III.1.Analisis Masalah
windows, salah satu virus yang paling terkenal buatan indonesia adalah virus
amburadul. Secara garis besar virus ini sama dengan kebanyakan virus lokal yang
menyebar. Kemampuan virus antara lain membuat file duplikat, blok beberapa
Berikut beberapa ciri-ciri file yang yang akan dibawa oleh Amburadul
beserta variannya:
1. Image (JPG)
2. Ukuran file : Bervariasi sesuai dengan varian (51 KB, 52 KB, 54 KB dan
56 KB)
31
32
Pada saat virus aktif, virus akan membuat beberapa file induk dibawah ini yang
akan dijalankan setiap kali komputer dinyalakan (file ini juga akan dibuat di
1. C:\Windows\system32\~A~m~B~u~R~a~D~u~L~
a. csrcc.exe
b. smss.exe
c. lsass.exe
d. services.exe
e. winlogon.exe
f. Paraysutki_VM_Community.sys
g. msvbvm60.dll
2. C:\Autorun.inf
4. C:\Friendster Community.exe
5. C:\J3MbataN K4HaYan.exe
7. C:\PaLMa.exe
8. C:\Images
a. Ce_Pen9God4.exe
b. J34ñNy_Mö3tZ_CuTE.exe
c. M0D3L_P4ray_ 2008.exe
d. MalAm MinGGuan.exe
33
f. Ph0to Ber5ama.exe
g. PiKnIk dT4ngKilin9.exe
h. RAja Nge5ex.exe
9. C:\Images\_PAlbTN
a. (V.4.9)_D053n^908L0K.exe
c. GePaCar4an Neh!!!.exe
d. GuE... BgT!.exe
f. Ma5tURbas1 XL1M4xs.exe
Agar virus ini dapat aktif secara otomatis setiap kali komputer aktif, virus akan
1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current
Version\Run\PaRaY_VM
2. C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~\winlogon.exe
3. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current
Version\Run\ConfigVir
4. C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~\services.exe
5. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current
34
Version\Run\NviDiaGT
6. C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~\lsass.exe
7. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current
Version\Run\NarmonVirusAnti
8. C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~\smss.exe
9. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current
Version\Run\AVManager
10. C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~\csrss.exe
11. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon
13. C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~\winlogon.exe
Option/System Restore atau Search serta beberapa software security lainnya yang
1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current
Version\Policies\System
a. EnableLUA
2. HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows
NT\SystemRestore
a. DisableConfig
35
b. DisableSR
3. HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\
Installer
a. DisableMSI
b. LimitSystemRestoreCheckpointing
4. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
a. Debugger = rundll32.exe
5. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
a. Debugger = rundll32.exe
6. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
a. Debugger = crundll32.exe
7. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
a. Debugger = rundll32.exe
8. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
9. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
10. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
11. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
12. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
a. Debugger = rundll32.exe
13. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
a. Debugger = rundll32.exe
14. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\System
a. DisableRegistryTools
15. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Policies\Explorer
a. NoFind
16. HKEY_CLASSES_ROOT\exefile
a. NeverShowExt
17. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentV
ersion\Explorer\Advanced\Folder\HideFileExt
a. UncheckedValue
37
18. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current
Version\Explorer\Advanced\Folder\HideFileExt
a. DefaultValue
19. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current
Version\Explorer\Advanced\Folder\SuperHidden
a. CheckedValue
20. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current
Version\Explorer\Advanced\Folder\SuperHidden
a. DefaultValue
21. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current
Version\Explorer\Advanced\Folder\SuperHidden
a. UncheckedValue
22. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Current
Version\Explorer\Advanced\Folder\SuperHidden
a. Type = checkbok
23. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced
a. ShowSuperHidden
24. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced
a. SuperHidden
25. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\
Explorer\Advanced
38
a. HideFileExt
26. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
a. debugger = rundll32.ex
27. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
a. debugger = rundll32.exe
28. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
a. debugger = rundll32.exe
29. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
a. debugger = rundll32.exe
W32/Agent.EQXM (serta varian nya) juga akan mencoba untuk blok beberapa
antivirus lokal seperti PCMAV, SMP atau ANSAV dengan membuat string pada
registry berikut:
1. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
2. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
3. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
4. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
5. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
6. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
7. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
8. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
Untuk blok fungsi Windows dan software antivirus selain dengan membuat string
40
diupdate dan gunakan tool-tool pembantu antivirus seperti hijack this, process
Ada beberapa komponen yang harus diperhatikan dalam pembuatan anti virus
yaitu :
Daftar virus yang dimaksud disini adalah database virus, yang berisi nama
virus dan jenis virus. Norton, Mcafee, AVG atau antivirus lainnya pasti
virus untuk antivirus komersial bisaanya dibungkus oleh packer atau kriptografi
dari aplikasi antivirus itu sendiri. Tujuaanya untuk merahasiakan source code atau
virus. Dalam hal ini bisa dimisalkan sebagai aplikasi Norrton, Mcafee atau
antivirus maka antivirus tidak akan bisa digunakan tanpa bantuan user yang
Tiga komponen diatas wajib dipunyai oleh program antivirus, jika salah
satu komponen ada yang hilang maka belum bisa dibilang antivirus.
42
wajib dipunyai oleh suatu program antivirus. Berikut ini kode antivirus yang ada
a. Kode Aplikasi
Kode aplikasi disini maksudnya adalah kulit luar antivirus. Yaitu kode
yang membentuk aplikasi luar antivirus ingin seperti apa. Maka harus
Perancangan form dan kode aplikasi ini sangat perlu. Agar antivirus dapat
b. Kode Metode
Maksud kode metode adalah dengan metode yang digunakan antivirus ini
Kode ini berguna untuk memanipulasi database virus yang berisi list virus
atau daftar file yang dicurigai sebagai virus. Database virus ini sebaiknya
untuk menangani virus yang telah terdeteksi. Ketika ada file yang
Kode ini berguna untuk menghentikan proses yang dijalankan oleh virus.
Setiap virus itu bisaanya ada file induk virus yang selalu menjalankan
dirinya sendiri. Untuk menghentikan proses tersebut, maka harus ada kode
kill proses. Jika ingin menghapus suatu file, mau tidak mau file tersebut
berjalan normal lagi maka sebuah antivirus harus memiliki kode untuk
memperbaiki system
Untuk menciptakan antivirus ini maka diperlukan software visual basic 6.0
Metode pendeteksian ini, yaitu mendeteksi file virus sesuai dengan sidik
jari file. Tiap file ada sidik jari dalam bahasa teknisnya, disebut CRC32 atau
disingkatannya Cylic Redundance Code yaitu membandingkan ukuran dan isi file
Algoritma CRC adalah cara yang bagus dan teruji untuk pengecekan byte
dalam jumlah besar dari suatu file yang telh termodifikasi maupun tidak.
Algoritma ini mencri lewat seluruh jumlah byte dan menghasilkan angka 32 bit
untuk menggambarkan isi file. Dan sangat kecil sekali kemungkinan dua stream
dari byte yang berbeda mempunyai CRC yang sama. Algoritma CRC32 dapat
diandalkan juga untuk mengecek error yang terjadi dalam urutan byte. Dengan
c. Menghitung checksum file yang diambil dari ukuran file dengan metode
CRC32.
Perancangan
aplikasi anti
virus
User
Gambar III.1. Diagram Konteks
45
46
Keterangan Gambar :
mengupdate database anti virusnya sendiri sehingga tanpa perlu lagi mengupdate
dari internet. Anti virus akan menscan komputer sehingga akan memeriksa
registry pada system operasi windows, apabila ada registry yang bermasalah maka
anti virus akan memperbaiki registrinya, anti virus akan memberikan informasi
maka perlu ada rancangan program,berikut ini rancangan program anti virus :
Menu utama terdiri dari lima sub menu yaitu home, deteksi, karantina,
MENU UTAMA
Home
Deteksi
Karantina
Keluar
Pada tampilan sub menu deteksi virus terdiri diri beberapa modul deteksi,
yaitu modul cari dalam file yang berguna untuk mencari dalam file yang
berguna untuk mencari kode virus didalam file, cari direktori yang
berguna untuk mencari virus secara otomatis di dalam suatu direktori, cari
Deteksi Definisi
Jumlah
Berhenti
Tray
Antivirus
deteksi
50
Sub menu cari dalam file terdiri dari common dialog yang diakses dari dll
JUDUL MENU
Image
KUMPULAN FILE
Type
Cancel
Tampilan sub menu cari direktori hanya terdiri dari beberapa bagian. Pada
Judul Menu
FOLDER
Open Cancel
Desain sub menu cari mirip dengan sub menu cari dalam file, diambil juga
dari common dialog windows, tetapi ada tambahan dalam form tersebut.
Dapat dilihat pada textbox yang ada di kanan form terdiri dari keterangan
Nama File :
KUMPULAN
FILE Ukuran File :
Checksum :
NAMA FILE
TYPE
2. kumpulan file : file yang akan di pilih untuk dicari kode CRC32 nya
Tampilan Menu karantina juga terdiri dari dua bagian yaitu bagian file
yang dikarantina, berisi file-file yang dideteksi sebagai virus dan tombol
ke tempat semula.
JUDUL MENU
Bebaskan File
FILE YANG
DIKARANTINA
1. File yang dikarantina : File- file yang telah dikarantina sama antivirus
Start
T
Apakah nilai crc32 file ada
di list virus (signatures.db)
T
Apakah file yang
dicari habis?
Finish
Keterangan Flowchart :
1. START
2. Aplikasi mengecek file dengan mengambil nama dan ukuran file untuk
dihitung nilai CRC32
3. Aplikasi melihat ke file signatures.db untuk membandingkan apakah nilai
CRC32 file ada di list virus (signatures.db)
4. Apakah nilai CRC32 file ada di list virus (signatures.db)?
a. Jika tidak langsung ke nomor 5
b. Jika ada langsung ke nomor 6
5. Musnahkan / Karantina File Virus
6. Apakah File yang dicari habis?
a. Jika Ya langsung ke nomor 7
b. Jika tidak kembali ke nomor 2
7. Selesai
Untuk melakukan pengupdatean anti virus maka file yang dicurigai harus
diketahui nilai CRC32 nya, setelah diketahui nilai CRC32 nya maka nilai tersebut
Signature.db adalah file database antivirus, file ini harus diisi dengan