyembunyikan “Folder Option” tetapi
Rabox akan tetap melakukan beberapa setting pada “Folder Option” seperti
terlihat pada gambar 5 di bawah ini:

SMK Negeri 4 Bojonegoro 66

Laporan Praktek Kerja Industri di Biro Tekinfo PT. Petrokimia Gresik Tahun 2009

Gambar 5, Rabox mengubah beberapa setting pada folder options

• Merubah type file dari setiap file aplikasi
Rabox akan merubah tipe dari setiap file yang mempunyai ekstensi .exe
yakni dari “application” menjadi “File Folder” trik ini digunakan agar user
kesulitan untuk membedakan mana “file folder asli” dan mana “file yang sudah
terinfeksi Rabox” karena sama-sama mempunyai tipe “File Folder”, untuk
melakukan hal itu Rabox akan merubah string.
Perhatikan gambar 6 di bawah ini

File induk Rabox

Type file yang diubah

Rabox
Gambar 6, Type file yang di ubah Rabox

Rabox akan merubah registry Owner dan registry Organisasi dengan

nama Boraks (lihat gambar 7).

SMK Negeri 4 Bojonegoro 67

Laporan Praktek Kerja Industri di Biro Tekinfo PT. Petrokimia Gresik Tahun 2009

Gambar 7, Rabox merubah nama registrasi Windows dengan nama .BoRaX

• Media penyebaran
Rabox akan menyebar melalui Disket/UFD (USB Flash Disk) dengan
membuat file dengan nama “Folder Settings.exe” disamping itu ia juga akan
membuat file disetiap folder dan sub folder yang mempunyai nama yang sama
dengan folder atau sub folder tersebut.

Bagaimana untuk mengatasi Rabox ?

1. Matikan hubungan komputer dengan jaringan intranet maupun

internet.
2. Jika menggunakan Windows ME/XP, matikan system restore
untuk sementara selama proses pembersihan
3. Sebaiknya lakukan pembersihan melalui “safe mode”

SMK Negeri 4 Bojonegoro 68

Laporan Praktek Kerja Industri di Biro Tekinfo PT. Petrokimia Gresik Tahun 2009

4. Membersihkan virus ini relatif lebih mudah, karena ia tidak

membuat string pada key RUN pada registry editor, sehingga jika
komputer tersebut di restart maka virus ini tidak aktif, kecuali jika
anda menjalankan file yang sudah terinfeksi virus atau menjalankan
file TXT, untuk memastikan apakah proses dari virus ini masih aktif di
memeori anda dapat menggunakan tools Process Explorer, jalankan
tools tersebut dan perhatikan apakah ada proses dengan nama
lodctr32.exe dan dlhost.exe [dengan icon folder], jika ada sebaiknya
anda matikan terlebih dahulu, perhatikan gambar 9 berikut:

SMK Negeri 4 Bojonegoro 69

Laporan Praktek Kerja Industri di Biro Tekinfo PT. Petrokimia Gresik Tahun 2009

Gambar 9, M atikan proses Rabox dengan Process Explorer

Jika proses tersebut tidak ditemukan, anda dapat melanjutkan ke langkah
pembersihan berikutnya.
5. Hapus registry key yang diubah oleh Rabox. Tulis script di bawah ini pada
program notepad, kemudian simpan sebagai (save as) “repair.inf” dan
jalankan file tersebut dengan cara:

- Klik kanan “repair.inf”

- Pilih [install]
6. Hapus file induk yang telah di buat oleh Rabox, sebelum menghapus file
tersebut pastikan anda telah menampilkan semua file yang disembunyikan,
setelah itu hapus file berikut:

SMK Negeri 4 Bojonegoro 70

Laporan Praktek Kerja Industri di Biro Tekinfo PT. Petrokimia Gresik Tahun 2009

Gambar 10, Kembalikan semua setting pada "folder options" yang

dirubah oleh Rabox

7. Hapus file duplikat yang telah dibuat oleh Rabox, dengan ciri-ciri

- Ukuran bervariasi [tergantung varian Rabox]

- Type file “appplication”

- Menggunakan icon Folder

Perhatikan gambar 11 di bawah ini

File yang dibuat oleh

Rabox [Hiden]

Gambar 11, File duplikat yang dibuat oleh Rabox

8. Untuk mencegah infeksi ulang, sebaiknya gunakan antivirus yang

sudah dapat mengenali virus ini dengan baik. (AJT)

6.8 Cara Mudah Proteksi komputer anda dari virus tanpa program
Antivirus & Firewall

SMK Negeri 4 Bojonegoro 71

Laporan Praktek Kerja Industri di Biro Tekinfo PT. Petrokimia Gresik Tahun 2009

Virus selalu lebih baru dari antivirus, kalau proteksi dengan program
firewall & Antivirus RTS? (Real Time System), bisa juga. Tapi komputer
akan berjalan lebih lambat, karena program tersebut residen di memory dan
memakan system resource. Solusi yang aman, cepat dan praktis untuk
mencegah kerusakan system, file dan data anda tanpa menggunakn antivirus
dan firewall alias manual
1. Trojan adalah sebuah program yang ber-ekstension EXE dan ketika program
tersebut dijalankan, dia akan merubah registry windows. Kalau virus itu
residen di memori dia akan merubah file yang biasanya ber-ekstension EXE
atau COM dan kadang-kadang file tersebut menjadi rusak. Kalau worm adalah
program kecil yang berupa script yang bisa menempel di mana saja, bahkan di
html file (file website).
Program antivirus menggabungkan semua worm dan trojan dalam
kategori VIRUS, contoh: w32/sober. Intinya virus bisa berupa trojan/worm
dan sebaliknya, apalagi kalau file tersebut telah ter-infeksi, otomatis akan
menjadi file trojan/worm.
2. Penyebaran virus pada umumnya memanfaatkan teknologi internet untuk
menyebar luas. Cara masuknya bisa melalui E-mail (attachment), mirc,
messenger (kirim/download file), download dari situs dan memanfaatkan
kelemahan dari sistem browser kita.

6.9.1.1 cara mengatasi virus, antara lain:

1. Jangan membuka atau menerima file yang di dapat dari email, mirc
dan messenger kalau tidak dikenali pengirimnya.
2. Kalau anda browser ke situs yang tidak anda kenal, matikan
program java, java script, fitur install auto atau install on demand
supaya program yang berisi virus tidak masuk ke komputer anda.
3. Scan dahulu CD, DVD, USB drive, dll dengan antivirus.
Tips di atas mungkin akan mencegah masuknya virus ke
komputer anda, namun tidak menjamin 100%. Untuk mengatasi
supaya komputer anda aman dari virus, berikut ini adalah caranya:

SMK Negeri 4 Bojonegoro 72

Laporan Praktek Kerja Industri di Biro Tekinfo PT. Petrokimia Gresik Tahun 2009

1. Anda harus punya cadangan penyimpanan data atau file system untuk
backup system & data karena itu sangat diperlukan. Cara backup
pada winXp dan winme dengan create restore point dahulu di
program> accesories> system tools> system restore, win98 bisa
pakai Microsoft Backup dengan membackup folder windows
semuanya. Untuk data, Winxp dan winme harus menggunakan
Microsoft Backup.
Untuk win98 satu-satunya cara hanya memakai program system
schedule windows atau program lainnya yang berfungsi sebagai
otomatis backup, ketika komputer lagi dile.
2. Untuk mencegah virus merusak file system kita yang biasanya
berakhiran EXE, sebelumnya Anda harus melakukan cara no.1 dan
Anda juga harus mempunyai dasar Windows untuk melakukan ini
agar tidak bingung dan kesulitan untuk memahaminya. Caranya
adalah:
Rubahlah attribut dari file EXE anda menjadi READ ONLY.
Caranya gunakan SEARCH dari windows anda, kemudian cari
semua program yang ber-ektenstion EXE (search key-nya *.exe) di
folder windows. Setelah itu blok semua program yang tampil (atau
tekan ctrl+a) klik kanan pilih properties. Setelah itu pilih READ-
ONLY di bagian bawah kotak pilihan atributes. Hal ini mencegah
virus untuk merubah atau merusak file-file tersebut. Anda bisa
tambahkan pilihan HIDDEN di sebelah kanan dari READ ONLY.
Dengan kedua pilihan tersebut virus-virus pada umumnya tidak akan
dapat menginfeksi file tersebut. Satu hal yang penting, kalau anda
ingin melakukan penghapusan atau perubahaan ataupun anda sering
meng-update file yang ber-ekstensi EXE tersebut, anda harus ingat
untuk membuka proteksi read-only atau hidden tersebut. Kalau tidak
file tersebut tidak akan bisa dihapus atau diupdate, dan akan muncul
pesan error.

6.9 Cara Mencegah Penyebaran Virus

SMK Negeri 4 Bojonegoro 73

Laporan Praktek Kerja Industri di Biro Tekinfo PT. Petrokimia Gresik Tahun 2009

1. Selalu lakukan Scan terhadap disket yang masuk ke dalam PC Anda.

2. Scan juga CD yang masuk kedalam CD drive Anda.
3. Lakukan scan terhadap harddisk Anda, tiap kali Anda akan mulai
bekerja.
4. Proteksi disket Anda, jika Anda memasukkannya ke dalam PC orang
lain.
5. Jangan sembarangan men-download attachment.
6. Selektif dalam membuka e-mail.
7. Memasang dan selalu meng-update program antivirus pada komputer
Anda.
8. Selalu mengikuti perkembangan berita terbaru tentang virus.
9. Kenali semua jenis file yang akan dijalankan.
10. Biasakan untuk menampilkan extensi file, hal ini dimaksudkan untuk
mengetahui jenis filesebelum dijalankan.
11. Installasi anti virus yang mempunyai dukungan support lokal dan up-
date otomatis.

SMK Negeri 4 Bojonegoro 74