BDRW Melacak Jejak Virus Di Registry
BDRW Melacak Jejak Virus Di Registry
39
sebabnya, bukan? Mengapa saat suatu virus aktif, dan kita memanggil msconfig,
tiba-tiba jendela program msconfig menutup dengan sendirinya. Atau mungkin,
tiba-tiba, komputer melakukan booting ulang capeek deh
Pada tab Startup, akan terlihat kolom Startup item, yang menunjukkan nama
item yang akan dijalankan saat Windows diaktifkan. Juga kolom command,
yang biasanya berisi program yang diaktifkan plus parameternya jika ada.
Sedangkan kolom Location, menunjukkan lokasi subkey (syaraf) registry yang
menyimpan setting data ini. Pada contoh terlihat, nama SMTray ternyata adalah
milik program yang bernama SMTray.exe dan berada di folder d:\Program
Files\Analog Devices\SoundMAX.
Virus biasanya akan membuat suatu nilai di sini, agar file yang memicu pengaktif programnya dijalankan saat booting Windows terjadi sehingga penelitian di
bagian ini amat penting untuk dilakukan. Celakanya lagi, virus-virus sekarang
memasangkan nama itemnya dengan nama yang berbau-bau nama file sistem
Windows. Hal ini untuk mengelabui pemakai yang memeriksanya. Misalnya,
dengan nama windows.exe, svc0host.exe, rundlll.exe dan lain sebagainya.
Di sini kejelian kitalah yang menentukan sukses tidaknya mengenali file virus.
Dan ini perlu latihan.
41
Jika kita sudah menemukan item yang kita curigai, hilangkan tanda centang
yang ada di depan startup item. Jika tidak dicentang, artinya item tersebut tidak
akan dijalankan saat booting dilakukan. Sebaliknya, jika dicentang, maka akan
dijalankan. Setelah kita melakukan proses centang atau un-centang klik
OK dan lakukan booting ulang agar proses pengubahan menjadi aktif.
Tools standar milik Windows lainnya yang dapat dipakai untuk memeriksa
konfigurasi autorun registry adalah program Registry Editor. Untuk memanggilnya, dilakukan via perintah Run dari menu Start. Klik Start - pilih Run dan
ketikkan regedit. Tekan Enter atau klik OK.
Program registry editor akan tampil. Pergilah ke lokasi:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio
n\Run
Klik ganda berulangkali pada subkey yang terlihat sehingga lokasi tersebut
ditemukan.
Pada subkey Run inilah biasanya virus akan menuliskan nama value baru untuk
mengaktifkan program virus. Untuk menghapus data yang ada, klik nama value
dan tekan DEL.
Lokasi-lokasi lain yang perlu kita periksa dalam rangka autorun registry ini
adalah:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Once
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
OnceEx
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
42
Jika ditemukan nama value yang menurut Anda aneh, hapus saja
Dari beberapa subkey di atas, ada satu subkey yang cukup istimewa. Yaitu
subkey RunOnce. Berbeda dengan subkey Run yang akan selalu menjalankan
program yang ada di dalamnya setiap kali Windows dihidupkan, subkey
RunOnce ini biasanya dipakai untuk menjalankan satu program sebanyak satu
kali saja! Jadi, subkey ini biasanya dipakai oleh suatu program untuk mengaktifkan prosesnya sebanyak satu kali saja sehingga nama value yang dituliskan
di sini hanya akan berlaku satu kali saja. Setelah dijalankan, nama value tersebut
akan dihapus.
Jika pembuat virus cukup nakal, ia akan membuat program virus untuk menuliskan pengaktifnya di subkey ini. Jadi, virus akan aktif saat komputer dihidupkan. Program akan dijalankan dan nama value pemicu akan dihapus. Maka
ia tidak meninggalkan jejak di msconfig. Selang beberapa waktu saat virus aktif,
ia akan membuat program timer yang secara berkala menulis ulang nama value
di subkey tersebut. Atau mungkin virus hanya akan menuliskan data pada
subkey RunOnce saat komputer akan di-log off. Dengan cara tersebut, virus
akan terjaga eksistensinya. Lumayan cerdik khan?
Tapi. ada yang lebih gila lagi dengan bantuan subkey RunOnce ini, virus
akan tetap dapat hidup biarpun Windows dijalankan di modus SAFE MODE!
Caranya? Sederhana saja! Yaitu dengan menambahkan satu karakter tertentu
pada nama value tersebut, maka virus akan dapat berjalan pada safe mode.
Karakter apakah itu? Saya tidak akan memberi tahu Sampeyan.. heheh !
ndak ding nanti saya dipikir tukang menyembunyikan ilmu lagi.
Kita langsung praktek saja ya? Panggil Regedit dan pergi ke subkey:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Once
Kita buat suatu nama value yang bernama COBA. Nama value ini misalnya
akan memanggil file virus yang bernama VIRUSKU.EXE.
43
Klik kanan subkey Runonce. Menu konteks akan muncul, pilih New, pilih
String Value.
Suatu subkey baru akan muncul. Kita ganti nama value tersebut dengan data
COBA. Ketik COBA dan tekan Enter.
dan
kita
44
isi
datanya
dengan
Jika benar dalam melakukannya, kita akan memiliki nama value COBA dengan
jenis string dan mempunyai data c:\windows\virusku.exe. Artinya, saat nanti
Windows dihidupkan, file VIRUSKU.EXE akan ikut dijalankan!
Nah! Sekarang, bagaimana caranya agar nama value tersebut tetap akan
dijalankan biarpun Windows dimasukkan dalam modus SAFE MODE?
Gampang! Cukup tambahkan karakter * (asterisks) di depan nama value tersebut. Artinya, nama COBA kita ganti dengan nama *COBA.
Jika tidak percaya, lakukan booting dan masuklah dalam modus SAFE MODE.
Saharusnya file dengan nama VIRUSKU.EXE akan tetap dijalankan oleh
Windows. Jika yang kita pasangkan file tersebut adalah file virus beneran, maka
akibatnya akan cukup fatal. Virus tetap akan hadir di memory biarpun kita telah
memakai modus SAFE MODE. Biarpun trik ini kelihatannya sederhana, tapi
cukup berbahaya jika dipakai. Karena sesudah data tersebut dijalankan, maka
data yang dijalankan tersebut akan dihapus oleh Windows. Sehingga akan
mempersulit pelacakan sumber masalahnya. Take care!
45
Jadi, trik ini akan menggenapi trik pertama tadi menambah ruwetnya
pematian virus. Hehehe ndak pa pa malahan tambah asyik khan?
Lokasi subkey registry yang diserang adalah:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
Lokasi visualnya terlihat seperti pada Gambar 3.9.
46
Pada subkey SafeBoot ini akan terdapat suatu nama value yang bernama
AlternateShell. Dengan jenis datanya adalah string. Kita lihat isian standarnya
adalah CMD.EXE. Jika tidak berisi data tersebut, ada kemungkinan file yang
ada di situ adalah file virus. Waspadalah!
Misalkan hal itu terjadi, klik ganda nama value tersebut dan pada isian Value
data ubahlah menjadi berisi CMD.EXE. Klik OK. Beres!
Yang perlu mendapat perhatian! Virus umumnya juga akan menyerang subkeysubkey yang sejenis. Artinya begini virus juga akan menyerang lokasi registry
lain yang menyimpan data-data SafeBoot, biasanya memang terdapat lebih dari
satu kontrol ini. Lokasi lain yang diserang adalah:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot
Jadi, bergantung pada komputer tersebut mempunyai berapa subkey
ControlSet00X. X di sini mewakili angka 1, 2, dan seterusnya. Dengan diubahnya data pada nama value AlternateShell, maka biasanya komputer akan
gagal masuk ke SAFE MODE, malahan menjalankan file virus! BAH. !! ..
47
48