Libas Virus Lokal

TIPS DAN TRIK MELIBAS VIRUS LOKAL
Bab I
Booming Virus Lokal 2K6
(Musik Pembuka…Musik STAR WARS)
Two hundred and Six atau 2006. Di tahun 2006

ini banyak muncul virus – virus lokal yang mulai
mengganas. Terlebih lagi semua orang tau tentang cara
membuat virus, cara menyebarkan virus atau
memodifikasi kode – kode program menjadi kode perusak
atau virus. Sebenarnya tahun virus bukan dimulai dari
dekade 2006 ini, karena sebelum tahun 2006 pun telah
banyak dedengkot – dedengkot virus yang mulai
kelayapan di dunia cyber. Sayha watpu, UFO, atau
megatruh adalah beberapa virus yang bertebaran di
angkasa cyber pada dekade tahun 1990-an.
Dunia cyber Indonesia, yang sebelumnya di
dominasi oleh para hacker dan cracker, pada dekade ini
telah muncul VX atau virus – maker. Yaitu para mahluk
yang menyerang system komputer dengan senjatanya
bernama virus. Hallo.roro.htt, kangen, decoil dan virus
virus lainnya mulai menyerang sistem komputer. Begitu
mengagetkan seperti brontok termasuk virus yang harus
dihadapi siaga 1. Bukan hanya di dalam negri, tapi di luar
negri pun memasang alarm siaga 1 untuk menghadang
virus brontok ini. Virus ini sempat memegang sebagai
jawara dalam kancah dunia virus dalam negeri.
Seorang yang terlibat di dunia cyber pasti
mempunyai keinginan untuk memperlihatkan
Booming Virus Lokal 2k6 1

keberadaannya. Virus lain yang mencoba menggeser

brontok pun muncul. Decoil, nobron dan lain lain. Dan
tidak lama kemudian pecah perang antar bintang virus
dari brontok, mybron dan nobron. Para programmer virus
mungkin tidak merasakan kepedihan yang diderita oleh
para korban, yaitu user biasa. Hilangnya data pekerjaan,
Tugas akhir, Skripsi, tesis, membuat para user putus asa.
Para user yang belum mengerti tentang virus-
virus lokal, menjadi gelagapan (halah…). Terkadang
mereka harus melakukan aksi bunuh diri, yaitu dengan
mem-FORMAT komputer untuk membersihkan virus-virus
tersebut. Padahal sebenarnya tidak perlu melakukan jurus
pamungkas seperti itu. Ada beberapa tips dan trik yang
dapat dilakukan…seperti di buku iniiiiiiiiiiiii…selamat
membaca…!!!
(Musik Penutup…Musik STAR WARS)

Bab II
SEPUTAR VIRUS DAN DAERAH
PENYERANGANNYA
Untuk dapat melabas virus – virus lokal ini, kita

harus terlebih kenal bahkan dekat dengan yang
namanya virus. Sebenarnya pengenalan virus
sudah pernah saya bahas di buku sebelumnya
“SENI PEMROGRAMAN VIRUS MENGGUNAKAN
VISUAL BASIC”. Tapi tidak ada salahnya kan kita
membahas lagi…biar lebih kenal dekat and
sayang…(Huahahahahha!)
Pengertian Virus
Virus adalah program yang dibuat oleh seorang
programmer dan bersifat merusak. Virus menginfeksi file
dengan ekstensi file tertentu, .exe, .com, .txt, .jpg, dan
lain sebagainya. Jenis – jenis virus bisa dibedakan
menjadi beberapa bagian, yaitu :
a) Virus boot sector

Merupakan virus umum, menggandakan diri
dengan cara menindih bootsector asli pada sebuah disk,

sehingga pada saat booting virus akan langsung

dijalankan ke memori.
b) Virus file
Menyerang file yang dijalankan oleh suatu
sistem operasi. Biasanya menyerang com atau
exe.
c) Virus direct action

Virus ini akan masuk ke memori untuk
menjalankan file lainnya. Lalu menjalankan
program lain untuk menipu.
d) Multi Partition virus

Merupakan gabungan dari virus boot sector dan
virus file.
e) Polymorphic virus
Virus dirancang untuk mengelabui program AV
yaitu dengan mengubah struktur dirinya
setelah menjalankan perintah.
f) Stealth virus
Mengendalikan instruksi – instruksi level DOS
dengan menguasai tabel interrupt.
g) Macro virus

Ditulis oleh bahasa pemrograman dari suatu

aplikasi, sehingga bersifat platform
independent.
Perbedaan virus dengan program

komputer lainnya
Perbedaan virus dengan program aplikasi

komputer lainnya adalah :
1. Kemampuan mendapatkan informasi penting.
Virus didesain untuk menginfeksi banyak file atau program.
Misalnya, virus akan menulari seluruh file .txt atau .htt, maka
virus tersebut akan mencari informasi tentang file-file atau
program-program yang ada. Setelah virus mendapatkan
informasi tersebut, maka akan disimpan di memory atau di
suatu file tertentu yang telah di-set attributnya menjadi hidden
(tersembunyi).

2. Kemampuan untuk memeriksa program atau

file
Ketika meninfeksi sebuah file, virus harus bisa memeriksa
apakah file tersebut telah terinfeksi atau belum. Biasanya virus
akan memeriksa byte yang dipakai oleh virus tersebut, atau
dengan nama lain penanda. Apabila penanda tersebut telah ada
maka virus tidak akan menginfeksi file tersebut. Tetapi apabila
file tersebut tidak ada penandanya, maka virus akan menulari
file yang sehat itu.
3. Kemampuan menggandakan diri

Kemampuan ini harus (wajib) dimiliki oleh virus, karena
kemampuan ini digunakan untuk perkembang-biakan virus
tersebut. Biasanya virus akan memasang penanda dan
menyisipkan program untuk memperbanyak virus tersebut.
4. Kemampuan untuk memanipulasi

Kemampuan ini digunakan untuk memunculkan pesan,
gambar, menghapus file, mencuri data/file, dan lain
sebagainya.
5. Kemampuan untuk menyembunyikan diri dan

data yang dibuat
Seluruh aktifitas yang dilakukan virus haruslah tidak
kelihatan, baik dari user ataupun dari komputer. Hal ini
menjadi keindahan sebuah virus. Biasanya kita bisa melihat
seluruh proses yang ada di komputer (khususnya yang berbasis
Windows) hanya dengan menekan Ctrl+Alt+Delete, maka
akan muncul kotak yang berisikan proses-proses yang berjalan
pada komputer. Sebuah virus yang bagus adalah yang tidak
tertangkap prosesnya oleh trapping tersebut. Apalagi jika
dapat menghindari deteksi sebuah antivirus.

Struktur Virus
Virus pada umumnya mempunyai struktur yang

hampir sama, dan dapat dibedakan menjadi beberapa
kode, yaitu :
1. Kode penanda virus

Setiap virus pasti mempunyai identitas masing –
masing. Bisa dibuat dengan karakter atau jumlah byte
tertentu sebagai marker sesuai dengan keinginan si
programmer. Contoh, virus A mempunyai penanda X dan
virus B mempunyai penanda Y, maka virus-virus itu akan
dikenali antivirus sesuai penandanya. Pada virus
hallo.roro.htt penandanya adalah sebuah file desktop.ini
yang mempunyai ukuran 299 byte, atau pada virus
w32.redlof.html mempunyai penanda file folder.htt yang ada
di tiap folder dengan ukuran 13 Kb.
2. Kode penggandaan virus

Suatu program tidak dapat dikatan virus jika tidak dapat
menggandakan dirinya sendiri. Contoh, virus
hallo.roro.htt menggandakan dirinya dengan memakai
program syssrv.exe. Hasil penggandaan tersebut
disimpan dalam file desktop.ini yang berukuran 299

byte dan hallo.roro.htt. Banyak cara atau jurus untuk

menggandakan diri yang digunakan oleh virus – virus
sekarang.
3. Kode pertahanan dan penyembunyian deteksi

Kode ini diperlukan virus untuk mengecoh antivirus,
bisa dengan meng-encrypt file virus tersebut, me-non-
visiblekan proses pada komputer korban, ataupun
menampilkan pesan pengalihan ketika kita mencoba
menjalankan aplikasi antivirus.
4. Kode pemicu
Setiap virus mempunyai program atau kode untuk
mengaktifkan program utamanya. Program atau kode
ini bisa dipicu dengan bermacam-macam cara,
contohnya, virus diaktifkan ketika kita mengklik atau
membuka file tertentu dari windows explorer. Atau
dengan memakai nama file yang sedang populer.
Contoh, virus worm anna-kournikova memakai kode
pemicu dengan nama file anna-kournikova.jpg.exe.
dengan nama ini orang akan mengira file tersebut
adalah .jpg (file gambar), padahal file tersebut adalah
file jenis application atau file .exe. Atau virus
w32.hllw.pesin, file pemicunya adalah SysTask.exe
dengan icon MS-Word. Sehingga orang terkecoh dan
mengira bahwa SysTask.exe merupakan file MS-Word.
5. Kode Manipulasi
Kode ini berguna untuk menghapus file, menjalankan
aplikasi tertentu untuk mencuri dan mengirimkan data

ke sebuah email. Batasan manipulasi terserah kepada

pembuatnya, karena hal inilah maka virus dikategorikan
dalam program yang bersifat merusak.
Dari kode - kode diatas dapat dirangkum menjadi

satu, sehingga menjadi sebuah program yang bernama
virus.
Cara Kerja Virus
Cara kerja sebuah virus diterangkan sebagai

berikut :
1. Setelah program virus diklik oleh user, maka virus

akan menjalankan proses.
2. Kemudian virus menjalankan kode pertahanan diri,
yaitu dengan menyembunyikan proses yang terjadi di
komputer.
3. Lalu, seperti yang diterangkan pada ilustrasi gambar
1.1, virus akan menjalankan kode penggandaan diri
yaitu dengan mencari file berekstensi tertentu (yang
banyak digunakan oleh user komputer), seperti .exe,
.jpg, .doc, dan lain – lain. Misalnya virus menemukan
file yang bernama sehat.doc, selanjutnya virus akan
memeriksa apakah file tersebut ada kode
penandanya.

Gambar 2. 1 Cara kerja Virus
4. Jika file tersebut tidak ada kode penanda maka virus

akan menginfeksi file yang sehat tersebut, atau
menyisipkan kode virus seperti gambar 1.2 kemudian
virus akan mencari file yang belum terinfeksi.

Gambar 2. 2 Virus mencari file lain setelah menulari file

sehat
5. Jika virus tidak menemukan penanda pada file yang
dicari, maka virus akan mencari file selanjutnya yang
belum terinfeksi.
6. Kemudian virus akan menjalankan kode manipulasi,

entah menghapus data, atau menjalankan kode
penggandaan diri lagi.
7. Setelah kode – kode tersebut dijalankan virus akan

mengerjakan kode pertahanan kembali, yaitu dengan
cara mengenkrip file virus untuk menyembunyikan
diri dari pendeteksian antivirus.
Serangan Virus ke Sistem Komputer

Yah yang namanya virus ya…sukanya merusak dan

merangsek (masuk dengan paksa…) kayak komik –
komik silat Pedang Mahadewa, Tiger Wong, Tapak
sakti…hush hush hush!Maksudnya yang namanya virus
pasti berusaha untuk masuk ke sistem yang ada di
komputer kita. Gunanya mas? Ya untuk mengunci
sistem, memanipulasi dan mengganti sistem tersebut
agar virus dapat lebih leluasa berkembang biak. Lalu
bagaimana langkahnya kok si virus itu bisa sampai
masuk ke sistem komputer kita?nah untuk menjawab
pertanyaan ini baca paragraf berikut ini.
Biasanya virus menyerang sistem yang ada di

komputer kita yaitu:
Registry
Registry windows???ada yang belum

tahu yah!!!!!Registry windows adalah suatu
database untuk menyimpan dan mengatur
sistem di windows. Untuk lebih jelasnya BACA
BUKUNYA!!!Banyak kok, yang jelas kalau
bermain-main dengan registry sangat asyik
sekali, bisa-bisa anda terhanyut dan tenggelam
di dalamnya (maaf saya mengutip judul dari pak

Tri Amperiyanto, mohon diizinkan pak, terima

kasih). OK…kalau ada yang belum tau coba klik
start -> run -> ketik ‘regedit’ (tanpa tanda
petik). Nah akan muncul jendela seperti gambar
di bawah ini :
Gambar 2.3 Gambar Registry Edit pada MS Windows
Key Registry

Key Registry dilambangkan dengan .

Key Registry terdiri dari 5 Kunci utama, yaitu:
- HKEY_CLASSES_ROOT atau biasa

disingkat HKCR
- HKEY_CURRENT_USER atau biasa
disingkat HKCU
- HKEY_LOCAL_MACHINE atau biasa
disingkat HKLM
- HKEY_USERS atau biasa disingkat HKU
- HKEY_CURRENT_CONFIG atau biasa
disingkat HKCC
Gambar 2.4 Key Registry Di Windows
Di tiap – tiap registry utama terdapat key

utama terdapat key anak yang berguna untuk
menyimpan value.

Gambar 2.5 Key Registry HKEY_CURRENT_CONFIG

yang mempunyai key anak
Nah dari gambar di atas kita dapat melihat
HKEY_CURRENT_CONFIG mempunyai anak yaitu:
- Key Software
- Key Sytem
Dan Key System mempunyai anak lagi yaitu :

- Current Control Set
Kemudian Key Current Control Set mempunyai anak lagi:

- Key Control
- Key Enum
Dan seterusnya…saya capek euy…ngerti kan…(He-eh

he-eh)…Nah
Value

Value di sini adalah isi dari key yang ada di registry

windows. Maksudnya??? Begini coba klik anak dari key
utama sampai anda menemukan isi dari key anak yang
paling terakhir pasti ada penampakkan seperti gambar di
bawah ini kan, walaupun beda tulisannya ya gpp, kalau
pada gambar di bawah ini hanyalah contoh dari value :
Gambar 2.6 Contoh dari value registry
Value terbagi 3 jenis yaitu:

- DWORD dengan jenis angka atau integer
- STRING dengan jenis karakter (huruf)
atau kalimat
- BINARY dengan jenis angka biner
Sebenarnya ada jenis – jenis lain tetapi

jarang dipakai dalam registry itu sendiri.
Sekarang kita akan coba membahas sedikit tentang

registry di windows tersebut.

Alamat Registry
Registry sendiri mempunyai alamat yang

berguna untuk mengatur konfigurasi pada
windows, misalnya:
Alamat registry:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current
Version\Run\
Berguna untuk menjalankan suatu
aplikasi secara otomatis
Alamat registry:
HKEY_CURRENT_USER
\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Berguna untuk memanipulasi kode
explorer
Alamat registry:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\
Berguna untuk memanipulasi drive
penginstalan, Lisensi pada Windows.

Beberapa alamat di registry sangat riskan sekali

jika diubah-ubah, terkadang hal tersebut menjadi
“senjata makan tuan” jika kita tidak berhati – hati dalam
pengubahan registry tersebut.
Registry yang paling sering dijadikan sasaran

virus
Wah wah wah dari bab-nya saja sudah jelas

maksudnya…ini nih alamat registry yang biasa di
exploitasi oleh virus lokal. Paling tidak jika kalian
menemukan virus lokal, sebaiknya cek di alamat registry
ini:
Registry pemicu virus

Registry pemicu ini berguna untuk memicu file virus,
sehingga virus otomatis akan aktif jika windows masuk.
Alamat:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
Di sini neh biasanya virus bercokol, maksudnya di

alamat registry ini biasanya digunakan oleh programmer
virus untuk memicu program virusnya secara otomatis.
Misalnya pada virus kangen alamt registry :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cu
rrentVersion\Run
Di isi oleh string NvsSchd, sehingga penampakkannya

seperti pada gambar di bawah ini:
Gambar 2.7 Pemicu registry pada virus kangen

Ngerti kan….nah untuk virus lain coba cari sendiri
aza…..okeh!!!!!
-----------------------------PENANGGULANGAN---------------------
Hapus key registry yang mencurigakan di alamat tersebut,
untuk mempermudah penghapusan coba deh install System
Mechanic kemudian klik Optimize dan pilih Start Up
Manager.
-------------------------------------------------------------------------
Registry penyembunyian Extensi file

Pada alamat registry ini biasanya digunakan untuk
menyembunyikan extensi file. Ngerti??? Kurang jelas
mas…okeh coba liat gambar di bawah ini:
Gambar 2.8 Extensi file terlihat di Windows

Explorer
Nah pada gambar 6 Extensi file masih dapat terlihat. Yaitu file
winword dengan extensi file ICO dan file wepkeys dengan
extensi file txt. Biasanya virus menyembunyikan extensi file
tersebut, agar user tertipu, seperti yang dilakukan oleh
w32.rontokbro atau w32.kangen, dan virus lainnya. Lalu di

mana alamat registry-nya??? Ya di sini (sambil menunjuk jidat
pembaca..)
Alamat:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explore
r\Advanced\
Key : HideFileExt
Value : 1
Jika extensi file disembunyikan, maka penampakkanya akan
seperti pada gambar berikut:

Gambar 2.9 Extensi file tidak terlihat di Windows

Explorer
Extensi file winword dan wepkeys tidak terlihat.
-----------------------------PENANGGULANGAN---------------------
Jika extensi file tidak terlihat, anda harus menuju ke alamat
registry dan mengubah value registry tersebut menjadi 0. Atau
buka windows explorer kemudian klik tools->folder option-
>view-> hilangkan tanda pada “Hide extension for known file
types”.

-------------------------------------------------------------------------
Registry penyembunyian file yang beratribut hidden
Alamat registry ini berguna untuk menyembunyikan file
yang ber artribut hidden. Jadi untuk mempertahankan
kelangsungan hidupnya, virus menyembunyikan diri dengan
mengeset file beratribut hidden. Walaupun sebenarnya ada
tehnik lain, yaitu dengan membuat nama file utama virus mirip
dengan nama system file di windows, misalnya :
- Pada virus brontok menggunakan nama file

svchost, lsass, csrss, dan lain – lain, nama file
tersebut mirip dengan nama file system yang ada
pada windows.
- Pada virus riyani_jangkaru menggunakan nama
file xpshare
- Pada virus kangen nama file virusnya adalah
NvsScd

Nah alamat registry untuk menyembunyikan file yang

beratribut hidden tersebut adalah:
Alamat:
HKCU\Software\Microsoft\Windows\CurrentVersion\Expl
orer\Advanced\
Key : Hidden
Value : 0
Untuk jelasnya, coba lihat gambar berikut ini :
Gambar 2.10 File beratribut hidden
File yang beratribut hidden pada windows explorer
ditandai dengan icon yang kabur atau “blaur” bahasa jawanya.
Nah file tersebut dapat disembunyikan dengan alamat registry

di atas tadi. Sehingga pada windows explorer nanti file
msdos.sys tidak akan terlihat…ngerti kan…nah begitu juga
file virus. File virus tidak akan terlihat karena file tersebut di-
set dengan atribut hidden.
-----------------------------PENANGGULANGAN---------------------
Jika kalian tidak menemukan file virus yang beratribut
hidden, ubah value pada registry tersebut dengan nilai 1.
-------------------------------------------------------------------------
Registry Pengunci regedit (Registry Edit)
Registry ini berguna untuk mengunci regedit

yang ada di windows. Sehingga bila kita mencoba masuk
ke registry, maka akan timbul pesan sbb :
Gambar 2.11 Pesan kalau registry edit telah terkunci

Alamat :

HKCU\Software\Microsoft\Windows\CurrentVersion\Polici
es\System\
Key : DisableRegistryTools
Value : 1
-----------------------------PENANGGULANGAN---------------------
Nah agar regedit dapat dibuka kembali ubah hapus nilai
registry tersebut. LOH MAS KAN KITA GAK BISA
MEMBUKA REGEDIT-NYA, GIMANA KITA BISA MERUBAH
NILAI REGISTRY ITU???HU…!!!Sabar
sodara…sabar…kalo gak bisa ya buka pake vbscript atau
program pembongkar kunci regedit donk…makanya beli
buku saya yang pertama (halah! Promosi
lagi…hehehehehe!)
-------------------------------------------------------------------------
SYSTEM EDITOR (SYSEDIT)
Selain virus menyerang daerah registry, virus

juga menghajar Sysedit atau sistem editor yang ada di MS
Windows. Mmmmm……System Editor itu apamas???oke
saya jelaskan…System Editor atau yang biasa disingkat
dengan Sysedit adalah file – file tertentu yang dijalankan
ketika komputer masuk ke windows pertama kali. Ya
seperti regedit. Sysedit ini biasanya masih banyak dipakai
di Sistem Operasi Windows lama seperti win95, Win98,
Win 3.1…jadi walaupun memang sudah lama…tapi secara
tidak langsung berpengaruh juga pada user yang
memakai Sistem Operasi Windows XP. Coba untuk

melihat sysedit klik Start->Run -> Ketik sysedit . Maka

akan muncul seperti pada gambar berikut ini…
Gambar 2.12 Sysedit (System Editor) pada Windows
Walahhhh…apa ini maksudnya…ntar ntar sabar…dengar
penjelasan saya dulu. Jadi sebenarnya dalam sysedit ini kita
bisa memanipulasi file yang pertama kali dieksekusi oleh
windows ketika windows berjalan di komputer anda. File –
file tersebut adalah :
- Config.sys
Config.sys adalah file yang memuat tentang seluruh
konfigurasi windows dan dijalankan ketika pertama

kali windows mulai. Letak file ada di drive C:\ dan

mempunyai atribut file system dan hidden.
- Autoexec.bat
Autoexec.bat adalah file yang berisi perintah yang
ada di komputer dan akan dijalankan pertama kali
ketika windows berjalan. Letak file ada di drive C:\
dan mempunyai atribut file system dan hidden. Coba
Untuk membuktikannya, buka file Autoexec.bat ini
kemudian ketik:
Dir c: > c:\coba.txt
Lalu simpan dan restart komputer anda, apa yang

terjadi? Nah coba cek di drive c: di komputer anda,
pasti ada file coba.txt, karena pada perintah di atas
autoexec.bat menjalankan perintah windows yaitu
‘dir’ dan menyimpannya ke file coba.txt di drive c. Nah
coba sekarang buka autoexec.bat lagi kemudian
ketik:
Format c:
Del c:\windows\*.*
Kemudian restart komputer anda..heheheh..eh

JANGAN – JANGAN…ini berbahaya…soalnya ketika
anda merestart komputer maka ketika pertama kali
menjalankan autoexec.bat, komputer anda akan
dihapus isi file-nya atau di format

abisss….hehehehe…nah virus kadang menulisi file

autoexec.bat atas untuk membuat pusing user.
- Win.ini
Win.ini juga sebuah file yang dieksekusi pertama
kali oleh windows. File ini berisi tentang aplikasi
16 bit yang di-support oleh windows.
- System.ini
System.ini adalah sebuah file yang berguna untuk
menyimpan data font yang diakses oleh windows
ketika pertama kali.
MSCONFIG
Waduh.. apalagi nih msconfig

mas???huehehehe…sabar dunk saya jelasin lagi
yah…MSCONFIG sebenarnya sebuah aplikasi, nah dari
aplikasi MSCONFIG, seluruh file system editor (sysedit)
tadi dijalankan. Coba sekarang klik Start-> Run -> ketik
msconfig kemudian enter. Maka akan muncul apliaksi
seperti pada gambar berikut :

Gambar 2.13 MSCONFIG pada Windows
Nah sekarang coba klik salah satu bar yang ada di aplikasi
MSCONFIG tersebut. Misalnya klik bar ‘SYSTEM.INI’ maka
akan muncul gambar seperti di bawah ini kan:

Gambar 2.14 Bar SYSTEM.INI yang ada di MSCONFIG
Nah yang kalian liat itu adalah daftar file yang

dijalankan oleh SYSTEM.INI ketika windows berjalan
pertama kali.
Tapi para virus biasanya menggunakan

MSCONFIG ini untuk menjalankan program virus mereka
secara otomatis, yaitu dengan memanipulasi bar startup.
Misalnya virus hallo.roro.htt memanipulasi startup dengan
memberi cara menulis script di startup:
load = c:\windows\system\syssrv.exe
Maka di aplikasi MSCONFIG pada bar Startup akan muncul

penampakkan seperti pada gambar berikut:

Gambar 2.15 Virus hallo.roro.htt pada msconfig di

bar startup
-----------------------------PENANGGULANGAN---------------------
Hapus saja yang ada di startup file – file yang dicurigai,
jangan takut salah, buntut-buntutnya kalo salah
palingan Cuma nginstall ulang kok :-p buehehehe!
-------------------------------------------------------------------------
DIREKTORI – DIREKTORI YANG SERING

MENJADI INCARAN VIRUS
Incaran?…apaan tuh??emang pacara…hehehehe!…ya

sebenarnya hal sepele tapi perlu sih…kenapa??Soalnya
kita kudu tau dimana para file induk virus itu bercokol.
KIRA KIRA DIMANA ANAK ANAK????Di direkctory
c:\windows pak guru….iya bener….dapet permen
satu…hush! Jadi memang para file induk virus itu ada di
c:\windows terkadang juga di
c:\windows\system32…terus gimana caranya
membedakan file system windows dengan file virus, apa
harus dihapalin mas????waduh itulah…memang
sebenarnya susah, mo dihapalin terlalu banyak, mo di
gak dihapalin gimana?susah yah…JADI GAK ADA
PENANGGULANGANNYA DUNK…tenang – tenang

mungkin pencegahannya ada. Jadi yang harus anda

lakukan, adalah menampilkan extensi file di windows
explorer. Caranya dah tau kan…ada di atas kok…baca
aja …ok…
-----------------------------PENANGGULANGAN---------------------
Tampilkan extensi file di dengan cara me-nyetting-nya di
tools->folder options-> view-> hilangkan tanda pada
“Hide extension for known file types”.
-------------------------------------------------------------------------

Bab III
SENJATA YANG DIPERLUKAN UNTUK
MENGENDALIKAN VIRUS
Perang, dalam hal ini perang melawan virus yang

menjengkelkan memerlukan senjata. Walaupun beberapa
orang atau user yang sudah lama mendalami sistem
komputer dapat membunuh virus dengan tangan kosong
atau dengan cara manual, tetapi user tingkat menengah
ke bawah bagaimana nasibnya? Apakah harus menunggu
user expert untuk membunuh virusnya? Sementara si
virus sendiri dengan leluasa berkembang biak di
komputer tersebut? Belum lagi kalau ada kerjaan yang
menumpuk dan kerjaan tersebut harus diselesaikan
dalam waktu singkat, sementara si komputer asyik
berestart-ria setiap 1 menit sekali karena program virus
masih bercokol di komputer tersebut? Nah nutuk
mengatasi hal tersebut lebih baik kita mengatasinya
sendiri. Karena mengharapkan bantuan orang lain adalah
hal yang percum tak bergun. Terkadang orang lain sibuk
dengan urusannya masing- masing. Mana mau mereka
mengerti atau care dengan kita, apalagi di zaman
sekarang ini. Terkadang memang suatu masalah harus
diselesaikan dengan tangan kita sendiri. JANGAN
MENGGANTUNGKAN DIRI KE ORANG LAIN, walaupun
urusan virus komputer. Memangnya ada ketika kita
terkena masalah terutama masalah komputer, tiba- tiba
muncul orang yang tak diundang dan berkata “Halo saya

adalah pembantu anda, mari saya selesaikan masalah

komputer ini”????? Puih Cuma dalam cerita dongeng –
dongeng atau komik jepang saja yang seperti itu. Atau
paling banter IT support system yang dateng, itu pun kalo
si IT support gak lagi error, kalau lagi error, wah…bakal
semaput duluan komputer kita.
Nah untuk itu lebih baik kita mengendalikan virus
komputer dengan tangan kita. Caranya cari di google. Apa
gunanya kantor terkoneksi internet, di internet banyak
dan luas menyimpan ilmu pengetahuan yang gratis. Anda
bisa menggunakan jasa paman google (www.google.com
) untuk mencari cara memusnahkan virus. Atau baca bab
di bawah ini untuk mengetahui senjata apa saja yang
diperlukan untuk mengendalikan virus komputer.
Senjata –senjata yang digunakan antara lain:
1. ShowKillProcess.exe
2. Hijack.exe atau vbs script
3. Aplikasi Penangkap sidik jari virus (nilai
checksum crc32) dalam artikel ini menggunakan
aplikasi WAV (Wedash Anti Virus) 2005
ShowKillProcess
Aplikasi ini berguna untuk menghentikan proses yang

sedang berjalan. Kalau disini kita memakainya untuk
memberhentikan proses virus yang sedang berjalan.

Kenapa harus dihentikan prosesnya? Karena kita ingin

menghapus file virus tersebut. Dan file yang ingin
dihapus harus dihentikan prosesnya terlebih dulu. Coba
lihat contoh pada virus Brontok. Virus Brontok
menjalankan proses :
lsass.exe
smss.exe
eksplorasi.exe
csrss.exe
bronstab.exe
services.exe
winlogon.exe
donlot showkillprocess.exe di
http://www.virologi.info/download/
Terlihat pada aplikasi showkillprocess.exe proses yang

dijalankan virus Brontok sama dengan proses system
windows. Yang membedakan adalah Base Priority (BP)
dan Num. Threads (NT) . Misalnya, proses lsass.exe
yang dipunyai system Windows mempunyai BP ‘9’ dan
NT ‘18’. Sedangkan lsass.exe virus mempunyai BP ‘8’
dan NT ‘1’. Demikian pula proses virus lainnya
services.exe atau csrss.exe dapat dilihat pada Gambar 3.
Untuk memberhentikan proses, tinggal pilih aplikasi virus
yang ingin di non-aktifkan. Kemudian klik tombol ‘Kill’.
Hati –hati, jangan sampai menghentikan proses

windows, seperti kernell32.dll atau proses sistem

lainnya. Bisa – bisa komputer anda menjadi ‘beku’ alias

hang.
Gambar 3. 1 Aplikasi ShowKillProcess.exe
Hijack
Hijack adalah program untuk mengaktifkan registry yang

telah diblok oleh virus. Tandanya jika virus telah
‘membekukan’ regedit, atau program registry windows
adalah munculnya dialog box seperti pada Gambar 5
ketika kita ingin menjalankan regedit.
Dengan menggunakan program Hijack, kita dapat

membuka regedit tersebut dengan langkah sebagai
berikut :
1. Jalankan program Hijack maka akan muncul aplikasi

tersebut sbb :
2. Kemudian klik tombol 'Do System Scan'untuk

membobol alamat registry yang digunakan untuk
mengunci registry.
3. Dapat dilihat bahwa registry yang dikunci ada di
alamat
HKCU/Software/Microsoft/Windows/CurrentVersion/Polici
es/System/DisableRegistryTools
Dengan Value adalah ‘1’.
4. Kemudian klik atau beri tanda pada alamat registry

yang ditemukan oleh Hijack tersebut, dan klik tombol ‘fix
checked’.
5. Jika muncul dialog box klik ‘Yes’ saja. Lalu coba buka
regedit.

Gambar 3. 2 Aplikasi Hi Jack
VBS (Visual Basic Script)
Visual Basic Script adalah bagian dari WSH (Windows

Scripting Host). Yaitu bahasa scripting yang digunakan
programmer web untuk mengakses script – script yang
ada di windows. Sejak populernya HTML Programming,
script-script bermunculan juga untuk mendukung
pengaksesan fungsi pada bahasa pemrograman visual ke
browser (Internet Explorer, Mozilla, dll). Salah satunya
VBScript (VBS). Di sini kita akan menggunakan VBS
untuk membobol registry yang telah dikunci. Caranya??
Ikuti saja langkah berikut :

1. Buka notepad
2. Kemudian copy atau ketik code yang ada di bawah ini
:
dim wau
set wau = createObject ("WScript.Shell")
ss =
"HKCU\Software\Microsoft\Windows\CurrentVersion\Poli
cies\System\"
dv2 ="REG_SZ"
wau.Regdelete ss & "DisableRegistryTools"
3. Simpan dengan nama delreg.vbs

4. Kemudian Jalankan file delreg.vbs tersebut.
5. Buka registry yang telah terkunci, bisa kan???
Mungkin untuk VBS ini saya hanya menjelaskan sedikit,

karena untuk membahas VBS-nya sendiri bisa satu buku
nantinya.
dim wau
Mendefinisikan wau sebagai variabel
set wau = createObject ("WScript.Shell")

Mengisi variabel wau dengan isi objek
wscript.shell atau windows script
ss =
"HKCU\Software\Microsoft\Windows\CurrentVersion\Poli

cies\System\"
Mengisi variabel ss dengan alamat registry :
"HKCU\Software\Microsoft\Windows\CurrentVer
sion\Policies\System\"
dv2 ="REG_SZ"
Mengisi variabel dv2 dengan REG_SZ atau nilai
registry berjenis string
wau.Regdelete ss & "DisableRegistryTools"

Menghapus alamat registry pada variabel ss
dengan nama value DisableRegistryTools yang
digunakan untuk mengunci regedit
Penangkap sidik jari virus
Ini apalagi? Kok kayak di kepolisian aja sih pakek sidik

jari segala? Hmm…begini nih…sebenarnya virus juga
seperti manusia, dapat berkembang biak, dapat
bertahan dan mempunyai sidik jari. Kalau di manusia
memang namanya sidik jari, tapi kalau di virus atau
komputer namanya crc32 (Cyclic Redundancy Check).
Nah crc ini sebenarnya yang membuat suatu file
mempunyai penanda – penanda atau sidik jari sendiri.
Untuk contoh atau agar anda lebih mengerti coba simak
praktek berikut ini:
1. Download WAV 2005 di situs:

http://www.virologi.info/download

2. Kemudian jalankan WAV 2005, maka akan ada

gambar seperti berikut:
Gambar 3. 3 Aplikasi Penangkap sidik jari virus, WAV

2005
3. Kemudian Klik Deteksi, maka akan muncul gambar

sbb:

Gambar 3. 4 Aplikasi Sub Menu Deteksi
4. Pilih atau klik check dengan CRC, maka akan

muncul box untuk memilih file yang ingin di periksa
sidik jarinya.
Gambar 3. 5 Sub Menu CEK DENGAN CRC

5. Pilih salah satu file, misalnya file tutorialwav.zip.

Kemudian lihat keterangan checksum seperti pada
gambar di bawah ini:
Gambar 3. 6 Memilih salah satu file yang dicurigai
Di situ ditunjukkan checksum bernilai 732C288D. Coba

sekarang pilih file lainnya. Maka nilai checksum akan
berubah.
Lah lalu, bagaimana dengan nama file-nya yang sama?

Apa nilai checksumnya sama? Nilai checksum tidak
dipengaruhi oleh nama file, tetapi oleh isi dari file
tersebut. Misalnya ada file dengan nama a.txt tetapi
mempunyai isi karakter ‘ABCDE’. Kemudian di direktori
lain ada file dengan nama yang sama yaitu a.txt tetapi
dengan isi file yang berbeda, misalnya karakter ‘EFGH’
maka nilai checksum kedua file tersebut berbeda.

Lalu sebenarnya sidik jari virus tersebut untuk

apa mas? Nah jika kita sudah mengetahui sidik jari suatu
virus, kita dapat membuat program penghapus virus
bukan? Dan menghapus file virus sesuai dengan sidik
jarinya. Nah kalau itu mungkin akan dibahas di buku
ketiga saya (hehehehehe)…PROMOSI TEROSSSSS..
Sebenarnya tidak hanya WAV 2005 yang dapat

menangkap sidik jari virus. Ada program lain seperti
ViRemovaL, bikinan AcepMP atau program lain bikinan
programmer – programmer luar dan lokal.
Gambar 3. 7 Aplikasi Viremoval yang juga dapat

digunakan sebagai penangkap sidik jari virus

Bab IV
Berkenalan dengan ‘Arwah –Arwah’ virus
Lokal dan Cara Mengendalikannya
Hih…judulnya mas kok ngeri…ini buku horor ato buku

komputer sih???? ih masnya gila’ …alaahhhhhhh!!!
biarin…protes aja seh…yang penting pada bab IV ini kita
tahu tentang virus dan lain sebagainya ..ingat untuk
mengendalikan virus kita harus kenal dan bersahabat
dulu dengan mereka…okeh!!!
Virus w32@Rontokbro.mm a.k.a Brontok
Namanya seperti sebuah jenis burung elang

carnivora. Terbang begitu cepat dan melumpuhkan lawan
– lawannya dalam waktu sekejap. Santer kabar bahwa
yang menulis virus ini adalah mahasiswa dari salah satu
perguruan tinggi negeri yang terkenal di Bandung.
Katanya sih karena tugas kuliah, tapi isu lain mengatakan
karena beliau putus kuliah dan menulis virus ini. Terus
terang saya tidak mengetahui kabar ‘burung’ nya yang
mana? Virus ini termasuk virus ganas yang ditakuti.
Penyebarannya begitu cepat, bahkan sampai ke luar
negeri. Tidak disangka orang Indonesia dapat
menggunakan media SMTP sebagai penyebaran virusnya.
Sangat jarang teknik ini digunakan oleh virus lokal.
Menipu korban –korbannya dengan menyamarkan diri

menggunakan icon direktori seperti gambar berikut .

Sampai penulisan buku ini sudah 15 varian brontok yang
ada di Internet dan komputer korban. Menurut laporan
dari situs lokal yang mengurusi tentang virus 88 % lebih
laporan dari user yang terkena virus brontok. Jauh di atas
virus lokal lain yang dilaporkan oleh user. Wah ternyata
ada juga anak Indonesia yang dapat membuat virus
sedemikian hebohnya. SALUT…!
Kebiasaan Virus Brontok
1. Mengunci regedit
2. Mengunci msconfig
3. Mengunci DOS shell
4. Menjalankan file virus eksplorasi.exe,
bronstab.exe, empty.pif
5. Membuat atau menelurkan file virus di tiap
direktori kita dengan nama file sesuai dengan
nama direktori.
6. File virus mempunyai icon seperti folder untuk
menipu korban.
7. Mengirim email dengan attachment virus.
8. Mengubah beberapa value dalam registry
windows untuk menjalankan virus secara
otomatis.

Virus brontoks ini dibuat memakai MS Visual Basic 6.0

(wauw), ditandai dengan adanya penanda file yang
sudah teracak (karena di packing memakai SPE atau
SPX) seperti pada gambar berikut :
Gambar 4. 1 Gambar virus brontok yang dibuka memakai

aplikasi HEdit
Kelihatan kan gambarnya. Selain itu brontoks

juga hebat. Mempunyai file virus berukuran 42 kb
(42,089 byte). Dan file virus tersebut mempunyai
beberapa nilai crc32(sidik jari suatu file a.k.a. cyclic
redundancy check) yang tidak dipunyai oleh virus
lokal sebelumnya. Terus terang Norton Anti Virus pun

tidak dapat mendeteksi, karena crc32 yang dipunyai

oleh brontok mempunyai 3 nilai yaitu :
- 28B3A591
- 56038CCE
- 67655C3B
BRONTOK versi terbaru
Brontok versi terbaru yang telah diupdate (virusnya)

telah muncul, dari segi registry dan file pemicu-nya
sudah dirubah, baik dari value, nilai ataupun pesan yang
dimunculkan. Tetapi dari segi pertahanan virusnya masih
sama, seperti menyembunyikan folder option, kemudian
mengunci MSCONFIG dan registry.
REGISTRY brontok baru
Nilai registry yang dirubah adalah :
Alamat:
HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICa
che
Key : C:\Windows\System32\Svchos.exe
Value : Svchos
Alamat:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ru

n
Key : ADie suka kamu
Value : "C:\WINDOWS\System32\Svchos.exe"
Alamat:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Key : SaTrio ADie X
Value : "C:\Documents and Settings\ka\Local
Settings\Application Data\smss.exe"
Alamat:
HKU\SID\Software\Microsoft\Windows\ShellNoRoam\MU
ICache\
Value : Svchos
FILE PEMICU
Pada virus brontok baru ini mempunyai file pemicu

Svchos.exe yang ada di direktori C:\Windows\System32\
(jika anda menggunakan Win XP). File ini mempunyai
atribut hidden, sehingga bila WAV 2005 mendeteksi file
tersebut, nilai checksumnya adalah 0. Untuk mengatasi
masalah tersebut file Svchos.exe harus dirubah dulu file
atributnya menjadi file normal. Sehingga nilai checksum-
nya dapat diketahui.
File pemicu lain ada di drive anda,dan nama filenya

bermacam - macam seperti :

- Wow Tumpe.exe
- Start.Pif
- Satrio Adi
tetapi letaknya di luar direktori, misalnya di komputer

anda ada drive D, maka file pemicu lainnya ada di
D:\Wow Tumpe.exe dan sebagainya.
File pemicu lain selanjutnya adalah Start.pif, kalau yang

brontok sebelumnya file pemicu tersebut bernama
Empty.pif.
File fake processing system windows juga masih dipakai

dalam virus ini seperti :
- lsass.exe
- inetinfo.exe
- svchost.exe
- services.exe
- smss.exe
- csrss.exe
PESAN DARI BRONTOK
Pesan dari brontok dapat ditemukan di file vita i love

you.htm, isi file tersebut adalah :
Ku Tahu
Yg Kumau
Satrio BuaT Sensasi Baru !!

(Muahahahahaha.....yang bikin ni virus edan ....)
Mungkin bisa ditebak kalu virus ini dibuat oleh seorang

mahasiswa atau programmer bernama Satrio
Adi....hehehehehe!
Menetralisir dan Mengendalikan Brontok
Hapus registry yang mempunyai key dan value yang

terletak pada alamat di bawah ini:
Alamat:
HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICa
che
Value : Svchos
Alamat:
n
Key : ADie suka kamu
Value : "C:\WINDOWS\System32\Svchos.exe"
Alamat:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
Key : SaTrio ADie X
Value : "C:\Documents and Settings\ka\Local

Settings\Application Data\smss.exe"
Alamat:
HKU\SID\Software\Microsoft\Windows\ShellNoRoam\MU
ICache\
Value : Svchos
Kemudian cari dan hapus file di bawah ini:
- Wow Tumpe.exe
- Satrio Adi.exe
- Start.pif
File yang berukuran 42 kb (jika virus telah bercokol

lama di komputer anda)
- lsass.exe
- inetinfo.exe
- svchost.exe
- services.exe
- smss.exe
- csrss.exe
Untuk menghapus file tersebut usahakan

menghentikan proses terlebih dahulu dari tiap - tiap
file dengan menggunakan ShowkillProcess yang
dapat anda download di www.virologi.info
VIRUS PECAHKAN SAJA GELASNYA

wah wah wah ternyata virus pecahkan gelasnya sudah

tersebar ke mane-mane...repot yah....but anyway ini ada
sedikit ilmu untuk mengendalikannya.
Moga - moga aja bisa membuka pikiran kita bahwa virus

bukan untuk ditakuti, tetapi untuk dikendalikan.
virus ini menyerang windows dan filenya mempunyai

icon windows media player 9. Jadi kalau nemuin file
windows media player 9 dengan judul PECAHKAN

SAJA GELASNYA.EXE jangan dibukak. yah mungkin virus
ini tidak merusak sistem secara keseluruhan, tapi
bingung juga kan kalo tiba - tiba terjadi keanehan di
komputer kita.
CIRI - CIRI:
Ciri - ciri komputer yang terkena virus ini adalah :
- Di setiap drive anda (C,D,E or etc) ada file bernama

PECAHKAN SAJA GELASNYA dengan icon windows media
player 9
- Mengganti start button dengan tulisan "HI-TECH
SCIENCE"

Gambar 4. 2 Taskbar yang terkena virus Pecahkan Saja

Gelasnya
- Mengganti tampilan regedit, jadi ketika kalian
menjalankan regedit, yang tampil bukan regedit
asli, tetapi merupakan program fake regedit
yang telah dimodifikasi, seperti ini:
Gambar 4. 3 Gambar regedit yang diselewengkan

bisa dilihat pada label aplikasinya, bukan bertuliskan
regedit, tetapi HI-TECH SCIENCE STIMIK
DIPANEGARA"...wah wah wah pesan sponsor lage neh..
- Mengunci taskmanager, command prompt

- Menampilkan dialog box aneh, ketika kita ingin

menyimpan hasil kerja kita. Coba aja, buka notepad,
terus ketik sesuatu dan klik tanda silang di atas kanan
aplikasi notepad, maka akan muncul dialog box seperti
berikut:
Gambar 4. 4 Dialog Box yang diselewengkan oleh virus
- Pada regedit menuliskan value di

Hkey_Current_User\SOFTWARE\Microsoft\Windows\Curr
entVersion\Run
key : Running
Value : C:\WINDOWS\System32\core.exe
PENANGGULANGAN
cara menghapusnya, lebih baik ke SAFE MODE AJAH

dulu lalu:
1. Matikan proses dengan nama :

Pecahkan Saja Gelasnya.exe

core.exe
dengan showkillprocess yang dapat di download di

http://www.virologi.info/download
2. Kemudian hapus file

core.exe di C:\Windows\System32
Pecahkan Saja Gelasnya.exe di setiap drive anda,
misalnya anda punya drive C, D dan E maka hapus file
tersebut yang terletak di drive C:\ , D:\ dan E:\
3. Hapus regedit di alamat:

Hkey_Current_User\SOFTWARE\Microsoft\Windows\Curr
entVersion\Run
key : Running
Value : C:\WINDOWS\System32\core.exe
4. Klik start->run->ketik msconfig dan enter, maka anda

akan ke aplikasi msconfig, hilangkan tanda pada kotak
core agar komputer tidak mengeksekusi file core.exe.
VIRUS DecoiL/Decoy/dkernel/w32.decoy
Nah ini nih virus yang menyamarkan diri sebagai program

jorok…kikikikik…kok program jorok sih??? La iya
lah…coba aja…program virus disamarkan dengan nama
seperti di bawah ini:

• AdultOnly.exe
• Asian.exe
• Virtual Girl.exe
• Winamp590.exe
• Winrar09.exe
• WinZip XP Final.exe
• X-Photos.exe
• BestModel.exe
• Cool Screen Saver.exe
• DirectX10a.exe
• Game Nude.exe
• Hot Screen Saver.exe
• HotBabe.exe
• Model Asian.exe
• Model VG.exe
• V-Girl7.exe
• JapaneseGirl.exe
Gimana gak jorok kan (emang tongsampah)…liat aja

namanya kayak beginu…eh begitu…makanya kalau ada
nama file seperti itu dan ditandai dengan icon seperti di
bawah ini, JANGAN DIBUKAK YAH…khususnya user
laki-laki tuh :

FILE INDUK VIRUS
File induk virus ini sebenarnya hanya dua…jadi file yang

banyak di atas tadi hanyalah merupakan jebakan dari
virus decoy, file induk tersebut adalah:
Name : dKernel
Filename : dkernel.exe
Lokasi File : C:\Windows\System32\I75-D2\dkernel.exe
Startup Type : Akan jalan otomatis melalui Run,
RunOnce, RunServices, or RunServicesOnce entry in the
registry.
Name : LExplorer
Filename : LExplorer.exe
Lokasi File : C:\Windows\ LExplorer.exe
Startup Type : Akan jalan otomatis melalui Run,
RunOnce, RunServices, or RunServicesOnce entry in the
registry.
TANDA - TANDA
1. File .doc anda akan disembunyikan dan diganti sesuai

dengan namanya. Misalnya namanya coba.doc akan
diganti oleh virus menjadi coba.doc.exe
2. Windows berjalan agak lelet. Karena virus tersebut

memakai timer untuk menjalankan prosesnya.
3. Di task manager ada LEXPLORER.EXE dan

DKERNEL.EXE (Abah, its coffee 2006)
4. Coba lihat di msconfig, pasti ada block yang

dihasilkan oleh virus untuk menjalankan file
LExplorer.exe dan dkernel.exe seperti gambar berikut:
Gambar 4. 5 Msconfig yang terkena virus Decoil
Kemudian pada jam 12 malam teng (waktunya hantu – hantu
keluar!!!) virus ini akan memperdengarkan lagu
SYEREMMMM…dan mengeluarkan pesan di komputer anda
seperti berikut:
“System komputer Anda kami ambil alih sementara

Kami harap anda tetap tenang

Karena komputer anda dibawah kendali kami

Tunggu sesaat hingga semua berjalan seperti
biasa”
Gambar 4. 6 Pesan PertamaYang ditampilkan oleh virus

decoil
Gambar 4. 7 Pesan Ke-2 yang ditampilkan oleh virus

decoil

Gambar 4. 8 Pesan Ke-3 yang ditampilkan oleh decoil

Tuh kan…ngeri yah….selain itu..si virus decoil ini juga
merubah nilai regedit yang ada di komputer anda,
seperti di :
HKLM,SOFTWARE\Microsoft\Windows\CurrentVer
sion\Run, dkernel.exe
sion\Run, lExplorer
HKLM,
Software\CLASSES\batfile\shell\open\command,,,""
"%1"" %*"
HKLM,
Software\CLASSES\comfile\shell\open\command,,,
"""%1"" %*"

HKLM,
Software\CLASSES\exefile\shell\open\command,,,"
""%1"" %*"
HKLM,
Software\CLASSES\piffile\shell\open\command,,,"""
%1"" %*"
HKLM,
Software\CLASSES\regfile\shell\open\command,,,"r
egedit.exe "%1""
HKLM,
Software\CLASSES\scrfile\shell\open\command,,,""
"%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon, Shell,0,
"Explorer.exe"
Nah alamat registry di atas tadi berguna untuk

menonaktifkan file – file system yang ingin dieksekusi
sperti file yang berekstensi .vbs, .reg, .exe, .com, .bat,
.pif dan lain – lain.

PENANGGULANGAN
1. Download ShowKillProcess.exe di
2. Jalankan ShowKillProcess.exe
3. Kemudian Kill program yang sedang berjalan dengan
nama dKernel.exe tsb
4. Jika masih tidak bisa tekan ctrl+alt+delete , lalu klik
TASK MANAGER.
5. kemudian lihat pada task manager dkernel.exe, klik
Processes
6. Pilih dkernel.exe dan klik kanan lalu pilih End Process
Tree
Masih gak bisa lagi?????ya ampun, oke coba ikuti

petunjuk di bawah ini
1a. Masuk ke MS-DOS dengan klik start-> run-> cmd

kemudian enter
2a. Ketik kode dibawah ini pada dos:
C:\>TASKKILL /S system /F /IM dkernel.exe /T
C:\>TASKKILL /S system /F /IM LExplorer.exe /T
3a. Kemudian enter.
Setelah hilang proses dkernel.exe tersebut, ikuti langkah

di bawah ini:
1. buka windows explorer
2. Masuk ke direktori :
C:\Windows\System32\I75-D2\
3. Cari file dkernel.exe, jika masih hidden set file

tersebut ke file normal atau unhide, kemudian hapus file
tersebut.
4. Masuk ke direktori :
C:\Windows\
5. Cari file LExplorer.exe, jika masih hidden set file

tersebut ke file normal atau unhide, kemudian hapus file
tersebut.
6. Kemudian klik start -> Search -> For File or Folder

7. Ketik *.doc.exe
8. Hapus file - file tersebut, jika ada yang tidak bisa
terhapus berarti file lagi dipakai, nah file itu yang harus
dihentikan prosesnya terlebih dahulu.
Untuk menghentikannya:
1. Tekan ctrl+alt+del
2. Klik task manager, kemudian cari proses sesuai
dengan nama file yang tidak bisa terhapus
3. Kemudian klik kanan dan pilih End Process Tree

Setelah itu hapus filenya.
Untuk mengembalikan file .doc yang disembunyikan,

cukup download file P3KDiary.exe di
www.virologi.info/download
Sedangkan untuk mengembalikan proses file berekstensi yang
diblok oleh virus, buka notepad, kemudian ketik isi file
dibawah ini:
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM,
"%1"" %*"

HKLM,
"""%1"" %*"
HKLM,
""%1"" %*"
HKLM,
%1"" %*"
HKLM,
egedit.exe "%1""
HKLM,
"%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows
"Explorer.exe"
[del]
sion\Run, dkernel.exe
sion\Run, lExplorer
Setelah itu simpan dengan nama repair.inf . Kemudian klik
kanan dan ipilih install. (Sumber www.vaksin.com, 2006)

Selesai deh!!!!
Virus Hallo.Roro.htt
Masih ingat virus ini kan? Virus ini buatan orang

indonesia, karena pada file yang dibuat oleh virus ini berisi
tentang sajak – sajak indah yang ditujukan kepada pacar
/ ex pacar si programmer tersebut, entah mengapa
kadang kekuatan cinta bisa menghasilkan virus yang
dapat memperlambat kecepatan komputer kita itu.
Sekilas Tentang Hallo.roro.htt
Hallo.Roro.htt termasuk virus yang berkembang-

biak dengan cepat, dalam selang waktu 5 menit, dia bisa
menelurkan 1000-2000 file hallo.roro.htt, dan setiap
kelipatan 5 menit berkembang 2 kali lipat. Hal itulah yang

menyebabkan komputer kita lambat / lelet, metode ini

juga digunakan oleh virus redlove.htt.
Selain itu virus hallo.roro.htt tidak gampang

ditemukan ketika kita ingin memakai fasilitas find pada
windows. Coba kalian ketikkan “hallo.roro.htt” pada
komputer yang terkena virus tersebut. Maka tidak akan
tampil file kita cari itu. Si programmer mungkin sudah
memperhitungkan hal tersebut agar file virus tidak mudah
ditemukan seperti halnya virus redlove.htt. Walaupun
begitu kita dapat menemukannya dengan mengetikkan
“hallo” pada fasislitas find di windows. Maka akan tampil
file hallo.roro.htt dengan jumlah yang suangatttt
buanyak…..
Kebiasaan virus
1. Hallo.roro.htt mempunyai beberapa kebiasaan,

diantaranya seperti yang tersebut di atas yaitu
tiap 5 menit sekali virus akan memeriksa apakah
tiap folder ada file hallo.roro.htt atau tidak, itulah
sebabnya di tiap folder ada file hallo.roro.htt, jika
tidak ada maka virus akan meng-copy file
tersebut ke folder yang belum ada file
hallo.roro.htt.

2. Virus ini akan menampilkan messagebox yang

berisi surat cinta kepada roro yang isinya kira-kira
penyesalan karena cinta (huikikik…romance
banget)
3. Virus ini juga akan menampilkan foto si roro
dengan mode tile, sehingga desktop kita akan
terisi wajah sang roro tersebut.
4. Virus juga akan men-shutdown komputer kita
tiap saat ( saya tidak tahu persisnya, karena
ketika teman saya mengetik e…tiba-tiba restart
sendiri, hilanglah hasil ketikannya).
Pemicu virus
File pemicu ada pada folder c:\windows\system

dengan nama syssrv.exe. Jangan tertipu dengan icon
yang menunjukkan bahwa syssrv.exe adalah sebuah file
text, karena file tersebut memakai icon bergambar ,
padahal file tersebut berekstensi .exe atau file jenis
application. Metode ini digunakan juga oleh virus pesin
yaitu dengan memakai icon bergambar , padahal file
tersebut berexstensi .exe.
Pada msconfig (salah satu fasilitas windows),
virus mengeksekusi file syssrv.exe ketika startup. Jadi
waktu restart komputer akan mengeksekusi file syssrv
dan membuat virus tersebut tetap hidup. Dan virus juga

mengeksekusi file hallo.roro.htt ketika komputer di

restart.
Penanggulangan
1. Hapus file pemicu syssrv.exe pada folder

c:\windows\system
2. Hapus semua nama yang berhubungan dengan
hallo.roro.htt pada registry windows
3. Hapus file hallo.roro.htt pada komputer kamu,
cari dengan fasilitas find dengan mengetikkan
“hallo” (tanpa tanda petik) atau “roro” (tanpa
tanda petik jugak).
4. Matikan pemicu pada fasilitas msconfig. Yaitu
dengan ketik “msconfig” pada menu run. Lalu
enter, maka akan masuk ke sebuah program
kecil. Pilih menu tab startup, kemudian lihat pada
option yang ada tulisan load =
c:\windows\system\syssrv.exe, klik pilihannya
untuk me-nonaktifkan seperti pada gambar.

Gambar 4. 9 MSCONFIG yang terkena virus

hallo.roro.htt
5. Jika kalian ingin melihat gambar ex pacar/pacar

si programmer, cari file roro.bmp, kemudian klik
2 kali, maka akan muncul wajah si wanita
tersebut.
6. Kemudian cari, apakah file hallo.roro.htt masih
ada? Jika masih hapus file tersebut. Atau rubah
waktu menjadi bukan tanggal 21 (Soalnya ketika
tanggal 21 komputer saya restart terus jadi saya
kira si programmer memakai pemicu waktu pada
virusnya hehehehe….).
7. Kemudian restart untuk membuktikannya, jika
masih ada ulangi langkah ini sekali lagi.

Virus Riyani_Djangkaru
Nama virus ini mungkin diilhami oleh penyiar TV

yang cukup bohay kelihatannya. Teknik social engineering
dipakai lagi. Gimana tidak penasaran jika menemukan file
riyanti_jangkaru dengan icon file jpg . Pembuat virus
sudah memperkirakan hal ini. Sehingga bagi anda-anda
yang menggemari riyanti akan meng-kliknya. Padahal file
ini tidak berextensi .jpg tetapi .exe atau disebut aplikasi.
Virus ini dibuat oleh visual basic dan tidak diacak
atau dikompresi dengan UPX, dapat dilihat ketika
dibongkar dengan windisassembler32 dapat dilihat class-
class dari VB seperti pada gambar.
Gambar 4. 10 Gambar virus Riyani_djangkaru dibuka

memakai aplikasi WINDisassembler

Dapat dilihat bahwa ada kelas kelas dari vba

(visual basic application) dari modul MSVBVM60.dll. Dapat
ditarik kesimpulan virus ini dibuat oleh VB 6 (Lagi-lagi VB).
File-file virus yang aktif adalah :

1. xpshare, terletak di c:\windows\system (98)
dan c:\windows\system32 (XP).
2. riyanti_jangkaru pada drive a atau floppy
disk.
3. merubah beberapa nilai / value di registry.
Akibat –Akibat
Akibat yang ditimbulkan dari virus ini belum dapat

diketahui menginfeksi file apa saja. Soalnya ketika
komputer teman saya terkena virus ini dampaknya dapat
diterangkan sebagai berikut :
1. Tidak bisa melakukan booting memakai
ctrl+alt+delete, hal ini dipertimbangkan
pembuat virus untuk menghindari terminate
program dari process management.
2. Tidak bisa masuk ke msconfig
3. Tidak bisa masuk ke regedit, sehingga tidak
dapat melihat registry yang telah diubah virus.
4. Virus mengecek ke drive a atau floppy disk
apakah ada isinya, jika ada maka akan
mengirimkan file yang bernama

riyanti_jangkaru dengan icon jpg (gambar)

tetapi berekstensi .exe.
PENANGGULANGAN
Cara 1 :
1. Booting ke MS DOS, dengan memakai CD booting

windows 98.
2. Pilih Command Prompt Only, atau masuk ke MS-
DOS.
3. Kemudian hapus xpshare.exe yang ada di
c:\windows\system (98) atau
c:\windows\system32 (XP)
4. Kemudian booting ulang.
5. hapus semua file riyani_jangkaru.exe dengan icon
jpg yang berukuran 40 kb.
Cara 2:
1. Pakai tools showkillprocess yang dapat

didownload di www.freevbcode.com atau
www.planet-source-code.com kemudian di kotak
find ketik ‘showkillprocess’ tanpa tanda petik.
2. Kemudian jalankan showkillprocess.
3. Cari process yang bernama xpshare.exe, pilih dan
klik KiLL

4. Kemudian hapus xpshare.exe yang ada di

c:\windows\system (98) atau
c:\windows\system32 (XP)
5. hapus semua file riyanti_jangkaru.exe dengan
icon jpg yang berukuran 40 kb.
Cara 3:
1. Buat pencari checksum error dengan metode crc32

menggunakan bahasa pemrograman apa saja (VB,
delphi, etc…etc)
2. KiLL atau hapus seluruh file yang mempunyai crc32
bernilai ‘A9EB7466’ (tanpa tanda petik).
Virus NOBRON/w32.nobron
apalagi ini? virus brontokyang baru saja menjadi jawara

virus kelas nasional, apa akan digantikan dengan virus
laen? Hm.....sepertinya susah yah...tapi buktinya ada
virus bernama NOBRON berhasil menggeser kedudukan
virus brontok ini. Sepertinya virus ini merupakan anti
brontok yang diselewengkan menjadi virus. Wah wah
wah.....

CIRI CIRI VIRUS NOBRON
ciri2 virus NOBRON antara lain :
- mematikan Task manager atau CTRL+ALT+DEL

- mematikan Msconfig
- mematikan Registy Editor Windows atau Regedit
- Menghajar terminal DOS atau CMD yang ingin
dihidupkan
- merubah registry
n\shell\explorer.exe
menjadi
n\shell\explorer.exe
"C:\WINDOWS\system32\MsPatch.exe"
Selain itu NOBRON menghasilkan file dengan ukuran 81

kb sbb :
- Dian sastro.exe
- Mariana Renata.exe
- Alicia Keys.exe
BERHATI-HATILAH DENGAN FILE-FILE BERIKUT INI

Jika anda seorang user laki2...berhati-hati, kalau ada file

dengan icon jpg dan mempunyai nama file seperti di
bawah ini jgn dibuka, hapus saja langsung :
- Confirm dengan icon zip

- Details dengan icon zip
- Instructions dengan icon zip
- Message dengan icon zip
- MS0428 dengan icon zip
- CeweNakal.scr
- Foto.scr
- PacarGue.scr
- Paris_Hilton.scr
- SarahAzhari.scr
File Induk Virus NoBron
File induk virus no bron ternyata terletak di direktori
C:\Windows\system32\ dan bernama MsPatch.exe . Sama
seperti riyani_jangkaru beliau (maksudnya virus itu…) juga
menggunakan icon gambar jpg , jadi para user terutama

yang bapak – bapak jangan tertipu jika ada file Dian Satro,
Mariana Renata dan Alicia Keys bericon jpg tadi. File tersebut
bukan gambar, melainkan file aplikasi.
PENANGGULANGAN
Biasa anda harus mendownload showkillprocess di
www.virologi.info/download untuk mematikan beberapa
proses yang dilakukan oleh virus nobron. Dan sebaiknya anda
melakukannya di SAFE MODE. Oke ikuti langkahnya :

1. Jalankan Showkillprocess.exe
2. Kemudian matikan proses MsPatch.exe
3. Kemudian download pembuka registry yang ada di
www.virologi.info
4. Masuk ke regedit dan edit value registry pada key:
HKEY_LOCAL_MACHINE,
"%1"" %*"
HKEY_LOCAL_MACHINE,
"""%1"" %*"
HKEY_LOCAL_MACHINE,
""%1"" %*"
HKEY_LOCAL_MACHINE,
%1"" %*"
HKEY_LOCAL_MACHINE,
egedit.exe "%1""

HKEY_LOCAL_MACHINE,
"%1"" %*"
HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows
"Explorer.exe"
HKEY_LOCAL_MACHINE,
SOFTWARE\Classes\exefile, Default,0,
“application”
HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows\CurrentVersion\Ex
plorer\Advanced\Folder\HideFileExt, type,0,
“Checkbox”
HKEY_LOCAL_MACHINE,
plorer\Advanced\Folder\SuperHidden, type,0,
“Checkbox”
HKEY_LOCAL_MACHINE,
plorer\Advanced\Folder\Hidden, type,0, “group”
5. Hapus value registry pada key:

HKEY_CURRENT_USER,
Software\Microsoft\Windows\CurrentVersion\Policie
s\System,DisableRegistryTools
HKEY_CURRENT_USER,
s\System,DisableTaskMgr
HKEY_CURRENT_USER,
s\Explorer,NoFolderOptions
HKEY_CURRENT_USER,
Software\Microsoft\Windows\CurrentVersion\Run,M
sPatch
HKEY_LOCAL_MACHINE,
SOFTWARE\Microsoft\Windows\CurrentVersion\Ru
n,Mspatch
HKEY_LOCAL_MACHINE,
SOFTWARE\Classes\exefile, NeverShowExt
HKEY_CURRENT_USER,
Software\Policies\Microsoft\Windows\System,
DisableCMD
6. Simpan dengan nama repair.inf, kemudian klik kanan file

tersebut dan pilih install

7. Hapus file dengan icon jpg dan mempunyai ukuran

81 kb dan mempunyai nama file:
- Dian Sastro
- Mariana Renata
- Alicia Keys
8. Hapus file di direktori :

C:\Documents and Settings\%User%\Start
Menu\Programs\Startup
Dengan nama file [Antivirus Startup.exe]
Dan di direktori C:\Windows\System32\ dengan nama file :
▪ Confirm.ZIP
▪ Details.ZIP
▪ Instructions.ZIP
▪ Message.ZIP
▪ MS0428.ZIP
▪ CeweNakal.ZIP
▪ Foto.ZIP

▪ PacarGue.ZIP
▪ Paris_Hilton.ZIP
▪ Sarahzhari.ZIP
Untuk mengembalikan Folder system32 yang di

hidden masuk ke dos prompt dengan cara klik start-
>run-> ketik cmd kemudian enter, maka akan
muncul dos prompt, kemudian ketik:
Attrib –s –h c:\windows\system32 /s
kemudian tekan Enter.
Virus KANGEN/w32.kangen@mm
Wadoohhh…..kalo virus kangen pasti udah tau lah

ya…….but yang jelas ni virus beranak pinak…maksudnya
banyak variasi-nya. Jadi mungkin akan saya bahas
beberapa varian yang masih sering menginfeksi komputer
user yah…
Ciri – ciri virus Kangen/w32.kangen@mm
Kalo untuk virus kangen ini sebenarnya ciri – cirinya

banyak yah…soalnya berbagai macam versi je…bingung
euy….gini ajah…saya jelaskan ciri – ciri utamanya
yah..biar ngarti gituh…n gak bingung :

1. File yang berekstensi .doc anda di sembunyikan, jadi

pada seluruh versi kangen file Microsoft Word anda
disembunyikan dan diganti dengan extensi .exe.
Misalnya anda punya file bernama transaksi.doc,
maka kangen akan menyembunyikan file tersebut
dan mengganti dengan nama transaksi.doc.exe.
beberapa jenis kangen memang hanya
menyembunyikan, tetapi beberapa jenis yang terakhir
menghapus file berekstensi .doc TANPA AMPUN.
Gleee mas…kok bisa…ya iyalah..makanya BEWARE
FOR THE NEXT VIRUS
2. Menonaktifkan beberapa tools di windows seperti:

a. Registry Editor ato nama bekennya regedit
b. MsConfig
c. Task Manager
d. HiJack
Dan beberapa program tools lainnya.
3. Menyembunyikan beberapa Menu pada MS Windows

seperti:
a. Menu RUN
b. Menu Find atau Search
c. Menu Control Panel
d. Menu Documents
e. Menu ViewContext
f. Menu Shutdown
Virus KANGEN versi 1

Seperti yang sudah dijelaskan virus ini mempunyai ciri –

ciri yang sama seperti virus kangen versi lainnya.
FILE INDUK
Virus ini mempunyai file induk Ccapps.exe yang berada di

direktori C:\Windows\System32\ . Sebenarnya selain file
induk tadi ada beberapa file induk yang nangkring di
direktori tersebut, yaitu Winlog.dat dan Kangen.doc . Ada
juga file induk yang nangkring di Folder lain yaitu di C:\
dan !Submit bernama Kangen.exe
MANIPULASI REGISTRI
Virus Kangen versi I ini membuat value di beberapa

registri di:
Alamat:
HKLM\Software\Microsoft\Windows\
Current_version\Run
Value:
Ccaps

LoadService
UKURAN DUPLIKAT FILE MSWORD
Ukuran dari MS WORD yang diinfeksi menjadi 64 kb dan

nama file virusnya sesuai dengan nama dokumen MS
WORD anda. Misalnya anda mempunyai dokumen dengan
nama file coba.doc, maka virus akan menginfeksi file anda
dengan merubah nama file menjadi coba.doc.exe. Lalu
kemana file aslinya mas? Ya…disembunyikan do…

PENANGGULANGAN
Sebaiknya dilakukan di SAFE MODE, kemudian ikuti langkah
berikut untuk menghapus virus:
1. Bunuh atau kill proses virus dengan nama Ccapps.exe

menggunakan tools ShowKillProcess yang dapat di
download di www.virologi.info/download
2. Hapus file :
a. Ccapps.exe di direktori C:\Windows\System32
b. Winlog.dat di direktori C:\Windows\System32
c. Kangen.doc di direktori C:\Windows\System32
3. Klik Start->Search-> ketik *.doc.exe kemudian tekan
ENTER
4. Setelah ketemu filenya, lihat apakah file tersebut
berukuran 64 kb jika ya MOHON DIHAPUS.
5. Hapus registry dengan
Alamat:
Current_version\Run
Value:

Ccaps
LoadService
6. Klik start->run->ketik msconfig kemudian tekan

tombol enter. Hapus option ‘Rest In Peace’ dan
‘Ccapps’
7. Untuk mengembalikan file MS WORD yang
disembunyikan donlot P3Kdiary.exe di
www.virologi.info/download/
Virus ini hanya mempunyai perbedaan alamat registry

dan besar file penginfeksi virus. Kalau di virus sebelumnya
besar 64kb di virus ini besarnya 72 kb. Untuk konsep
penyebaran dan penginfeksian file tetep sama.
FILE INDUK

File induk pada virus ini adalah Winword.exe dengan icon MS
Word dengan besar file 72 kb. Seperti biasanya file induk ini
nagkring di direktory C:\Windows\System32. U tuk file induk
lainnya masih sama yaitu Winlog.dat dan Kangan.doc. Begitu
pula file kangen.exe yang ada di drive C:\ dan direktori
!Submit yang masih dipakai oleh virus kangen versi
sebelumnya.
MANIPULASI REGISTRI
Virus kangen versi 2 membuat beberapa value di alamat
registry di bawah ini:
Alamat:

Current_version\Run
Value:
Ccaps
LoadService
OSA
Symrun
Ukuran di Kangen versi 2 ini beda loh…jadi jangan tertipu

dengan kangen versi pertama lagih…soalnya tuh virus
dah apdet…hehehehe. …jadi ukurannya 72kb kalo di
kangen versi 2 ini. Dan penyebarannya memakai metode
yang sama yaitu dengan meng-copy nama file untuk
nama file virus, tapi ekstensi file nya diganti .exe.
PENANGGULANGAN
Aduh penanggulangannya sama kali’ ye…ama yang versi 1
tapi ada beberapa perbedaan seperti alamat pada registry dan

option yang ada di msconfig yang harus dihapus. Seperti biasa
untuk melakukan pengendalian virus kangen versi 2 ini
sebaiknya di SAFE MODE…okeh…
1. Bunuh atau kill proses virus dengan nama

Winword.exe menggunakan tools ShowKillProcess
yang dapat di download di
2. Hapus file :
a. Winword.exe di direktori
C:\Windows\System32
b. Winlog.dat di direktori
C:\Windows\System32
c. Kangen.doc di direktori
C:\Windows\System32
ENTER
Alamat:
6. HKLM\Software\Microsoft\Windows\
Current_version\Run
Value:
Ccaps

LoadService
OSA
Symrun

tombol enter. Hapus option ‘Rest In Peace’,
‘winword’ dan ‘Ccapps’

Ya tuhaaaaaaaannn… kangen… kangen …’kemeng’ tangan
saya ngetik penjelasan ini berulangs – ulangs. Oke deh… saya
jelasin lagi…palingan soal perbedaannya jah..okeh..Kalau di
virus – virus sebelumnya, paling Cuma besar file, value
registry yang berbeda. Tapi kalau di virus kangen versi 3 ini,
file pemicu, value registry, besar file dan nama file pemicu
pun berbeda. Yah mungkin pembaruan kali’ yah…so
semuanya berbeda..
FILE INDUK
File induk virus ini bernama Tskmgr.exe di direktori
C:\Windows\Font, tapi file lainnya ya ada lagi
loh..hehehehe…file lainnya yaitu:

- syslove.exe di direktori C:\Windows\System32

- readme123.exe di direktori C:\Windows\System32
- rundll32.exe di direktori C:\Windows\System32
- untukmu.exe di C:\
- love.dot di C:\My Documents and settings
- love1.dot di C:\My Documents and settings
File pemicu tersebut berukuran masing – masing 48 kb, untuk
love.dot 1kb dan love1.dot 2 kb.
MANIPULASI REGISTRI
Virus kangen versi 2 membuat beberapa value di alamat
registry di bawah ini:

Alamat:
Current_version\Run
Value:
Local Service
Security
Ukuran file duplikatnya adalah 48 kb. Lebih kecil dari versi
kangen sebelumnya…itung – itung menghemat kapasitas
hardisk kali’ yeeee…
PENANGGULANGAN

1. Bunuh atau kill proses virus dengan nama

Tskmgr.exe menggunakan tools ShowKillProcess
yang dapat di download di
2. Hapus file :
a. syslove.exe di direktori
C:\Windows\System32
b. readme123.exe di direktori
C:\Windows\System32
c. Tskmgr.exe di direktori C:\Windows\Font
d. Rundll32.exe di direktori
C:\windows\system32

ENTER
Alamat:
Current_version\Run
Value:
Local Service
Security


tombol enter. Hapus option ‘Witta I Love You’, dan
‘Tskmgr.exe’
Virus Sitinurhaliza/Runitis
Wah…wah…apa lagi ini??? Nama virus kok mirip nama

penyanyi sih mas?Ha?…ya iyalah…sepreti di buku
sebelumnya (ciee…..promosi lagi…),…untuk membuat
virus, haruslah disertai dengan social engineering atau
teknik sosial yang tinggi. Contohnya ya…virus sitinurhaliza
itu. Coba lihat jika ada file bernama sitiburhaliza dengan
icon Internet Explorer seperti ini pasti para kaum
lelaki khususnya yang suka dengan sitinurhaliza akan
membukanya. Tul gak? Nah berapa banyak kaum lelaki
yang akan membuka file tersebut. Anggap aja 200 orang,
maka dua ratus komputer akan terkena virus tersebut.
Ambil saja misalnya 1 minggu 200 orang. Kalau sebulan
berarti 200 x 4 minggu = 800 orang. Bayangkan kalau
virus ini beranak pinak selama 3 bulan…berapa coba
korban siti nur haliza ini…sekitarrrrrr….yah pokoknya
banyaklah…tul gak….Nah sekali lagi…berhati – hati jika
anda menemukan file dengan nama dan icon seperti di
atas.
Ciri – ciri komputer yang terkena virus

sitinurhaliza/runitis

Ciri – ciri komputer yang terkena Siti nur Haliza,

maksudnya virus sitinurhaliza..
1. Komputer akan memunculkan pesan seperti

gambar di bawah ini:
Gambar 4. 11 Pesan yang ditampilkan virus siti nur haliza

/ runitis
Gimana kliatan gak? Gak kliatan yah???….ya udah simak
syair berikut yang ditampilkan oleh virus dalam browser:

PEJAM MATAMU
Kau dan aku
Di waktu itu
Cuba meniti titian
Lalu tersungkur
Kita tertawa
Kini semuanya
Kenangan saja
Dan kita telah dewasa
Engkau pun berjaya
Aku di sini bahagia
Ahhh…hiks hiks (mata penulis berkaca – kaca)…..mbak siti
ah…esh esh…sudah sudah….kita lanjut okeh..

FILE INDUK
File induk dari virus ini adalah:
- Siti.exe (164 kb) di direktori C:\

- Nurhaliza.htm (2kb) di direktori C:\
- Virus.exe (2kb) di direktori C:\
- Nurhaliza.siti, ukuran file 0 kb
- virus.exe, di direktori C:\Windows\System32\
- ctfmon.exe, di direktori C:\Windows\System32\
- sitiNurhaliza.exe, di direktori C:\Windows\System32\
- siti.exe, di di direktori C:\Windows\System32\

- regedit.exe, di di direktori C:\Windows\System32\

(hidden file)
- msconfig.exe, di direktori C:\Windows\System32\

(hidden file)
- process.exe, di direktori C:\Windows\System32\ (hidden

file)
MANIPULASI REGISTRI
Registry yang dimanipulasi oleh virus sitinurhaliza/runitis ini
adalah:

Alamat:
HKEY_CURRENT_USER\Software\Microsoft\Windows\
CurrentVersion\Run
Key:
Ctfmon
Value:
C:\WINDOWS\System32\ctfmon.exe
------------------------------------------------------------------

Alamat:
CurrentVersion\RunOnce
Key:
Ctfmon
Value:
C:\windows\system32\ctfmon.exe
------------------------------------------------------------------

Alamat:
Key:
Services
Value:
C:\windows\system32\ Services.com
--------------------------------------------------------------------
-----

Alamat:
Key:
Siti
Value:
C:\windows\system32\sitiNurhaliza.exe
------------------------------------------------------------------

Alamat:
Key:
Systray
Value:
C:\windows\system32\systray.exe
------------------------------------------------------------------
Alamat:

Key:
Virus
Value:
C:\windows\system32\virus.exe
------------------------------------------------------------------
Alamat:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windo
ws\CurrentVersion\RunService

Key:
Ctfmon
Value:
------------------------------------------------------------------
Alamat:
Key:

Services
Value:
C:\windows\system32\Services.com
------------------------------------------------------------------
Alamat:
Key:
Siti
Value:

C:\windows\system32\ sitiNurhaliza.exe
------------------------------------------------------------------
Alamat:
Key:
Systray
Value:

------------------------------------------------------------------
Alamat:
Key:
Virus
Value:

------------------------------------------------------------------
PENANGGULANGAN
1. Sebaiknya pembersihan dilakukan di safe mode.

2. Download showkillprocess di :
3. Cabut koneksi internet untuk sementara.

4. Dan jangan melakukan system restore.
5. Jalankan showkillprocess
6. Kemudian matikan proses dibawah ini yang mempunyai
base priority “8” dan point of thread “1”:
· virus.exe
· sitiNurhaliza.exe

· siti.exe
· regedit.exe
· msconfig.exe
· ctfmon.exe
· procces.exe
7. hapus file dengan keterangan di bawah ini:
- Siti.exe (164 kb) di direktori C:\

- Nurhaliza.htm (2kb) di direktori C:\
- Virus.exe (2kb) di direktori C:\
- Nurhaliza.siti, ukuran file 0 kb
- virus.exe, di direktori C:\Windows\System32\
- ctfmon.exe, di direktori C:\Windows\System32\
- sitiNurhaliza.exe, di direktori C:\Windows\System32\
- siti.exe, di di direktori C:\Windows\System32\

- regedit.exe, di di direktori C:\Windows\System32\

(hidden file)
- msconfig.exe, di direktori C:\Windows\System32\

(hidden file)
- process.exe, di direktori C:\Windows\System32\ (hidden

file)
8. Hapus registry seperti keterangan berikut:
Alamat:
CurrentVersion\Run
Key:
Ctfmon

Value:
C:\WINDOWS\System32\ctfmon.exe
------------------------------------------------------------------
Alamat:
Key:
Ctfmon
Value:

------------------------------------------------------------------
Alamat:
Key:
Services
Value:
C:\windows\system32\ Services.com
------------------------------------------------------------------
Alamat:

Key:
Siti
Value:
C:\windows\system32\sitiNurhaliza.exe
------------------------------------------------------------------
Alamat:

Key:
Systray
Value:
------------------------------------------------------------------
Alamat:
Key:
Virus

Value:
------------------------------------------------------------------
Alamat:
Key:
Ctfmon
Value:
------------------------------------------------------------------

Alamat:
Key:
Services
Value:
C:\windows\system32\Services.com
------------------------------------------------------------------
Alamat:

Key:
Siti
Value:
C:\windows\system32\ sitiNurhaliza.exe
------------------------------------------------------------------
Alamat:
Key:

Systray
Value:
------------------------------------------------------------------
Alamat:
Key:
Virus
Value:

------------------------------------------------------------------
9. Cari dan hapus file dengan icon dengan ukuran 2kb.
Bab V
Sekapur Sirih tentang
Anti Virus Lokal
Seiring dengan berkembangnya virus lokal, antivirus lokal

juga tidak mau kalah pamornya. Halah!! (ikut – ikut anak
Kedai Kopi n its)…apa itu?? Ya mau gimana yah…di dunia
ini pasti ada pasangannya, wanita dan lelaki, hitam dan putih,
matahari dan rembulan (ceilee…) dan yang pasti virus dan
antivirus…tul gak…Kalau yang berkembang virussss
aja…bakal kelabakan user, kalau yang berkembang
antivirusssssss aja…ya gak seru dunia cyber…istilahnya gak
ada tantangannya lagi bagi para programmer untuk
memecahkan suatu teka – teki. Jadi sebenarnya virus bukan
untuk ditakuti. Anggap saja seperti teka – teki yang harus
dijawab. Lo kok bisa Menu Folder Option disembunyikan?Lo
kok bisa tiba – tiba layar komputer terpecah, Lo kok bisa
regedit, msconfig dan DOS terkunci,..lo kok bisa – lo kok

bisa. Sudah saatnya kita memakai metode sebab akibat. Bukan

menerima doktrin dari mulut ke mulut. Ambil contoh
sederhana saja, kenapa Menara eiffel dapat berdiri tegak?
Ya…karena besinya besar dan kuat…itu betul tapi yang lebih
tepat lagi adalah karena strukturnya sama dengan struktur
tulang kaki manusia, sehingga dia dapat berdiri tegak
(anabista, 2006). Atau contoh lainnya kenapa kita mempunyai
alis, rambut, bulu ketek, bulu hidung, tapi intensitas
panjangnya berbeda. Maksudnya bulu rambut tumbuh lebih
panjang dibanding dengan bulu ketek. Dan bulu ketek lebih
panjang daripada alis. Kenapa?Kenapa?
Apalagi seorang yang suka dengan komputer.
Penyelidikan, Research dan penelitian itu perlu. Untuk
membuat derajat kita naik. Mungkin Pertama kali kita
hanya seorang user yang hanya dapat mengetik dan
menggunakan Microsoft Word atau Excel saja. Tetapi
karena kita mengadakan penyelidikan tentang virus kita
dapat menjadi user yang menguasai sebuah bahasa
pemrograman atau nama bekennya programmer. Tul
gak???
Dunia cyber pun tak kalah menariknya. Hanya
dengan google atau search engine lain kita dapat
menemukan begituuuuuuuu banyak ilmu pengetahuan
yang tak terbatas, dari bisnis, hipnotis, cara merayu
lawan jenis sampai ilmu – ilmu lain yang belum kita
pahami. Jadi jika tidak dapat menemukan jawaban atau
ketika orang yang kita tanya sedang sibuk (atau tidak
mau memberikan informasi), gunakan saja search
engine… insya allah akan dapat ditemukan. Waduh kok

jadi bisa ngomong baik begini…tumben yah…apa karena

gempa kemarin otak saya jadi sedikit ‘koclak’…☺
Dalam bab ini saya akan membahas beberapa
anti virus, anti dot atau pun anti – anti apalah
namanya…Yang saya bahas di sini bukanlah satu –
satunya anti virus yang ampuh, tapi hanya beberapa
tools yang mungkin dapat membantu anda – anda
sekalian untuk mengurangi teror dari virus –virus yang
bertebaran di dunia cyber sekarang ini.
VIREMOVER
Software : ViRemover
Programmer : acepmp
Build : Borland Delphi

Gambar 5. 1 Aplikasi VIREMOVER
UREMOVAL bakal dari VIREMOVER
Sebelum melakukan programming VIREMOVER ini acepmp

membuat software yang hampir sama dengan VIREMOVER
yaitu dengan codename UREMOVAL. UREMOVAL ini juga
dibuat menggunakan bahasa pemrograman delphi dan untuk
pengecekan virusnya memakai metode crc32. Efektif untuk
menghajar virus sesuai dengan sidik jarinya.
Software : URemoval
Programmer : acepmp
Build : Visual Basic

KELEBIHAN PROGRAM UREMOVAL
1. File berbobot kecil hanya 39 kbyte (dipacked)
2. Pengcheckan berdasarkan string pada file yang

diperiksa
3. Search Engine lebih cepat dan dapat membaca file

hidden, dan system
4. Terdapat fasilitas Update database sendiri
5. Jika program dijalan akan menutup semua applikasi

(maksud-nya pada waktu scanning dan Remove file
virus dapat di-delete sempurna) kecuali windows
explorer.
6. Pada waktu program dalam keadaan running semua

program juga tidak dapat dijalankan kecuali windows
explorer
KEKURANGAN PROGRAM UREMOVAL

1. Program akan crash kalau database virus-nya

diubah kalo tidak benar format-nya
2. Database virusnya tidak di encrypt
3. Mungkin untuk kalangan expert ( ini terkait
pemilihan dominan string virus)
4. Dari bahasa pemograman visual basic yang
tergantung msvbvm60.dll
VIREMOVER
Dibuat-nya Viremoval CRC32 ini karena URemoval CRC32

dibuat dari visual basic yang sangat tergantung sekali dengan
"msvbvm60.dll" jadi viremover ini di programming memakai
borland delphi 7.0, tapi sayang sekali jika memakai delphi
tanpa dicompress file ini bisa sampe 814 kbyte (salah satu
kekurangan delphi non .net version), tapi setelah dicompress
menjadi 295 kbyte.
FITUR VIREMOVER
ViRemoval CRC32 mempunyai Feature:

- Kill taskmanager ( untuk menutup applikasi sesuai
daftar prosess )

- command prompt ( antisipasi untuk virus yang

menutup fasilitas Run )
- MSConfig ( antisipasi untuk virus yang menutup
fasilitas Run )
- Registry Editor ( antisipasi untuk virus yang
menutup fasilitas Run )
- MSInfo
- Backup, Restart, Shutdown
- Buat database, dan Fasilitas melihat database
- Stay on top
- dll
CARA MENG-UPDATE VIRUS LIST DI VIREMOVER
Viremover ini mempunyai kelebihan lain, yaitu dapat meng-

update virus list baru sendiri. Jadi user tidak perlu sulit – sulit
men-download list virus dari VIROMOVER tersebut.
Langkah – langkah mengupdate VIREMOVER adalah:
1. Buka VIREMOVER maka akan muncul seperti

pada gambar di bawah ini:

Gambar 5. 2 Aplikasi pertama Viremover
2. Kemudian klik DATABASE, maka akan muncul

tampilan seperti gambar di bawah ini:

Gambar 5. 3 Database virus di aplikasi Viremover
3. Pilih file yang dicurigai:
Gambar 5. 4 File yang Dicurigai

4. Kemudian isi nama virusnya apa, misalnya nama

virusnya cobaaja, maka ketik cobaaja di textbox
nama virus :
Gambar 5. 5 Checksum Virus
5. Kemudian klik tombol
6. Maka akan muncul kotak pesan untuk meyakini

file tersebut adalah virus :
Gambar 5. 6 Kotak Konfirmasi Virus

7. Jika anda yakin file tersebut adalah virus maka

klik YES jika tidak KLIK NO, jika benar maka
akan muncul kotak peringatan sbb:
Gambar 5. 7 Informasi Database Virus telah Ter-Update
8. Kemudian lihat database virus dengan meng-klik

LIHAT DATABASE, Klik tanda panah ke bawah
sampai menemukan nama virus baru yang telah
kita buat:
Gambar 5. 8 Database virus yang telah terupdate dapat

dilihat lewat aplikasi Viremover

9. Jadi ..mudah sekali toh…..nah sekarang coba scan

dengan VIREMOVAL ini…otomatis virus baru yang
telah ter-update di virus list akan terhapus. Anti virus
ini sesuai dengan databasenya dapat mengendalikan
sekitar 46 virus lokal maupun luar.
Untuk men-donlot program ini, cukup ke link ini sajah:
http://virologi.info/virologist/modules/mydownloads/viewcat.php?cid=3
PENGENDALI VIRUS DARI NEGERI SEBERANG
Uhiihihihi…ternyata pengendali virus bukan

hanya berasal dari Indonesia saja..beberapa antivirus
atau antidot ada yang berasal dari negeri seberang…
khususnya dari Malaysia atau Johor baharu…kenal tak
awak dengan daerah ni?Dekak sekali ma Indonesie
la…ceileee sok sok Melayu…ayo sudah sudah…… mari
kita lihat pengendali virus dari seberang ini ☺
Penawar Brontok V 1.4.1
Software : Penawar Brontok V1.4.1

Programmer : Syed Muhammad Syed Hussin
Build : VB 6.0

Gambar 5. 9 Alpikasi Penawar Brontok v1.4.1

Dibuatnya Penawar ini jelas memang akibat dari
ekspor virus ke negeri seberang. Karena peng-eksporan
virus yang tidak dapat dikendalikan, maka para
programmer dari negeri seberang juga berlomba –
lomba untuk membuat antidotnya.. maka muncullah anti
dot atau pengendali virus dari negeri seberang yang
bernama Penawar Brontok v1.4.1.
FITUR – FITUR PENAWAR BRONTOK

Scan Sekarang!
Untuk men-scan seluruh virus brontok yang ada di
komputer anda.
Select Semua Selection

Untuk memilih seluruh file brontok yang akan dihapus
Clearkan Semua Selection

Untuk Menghapus file virus yang tertangkap
KEISTIMEWAAN PENAWAR BRONTOK
Mmmmm…menurut readme.txt yang saya baca di file

.zip-nya, keistimewaannya adalah:
1. Penawar Brontok VarX mempunyai scanning

engine yang laju dan cepat dan berkesan
mencari virus brontok sisa-sisa yang
ditinggalkan.
2. Membetulkan semula folder option dan registry.
3. Membetulkan semula file msvbvm secara
automatik.

4. Mempunyai pilihan sama ada untuk dibuang ke

Recyle Bin atau buang terus dari sistem.
5. Mempunyai scanning engine yang menyokong
(baca mendukung) kriteria virus Brontok,
membolehkan ia mencari Brontok yang baru di
mana kebanyakan Anti Virus pun tiada fungsi
ini.. (I wonder why they can't do it..?)
Nah untuk mencoba pahalawan eh…pengendali dari

negeri seberang ini cukup donlot aja di:
http://www.kaer-media.org/penawar-brontok/
LABAS VIRUS LOKAL DGN ANTIVIRUS BUATAN SENDIRI
Virologi juga membuat tools antivirus lokal untuk

mengantisipasi virus lokal yang berkeliaran. Yah…walaupun
masih minim la ya…tapi paling gak bisa membantu anda untuk
mengendalikan virus lokal.
Software : WAV 2k5 (Wedash Anti Virus)

Programmer : Aat Shadewa
Build : VB 6.0

Gambar 5. 10 Aplikasi WAV (Wedash Anti Virus) 2005
Antivirus ini terdiri dari satu program utama.

Sedangkan untuk file – file pendukungnya atau bawaan dari
visual basicnya berukuran besar. Untuk jumlah file yang
dideteksi, dalam 30 detik Antivirus ini dapat mendeteksi kurang
lebih 150 Mb.
FITUR – FITUR WAV 2K5
Fitur program pengendali virus sederhana ini

mungkin tidak sebanyak NAV (Norton Antivirus), McAfee
dan antivirus lainnya. Yang paling bisa diandalkan
adalah dapat mengupdate virus baru yang tertangkap.
Jadi misalnya anda menemukan virus baru di komputer

anda, maka anda tidak perlu mendonlot virus-list atau

database virus. Tapi cukup meng-update sendiri, yaitu
dengan menangkap sidik jari virus atau file yang
dicurigai sebagai virus ke dalam database program
tersebut. Fitur – fitur yang disediakan program ini antara
lain:
- Home (Sub menu untuk menampilkan

halaman utama dari program)
- Deteksi Virus (Sub menu untuk mendeteksi
virus)
- Karantina (Submenu untuk melihat file yang
dikarantina)
- About (Sub menu untuk menampilkan dimana
programmer bisa ditemui)
- Keluar (Untuk keluar dari program Antivirus)
Kemudian fitur tambahannya yaitu:
- Cari dalam File, berguna untuk mencari virus

dalam file anda. Misalnya di file.doc ada
potongan program virus. Maka WAV akan
mencari dan mendeteksi file tersebut apakah
ada potongan program virus. Jika ada ya….file
anda dianggap virus…hehehehe…masih ada
kekurangannya lah…mungkin dalam buku
ketiga akan dipaparkan lebih gamblang.
(Woooooooo….promosi lagee mas-nya….).

- Cek Direktori, berguna untuk mengecek

direktori yang dicurigai ada virusnya. Mungkin
pada versi ini WAV hanya dapat mendeteksi di
suatu direktori, jadi belum dapat mendeteksi
drive secara langsung. Maksudnya program
WAV hanya bisa mendeteksi file virus yang
ada di dalam folder, misalnya di C:\Windows,
C:\data dan lain – lain. Nah jika anda ingin
mendeteksi file virus di C: secara langsung
untuk versi ini belum bisa. Tapi ada beberapa
komputer yang dapat mendeteksi langsung.
Entah mengapa ya….belum diselidiki…ntar
deh…(wuuuu….janji –janji merpati terus)…
- Cek dengan CRC, nah…fitur ini yang
berguna untuk mengecek sidik jari file yang
kita curigai sebagai virus. CARANYA
MAS…CARANYA…oke kita bakal bahas di sub
bab selanjutnya setelah yang satu ini…☺
MENJALANKAN PROGRAM WAV 2005
Setelah melakukan serangkaian penelitian atau

eksperimen-eksperimen, maka dapat dibuat aplikasi
Antivirus. Pada saat program dijalankan maka akan
muncul tampilan menu utama seperti gambar di bawah
ini :

Gambar 5. 11 Menu Home
Menu ini berisi 5 sub menu yaitu home,

deteksi virus, karantina, hubungi saya dan keluar.
Menu utama ini langsung menampilkan sub menu
home yaitu berupa pesan selamat datang. Untuk
mendeteksi virus, maka kita harus menampilkan
sub menu deteksi, yaitu dengan meng-klik sub
menu Deteksi Virus atau Deteksi pada menu
utama. Maka akan muncul form seperti berikut

Gambar 5. 12 Menu Scan Virus
Setelah itu klik menu Cek Direktori maka

akan muncul kotak sbb :

Gambar 5. 13 Browse Folder
Pilih drive atau direktori yang akan di-scan,

kemudian klik OK . Tunggu beberapa detik jika ada file
virus yang masuk dalam file virus-list (signatures.db),
maka akan langsung ditangkap dan dihapus. Log
antivirusnya ada di direktori C:\Program
Files\AntiVirus\Logs\namafile.txt (jika anda telah
melakukan penginstalan antivirus), dan terletak di
direktori \Logs\ dimana anda meng-copy aplikasi WAV
tersebut. Jangan memilih My Computer untuk di-scan,
karena aplikasi hanya akan men-scan file yang ada di My
Computer, bukan di drive yang ada.

Cara Mengupdate Sendiri Virus List

1. Jalankan WAV, pilih Sub menu Cek dengan
CRC. Maka akan muncul aplikasi seperti pada
gambar di bawah ini :
Gambar 5. 14 Mengupdate sendiri database Virus
2. Kemudian pilih file yang dicurigai, misalnya

eksplorasi.exe, lihat nilai cheksumnya.

Gambar 5. 15 Memilih File yang dicurigai untuk dicek

checksum (sidik jari) file-nya
3. Terlihat di gambar nilai dari checksum adalah

28B3A591
4. Buka file signatures.db yang ada di direktori

C:\Program Files\AntiVirus\ atau di direktory
dimana aplikasi virus di-copy-kan. Maka akan
muncul di notepad isi file signatures.db sbb:

Gambar 5. 16 Isi file signatures.db (file sidik jari virus)
5. Kemudian ketik nilai checksum dari file yang

dicurigai ke file signatures.db yang telah dibuka
dengan aturan penulisan sbb, (nilai cheksum
baru yang diselipkan terletak sebelum
karakter #END#) :
NILAI_CHECKSUM:E:Nama Virus (Jenis Virus)

Contoh :
… potongan kode
A9EB7466:E:w32.riyani_jangkaru.jpg.exe (worm)
25407EB9:E:w32.blackmall.variant.a (worm variant
a)
52634464:E:Trojan Horse (Trojan Horse)
28B3A591:E:w32.rontokbro@mm (internet worm)
#END#

6. Kemudian Klik File -> Save

7. Keluar dari aplikasi antivirus, kemudian masuk
lagi. Dan lakukan Langkah pemeriksaan seperti di
atas.
Nah untuk memiliki program ini cukup donlot aja di :
Dan untuk mendonlot update virusnya (signatures.db)

cukup donlot di:

Libas Virus Lokal

Diunggah oleh

Informasi Dokumen

Judul Asli

Hak Cipta

Format Tersedia

Bagikan dokumen Ini

Bagikan atau Tanam Dokumen

Opsi Berbagi

Apakah menurut Anda dokumen ini bermanfaat?

Apakah konten ini tidak pantas?

Hak Cipta:

Format Tersedia

Libas Virus Lokal

Diunggah oleh

Hak Cipta:

Format Tersedia

TIPS DAN TRIK MELIBAS VIRUS LOKAL

(Musik Pembuka…Musik STAR WARS)

Two hundred and Six atau 2006. Di tahun 2006

Booming Virus Lokal 2k6 1

keberadaannya. Virus lain yang mencoba menggeser

(Musik Penutup…Musik STAR WARS)

Booming Virus Lokal 2k6 2

Untuk dapat melabas virus – virus lokal ini, kita

a) Virus boot sector

Booming Virus Lokal 2k6 3

sehingga pada saat booting virus akan langsung

c) Virus direct action

d) Multi Partition virus

Booming Virus Lokal 2k6 4

Ditulis oleh bahasa pemrograman dari suatu

Perbedaan virus dengan program

Perbedaan virus dengan program aplikasi

1. Kemampuan mendapatkan informasi penting.

Virus didesain untuk menginfeksi banyak file atau program.

virus tersebut akan mencari informasi tentang file-file atau

program-program yang ada. Setelah virus mendapatkan

informasi tersebut, maka akan disimpan di memory atau di

suatu file tertentu yang telah di-set attributnya menjadi hidden

Booming Virus Lokal 2k6 5

2. Kemampuan untuk memeriksa program atau

apakah file tersebut telah terinfeksi atau belum. Biasanya virus

akan memeriksa byte yang dipakai oleh virus tersebut, atau

dengan nama lain penanda. Apabila penanda tersebut telah ada

maka virus tidak akan menginfeksi file tersebut. Tetapi apabila

file tersebut tidak ada penandanya, maka virus akan menulari

file yang sehat itu.

3. Kemampuan menggandakan diri

kemampuan ini digunakan untuk perkembang-biakan virus

tersebut. Biasanya virus akan memasang penanda dan

menyisipkan program untuk memperbanyak virus tersebut.

4. Kemampuan untuk memanipulasi

Booming Virus Lokal 2k6 6

Kemampuan ini digunakan untuk memunculkan pesan,

gambar, menghapus file, mencuri data/file, dan lain

5. Kemampuan untuk menyembunyikan diri dan

kelihatan, baik dari user ataupun dari komputer. Hal ini

menjadi keindahan sebuah virus. Biasanya kita bisa melihat

seluruh proses yang ada di komputer (khususnya yang berbasis

Windows) hanya dengan menekan Ctrl+Alt+Delete, maka

akan muncul kotak yang berisikan proses-proses yang berjalan

pada komputer. Sebuah virus yang bagus adalah yang tidak

tertangkap prosesnya oleh trapping tersebut. Apalagi jika

dapat menghindari deteksi sebuah antivirus.

Booming Virus Lokal 2k6 7

Virus pada umumnya mempunyai struktur yang

1. Kode penanda virus

2. Kode penggandaan virus

Booming Virus Lokal 2k6 8

byte dan hallo.roro.htt. Banyak cara atau jurus untuk

3. Kode pertahanan dan penyembunyian deteksi

Booming Virus Lokal 2k6 9

ke sebuah email. Batasan manipulasi terserah kepada

Dari kode - kode diatas dapat dirangkum menjadi

Cara Kerja Virus

Cara kerja sebuah virus diterangkan sebagai

1. Setelah program virus diklik oleh user, maka virus

Booming Virus Lokal 2k6 10

Gambar 2. 1 Cara kerja Virus