PLUS CD
Demo 17 Virus Lokal,
Freeware, PCMAV 1.91, Panda
Rp15.000 (Jawa-Bali-Lampung) • Rp16.000 (Luar Jawa-Bali-Lampung)
Antivirus PRO 2009 (Trial)
VIRUS KOMPUTER
256 MB untuk 3 orang pemenang
SEMAKIN NAKAL
Inilah wajah 24 virus lokal yang menyebar luas Akankah Menjadi
yang Tercepat?
di Indonesia selama 200
2007-2008.
7-2008. Nikmati pula
beberapa demo virus tersebut di CD Lenovo ThinkPad
W700ds
Logitech Lapdesk
Preview PCMAV 2 Tip & Trik PCMAV Tip & Trik Panda Antivirus Pro
SEKRETARIAT REDAKSI
Anton R. Pardede
Evawani U. Putri
2 01/2009
01/2009 3
News in 60 Seconds
Android, sistem operasi besutan Google itu bakal dijajal Samsung di ponsel Palm memunculkan online store yang memungkinkan pengguna membeli
anyarnya. Samsung sendiri sudah mengonfirmasi bahwa smartphone Android software aplikasi langsung dari handset mereka. Palm Software Store memper-
miliknya, saat ini sedang digodok. Ada sekitar 80 developer yang tengah berji- bolehkan pengguna untuk mencari dan men-download lebih dari 5000 aplikasi,
baku mengerjakan proyek ini. dan games ke dalam perangkat Palm mereka.
KPU mulai getol melakukan sosialisasi menjelang Pemilu 2009. Salah satu media Awal tahun 2009, India dilaporkan bakal menonaktifkan sekira 25 juta telepon
TI yang dimanfaatkan KPU adalah dengan membuat blog bernama calegku.info. seluler dengan alasan keamanan. Departemen Telekomunikasi India telah me-
Lewat blog ini, KPU berharap bisa terjadi dialog interaktif antara caleg dengan nyerukan kepada seluruh operator untuk memutus semua kartu yang tak terdaftar
publik seputar Pemilu 2009, dan diharapkan bisa di-launching akhir Desember. dan telepon yang tidak memiliki nomor IMEI, mulai tanggal 6 Januari 2009.
Intel akan meluncurkan laptop generasi baru dengan layar sentuh di dalamnya, EA harus takluk juga terhadap serangan krisis ekonomi. Dengan dalih menghemat
dan menjadikan pelajar sekolah sebagai target utamanya. Laptop dengan Intel keuangan, EA berencana akan memangkas 10% karyawannya, serta menutup
Atom ini akan didesain dengan layar 8,9 inci, dan tambahan built-in accelerometer sembilan studio miliknya yang berada di beberapa lokasi. Pernyataan EA mem-
yang memungkin posisi layar laptop dapat ditampilkan vertikal atau horisontal. buat sekitar 1.000 karyawannya bersiap-siap dirumahkan secara paksa.
4 01/2009
01/2009 5
Fast Fact
250 ribu copy game klasik Mega Man 9. Karena semua game baru saja masuk ke dalam daftar 20 selama 18 bulan. (arstechnica.com) lis. Terkecuali untuk Windows XP,
Super Street Fighter II telah ter- ini dirilis secara digital, maka biaya perusahaan terpecaya untuk privasi saat ini sudah hampir 2 tahun OS
jual. Capcom sebagai publisher untuk duplikasi disk, kemasan, dan yang dibuat oleh TRUSTe/Ponemon 32 nm proses litografi untuk CMOS tersebut mendapat perpanjangan
menerbitkan kembali game kla- pengiriman bisa dihilangkan. Capcom Institute, dan berada di posisi 14. sudah berhasil dikembangkan oleh hidup, setelah Vista dirilis pada
sik tersebut dengan embel-embel sangat yakin dengan cara distribusi Sebuah daftar dimana Google dan Toshiba. Dengan keberhasilan ini, Januari 2007. Kini, untuk kali ke-
Turbo HD Remix atau lengkapnya ini, karena menurut mereka game- Microsoft tidak masuk di dalamnya. performa CMOS bisa ditingkatkan tiganya Microsoft memperpanjang
Super Street Fighter II Turbo HD game ini memiliki penggemar fanatik Di bawah kebijakan baru ini, data log dengan biaya setengah dari pembua- lagi hidup OS yang dirilis pada ta-
Remix. Pada dasarnya itu adalah tersendiri sehingga penjualannya bisa masih bisa disimpan, tapi IP dihapus tan proses litografi 45 nm. Sebuah hun 2001 itu. Tanggal 31 Januari
game Street Fighter yang sama, diperkirakan. (news.softpedia.com) setelah 90 hari. Data-data yang bisa pencapaian yang mustahil dilakukan 2009 seharusnya menjadi waktu
namun gambarnya dipercantik, terpengaruh oleh kebijakan ini an- apabila menggunakan proses kon- deadline untuk membeli lisensi XP.
dan beberapa gerakannya dibuat 90 hari, dan setelah itu akan dihapus. tara lain data dari page view, page vensional. Toshiba mengembangkan Tapi lisensi yang dibeli boleh diam-
menjadi lebih bagus. Game ini Itulah yang dikumandangkan oleh click, ad view, dan ad click. Waktu teknologi ini bersama dengan NEC bil hingga 30 Mei 2009. Microsoft
hanya bisa didapatkan dari layanan Yahoo! baru-baru ini. Yang dimaksud 90 hari ini tidak berlaku untuk data Electronics Corporation. (news.soft- bersikeras bahwa ini bukanlah
Xbox Live Arcade dan PlayStation dengan 90 hari itu adalah masa hidup mengenai penipuan, keamanan, dan pedia.com) semacam perpanjangan hidup XP.
Network. Selain Street Fighter, alamat IP yang disimpan oleh Yahoo!, data untuk keperluan hukum lain- Mereka menganggap hal seperti ini
Capcom juga aktif menerbitkan dan didapat dari proses pencarian nya. Sebagai perbandingan, Google 6 bulan biasanya menjadi waktu adalah semacam pengakomodasian
kembali game-game klasik yang yang dilakukan oleh penggunanya. menahan data-data seperti yang tadi yang digunakan Microsoft sebagai program inventori yang sifatnya
sudah dipercantik, antara lain Tampaknya Yahoo! juga bangga den- sudah disebutkan selama 9 bulan. ancang-ancang untuk menarik OS fleksibel untuk para klien mereka.
Bionic Commando Rearmed dan gan apa yang dilakukannya. Mereka Sedangkan Microsoft melakukannya lamanya setelah OS barunya diri- (internetnews.com)
6 01/2009
processor baru yang cukup men- disebut water cooling OCZ Flex ini adalah tersedianya pilihan baru
Chipset nVIDIA dapat sambutan hangat di pasar. Se- OCZ DDR3 XLC (Xtreme Liquid Convection). untuk DDR2 maupun DDR3. Un-
lain menghadirkan platform khusus Menggunakan heatspreader dari tuk DDR2 tersedia pilihan memory
untuk Atom untuk processor ini, nVIDIA bahkan Flex EX Series bahan alumunium dengan desain kit 4 GB DDR2-1200, yang diklaim
mengembangkan chipset yang yang fleksibel, untuk digunakan menjadi memory DDR2 tercepat
mendukung SLI untuk PC berbasis dengan sistem pendinginan water untuk sekarang ini. Sedangkan un-
Agaknya nVIDIA cukup jeli processor Intel Atom ini. Overclocking agaknya akan terus cooling, ataupun mengandalkan tuk DDR3 tersedia pilihan DDR3-
melihat tren pasar dengan kehadiran Chipset MCP7A dari nVIDIA menjadi sesuatu yang menarik ba- pelepasan panas dengan fin pada 2000.
processor Intel Atom, sebuah kelas akan dikembangkan untuk menjadi gi kalangan enthusiast. Terbukti heatspreader yang digunakan.
sebuah versi khusus. Chipset tersebut dengan makin maraknya komunitas Update pilihan baru untuk seri Info: www.ocztechnology.com
akan dikhususkan untuk digunakan dan perlombaan, baik di tingkat
dengan processor Intel Atom, dengan lokal sampai internasional. Hal
dukungan dua slot PCIe x8, yang ini yang menyebabkan produsen
memungkinkan konfigurasi SLI. memory memiliki alasan untuk
Untuk sementara, belum ada lebih meningkatkan kompetisi,
informasi pasti mengenai khususnya untuk produk high-end.
penamaan chipset versi OCZ kembali memperkenalkan
baru hasil pengembangan produk terbarunya, yang memang
MCP7A tersebut. ditujukan untuk kalangan enthu-
siast tersebut.
Info: vr-zone.com Hadir dari seri Flex EX, dengan
solusi pendingin yang tidak sekedar
Akan mendukung konfigurasi SLI menggunakan heatspreader. Namun
sudah mendukung penggunaan yang Dilengkapi OCZ Flex XLC (Xtreme Liquid Convection)
01/2009 7
8 01/2009
01/2009 9
10 01/2009
01/2009 11
Sensitivitas Mouse
2.0 Flash Drive terintegrasi pada produk ini juga Mouse wireless dengan sensitivitas
mendukung penggunaan micro- mouse 800 DPI ini berbentuk
Dalam dunia PC, ukuran sensitivitas SDHC. Mouse kebanyakan terlalu biasa lingkaran. Fungsi scroll pada mouse
mouse menggunakan satuan yang Berbeda dengan USB Flash Produk berwarna kehitaman ini untuk Anda? Kemungkinan besar, ini dilakukan dengan memutar
lebih tepat disebut count per inch Drive (UF) kebanyakan, OCZ menggunakan casing dari bahan Anda membutuhkan sebuah mouse mouse. Kecepatan scroll akan
(CPI), dan bukan istilah dot per CrossOver USB 2.0 Flash Drive alumunium, membuatnya tampil yang unik seperti produk yang menyesuaikan kecepatan putaran
inch (DPI) yang seri digunakan menawarkan sesuatu yang lebih. kokoh dan berkelas. Produk ini yang dilakukan penggunanya
dan ditemukan pada spesifikasi Bahkan cukup menarik untuk An- akan menjadi sebuah produk yang pada mouse ini. Berbeda dengan
sebuah mouse. Sensitivitas mouse da yang mengandalkan UFD un- menarik dijadikan pilihan, terutama fungsi scroll kebanyakan mouse,
menyatakan jumlah langkah pointer tuk menyimpan ragam data, dan untuk Anda yang juga memiliki gerakan sroll dengan memutar
yang dikirimkan mouse ke PC, membutuhkan kapasitas penyim- perangkat lain yang menggunakan vertikal ini akan memudahkan
saat bergerak sejauh 1 inchi. Jika panan yang besar. memory card microSD atau sering dan tanpa batas, dibanding jika
pergerakan satu langkah pada mouse UFD yang satu ini tersedia de- juga disebut TransFlash. melakukan scroll vertikal pada
sama dengan pergerakan cursor satu ngan pilihan kapasitas yang ter- mouse kebanyakan.
pixel, maka CPI baru setara dengan bilang masih cukup besar, bahkan Info: www.ocztechnology.com Dilengkapi dengan rechargeable
DPI karena pergerakan langkah poin- untuk ukuran sekarang, battery dengan Lithium Ion.
ter pada mouse sejauh satu inchi dengan pilihan kapasitas 2 Mouse ini kompatibel dengan
GB, 4 GB, dan 8 GB. Jika kebanyakan mouse dengan
akan sama dengan pergerakan cursor
ini masih dirasakan kurang fungsi scroll dan tiga tombol, dan
sejauh satu inchi juga. Semakin besar
oleh penggunanya, dapat me- tanpa memerlukan sebuah driver
sensitivitas sebuah mouse semakin
khusus. Ia bahkan mendukung
cepat pergerakan cursor, ataupun fungsi Enhanced Wheel (Smooth
dengan pengaturan setting pointer UFD
dengan Scroll) yang tersedia pada sistem
speed dapat berarti meningkatnya sen- operasi Windows Vista.
card reader
sitivitas dari mouse. Orbita Mouse, kini fungsi scroll tidak
terintegrasi
terbatas Info: www.orbitamouse.com
12 01/2009
01/2009 13
WinPE takan oleh Autorun Eater antara dan konfigurasi Windows, yang
Sebutan singkat untuk Windows Pre- Autorun lain tiga optional perbaikan registry RunAlyzer memampukan Anda untuk dapat
(task manager, regedit dan folder melihat dan melakukan perubahan
installation Environment. Pertama kali
muncul hanya digunakan dengan file- Eater 2.3 options), add and remove startup 1.6.0.21 pada semua titik dimana Windows
entry dan lain sebagainya. meletakkan program ataupun service
file dari WinXP, tapi versi selanjutnya
Dalam penggunaan Autorun Ea- untuk dijalankan.
bisa juga menggunakan file-file Win- Saat ini, mudah sekali PC dijangkiti ter, user tak perlu khawatir jikalau Fitur dari utilitas yang disediakan RunAlyzer merupakan aplikasi
dows Server 2003. Kelebihannya, malware melalui removable media, Autorun Eater sendiri salah deteksi Windows memiliki keterbatasan, kombinasi dari standar configuration
WinPE bisa dijalankan sepenuhnya seperti flash disk ataupun memory dan mengakibatkan kehilangan file, oleh karena itu dibutuhkan aplikasi manager dan advance tool untuk
seperti WinXP dengan dukungan API card. Taktik yang digunakan mal- karena untuk hal ini pun Autorun lain yang dapat melengkapi ke- menempatkan dan menghapus lo-
.WinPE sebenarnya bukan teknologi ware ini melalui eksekusi file auto- Eater telah antisipasi dengan me- kurangan-kekurangan ataupun ke- kasi, dimana hijacker, spywer dan
baru. Jika Anda instal Win2K kemudian run.inf yang dijalankan ngadakan fasilitas butuhan dari user. Istilah all-in-one malware lainnya bersembunyi. Ter-
reboot, apa yang Anda lihat saat setup otomatis saat removable auto-backup. juga menjadi sorotan pada aplikasi dapat beberapa fitur yang disertakan
Win2K berjalan adalah WinPE. WinPE media dibaca oleh sistem. karena praktis, dan efisien dalam di dalamnya antara lain log functions,
merupakan versi ringannya Windows Untuk mengatasinya dapat Harga: Gratis penggunaan tentunya. winPE kompatibilitas, windows x64
yang dipakai di workstation dan server menggunakan aplikasi anti- Ukuran File: 1,24 MB Salah satu aplikasi all in-one dalam kompatibilitas, analysis, dan lain
perusahaan besar. WinPE juga dipakai malware. Download: www. me-manage konfigurasi Windows sebagainya. Anda dapat melakukan
oleh pihak OEM (Original Equipment Banyak pilihan anti- fileden.com/ adalah RunAlyzer. Aplikasi ini tweaking pada sistem dengan
Manufacturer) untuk melakukan pra malware yang dapat di- files/2007/9/25/1457463/ merupakan utilitas manager autostart penggunaan aplikasi ini tentunya.
instalasi Windows, pada saat proses gunakan oleh user, salah aesetup2.3.zip
manufaktur. satunya adalah Autorun Disertakan di CD Harga: Gratis
Eater. Aplikasi ini dapat edisi 01/2009 Ukuran File: 7,29MB
menghapus file autorun. Download: www.spybot-updates.biz/files/
inf berbahaya bahkan se- runalyz.exe
kalipun sebelum user be- Mengatasi malware Disertakan di CD edisi 01/2009
rusaha untuk mengakses dengan aman,
drive. Beberapa fitur ber- sebelum sempat Me-manage konfigurasi Windows
manfaat yang juga diser- diakses oleh user all-in-one
14 01/2009
01/2009 15
16 01/2009
01/2009 17
18 01/2009
01/2009 19
20 01/2009
K
software tersebut. Tahap Alpha hanya urang lebih 1,5 tahun lamanya kami mempersiapkan PCMAV 2 Valkyrie
dilakukan di dalam lingkungan yang ini sebagai generasi penerus PCMAV 1. Namun, baru di pertengahan
tidak terbuka untuk end user. Urutan tahun 2008, Valkyrie mulai memasuki tahap awal pengembangan. Pada
lengkap dari tahap-tahap pengujian September 2008 lalu, status Alpha1 berhasil disematkan di Valkyrie, dan ikut
yaitu Pre-alpha, Alpha, Beta, Release diuji coba oleh pembaca yang terpilih. Akhir November 2008, status Valkyrie
candidate, RTM, dan General Avail- ditingkatkan menjadi Alpha2. Kembali lagi beberapa pembaca yang terpilih
ability. mendapat kehormatan untuk menjajal Alpha2 ini dalam rangka mendapatkan
bug dan masukan demi pengembangannya. Rencananya, status Alpha akan
mencapai 3 sebelum Beta dikeluarkan. Baru di tahap Beta inilah masyarakat
Bug luas dapat ikut serta mencobanya, sebelum rilis final dikeluarkan. Walau
Sebuah kesalahan, error, kekurangan, banyak orang yang tidak sabar menunggu kehadirannya, namun kami harus
atau kegagalan yang sering terjadi memastikan kestabilan Valkyrie ini sehingga tahapan Alpha dan Beta wajib
pada program komputer sehingga dilakoni. Untuk mengobati rasa penasaran, silakan simak apa saja yang akan
menghambat jalannya program se- hadir di PCMAV 2 ini:
bagaimana semestinya. Bug muncul
dapat disebabkan akibat kesalahan Struktur Baru Folder
mesin atau manusia yaitu berupa ke- Jika sebelumnya, file update PCMAV & ClamAV beserta library-nya
salahan kode dan kesalahan desain. disimpan dalam satu folder bersamaan dengan file utama PCMAV, kini di
Hampir semua program yang pernah versi 2 berbeda. Pada folder tempat PCMAV berada, akan terdapat subfolder
dibuat manusia pasti mengandung lagi dengan nama \vdb dan \plugins. Nah, pada folder vdb itulah nantinya
bug dan memerlukan perbaikan yang file update PCMAV disimpan. Sementara untuk folder plugins, ada subfolder-
biasa disebut sebagai patch. nya lagi dengan nama ClamAV, di sinilah file library dan database ClamAV
akan ditempatkan. Folder plugins ini memang disediakan sebagai tempat
Library penampung library eksternal yang akan digunakan PCMAV ke depannya.
Kumpulan routine yang belum dikom-
pilasi sehingga bisa dipakai oleh Tampilan Baru
Walau masih dalam tahap awal, tapi kami sangat serius dalam masalah
program. Routine yang juga disebut
tampilan. Yang pasti akan lebih menyenangkan, simpel, intuitif, dan
dengan modul, disimpan dalam for-
informatif. Berbeda dengan versi terdahulu yang berwarna biru merona, sebagai
mat objek. Library sangat berguna
penyegaran, di Valkyrie tema warna yang digunakan beraroma kuning dan
untuk menyimpan routine yang pal-
oranye. Dimulai dari layar splash screen, yang akan muncul kali pertama saat terdapat angka jumlah objek yang dikarantina. Jika angka ini diklik, layar
ing sering dipakai sehingga tidak PCMAV dijalankan, juga bisa terlihat perubahan informasi yang ditampilkan. Quarantine akan muncul. Dengan adanya fitur ini, user dapat melakukan
usah selalu me-link-nya saat program Seperti yang terlihat pada screenshot, informasi engine, status scanning, progress karantina file bervirus ataupun yang dicurigai bervirus.
membutuhkannya bar, hingga credit title yang berisi daftar orang-orang di balik layar penggembang
PCMAV, ditampilkan pada layar ini. Virus Submit
RTP Tidak berhenti sampai situ saja, user juga dapat mengirimkan file yang
Realtime Protector atau nama lain- Full AutoUpdate telah dikarantina. Jika sebelumnya pembaca dan pengguna setia PCMAV
nya on-access scanning, background Jika sebelumnya PCMAV hanya memberikan link file update, dan user mengirimkan file suspected secara manual, alias men-ZIP dan password file
guard, resident shield, atau autopro- diharuskan men-download-nya secara manual, kini semua itu dapat dilakukan suspect, lalu mengirimkannya lewat e-mail ke redaksi, kini semua itu dapat
tect. Fitur yang memonitor sistem secara otomatis penuh. Jika terdapat update baru, di awal, PCMAV akan dilakukan hanya dengan beberapa klik saja.
atas hal-hal yang mencurigakan se- memberitahukannya kepada Anda. Cukup tekan tombol “Download &
cara real time atau saat itu juga. Update Now”, maka PCMAV akan men-download file update, dan meng- Apa Selanjutnya?
update dirinya. Atau user dapat menekan tombol “Later”, jika belum mau Meski penggabungan Cleaner dan RTP ditunda sementara waktu, namun
untuk meng-update. Tentunya untuk melakukan hal ini, komputer harus RTP diharapkan telah dapat kompatibel penuh dengan Windows Vista. Selain
dalam kondisi terkoneksi ke Internet. itu, engine IntelligenceScan diharapkan dapat berfungsi baik, sehingga performa
pendeteksian virus mampu ditingkatkan pada level super-cepat, bahkan pada
Karantina saat engine ClamAV digunakan. Tak ketinggalan kemampuan pendeteksian
Masuk ke jendela utama, aroma kuning masih terlihat jelas. Tidak banyak terhadap virus yang menggunakan teknik “siluman” untuk bersembunyi dari
perubahan menu, tapi ada satu hal yang baru di sini. Di bagian “Status & Windows dan antivirus lainnya segera dapat diimplementasikan. Tunggu
Information”, Anda dapat menemukan ada satu fitur tambahan, yakni kehadiran PCMAV 2, tak lama lagi. SRAP
Splash Screen Quarantine. Di situ tertulis “Quarantined Objects:”, yang di sebelahnya
Gambar yang muncul sesaat ketika
sebuah aplikasi atau operating sys-
tem di-loading. Jika splashscreen
yang digunakan oleh aplikasi atau
operating system menutupi semua
monitor (full screen), biasanya digu-
nakan untuk menutupi proses loading
yang sesungguhnya agar tidak terlihat
oleh user. Contohnya sesaat sebelum
Windows masuk, Anda menyaksikan
splashscreen logo Windows dengan
animasi bar berjalan.
Valkyrie
Dewi perang dalam mitologi bang-
sa Skandinavia kuno, bertugas
mengumpulkan arwah prajurit yang
gugur.
VDB
Singkatan dari Virus Definition Bi-
nary. Database virus PCMAV.
01/2009 21
V
ires merupakan virus dengan icon mirip sebut kini dapat aktif akan menyembunyikan dokumen asli tersebut
dengan icon dokumen Microsoft Word. otomatis setiap memu- dengan memberikan attribut hidden, lalu
Virus yang juga dikenal dengan nama lai Windows.Namun, ti- membuat file duplikat dari Vires dengan nama
Latifah ini dibuat dengan menggunakan bahasa dak sampai di situ saja. yang sama dengan file dokumen aslinya.
Visual Basic yang di-compile dengan metode Seperti kewajiban yang Jadi, apabila mengklik sebuah file virus
Native Code. Virus ini dapat menginfeksi dilakukan oleh virus yang menyamar sebagai dokumen yang Anda
komputer dengan operating system Windows lainnya juga, ia mencoba miliki, yang akan dilakukan oleh Vires adalah
9x/XP. Satu hal yang menarik dari virus ini, untuk mempertahankan membuka dokumen aslinya yang telah ia
ia memiliki ukuran tubuh yang kecil, hanya kelangsungan hidupnya. sembunyikan tadi. Jadi, seolah-olah memang
19.465 bytes atau sekitar 19Kb. Virus ini juga Salah satunya adalah tidak terjadi apa-apa pada komputer Anda,
di-compress menggunakan UPX, yang apabila dengan menghilangkan padahal dengan begitu Vires akan terus
dilakukan proses decompress ukuran file virus menu Folder Options, menerus aktif dan siap menyebarkan diri lagi.
menjadi sekitar 57.344 bytes. Virus yang dan mengaturnya agar Dan karena ukuran tubuhnya yang kecil,
memproklamasikan dirinya berasal dari kota tidak menampilkan file proses penyebarluasan virus ini terbilang sangat
Tegal ini seperti yang tertera dalam tubuhnya dengan attribut hidden, cepat. Pada saat dilakukan pengujian, dalam
adalah contoh virus yang boleh dibilang sangat serta tidak menampil- waktu sedikit saja ia dapat meng-hidden-kan
sederhana. kan extension dari file. seluruh dokumen Microsoft Word asli, dan
Ini dilakukannya untuk menggantikannya dengan tubuhnya sendiri.
Menginfeksi System mempersulit dan me- Inilah salah satu keuntungan untuk sang
Seperti halnya yang dilakukan oleh virus- ngecoh user, agar me- virus.
virus lain, secara garis besar yang dilakukan ngira bahwa virus terse-
oleh Vires kali pertama adalah menyerang terutama dalam hal program-program mana but adalah merupakan dokumen Word-nya. Saatnya Beraksi
operating system tersebut. Pertama, dengan saja yang dijalankan pada saat startup. Yakni, Karena memang agak sulit bagi orang awam Vires ini juga akan selalu senantiasa me-
cara menginfeksi system Windows dengan ia menciptakan sebuah item baru pada registry untuk membedakan mana file dokumen meriksa program-program apa saja yang
menempatkan file induk pada direktori yang di section HKEY_LOCAL_MACHINE\ asli, dan mana yang memang virus. Lalu, sedang aktif di memory. Apabila terdapat
telah ditentukannya. Dan kedua menginfeksi SOFTWARE\Microsoft\Windows\CurrentVer- juga dengan mengubah registry Windows, process dengan nama file “regedit.exe”, “task-
atau memanipulasi registry Windows agar sion\Run\ dengan nama item “Desktop”, lalu beberapa tools internal Windows berhasil mgr.exe”, ataupun “msconfig.exe”, ia akan
sesuai dengan keinginannya ataupun agar virus nilai dari item ini diarahkan ke file induk virus diblokir olehnya. Di antaranya kita tidak dapat segera meng-close aplikasi tersebut. Tentu
tersebut dapat selalu aktif otomatis pada saat yang telah ia buat tadi pada “\%windows%\ menjalankan Registry Editor, Task Manager, saja, karena ia tak ingin dirinya dihapus
kita memulai Windows. desktop.com”. Namun, tidak hanya satu, ia dan Find. oleh sang user. Walau Vires tidak melakukan
Kedua sektor tersebut merupakan yang juga membuat item untuk startup lagi pada tindak pengrusakan atau menghilangkan
sangat krusial di Windows. Lebih jelasnya, registry di section HKEY_CURRENT_ Penyebaran Virus data asli Anda, namun biar bagaimanapun
Vires menciptakan beberapa file induk pada USER\Software\Microsoft\Windows\ Dalam segi penyebaran, Vires masih mem- kehadirannya telah mengganggu, dan tentu
“\%windows%\desktop.com”, “\%system32%\ CurrentVersion\Run\ dengan nama item percayakannya pada storage media seperti saja akan memperlambat kerja komputer.
check.exe”, dan pada “\Documents and Settings\ “Check”, yang juga diarahkan kepada file misalnya melalui disket atau flash disk. Ia Tak lupa Vires juga akan membuat se-buah
%username%\StartMenu\Programs\Startup\ induk virus yang terletak pada “\%system32%\ akan mencari ke seluruh direktori yang file HTML pada root drive dari system
Scan.pif”. Setelah file-file induk tersebut check.exe”. terdapat di setiap drive yang ia temui. Apabila Windows Anda, yang biasanya terdapat di
berhasil ditanamkan, ia kemudian menginfeksi Sekarang, dengan melakukan penambahan ditemukan file dokumen dari Microsoft “C:\L@tif@h.html” yang berisi pesan dari
registry dengan membuat beberapa perubahan, atau perubahan-perubahan tersebut, virus ter- Word, yakni file dengan extension .doc, ia pembuat virus. SRAP
I
ngin bernostalgia untuk memainkan game dan juga mengubah Shell Windows untuk Dengan pesan yang dikirimkan seperti, “free Grogotix memiliki kemampuan untuk selalu
lawas PacMan lagi? Tidak perlu, karena diarahkan kepada file induk yang telah ia buat picture indonesia sex double klik url” atau “mo memeriksa keberadaannya di memory. Jadi, jika
virus lokal yang satu ini akan memainkannya tadi. liat artis majalah playboy indo?, double klik Anda mencoba untuk mematikan salah satu
untuk Anda. Dan tidak hanya itu, karena ia url”. process virus tersebut di memory, maka dengan
juga akan “mempermainkan” data Anda. Infeksi file Executable segera Grogotix akan memanggil proses yang
Grogotix, begitulah PC Media Antivirus Selain membuat duplikat atas dirinya, Aksi Lainnya hilang tersebut, sama halnya dengan registry
mengenali virus ini. Sementara antivirus lain ia juga dapat menginfeksi file executable Grogotix akan mematikan beberapa fungsi miliknya. Atau apabila user melakukan browse
ada juga yang mengenalnya sebagai FluKan lain. Mekanisme penginfeksiannya adalah standar bawaan Windows, seperti Registry pada Windows Explorer ke direktori tempat file
atau Naki. PCMAV sendiri sudah mengenali menyimpan isi dari file executable yang Editor, Task Manager, Command Prompt, induk berada, maka Windows Explorer akan
tiga varian dari virus ini. Virus yang memiliki ditemukannya ke dalam buffer, lalu membuat dan Context Menu (Klik Kanan). Serta ia pun segera ditutup dengan memanggil perintah
ukuran tubuh asli sebesar 225.792 bytes ini duplikat dirinya dengan menggunakan nama akan membaca caption setiap program yang internal Windows “taskkill.exe /f /im explorer.
dibuat menggunakan Visual Basic, dan di- yang sama seperti file executable itu, dan aktif, bila ditemukan program yang dianggap exe”.
compress menggunakan UPX. Virus yang menempatkan isi file executable yang telah ia akan mengganggu kelangsungan hidupnya, Proses penghapusan suatu file/folder juga
dapat menginfeksi operating system berbasis simpan dalam buffer tadi ke bagian akhir dari maka akan langsung ia tutup, contohnya akan mengalami hambatan, karena Grogotix
Windows 9x/XP dan ber-icon-kan mirip tubuh sang virus. “HijackThis”. Dan untuk menipu user, ia akan akan mencoba menghalanginya dengan cara
folder standar bawaan Windows ini juga menggunakan nama folder atau subfolder pada menutup Dialog Box confirmation yang mun-
memiliki kemampuan untuk menginfeksi file Infeksi File ZIP/RAR direktori aktif dan atau menggunakan caption cul, dengan cara membaca Caption dari Dialog
Executable dan tentunya setelah menginfeksi Dalam tubuh Grogotix juga sebenarnya dari program–program yang sedang aktif Box tersebut.
file, pasti ukuran virus menjadi bertambah. terdapat program lain, yakni PKZIP. PKZIP sebagai nama file duplikat yang menyerupai Grogotix juga akan memblok akses ke situs
merupakan sebuah program untuk melakukan folder itu. antivirus dan beberapa situs lainnya, seperti
Infeksi System kompresi file. Satu hal yang dilakukan oleh mcafee.com, symantec.com,
Jika file virus dijalankan, yang pertama Grogotix yang sangat merugikan adalah ia akan google.com, dan masih
dilakukannya adalah menanamkan file induk menghapus isi dari setiap file .zip atau .rar yang banyak lagi yang lainnya
ke operating system tersebut yang lokasinya ditemukan pada komputer yang terinfeksi, dan dengan cara mengubah isi
acak. Virus ini biasanya mengambil tempat menggantikannya dengan file virus dengan file hosts milik Windows.
dalam subdirektori yang terletak di bawah menggunakan nama yang sama seperti yang Selain itu, Grogotix ju-
direktori \WINDOWS\ atau \Document ada di file .zip atau .rar tersebut. ga menginfeksi file .html
and Setting\%username%\. Nama file induk yang ditemukannya untuk
yang digunakannya juga acak, namun tidak Menyebarkan Diri digantikan dengan pesan-
sembarang acak, tapi merupakan kombinasi Grogotix dapat menyebar melalui perantara pesan dari pembuat virus
antara huruf vokal dan nonvokal. Contohnya flash disk, disket, sharing folder (network), dan yang juga disertai script
seperti qibil.exe, wibuq.exe, dan sayeg.exe. mIRC. Pada mIRC yang dilakukannya adalah untuk menginfeksi.
File induk yang ditanamkan juga tidak hanya dengan meng-inject-kan script yang telah ia Dan terakhir, saat jam di
satu, tapi ada beberapa file. Maka dari itu, virus buat, agar ia dapat join ke beberapa channel yang komputer Anda menjadi
ini cukup menguras resource komputer Anda. telah dipilihnya, seperti #surabaya, #jakarta, pukul 11:59:00, Anda akan
Setelah file tersebut berhasil ditanamkan, ia dan #surabayahackerlink dengan mengguna- melihat animasi PacMan
akan mengubah registry dengan menambahkan kan server, seperti punch.va.us.dal.net, haarlem. tadi akan muncul di layar
item pada section Run dengan nama Grogotix, nl.eu.undernet.org, atau plasa.id.allnetwork.org. komputer Anda. SRAP
22 01/2009
C
oolFace-Mutant, begitulah PC Media Settings\%username%\. Nama–nama file induk Infeksi Executable Trik Sang Virus
Antivirus RC13 mengenalinya. Virus yang dibuatnya ada sebagian yang random, Virus ini juga diketahui melakukan infeksi Dengan bantuan Image File Execution
ini dibuat menggunakan C++ yang dan ada juga yang menyerupai nama-nama pada beberapa program Windows, seperti Options, setiap pengeksekusian program-
dibungkus menggunakan packer tElock. program Windows ataupun nama yang ia buat solitaire, regedit, task manager, calculator, program yang telah di-black list olehnya
Beberapa antivirus lain juga mengenalnya sendiri, seperti Mr_Cool-Face.exe, Mutant. minesweeper, ms-hearts, freecell yang akan dialihkan kepada file induk virus, ini pun
sebagai FaceCool, Ridnu, atau MyPrincess. exe, dan lain sebagainya. Pada desktop juga ditaruhnya pada direktori \Program Files\ terjadi saat user mengakses PCMAV. Teknik
Virus ini dapat berjalan pada operating akan terdapat file virus dengan nama “Message Common Files\, dan mengarahkan setiap peng- lainnya adalah dengan membaca setiap
system berbasis Windows 9x/NT/XP. Ia ju- For My Princess.scr”. Setelah file induk berhasil eksekusian yang mengarah kepada file aslinya caption dari aplikasi yang sedang berjalan,
ga menggunakan teknik string reverse pada dibuat, ia akan membuat item autorun di ke file yang telah terinfeksi tersebut dengan apabila dianggap program tersebut bisa
tubuhnya, sehingga kita akan sedikit dipersulit registry dan mengarahkannya kepada file–file melakukan manipulasi registry pada Image mengganggu kehadirannya, ia akan langsung
apabila ingin melihat string–string yang ada induk yang telah ia buat sebelumnya, agar ia File Execution Options. menutupnya.
dalam tubuhnya. dapat aktif pada saat start Windows normal Cool-Face-Mutant menginfeksi dengan CoolFace-Mutant juga akan men-delete file
maupun safe-mode. cara meng-append atau menambahkan prog- library penting yang dibutuhkan Windows,
Bagaimana Ia Menginfeksi? Windows Explorer pun ia set untuk tidak ram asli di bawah tubuh asli sang virus. yakni file MSVBVM60.DLL (VB RunTime
Pada saat kali pertama virus tersebut menampilkan extension file yang dikenal, tidak Dan menambahkan pengenal pada file yang Library), dan mengganti file PSAPI.DLL
dieksekusi, ia akan langsung menginfeksi menampilkan file dengan attribut hidden dan terinfeksi berupa string “PKP” yang mungkin (Process Status Helper) dengan file virus
komputer Anda dengan membuat file–file system, serta mengubah Type dari program bisa berarti Pangkalpinang. Apalagi virus dengan cara me-rename file aslinya menjadi
induk pada beberapa direktori, di antaranya executable dari “Application” menjadi “File tersebut juga akan membuat duplikat dirinya “system32gnutileBakgnaB.ipasp”.
pada root direktori sistem, misalnya C:\, startup Folder”. Dan ia juga mengubah default dari pada directory induk dengan nama “SMA Start Page default dari browser Internet
direc-tory, \%Windows%\System32\, dan pada screensaver dan debugger untuk dialihkan ke Negeri 1 Pangkalpinang.exe”. Explorer juga akan dialihkan kepada file
subsubdirektori di bawah \Documents and program virus. Virus ini juga mencoba untuk mengubah HTML yang telah ia buat sebelumnya pada
Saat komputer ter- dirinya sendiri dengan menambahkan junk root drive dengan nama Mutant.htm. Jadi,
infeksi virus ini, se- string pada akhir tubuhnya. String ini bisa saat Anda membuka Internet Explorer, sebuah
kejap saja harddisk berasal dari salah satu nama file induk atau kalimat “Mr_CoolFace Mutant” akan tampil
Anda pasti penuh nama user yang aktif saat itu, dan ditambah pada browser Anda. Selain itu, akan muncul
dengan file–file virus dengan string “PKP”. juga sebuah window kecil dengan tulisan
yang menyerupai fol- sama yang akan bergerak dari kanan ke kiri
der. CoolFace-Mu- Melalui Apa Ia Menyebar? layar monitor Anda. Pesan lain dari virus ini
tant juga memiliki Seperti kebanyakan virus buatan lokal juga akan muncul ketika mengakses Notepad
daftar extension file lainnya, ia menggunakan media penyimpan ataupun kotak Run.
mana saja yang akan di- data seperti flash disk sebagai perantara uta- Aksi jahil lainnya adalah dengan melakukan
sembunyikan, seperti manya, ditambah lagi dengan membuat file buka tutup drive CD/DVD-ROM. Terakhir,
.doc, .mp3, .3gp, autorun.inf untuk lebih mempermudahnya. ia akan mengubah caption dari beberapa
.ppt , dan digantikan Jaringan yang menggunakan sharing folder aplikasi, misalnya pada game FreeCell menjadi
oleh duplikat dirinya juga tak luput dari jangkauannya. Selain itu, “Mr_Cool-Face”. Ataupun mengubah caption
sendiri dengan meng- ia juga mencoba menggunakan MAPI (Mail pada dialog box saat Anda melakukan proses
gunakan nama file Application Programming Interface) untuk delete, copy, atau move file menjadi bahasa
sama seperti aslinya. dapat mengirimkan e-mail bervirus kepada Indonesia, misalnya dari “Copying...” menjadi
korbannya. “Sedang mengopy...”. SRAP
V
irus yang satu ini sepertinya sudah Beberapa fasilitas Windows yang diubah tidak dapat terinfeksi oleh virus ini. file dengan nama “Message From Pengging.
berkenalan dekat dengan registry. Bagai- adalah seperti menghilangkan menu Folder Pengging juga menambahkan beberapa exe”. Selain itu, Anda akan menemui juga file
mana tidak, karena hampir setiap sektor Options dari Windows Explorer dan mengeset item untuk Image File Execution Options dengan nama “%username% Data.exe”.
di registry ia infeksi. Pengging, begitulah type dari Application menjadi File Folder, dan Application Path. Ini dimaksudkan Virus Pengging ini diketahui dapat menyebar
PC Media Antivirus RC14 mengenalinya. menghilangkan menu Run, Find/Search, untuk memblok atau mengalihkan beberapa melalui perantara media penyimpan data
Virus yang juga dikenal sebagai Penguin oleh Shutdown, juga Control Panel. Ia pun ti- aplikasi pilihannya, agar saat user mencoba seperti disket, flash disk, ataupun yang lainnya.
antivirus lain ini memiliki ukuran tubuh sebesar dak mengizinkan user untuk menjalankan menjalankan aplikasi tersebut akan dialihkan Ia pun dapat menyebar pada jaringan yang
47.104 bytes. Dibuat menggunakan bahasa Command Prompt, Registry, Task Manager, ke program virus. Aplikasi yang dialihkan menggunakan sharing folder sebagai perantara
Visual Basic, lalu di-compress menggunakan Setting Folders, Setting Taskbar, Display tersebut, seperti Notepad.exe, TaskMgr.exe, untuk bertukar data. Dan lagi ada yang
PECompact. Virus yang dapat menginfeksi Setttings, System Properties, dan System Regedit.exe, Paint.exe, Setup.exe, Install.exe, menaruh sampelnya ataupun memang dengan
komputer berbasis Windows ini menggunakan Restore. Penggunanya pun tidak dapat mela- dan lain sebagainya. sengaja menyebarkannya lewat Internet,
icon yang mirip seperti icon Folder standar kukan klik kanan pada Start Menu ataupun Sebenarnya ada ciri atau perbedaan yang apalagi di forum ataupun milis-milis.
bawaan Windows. pada Taskbar. Dan masih banyak lagi fasilitas jelas terlihat apabila komputer kita terserang
Windows yang ia ubah. oleh virus ini. Pengging akan mengganti nama Aksi Lainnya
Jalankan Virus! Parahnya lagi, ia pun mengubah setting-an untuk My Computer, My Network Places, My Ia juga mencoba untuk menghalangi user
Biasanya saat virus kali pertama dieksekusi registry yang mengatur masalah akses file atau Documents, dan Recycle Bin berturut-turut untuk menjalankan aplikasi-aplikasi yang
oleh user, akan menampilkan layar Shut-down, shell extension, agar saat user menjalankan file menjadi Kompi Pengging, Network Pengging, sekiranya dapat mengganggu ketentraman
dan membuka tray CD/DVD-ROM Anda, dengan extension tertentu sebelumnya akan Dokumen Pengging, dan Tonk Pengging. hidupnya, dengan cara membaca setiap
entah apa maksudnya. Ia lalu akan membuat dialihkan ke file induk virus, baru dilanjutkan Seperti virus lainnya, Pengging juga caption/nama executable dari program ter-
beberapa file induk pada direktori \Documents ke file/program yang asli. Ini mengakibatkan menampilkan pesan yang ditampilkan dalam sebut. Beberapa caption dari aplikasi yang
and Settings\%username%\Local Settings\ seperti tidak adanya ruang bagi user untuk bentuk message box. Tingkah jahil lainnya juga masuk dalam daftar black list-nya adalah
Application Data\, dengan menggunakan dilakukan dengan mengubah program-program Antivirus, seperti AntiVir
nama yang menyerupai nama process atau status jam dari AM/PM men- PersonalEdi-tion Classic, Norman Generic
services milik Windows, seperti winlogon.exe, jadi seperti smile icon, yang Fix, Kaspersky Lab, juga ada beberapa nama
smss.exe, shell.exe, services.exe, lsass.exe, dan bisa Anda lihat di pojok program atau utility, dan masih banyak lagi
csrss.exe. Selain pada direktori di atas, ia juga kanan bawah layar. yang lainnya.
kembali menempatkan beberapa agennya di Folder Windows juga disembunyikan
direktori StartUp dan sistem Windows dengan Metode Penyebaran olehnya dengan memberikan attribut hidden.
nama pengging.scr dan kernel.sys. Seperti virus lainnya, Peng- Apabila user memaksa untuk membuka folder/
ging akan membuat duplikat direktori Windows tersebut, maka dengan
Serbu Registry! dari dirinya yang menyerupai sigap sang virus akan menutupnya kembali,
Kini waktunya sang virus untuk menyerang folder itu agar dapat me- sehingga kita tidak dapat membukanya.
registry. Pertama, ia akan membuat beberapa ngelabui sang user. File-file Jika kita mencoba untuk membuka System
startup item di registry dengan nama SysTray, duplikat dari virus juga bisa Properties juga akan dihalang-halangi oleh-
Msg, Pengging, dan Service. Cara lain yang Anda temui di beberapa nya, karena fasilitas ini pun telah diblok
dilakukannya agar dapat aktif pada komputer tempat. Contohnya, pada olehnya. Dan sebenarnya, ia pun telah meng-
korban adalah dengan cara menjadikannya root drive system Windows ubah status dari registered information milik
default Screen Saver. Anda di C:\ akan terdapat Windows. SRAP
01/2009 23
A
ntiDealova, begitu PC Media Anti- dengan nama process atau services dari Windows WinZip, Service%username%, dan beberapa na- keunikan yang dilakukan oleh AntiDealova.
virus mengenali virus ini. Ia dibuat seperti winlogon.exe, csrss.exe, services.exe, ma yang lainnya. %username% di sini adalah Saat Timer-nya dijalankan, ia akan memeriksa
menggunakan Visual Basic yang di- dan lain sebagainya. File–file induk yang ada nama user yang aktif. Ia pun mengubah value secara simultan apakah ada file dengan nama
compile menggunakan metode P-Code. Virus di direktori tersebut pulalah yang akan di- dari item userinit dan shell yang ada di key dimas.txt di drive C:\. Jadi, apabila komputer
yang memiliki ukuran tubuh asli sebesar load ke memory pada saat Anda memasuki HKLM\SOFTWARE\Microsoft\Windows NT\ Anda terinfeksi oleh virus ini, silakan saja
106.496 bytes ini tidak di-compress seperti Windows. Ini mengakibatkan terkurasnya CurrentVersion\Winlogon\Userinit dan HKLM\ Anda buat sebuah file kosong c:\dimas.txt.
kebanyakan virus lainnya. Maka, tidak heran resource dari komputer Anda, sehingga sangat SOFTWARE\Microsoft\Windows NT\Current- Lalu, sebuah message box pun akan muncul
ukurannya cukup besar untuk sebuah virus. terasa berat ketika Anda hendak menjalankan Version\Winlogon\Shell, dengan menambah memberitahukan bahwa virus telah nonaktif,
Belum banyak antivirus lain yang mengenali suatu aplikasi. parameter berupa path dari file virus. dan Anda tinggal mencari file-file virus, lalu
virus yang menyerupai icon folder ini, namun Ia juga menaruh beberapa agennya di root Lalu seperti biasa, Windows Explorer ia set hapus secara manual. Namun sebenarnya itu
salah satu antivirus yang berhasil mengenalinya direktori dari setiap drive (misalnya C:\) agar tidak menampilan file dengan attribut saja tidak cukup, karena registry yang telah ia
memberi nama virus ini sebagai W32.As- yang terdapat di komputer Anda dengan Hidden dan atau System, dan tidak menam- ubah tidak dikembalikan ke posisi semula.
cribes. menggunakan nama yang dapat memacu user pilkan extension dari setiap file. Browser
untuk mengkliknya, seperti dealova.exe, Film_ Internet Explorer akan diubah halaman de- Perilaku
Bagaimana AntiDealova Menginfeksi? Sex_Dpr.exe, Foto Bunga Lestari.exe, dan fault-nya ke file pesan virus. Dan beberapa Selain memakan resource yang boros, ia
Saat dieksekusi, ia akan menanamkan tubuh- Rahasia_kiamat.exe. Dan selain itu di tempat fasilitas Windows juga ia disable, seperti Task pun akan menampilkan window konfirmasi
nya di beberapa direktori. Di antaranya di folder yang sama juga akan terdapat file Autorun.inf Manager, Command Prompt, Registry Editor, untuk shutdown, sama seperti halnya ketika
StartUp, \%windows%\, \%sys-tem32%\, dan Desktop.ini, lalu akan ada folder dengan System Restore, juga men-disable beberapa Anda mengklik Start>Shutdown. Window
dan juga beberapa di direktori \Documents nama Dealova yang di dalamnya berisi file options/tab yang ada di Display Properties, ini muncul ketika Anda mengakses desktop.
and Settings\%username%\Local Settings\ Folder.htt dan Video-Mesra-Kita.exe. Saat serta masih ada beberapa lagi yang lainnya. Simbol AM/PM dari tanggalan di komputer
Application Data\ dengan nama yang mirip virus ini meng-copy-kan dirinya ke direktori Anda pun diubahnya menjadi DEALOVA.
induknya, ia pun akan Bagaimana Ia Menyebar? Timer yang ia miliki pun akan selalu memeriksa
mengubah file yang berhasil AntiDealova akan meng-enumerate resource setiap program yang Anda jalankan, apabila
di-copy tersebut dengan yang terdapat di suatu jaringan untuk men- ditemukan aplikasi yang memiliki caption/
menambahkan junk code di dapatkan akses ke sharing folder, agar ia dapat classes-nya berupa RegEdit_RegEdit, Folder
akhir tubuhnya. menyebarkan dirinya ke jaringan. Dengan Options, Norton Antivir, McAfeeVirusS-
memanfaatkan mIRC, ia pun meng-inject- canCentral, dan sebagainya, maka komputer
Bagaimana dengan kan script untuk menyebarkan pesan dari si Anda akan restart dengan sendirinya. Ini juga
Registry? pembuat virus kepada teman chat. Selain itu, terjadi ketika ada aplikasi aktif yang memiliki
Tak ada yang terlalu spesial di media penyimpan data juga masih menjadi string seperti CLEAN, VAKSIN, TASK, REG,
sini. Seperti kebanyakan virus tempat favorit setiap virus untuk menyebarkan AVG, NOD32, AVA, dan NOR.
lainnya, agar dapat running dirinya. Dealova juga memiliki pesan yang ingin
otomatis, AntiDealova akan disampaikannya. Anda bisa menemukannya di
membuat beberapa item di Self-Terminate root direktori ataupun di direktori Windows,
section run dengan nama Sys- Dalam tubuh AntiDealova, terdapat sebuah dengan nama puisi-untuk-dealova.txt, puisi-
tem Monitoring, SystemSecur- komponen Timer. Salah satu tugas dari Timer untuk-dealova.rtf, dealova.htm, dan Yserver.
e32%username%, WinsLo- di virus ini adalah memeriksa keberadaan suatu txt. File pesan tersebut juga akan ditampilkan
gon%username%, System32, file, yakni c:\dimas.txt. “File apa sih ini?”. Inilah secara otomatis pada tanggal 20 atau 7. SRAP
P
C Media Antivirus mengenali varian beberapa spasi sebelum extension). meng-hidden-kan seluruh direktori yang ia
baru dari BlueFantasy sebagai Blue- File ini pun ia set attribut ke hidden temui pada direktori tersebut, dan digantikan
Fantasy-Erikimo. Antivirus lain ada yang agar tidak terlihat di Windows dengan file virus yang menyamar sebagai folder
mengenalnya sebagai Drowor atau Yabarasu. Explorer. Sekarang, saat pembuatnya asli, dengan menggunakan nama yang sama,
Varian pertama yang kami miliki berukuran memrogram virus tersebut, semua namun dengan extension .SCR.
file sebesar 40.960 bytes, dan tidak di-compress. rutin function yang tadinya mengarah
Sementara yang kedua memiliki ukuran file ke file MSVBVMXX.DLL, akan Auto Updates & Encryption
sebesar 58.736 bytes. Kedua varian tersebut dialihkan kepada file “Thumbs.db”. Selain menyebar melalui flash disk, ia juga
dibuat dengan menggunakan Visual Basic yang Jadi, ia tidak lagi membutuhkan file dapat meng-update dirinya secara otomatis.
di-compile menggunakan metode P-Code. Ber- MSVBVMXX.DLL. Untuk itu, ia membutuhkan program bantuan
icon-kan mirip folder standar bawaan Windows , atau biasa dikenal dengan istilah “dropper”.
seperti kebanyakan virus lokal lainnya. Virus yang Perubahan di Registry File tersebut di-extract dari dalam tubuh file inti
menyerang sistem operasi berbasis Windows ini Virus ini mengubah beberapa virus ini, sebesar 15.872 bytes dalam keadaan
hadir dengan kemampuan yang lebih canggih item registry untuk tipe extension ter-enkripsi, dan terkompres dengan ASPack
dibanding versi terdahulunya. .scr, seperti mengubah tipenya yang bisa ditemukan pada direktori System32.
Pembuatnya memang terus meningkatkan dari “Screen Saver” menjadi “File Dropper tersebut memiliki kemampuan Anti-
kemampuan yang dimiliki, contoh gampang Folder”. Untuk Folder Options, ia Debugging.
bisa dilihat jelas antara BlueFantasy-Erikimo. akan memaksa Windows Explorer Saat di-unpack, string-string yang ada di dalam
A dan BlueFantasy-Erikimo.B, yang jeda Autorun.inf, Thumbs.com, dan Thumbs .db. agar tidak menampilkan extension, dan file–file tubuh dropper belum dapat terlihat, hanya ada
kemunculannya tidak terlalu lama, namun Nah, Untuk menyebarkan dirinya, ia tidak dapat dengan attribute hidden dan system. Namun satu string panjang “[Dropped][By]tr4f0x.A.w32
perbedaannya cukup signifikan. Walau keduanya berdiri sendiri, artinya ia membutuhkan file kali ini, ia tidak menyembunyikan menu Folder [t]90oi3kj4easudhkjwaesd23rboo39wj37snhq9&j
menggunakan engine (run-time library) pribadi, lain. Seperti yang kita ketahui bahwa program Options-nya. 2@d9.,<.a.sdl933=”. String tersebut merupakan
namun pada varian B, ia sudah menggunakan atau virus yang dibuat dengan Visual Basic (VB) Artinya, kita masih bisa mengakses menu kunci untuk dapat membuka enkripsi yang ada
teknik baru seperti Encryption dan Dropper 5/6 membutuhkan sebuah file run-time library, tersebut, namun saat kita ubah settingan dari di tubuhnya. Teknik enkripsinya hanya maju-
untuk Automatic Updates. yang dikenal dengan nama MSVBVMXX. Folder Options, misalnya untuk kembali mundur dan meng-XOR-kan karakter per
DLL (“XX” di sini merupakan versi VB) yang menampilkan file hidden dan system, Win- karakter antara string ter-enkrip dengan string
File Virus memang terinstal otomatis dalam Windows. dows Explorer tidak akan bereaksi apapun, kuncinya.
Saat kali pertama virus dijalankan, terlihat jelas Kelemahannya adalah apabila file tersebut dikarenakan virus ini telah mengubah default Setelah di-decrypt, barulah terlihat string lain
dengan munculnya sebuah file batch (.bat) baru, tidak ada, virus dan semua program VB yang value milik setting-an Folder Options di registry. seperti daftar alamat situs dan nama-nama prog-
dengan nama “Autoexec.bat” pada desktop Anda. membutuhkan program tersebut tidak akan bisa Untuk pesan, pembuatnya mengubah nilai ram utility penganalisis virus dan juga program
Jika file ini Anda klik, ia akan menampilkan jalan. LegalNoticeCaption dan LegalNoticeText, dan antivirus yang diblok olehnya, seperti navw32,
pesan dari pembuat virus dalam kotak Command Yang virus ini lakukan adalah memodifikasi file akan muncul setiap memulai Windows. griso, procexp, hijack, dan masih banyak lagi. Ia
Prompt. Dibalik itu, ia pun segera membuat MSVBVM60.DLL dengan mengubah resource juga mencoba menghubungi beberapa situs di
beberapa file induk dengan nama “Adobe update. icon yang terdapat pada file library tersebut dari Resident in Memory Internet untuk memperbarui diri, yakni http://
com” dan “Adobe Online.com” pada direktori icon standar program VB menjadi icon folder, BlueFantasy-Erikimo akan memonitor se- indonesianvxzone.cjb.net/indo-nesianvxzone.jpg,
startup. dan menghapus resource version information tiap direktori/folder yang kita kunjungi. Jadi, http://vaksin.cjb.net/vak-sin.jpg, http://34refds.cjb.
Serta pada root direktori dari setiap drive An- yang terdapat juga di dalamnya. Terakhir, ia saat Anda memasuki sebuah direktori C:\ net/34refds.jpg, http://43ti45s.cjb.net/43ti45s.jpg.
da pun akan terdapat tiga buah file baru, yakni mengubah namanya menjadi “Thumbs.db” (ada WINDOWS misalnya, maka sang virus akan SRAP
24 01/2009
P
C Media Antivirus mengenali virus ini di-compress, namun untuk file inti virus
dengan nama Kspoold. Ia merupakan kspoold.exe dan avmeter32.dll di-compress
hasil kreasi “virus maker” lokal. Virus menggunakan UPX.
yang dapat berjalan pada sistem operasi
berbasis Windows ini dibuat menggunakan Infeksi Dokumen
Delphi. Oleh beberapa antivirus lain, dikenali Jika ditemukan adanya drive flash disk, dan
sebagai Loops, Spold, atau Delf.axz. Virus ini di dalamnya terdapat file .doc atau .xls, akan
sudah menyebar dengan luas, terbukti dari langsung diinfeksi. Caranya menginfeksi hanya
banyaknya laporan ataupun kiriman virus dari meng-append dokumen di akhir tubuhnya.
pembaca. Pada file terinfeksi, ia juga menyimpan
Kami sendiri sudah memiliki beberapa varian informasi file dokumen seputar file yang telah
dari virus ini, dan yang akan dibahas pada edisi ia infeksikan tersebut, contohnya tipe file
ini adalah KSpoold.A, yang memiliki ukuran tersebut sebelum diinfeksi, apakah file .doc
sebesar 331.299 bytes, dan juga memiliki icon atau file .xls. Icon file terinfeksi juga diubah file avmeter32.dll. File tersebut merupakan dengan process atau thread lainnya. Thread
berbentuk mirip sebuah gear. menjadi icon Word atau Excel, tergantung file pendukung virus yang di-inject ke dalam tersebut ditugaskan oleh virus ini untuk
tipe dokumen yang ia infeksi. process explorer.exe untuk memonitor process mencari file-file pada komputer Anda untuk
Bagaimana Ia Menginfeksi? virus di memory. Jadi, setiap kita mencoba diinfeksi atau dirusaknya.
Saat file dokumen yang telah terinfeksi Services, Bukan Process untuk mematikan process virus ini di Task Akibat lain dari virus ini adalah ia juga akan
kali pertama dijalankan, sebelumnya ia akan Virus ini tidak mengubah setting-an registry Manager, ia akan tetap aktif kembali, sekalipun merusak setiap file dengan tipe extension,
mengekstrak beberapa bagian file. Yakni seperti kebanyakan virus lainnya, seperti kita mencobanya dengan meng-kill process, seperti .mdf, .ldf, ataupun .dbf. Ketiga tipe file
mengeluarkan tubuh aslinya atau file induk menambah item Run di registry, agar dapat lalu menghapus file-nya. Ini juga karena ia tersebut merupakan file yang biasa digunakan
untuk ditanamkan pada direktori System32 aktif otomatis pada saat memulai Windows. telah menyimpan backup file induknya pada oleh aplikasi database. Akibatnya, file yang
Windows, mengeluarkan isi dokumen asli Tapi, tidak membuat item Run di Registry direktori user Temp, dengan nama “Uninstall telah ia rusak tidak akan bisa dibuka lagi
ke direktori aktif, lalu mengaktifkan dirinya ataupun membuat file “shortcut” di folder Log.dat”. dengan aplikasi atau program database-nya.
di memory dengan nama kspoold.exe, dan StartUp, bukan berarti virus ini tidak dapat Virus tersebut juga menciptakan beberapa file
menjalankan dokumen yang telah ia ekstrak berjalan otomatis saat memulai Windows. Ia Virus Beraksi log pada direktori temp Windows.
tadi. tetap dapat aktif, karena ia me-register dirinya Jika virus sudah menetap di memory, tidak Pada direktori %Windows%\%Temp%\
Virus ini memiliki dua buah bagian, yang sebagai services dan bukan process. banyak resource memory yang terkuras. Karena akan terdapat file KSPOOLD.TXT. Selain itu,
pertama adalah “Extractor”, dan kedua adalah Services adalah aplikasi yang dapat berjalan biasanya, jika komputer terinfeksi oleh virus pada direktori yang sama akan terdapat juga
inti virusnya. Extractor bertugas untuk meng- otomatis, pada saat memulai Windows, pasti menguras habis resource komputer Anda, file dengan nama Uninstall%Drive%.TMP,
extract dokumen dan tubuh atau file inti virus. dan akan terus aktif secara “background” di dan hasilnya komputer akan berjalan sangat %Drive% di sini merupakan huruf alfabet dari
File inti virus ini akan terdapat di direktori memory. Jadi, ia tidak perlu lagi membuat lambat. Inilah yang membuat terkadang nama drive Anda, misalnya UninstallC.TMP.
System32 Windows dengan nama kspoold. “autorun” untuk dirinya, karena sudah dibuat user tidak sadar bahwa komputernya telah Anda juga dapat menemukan file log lainnya
exe. oleh Windows secara otomatis. terinfeksi virus macam Kspoold ini. Apalagi ia pada direktori \Documents and Settings\
Pada saat file ini dijalankan, ia juga akan sudah menggunakan “Thread”. Thread dalam %UserName%\Local Settings\Temp\AEGIS.
membuat sebuah file dynamic link library Injection programming bisa diartikan seperti sebagai TXT. Dengan membaca file log tersebut, kita
(.dll) pada tempat yang sama dengan nama Seperti yang telah kami singgung di atas, sebuah process yang mengerjakan sekum pulan dapat mengetahui apa saja yang dikerjakan
avmeter32.dll. Untuk Extractor-nya tidak bahwa virus ini juga menciptakan sebuah instruksi tertentu, yang berjalan secara paralel oleh virus ini. Menarik, kan? SRAP
V
irus Chasnah ini diketahui sudah agak Pada direktori Application Data juga akan .exe, .com, dan .scr juga diubah agar saat user nampilkan pesannya kembali. Beberapa fitur
lama juga bermasyarakat. Beberapa terdapat subdirektori dengan nama, misalnya mengeksekusi tipe file tersebut, sebelumnya penting Windows juga akan diblok olehnya,
varian Chasnah yang kami miliki me- chasnah.20-6-2007. Tanggal di akhir nama akan diarahkan ke file virus. seperti Task Manager,Regedit, Command
miliki ukuran sebesar 80.896 bytes, dan varian direktori tersebut merupakan tanggal kali per- Prompt, dan lain sebagainya.
lainnya memiliki ukuran 77.824 bytes, dalam tama Chasnah menginfeksi komputer Anda. Sebar ke Flash Disk Karena ia dapat membaca setiap nama file
keadaan di-pack menggunakan UPX. Ia Dan tak lupa, seperti halnya kebanyakan virus Dengan kemampuannya yang dapat yang dieksekusi, dan juga caption dari program
diprogram menggunakan bahasa Visual Basic, lokal lain yang ingin pamer, ia juga memiliki mengubah-ubah icon sesuai keinginannya, yang sedang berjalan. Apabila ditemukan
dan dapat menyebar di lingkungan sistem file pesan-pesan dengan nama chasnah.htm, ini memberikan peluang yang besar bagi virus program yang mengancam kelangsungan
operasi berbasis Windows. yang disimpan pada direktori \Documents untuk dapat mengelabui sang korban. Seperti hidupnya, maka akan langsung ia close. Ini
and Settings\All Users\Application Data\. yang dilakukannya saat menginfeksi flash berlaku juga bagi program antivirus, karena
Teknik Infeksi Tak ketinggalan, direktori Windows pun disk, pada flash disk akan terdapat beberapa pada tubuhnya pun terdapat banyak sekali
Saat dieksekusi, ia akan menanamkan file ia tempati. Pada direktori ini akan terdapat file baru dengan nama-nama yang menggoda string nama-nama program yang ia masukan
induk ke beberapa direktori yang akan dijadi- file induk lainnya, dengan nama albasya.exe, user untuk mengkliknya. Contohnya, Install_ daftar black list. Beberapa string tersebut
kan sebagai tempat tinggalnya. Seperti di root sca.exe, dan sitta.exe. Serta sebuah file teks Deep_Sea_Screensaver.exe, avg72free_435a seperti PCMAV, VAKSIN, MCAFF, NOR-
drive tempat sistem operasi berada, biasanya chasnah.ini, yang berisi tanggal dan waktu 20.exe, Install_winamp_full5.25_pro.exe, ten- MAN, KASPERS, dan masih banyak lagi.
C:\, dengan nama UserInit.exe, bitblt.exe, eksekusi virus ini. tunya dengan icon yang juga sesuai dengan Perlu diketahui, virus ini memanfaatkan
dan ntoskernel.exe. Pada lokasi \Documents Agar ia dapat aktif otomatis saat start nama file tersebut agar lebih meyakinkan. fungsi WMI (Windows Management Instru-
and Settings\%username%\Local Settings\Appli- Windows, ia pun akan menaruh beberapa mentation) untuk mencari dan membunuh
cation Data\, akan terdapat direktori dengan agennya pada direktori StartUp dengan nama Aksi Lainnya process yang ia inginkan. SRAP
nama %username%.task. Isi direktori tersebut OfficeLoader.bat dan start.exe. Jadi pada Begitu virus me-
terdiri dari beberapa file induk dengan nama memory komputer terinfeksi, akan terdapat ngetahui bahwa ada
chasnah.exe, csrss.exe, lsass.exe, server.exe, banyak sekali process virus seperti chasnah. yang mencoba untuk
smss.exe, dan file msvbvm60.dll. exe, execute.exe, bitblt.exe, ntoskernel.exe. membunuh process-
Pada direktori yang sama juga terdapat Kesemua process virus tersebut memiliki nya, ia akan menam-
kumpulan icon yang dikeluarkan dari dalam kemampuan untuk saling menjaga satu sama pilkan pesan virus
tubuhnya, mulai dari icon file WinAmp, PDF, lain. Artinya jika ada process virus yang tidak dalam bentuk HTML
TXT, sampai icon program antivirus. Icon- aktif, maka ia akan mengeksekusinya lagi. pada browser, selan-
icon yang telah di-extract dari dalam tubuhnya jutnya komputer akan
itu digunakannya, agar ia dapat dengan leluasa Mengubah Registry di-logoff.
mengubah icon dirinya sendiri. Selanjutnya, di Virus ini menambahkan item Run, bisa Virus ini juga mem-
\Documents and Settings\All Users\Application ditemukan pada key HKCU\Software\Microsoft\ buat item baru pada
Data\ juga akan terdapat beberapa file induk Windows\CurrentVersion\Run\ dengan nama Schedule Task Win-
lainnya, dengan nama seperti flash.exe, folder. Media Adapter, dan sittachasnahalbasya, yang dows dengan nama
exe, pdf.exe, txt.exe. File induk yang ada di diarahkan kepada file induk yang telah ia chasnah, yang akan
direktori ini merupakan file induk yang sudah buat sebelumnya. Nilai default dari UserInit aktif setiap hari pada
ia ubah icon-nya. File -file ini dijadikan sebagai dan AlternateShell juga diubah dengan pukul 20.30. Saat
file sumber, jika nanti ia ingin membuat file mengalihkan ke file induk virus. Parahnya schedule ini dieksekusi,
duplikat di harddisk ataupun flash disk. lagi, konfigurasi registry shell-extension tipe virus juga akan me-
01/2009 25
S
angatlah mudah membuat virus meng- Saat file Fast Firus Engine.exe dijalankan, \%WINDOWS%\%system32%\ akan terdapat Options juga diubah agar tidak menampilkan
gunakan Virus Generator. Virus Gene- maka pengguna akan dihadapkan pada sebuah file copy.pif, _default.pif, dan surif.bin. extension dan setiap file dengan attribut hidden.
rator merupakan program untuk dapat interface. Anda hanya disuruh mengisikan nama Selain itu, ia juga mengubah atau membuat Dan agar dapat aktif pada safe-mode, ia pun
membuat virus secara mudah dan instan. virus, nama pembuat, dan pesan-pesannya. file Oeminfo.ini yang merupakan bagian dari mengubah nilai dari item SafeBoot. Terakhir,
Bermula dari sampel sebuah virus yang lumayan Lalu dengan menekan tombol Generate, maka System Properties. Jadi apabila komputer Anda ia memanfaatkan registry Image File Execution
banyak dikirimkan oleh pembaca kepada kami. jadilah virus Anda. Cara kerja dari Generator terinfeksi oleh virus hasil generate dari FFE, Options, untuk memblok aplikasi berikut cmd.
PC Media Antivirus mengenalnya dengan nama tersebut sebenarnya sangat sederhana. Ia hanya maka pada System Properties akan terdapat exe, msconfig.exe, regedit.exe, dan taskmgr.exe.
Gen.FFE-Fajar, namun antivirus lain ada juga menambahkan data yang Anda masukkan tulisan “Generated by Fast Firus Engine”.
yang menyebutnya dengan nama Brontok. tadi ke bagian akhir file virus asli (data.ex_). Di direktori \%WINDOWS%\%System%\ Bagaimana Virus Menyebar?
D. Virus tersebut dibuat menggunakan Virus Nantinya informasi tersebut digunakan oleh akan terdapat beberapa file induk lagi yang Saat user mencolokkan flash disk pada
Generator. virus dalam proses infeksi. menggunakan nama yang sama seperti file komputer yang terinfeksi, maka pada flash
system milik Windows, seperti csrss.exe, disk tersebut akan terdapat beberapa file
Fast Firus Engine (FFE) Bagaimana Virus Menginfeksi? winlogon.exe, lsass.exe, smss.exe, svchost.exe, baru, seperti explorer.exe, %virusname%.exe,
Pembuat generator tersebut menamakan Virus hasil ciptaan FFE juga di-compile dan winlogon.exe. Dan tak lupa, pada root msvbvm60.dll, desktop.ini, dan autorun.inf
program buatannya itu dengan nama Fast dengan metode Native Code. Lalu di-compress drive pun akan terdapat file dengan nama untuk mempermudahnya running. Juga ada
Firus Engine. Virus Generator ini dibuat menggunakan tELock agar ukurannya semakin “baca euy.txt” yang berisikan pesan–pesan dari file virus lainnya yang disimpan pada direktori
menggunakan bahasa Visual Basic, dan di- kecil. Virus ini memiliki ukuran tubuh asli si pembuat virus. Jadi pada saat membuat virus baru dengan nama Recycled yang berisikan
compress menggunakan packer tELock. Dalam sebesar 55.296 bytes. Saat virus kali pertama dengan menggunakan generator tersebut, file Firus.pif dan Folder.htt. Semua file virus
paketnya terdapat dua buah file, yakni Fast dieksekusi, ia akan membuat beberapa file maka pembuatnya akan disuguhkan beberapa tersebut dalam kondisi hidden.
Firus Engine.exe dan data.ex_. Fast Firus induk di beberapa lokasi. Seperti di direktori kotak input, seperti Author of the virus, Name
Engine.exe merupakan program utama dalam \%WINDOWS%\, akan terdapat file dengan of the virus, dan Messages. Nah, isi dari kotak Virus Beraksi
pembuatan virusnya, dan sementara file data. nama .exe, Win32.exe, activex.exe, dan messages ini yang nantinya ditampilkan pada Untuk dapat bertahan hidup, setiap program
ex_ sebenarnya merupakan badan virus asli %virusname% (nama virus sesuai yang diisikan file “baca euy.txt” tersebut. yang tidak ia inginkan seperti tools atau
yang belum dimodifikasi. oleh sang pembuatnya pada generator). Di Setelah virus berhasil meng-copy-kan file program antivirus termasuk PCMAV akan
induknya ke dalam sistem tersebut, ia akan diblok. Sama seperti halnya data registry yang
menjalankan file induk tadi sehingga pada diubah, data mengenai program apa saja yang
memory akan terdapat beberapa process virus diblok olehnya juga terdapat dalam tubuhnya
yang namanya mirip dengan milik Windows, dalam kondisi terenkripsi.
seperti csrss.exe, winlogon.exe, lsass.exe, smss. Jadi, saat virus sudah stay di memory, ia akan
exe, svchost.exe, dan winlogon. exe. memonitor setiap program yang diakses oleh
user, yakni dengan membaca nama file dan juga
Mengubah Registry caption Window. Beberapa nama file antivirus
Ia mengubah default value dari item Userinit, yang dicoba untuk dibloknya adalah nav.exe,
serta menambah item run baru dengan na- avgcc.exe, njeeves.exe, ccapps.exe, ccapp.exe,
ma present, Default dan %username%, agar kav.exe, nvcoas.exe, avp32.exe, dan masih
dapat running saat memulai Windows. Type banyak lagi yang lainnya. Termasuk beberapa
information file .exe juga diubah dari Appli- program setup atau installer juga tidak dapat
cation menjadi File Folder. Setting-an folder dijalankan pada komputer terinfeksi. SRAP
26 01/2009
P
C Media Antivirus mengenal virus ini resource yang terdapat di dalam tubuh sang virus, terdapat file dengan nama Index.com. Dan di menampilkan extension setiap file, dan tidak
dengan nama GetRaw. Virus lokal yang dan ia pun cukup cerdik untuk menentukan direktori \Windows\Inf akan ada file dengan akan menampilkan file dengan atribut hidden.
satu ini dibuat menggunakan bahasa file induk mana yang akan ia extract dari nama modem.inf yang sebenarnya adalah file Ia juga menghilangkan menu “Hide protected
Visual Basic dengan besar ukuran tubuhnya dalam tubuh sang virus. Contohnya, untuk executable virus. Lalu, ia pun akan membuat operating system files (Recommended)” dari
42.496 bytes dalam keadaan terkompresi dengan file “Adobe Reader Speed Launch.exe”, ia akan file tiruan lainnya di Start Menu \Documents registry, jadi Anda tidak akan bisa menampilkan
UPX. Virus ini menyerang operating system meng-extract resource yang memiliki icon and Settings\All Users\Start Menu\Programs\ file-file system Windows. Selebihnya, program
Microsoft Windows. Icon yang digunakan Adobe Acrobat. Ini dilakukannya tentunya Accessories\Windows Explorer.exe, dan pada \ ini tidak mengunci apa-apa. Artinya, Anda
oleh virus ini mirip seperti icon milik program agar sang user tidak curiga. Documents and Settings\All Users\Start Menu\ memang masih dapat menjalankan program
WinAmp yang biasanya terasosiasi dengan file Tidak hanya itu, pada direktori \Program Programs\Games\Solitaire.exe. atau utility Windows seperti MsConfig,
.mp3. Beberapa antivirus lain mengenalnya Files\Adobe ia pun akan menaruh file “Adobe Ditambah lagi, ia akan menempatkan satu Regedit, Task Manager, ataupun Command
juga sebagai Ciluka. Virus tersebut memiliki Reader.exe”. Pada direktori \Documents and file induk pada \System Volume Information\_ Prompt.
sedikit informasi pada Version Information-nya. Settings\%username%\Templates\ juga akan restore{5BF8436B-A928-4855-4F90-
Anda bisa membuka properties file tersebut 0F42F2E55AA3}\RP0\A0000001.exe Bagaimana Ia Menyebar?
dengan mengklik kanan>properties. Lalu, jika dengan attribute hidden, dan Anda tidak Ia akan mencoba untuk menginfeksi ke
Anda klik Product Name, maka akan muncul akan melihat string tersebut dengan mudah seluruh drive yang ada di dalam komputer
“W4Rt36”. pada tubuh file-nya karena terenkripsi. tersebut. Sama halnya juga untuk flash disk,
Direktori tersebut biasanya merupakan ia akan mencari folder atau bisa juga file mp3
Virus Resource tempat file System Restore berada. Inilah yang ada di dalam flash disk. Jika ada, maka
Saat kali pertama aktif, ia akan mengeluarkan mengapa kami selalu menyarankan Anda ia akan meng-hidden-kan folder tersebut, dan
beberapa file induk dari dalam tubuhnya ke untuk selalu mematikan fasilitas System digantikan dengan file virus yang menyerupai
beberapa tempat di komputer korban. Secara Restore sebelum menjalankan atau folder. Selain itu, Anda juga akan menemukan
teknis, di dalam executable tersebut ia memiliki membersihkan virus, untuk menghindari file inti dari virusnya dengan nama USBDrivers
resource dengan nama CUSTOM yang terdiri agar komputer tidak terinfeksi ulang. pada drive flash disk Anda tersebut.
dari lima buah item di dalamnya. Kelima item
tersebut berjenis file executable dengan icon Enkripsi Ciri Virus
yang berbeda-beda. Ada yang mirip seperti file Teknik enkripsi yang digunakan ada- Di dalam tubuh virus ini terdapat kata–kata,
program Adobe Acrobat, Windows Explorer, lah dengan memajukan nilai karakter yakni “Center The 3ONK, T364L, INDONE-
Solitaire, Screensaver, dan Folder. dari suatu huruf. Namun, ia hanya me- SIA”. Pada komputer terinfeksi, Anda pun
nyandikan setiap karakter yang berupa akan menemukan sebuah menu tambahan
Bagaimana Cara Kerjanya? angka atau huruf dan tidak untuk selain jika Anda melakukan klik kanan pada sebuah
Pada direktori Windows, akan ada sebuah file itu. objek yang berjenis direktori. Menu tersebut
induk dengan nama SMSS.EXE. Sementara di adalah “Windows Explorer”. Cara yang ia
direktori System32 akan terdapat file baru juga Infeksi Registry lakukan adalah dengan membuat item baru di
dengan nama Vista.scr dan Explorer.pif. Selain Beberapa item Run dibuat dan di- registry pada key HKEY_LOCAL_MACHINE\
itu, lihatlah pada root drive operating system arahkan kepada file virus. Ia juga me- SOFTWARE\Classes\Directory\shell\Windows
Anda berada, biasanya C:, akan terdapat file ngeset screensaver dari komputer korban Explorer. Jika menu ini Anda klik, maka ia
dengan nama CilukBaa.exe dan Adobe Reader untuk mengarah ke salah satu file induk akan menjalankan salah satu file induk virus.
Speed Launch.exe. File induk ini berasal dari virus. Folder Options di-set untuk tidak SRAP
V
irus yang dibuat menggunakan bahasa Windows Explorer di kolom Type. hal pornografi seperti yang banyak tersedia di Keluarga.jpg menjadi Parents_FotoKeluarga.
Visual Basic ini memiliki ukuran tubuh Folder Options pun menjadi target selan- Internet, seperti file 3gp, rm, dan .jpg. Yang jpg0,8408871.bmp.
sebesar 106.496 bytes, dan tidak di- jutnya. Ia menyembunyikan menu Folder ia lakukan adalah dengan mencari ke seluruh
compress sama sekali. Icon yang digunakannya Options dari Windows Explorer, dengan drive yang ada di komputer Anda file-file Bagaimana Ia Menyebar?
mirip dengan file teks atau Notepad. sebelumnya mengeset Folder Options untuk dengan extension tersebut. Jika ditemukan ia Ia akan mencari drive apa saja yang terpasang
Pada saat kali pertama komputer terinfeksi, tidak menampilkan extension, dan file dengan akan meng-encrypt-nya sehingga file tersebut di komputer, termasuk flash disk, karena akan
ia akan menciptakan beberapa file induk pada attribut system. Untuk menambah tingkat tidak dapat dibuka. Enkripsi ini hanya di-copy-kan beberapa file virus pada root drive
direktori Windows dan System32 dengan pertahanan sang virus, ia pun menambahkan menggunakan instruksi XOR (Exclusive OR) tersebut dengan nama “Hr Vs M31.txt.exe”
nama Parents.exe, Parents.com, dan Parents. item DisableRegistryTools, DisableTaskMgr, dengan satu kunci, yakni string “Bajingan”. dan “Indahnya Kencani Mei.txt.exe”. Anda bisa
pif. Nantinya file tersebut yang akan dieksekusi dan DisableCMD pada key Policies di Registry. Ia akan meng-XOR-kan byte-per-byte dari melihat bahwa ada jarak spasi cukup banyak
kali pertama saat memulai Windows. Serta tak Ini berakibat, Anda tidak bisa dengan mudah plaintext atau teks/byte asli dengan kunci yang antara nama file dengan extension file yang
lupa sebuah file teks berisi pesan singkat dari menjalankan program Registry Editor, Task telah ia tetapkan agar menghasilkan ciphertext asli, ini merupakan trik lama yang banyak juga
sang pembuatnya dengan nama Parent@KR Manager, dan Command Prompt. atau teks/byte yang telah terenkripsi. digunakan oleh virus. Awas, jangan tertipu!
BvB.txt juga ada di direktori Windows. Namun dengan sedikit trik, kita sebenarnya Enkripsi ini memiliki kelemahan, karena
masih bisa masuk ke registry. Caranya pada saat ia meng-XOR-kan byte $00, maka Virus Beraksi
Mengubah File Type dengan meng-copy-kan file regedit.exe de- akan terlihat kunci enkripsinya. Selanjutnya, Seperti yang telah sedikit disinggung sebe-
Item autorun baru diciptakan di HKEY_ ngan nama sembarang, lalu jalankan file file yang telah ia enkrip akan diubah nama lumnya, virus ini menciptakan sebuah file teks
LOCAL_MACHINE\SOFTWARE\Microsoft\ tersebut menggunakan user lain, misalnya file-nya dengan menambah awalan Parents_ yang berisi sedikit pesan dari sang pembuatnya.
Windows\CurrentVersion\Run\ dengan nama Administrator, melalui menu Run As yang dan dengan extension .bmp. Misalnya, Foto- Namun tidak hanya itu saja, karena saat virus
Servicex. Sebagai benteng pertahanan, dengan muncul ketika Anda mengklik kanan file aktif, komponen Timer
memanfaatkan Image File Execution Options tersebut. pada virus tersebut akan
ia mencoba memblokir program msconfig.exe User pun tidak bisa masuk ke safe mode mencocokkan waktu di
dan regedit.exe, dengan mengarahkan kepada karena beberapa key penting di Registry komputer Anda, apabi-
file Notepad.exe. Akibatnya, setiap Anda yang mengatur masalah Safe-Mode ini la menunjukkan pukul
mengeksekusi msconfig.exe ataupun regedit. telah dihapusnya. Jadi saat masuk dalam 12:10:00 atau 15:10:00,
exe, maka Windows malah akan membuka file modus Safe-Mode, komputer Anda akan ia akan menampilkan
tersebut dengan Notepad, jadi yang muncul menampilkan layar BSOD (Blue Screen kotak pesan lainnya. Dan
hanyalah karakter-karakter binary pada of the Death). pada 09:10:00, ia akan
Notepad Anda. Informasi pada System Properties juga meng-copy-kan setiap file
Beberapa konfigurasi file (shell extension) akan berubah apabila komputer Anda virus ke setiap drive. Juga
tipe tertentu pun ia ubah, di antaranya file telah terinfeksi. User Name akan diubah dengan memanfaatkan
dengan tipe REG, dengan type information menjadi “Parents”, dan User Organization registry, ia mengubah set-
seharusnya adalah Registration Entries diubah menjadi “HAP < HackerAntiPorn >”. ting-an halaman default
menjadi Parents-File. File 3GP diubah dari Internet Explorer An-
menjadi FileBajingan, file RM diubah menjadi Encryption da menjadi http://www.
FileBajingan2, dan terakhir file .EXE diubah Seperti semboyannya yang “Hacker Anti sampoernafoundation.org.
dari Application menjadi Word Document. Porn” tersebut, ia pun akan memberantas Entah apa maksudnya.
Semua keanehan tersebut akan terlihat pada file-file yang biasanya digunakan untuk SRAP
01/2009 27
W
indx atau dikenal juga dengan nama memang mirip dengan file milik Windows, baru lagi dengan nama .sysm atau ia namakan hanya membuat file Desktop.ini yang ia
Mysamurai ini dibuat dengan bahasa tapi file Windows yang asli adalah “explorer. sebagai System Mechanic. Kedua tipe file palsu tempatkan pada direktori Windows. File
Visual Basic. Diketahui ia telah exe” dan bukan “explore.exe”. tersebut menggunakan icon bergambar seperti Desktop.ini sebenarnya merupakan tipe
banyak menyebar. Tubuhnya di-compress network/jaringan dan installer yang diambil file bawaan Windows yang digunakan un-
menggunakan UPX dan memiliki ukuran Aktif Saat Screensaver Aktif dari aplikasi bawaan Windows, agar user tidak tuk menyimpan setting-an suatu folder. Ia
sebesar 92.544 untuk Windx.A, dan 88.446 Nilai default untuk HKEY_LOCAL_ terlalu curiga. memanipulasi file Desktop.ini agar dapat
untuk Windx.B. Berbeda dengan virus lokal MACHINE\SOFTWARE\Microsoft\Windows Untuk tipe file executable, Windows menampilan gambar sebagai wallpaper folder
lainnya, virus Windx tidak menggunakan NT\CurrentVersion\Winlogon\Shell ia ubah Explorer di-set agar tidak menampilkan bersangkutan, dengan mengisikan nilai un-
icon folder, tapi ia pun tidak menggunakan menjadi “Explorer.exe c:\windows\Explore. extension .EXE-nya, serta mengubah type tuk IconArea_Image yang ada pada Desktop.
icon apa-apa. Jadi, jika dilihat pada Windows exe”. Dengan penambahan parameter berupa Information dari Application menjadi Icon. ini dengan “x:\windows\system32\WindXP.
Explorer, yang tampak hanyalah nama file-nya c:\windows\Explore.exe ini, saat shell Explorer Anda akan merasakan perubahan ini pada ini” yang mana file ini merupakan salah satu
saja. dieksekusi, secara bersamaan Windows pun Windows Explorer. Selain metode di atas, file pendukung virus yang telah ia buat. File
akan menjalankan virusnya. Pada HKEY_ virus ini pun dapat aktif pada saat screensaver WindXP.ini sebenarnya merupakan file
File Induk di System LOCAL_MACHINE\SOFTWARE\Microsoft\ aktif. Cara ini sudah banyak juga diterapkan GIF (Graphics Interchange Format) atau
Pada saat virus aktif kali pertama pada sistem Windows\CurrentVersion\Run\, akan ada oleh virus-virus lain. Yakni, dengan mengubah file gambar, yang jika Anda bedah file induk
yang belum terinfeksi oleh virus ini, ia akan sebuah item baru dengan nama SysRes. nilai SCRNSAVE.EXE di registry menjadi virus, file gambar ini disimpan di bagian akhir
membuat file induk pada direktori System (\ SysRes ini diarahkan kepada file induk \Windows\System32\Windows 3D.scr, yang tubuhnya.
Windows\System\). File yang ada di direktori windows\system32\Restoration.msd. sebenarnya adalah file virus. Selain itu, nilai InfoTip di file Desktop.ini
ini antara lain adalah Ngsys.exe, runer.exe, Extension .MSD yang tidak lazim tersebut AlternateShell pada key SafeBoot di Registry akan menjadi “How are you %username%,
rvshost.exe, system31.exe, userint.exe, windxp. dapat aktif layaknya executable, karena juga diarahkan kepada file induknya yang berada nice to meet you!”. Di mana %user-name% di
exe, dan winzipt.exe. Tidak hanya itu, pada sebelumnya ia me-register tipe file baru di di \windows\system32\CommandPrompt.Sysm, sini merupakan nama user saat virus tersebut
direktori System32 (\Windows\System32\), registry dengan nama .msd yang ia namakan agar dapat jalan di safe-mode. Terakhir, folder aktif. Pesan ini akan muncul ketika Anda
Anda pun akan menemukan file pendukung Microsoft System Direct, dan sebuah tipe file Options di-set untuk tidak menampilkan file mengarahkan mouse sejenak tepat di atas
atau file induk lainnya dengan nama dengan atribut hidden dan system. folder Windows. Dan masih dengan bantuan
CommandPrompt.Sysm, NvMedia.sysm, file Desktop.ini, ia mengubah konfigurasi
odbcad32.dll, Restoration.msd, shareNet.msd, Folder Windows yang Memiliki CLSID di Desktop.ini yang ada di System32,
Windows 3D.scr, WindXP.ini, dan Desktop. Wallpaper jadi saat folder ini diakses yang muncul adalah
ini. File–file inilah yang biasanya aktif sebagai Cara yang mudah untuk memasti- Control Panel.
process di memory. kan apakah komputer Anda terinfeksi
Selain di kedua direktori di atas, file induk oleh virus ini atau tidak adalah dengan Caesar Cipher
lainnya pun dapat Anda temukan pada masuk ke direktori Windows. Jika Teknik enkripsi yang digunakan sangat
direktori StartUp dengan nama Adobe-Gama. wallpaper direktori ini menampilkan sederhana, yakni hanya menggunakan teknik
pif. File ini nantinya akan berjalan secara gambar berupa tokoh kartun Jepang sandi geser atau terkenal dengan nama Caesar
otomatis pada saat memulai Windows. Tidak yang dari beberapa laporan pembaca Cipher. Untuk mengenkripsi, ia hanya meng-
puas dengan file-file induk yang telah ia buat, menyebutnya sebagai Battosai, bisa geser maju satu karakter saja. Contohnya, kata
ia juga membuat sebuah file induk lagi pada dipastikan komputer Anda telah “PCMAV” menjadi “QD-NBW”. Jadi, untuk
direktori Windows dengan nama explore. terinfeksi oleh virus ini. mendekripsinya, tinggal memundurkan 1
exe. Ingat, jangan keliru dulu!. Kelihatannya Bagaimana ia melakukannya? Ia karakter, gampang, kan? SRAP
U
ntuk berbuat kejahatan memang selalu napun, tanpa harus terinstal program Auto- Setelah dicoba, ternyata benar, program sud memerintahkan Windows Explorer untuk
ada jalan. Karena saat ini ditemukan HotKey. ini meminta password dari executable virus menyembunyikan extension dari setiap file.
virus lokal pertama yang dibuat meng- tersebut. Namun dengan meng-crack-nya,
gunakan program AutoHotKey. Apakah itu Virus Hasil AutoHotKey kami dapat dengan mudah mengetahui pass- Memantau Harddisk
AutoHotKey? Seperti yang dikutip dari situs Ada satu virus lokal yang dibuat meng- word-nya, dan script asli virus tersebut pun Seperti yang tertulis pada rutin CekHardDisk
pembuatnya (http://www.autohotkey.com), gunakan program AutoHotKey. Dikenal dapat terlihat. Dan dengan hanya mempelajari di script yang telah berhasil dibongkar, saat
Auto-HotKey merupakan sebuah program dengan nama virus Tati, begitulah PC Me- script yang ada, sangat memudahkan bagi virus ini aktif di memory, timer yang ada pada
automation, hotkeys, dan scripting yang dibuat dia Antivirus mengenalnya. Virus dengan kami untuk mengetahui apa yang diperbuat virus ini akan memeriksa setiap fixed drive
menggunakan bahasa C++, ia bersifat open penampilan mirip dengan icon folder stan- oleh virus tersebut. atau harddisk pada komputer terinfeksi dalam
source, dan diperuntukkan bagi operating system dar bawaan Windows ini, memiliki ukuran periode waktu 600.000 milliseconds atau sama
berbasis Windows. sebesar 202.263 bytes, dalam keadaan ter- Tati di Memory dengan 10 menit. Rutin ini nantinya akan
Dengan menggunakan program ini, kita kompresi menggunakan UPX. Memang, Pada saat kali pertama virus ini menginfeksi, membuat tiga file pada drive tersebut dengan
dapat mengotomatisasi setiap pekerjaan yang script yang telah dikonversi dari file.ahk ke ia akan membuat file induk pada direktori nama autorun.inf dengan attribut hidden dan
sering kita lakukan sehari-hari. Berbagai .exe menggunakan program Ahk2Exe bawaan Windows dengan nama Tati.exe. Selanjutnya, system, tati.exe, dan tati.my.love.txt.
hal dapat dilakukan dengan menggunakan AutoHotKey, secara otomatis akan dikompres ia akan langsung memanggil file tersebut File autorun.inf merupakan file bantuan
program ini, mulai dari otomatisasi penekanan menggunakan UPX. sehingga di memory akan ada process virus agar virus ini dapat aktif otomatis pada saat
tombol keyboard, pergerakan atau penekanan Program ini pun memiliki fitur untuk dengan nama Tati.exe. Selain itu, file Tati.exe user mengakses drive tersebut. File tati.exe
tombol mouse, atau bahkan menggunakan memberikan password pada file executable, akan ada juga pada direktori StartUp, default- merupakan file induk virus. Dan terakhir, file
script untuk memperintahkan AutoHotKey dengan maksud agar tidak bisa di-decompile nya biasanya terletak di C:\Documents and tati.my.love.txt merupakan file teks yang berisi
mengerjakan suatu perintah. Saat membuat kembali menjadi .ahk, sepertinya yang akan Settings\%username%\StartMenu\Programs\ pesan dari si pembuat virus.
suatu project menggunakan AutoHotKey, file dilakukan oleh si pembuat virus Tati, karena Startup atau Anda dapat melihatnya juga pada
yang dihasilkan akan memiliki extension .ahk. tentunya dia tidak ingin virusnya dapat StartUp di Start Menu. Untuk selanjutnya, Menjadi .SCR
Bersamaan dengan paket program Auto- dengan mudah untuk dianalisis. Pada situsnya, virus akan aktif otomatis saat memulai Win- Drive flash disk juga tidak luput dari
HotKey tersebut, tersedia juga program yang ada sebuah program dengan nama Exe2Ahk. dows. jangkauannya, dia akan membuat tiga file
dinamakan Ahk2Exe yang dapat mengonversi Dari namanya sudah bisa diterka, program ini seperti di atas. Dan ia juga akan membuat file
file project (.ahk) ke dalam executable. Artinya, untuk men-decompile file script AutoHotKey Sedikit Modifikasi Registry virus dengan nama yang menyerupai nama
script yang telah dibuat tadi nantinya bisa yang sudah menjadi executable (.exe) agar Virus ini cukup cuek, karena ia hanya folder yang ada, dengan extension .scr atau
dijalankan secara langsung di komputer ma- kembali menjadi script (.ahk). memodifikasi dua item registry yang dikenal dengan Screen Saver.
menyangkut masalah Windows Explorer Sebaiknya ubah View dari Windows Explo-
atau Folder Options, yakni mengisikan nilai rer Anda menjadi Details, agar dapat dengan
0 pada HKEY_CUR-RENT_USER\Software\ mudah membedakan antara folder asli dan
Microsoft\Windows\CurrentVersion\Explorer\ virus Tati. Cukup dengan melihat kolom
Advanced\ShowSuperHidden agar Windows Type, jika folder asli, maka Type-nya berupa
Explorer tidak menampilkan file dengan File Folder. Dan lebih baik, Anda nonaktifkan
attribut hidden dan system. Dan mengisikan opsi “Hide extensions for known file types”
nilai 1 pada HKEY_CURRENT_USER\Soft- dan “Hide protected operating system files”
ware\Microsoft\Windows\CurrentVersion\ pada Folder Options dengan menghapus
Explorer\Advanced\HideFileExt, dengan mak- centangannya. SRAP
28 01/2009
P
C Media Antivirus mengenali virus yang AlternateShell. Nilai dari item ini diarahkan “File Folder”, namun ia mengubahnya menjadi
satu ini dengan nama virus Stargate. kepada file induk yang ada di \WINDOWS\ “stargate”. Sementara untuk file .inf dan .exe, Tidak membutuhkan waktu lama bagi Star-
Ia merupakan virus lokal yang dibuat st4rg4tE.exe. ia mengubah tipe information menjadi “File gate untuk beranak-pinak dalam komputer kor-
menggunakan Visual Basic, dan menggunakan Dengan memanfaatkan registry yang me- Folder”. ban. Karena hanya sesaat saja, virus ini sudah
icon mirip folder. Ukuran tubuhnya sebesar nyimpan setting-an Just-In-Time Debug- memakan banyak space harddisk di komputer
46.592 bytes, dalam kondisi di-pack meng- ging, virus ini mengubah nilai dari setting-an Blok Antivirus! korban. Karena ia akan membuat duplikat
gunakan UPX. tersebut yang diarahkan kepada file induk Setiap program dengan nama file seper- dari setiap nama folder ataupun beberapa
Saat menginfeksi, ia meng-copy-kan dirinya \WINDOWS\sys-tem32\winlop.scr. Artinya, ti msconfig.exe, Avguard.exe, Winzip.exe, file yang ditemuinya, bahkan hingga ke Start
ke komputer korban, tepatnya di direktori saat terjadi crash pada suatu aplikasi, maka file Winrar.exe, attrib.exe, PCMAV-CLN.exe, Menu. Akibatnya, komputer akan dibanjiri
Windows dengan nama st4rg4tE.exe. Pada virus akan dijalankan. PCMAV-RTP.exe, killvb.exe, Zanda.exe, Zlh. dengan file ber-icon-kan folder. Virus ini pun
System32 juga ada file 4st4rg4tE.exe, materia. exe, Nvccf.exe, dan Nvcoas.exe, akan diblok. akan menguras resource dari processor, hingga
exe, ms-load.exe, dan winlop.scr. Serta di Shell Extension Ia melakukannya dengan cara menambahkan operating system ataupun aplikasi yang dijalankan
\%windows%\ime ada file bt.x.exe. Virus ini hampir menginfeksi setiap celah yang nama-nama file tersebut pada registry akan terasa lama sekali.
ada. Buktinya, setting-an registry yang mengatur HKEY_LOCAL_MACHINE\SOFTWARE\
Auto Run masalah shell extension ia infeksi juga. Beberapa Microsoft\Windows NT\CurrentVersion\Image Infeksi Flash Disk
Virus ini akan membuat item autorun baru extension yang diubah setting-nya adalah exe, File Execution Options\, dan HKEY_LOCAL_ Penyebaran utama virus ini masih me-
pada registry HKEY_CURRENT_USER\Soft- lnk, pif, bat, com, inf, vbs, ini, dan reg. Jadi, saat MACHINE\SOFTWARE\Microsoft\Windows\ ngutamakan media penyimpan data seperti
ware\Microsoft\Windows\Cur-rentVer sion\ Anda mengklik atau mengeksekusi file dengan CurrentVersion\Policies\Explorer\DisallowRun\. flash disk. Ia akan mencari pada komputer
Run\st4rg4tE,HKEY_CURRENT_USER\ extension itu, yang kali pertama dieksekusi oleh korban drive berupa removable drive, jika
Software\Microsoft\Windows\CurrentVersion\ Windows adalah virusnya sendiri, lalu oleh sang Restriction ditemukan, maka ia akan meng-copy-kan
Run\sys%username%, HKEY_LOCAL_MA- virus dialihkan menuju file asli. Itu saja belum cukup. Stargate juga akan dirinya ke drive tersebut dengan nama DCIM.
CHINE\SOFTWARE\Microsoft\Windows\ Tapi sayangnya, sepertinya virus ini terkadang melakukan pemblokiran terhadap beberapa fitur exe, serta membuat file autorun.inf agar ia
CurrentVersion\Run\Logon%username%, gagal untuk mengalihkan kepada file aslinya. Windows yang dirasanya dapat mengancam dapat aktif otomatis ketika user mengakses
HKEY_LOCAL_MACHINE\SOFTWARE\ Akibatnya, saat mengeksekusi suatu program, kelangsungan hidup sang virus. Di antaranya drive tersebut. Selain menggunakan flash disk,
Microsoft\Windows\CurrentVersion\Run\System seolah–olah tidak terjadi apa-apa. Jadi, saat adalah mematikan Command Prompt, ia pun mencoba mencari sharing folder yang ada
Monitoring. Dan memanipulasi nilai Shell dan komputer terinfeksi oleh virus ini, hampir kita meniadakan fungsi Find/Search, mematikan di jaringan tempat komputer korban terhubung
UserInit default bawaan Windows yang ada tidak dapat menjalankan program–program yang Task Manager, Registry Editor, dan juga System untuk diinfeksi.
di HKEY_LOCAL_MACHINE\SOFTWARE\ ada.Tidak hanya itu, untuk lebih mempersulit Restore.Untuk setting-an Folder Options
Microsoft\Windows NT\CurrentVersion\Winlo- korbannya, ia pun mengubah default icon pun ia ubah, yakni dengan menyembunyikan Pesan Virus
gon. dari registry terhadap file–file setiap extension dari file yang Untuk memberitahukan akan kehadirannya,
Agar terlebih dahulu mengarah kepada file dengan extension txt, jpeg, dikenalnya, dan menyembun- virus ini membuat file pada direktori Windows
induk virus yang sebelumnya, telah ia tanam- mpeg, mp3, dll, exe, dan yikan setiap file dengan attri- dengan nama St4rgt.html, lalu ia mengubah
kan pada direktori System32 dengan nama inf. Jadi, semua file dengan but hidden dan system. Dan nilai dari HKEY_CURRENT_USER\Software\
msload.exe dan 4st4rg4tE.exe. Untuk dapat extension ini akan ber-icon- jika sang user memaksa untuk Microsoft\Internet Explorer\Main\Start Page agar
aktif pada mode safe-mode, virus ini pun kan mirip folder. Semakin mengubahnya melalui menu menuju ke file tersebut. Ini mengakibatkan,
membuat/memanipulasi item AlternateShell di sulit membedakannya, bukan? Folder Options, dengan sigap saat user mengakses Internet Explorer, maka
registry pada key HKEY_LOCAL_MACHINE\ Type Information dari sebuah sang virus akan men-shutdown halaman pertama yang muncul adalah isi dari
SYSTEM\CurrentControlSet\Control\SafeBoot\ directory seharusnya berupa komputernya. file St4rgt.html. SRAP
Flash Disk
V
irus generator untuk virus jenis VBScript program tersebut.
ini dikenal dengan Vir.VBS Generator. Pada tubuh virus tersebut, ia memiliki prosedur Menu Find/Search dan Folder Options
PCMAV mengenalnya sebagai Gen. “SerangDrive(Lokasi)”, yakni sang virus akan juga dihilangkan, dengan sebelumnya
VirVBS. Dibuat menggunakan Visual Basic. mencoba menyerang beberapa drive mulai dari ia mengeset Folder Options untuk
Ukuran dari program tersebut cukup kecil, drive C hingga G. Jika drive tersebut terdapat tidak menampilkan file dengan attri-
sekitar 64.512 bytes dalam keadaan terkompresi di komputer Anda dan dapat ditulisi, ia akan but hidden dan system, dan tidak
menggunakan UPX. Generator ini mengklaim membuat copy-an atas dirinya pada drive menampilkan extension yang dikenal
dirinya dapat menghasilkan virus yang tersebut. Folder root, Folder II (Up), Folder Windows. Terdapat pula opsi “Disable
memiliki beberapa kemampuan, mulai dari III (Up). Merge Reg”, “Disable Install Inf”, dan
teknik stealth, encryption, time-bomb, hingga Maksudnya, virus ini akan meng-copy-kan “Disable Edit Vbs”.
polymorphic. dirinya ke root folder, subfolder satu tingkat
Virus generator ini memiliki user interface di bawahnya, dan subfolder dua tingkat di Polymorphic
yang terbilang simpel. Pengguna akan di- bawahnya, My Documents, Nethood, Win- Perlu diketahui, jika rutin virus ini
suguhkan beberapa opsi atau pengaturan. Mulai dows. Virus ini memerintahkan untuk me- dilihat dengan Notepad misalkan,
dari pengaturan nama virus, nama file induk nyerang direktori My Documents, Nethood, sehingga tidak terlihat pada explorer. pada bagian atas source code atau tubuh virus
virus, lokasi penyebaran, penyamaran, dan juga dan Windows. Juga dengan menggunakan akan terdapat string “Rem Sega3971486091”.
pertahanan. Hanya cukup memilih opsi yang nama file yang telah diset sebelumnya. Stealth Kata Sega di sini merupakan nama virus, dan
diinginkan dengan cara mencentangnya, lalu Ia dapat menyamarkan diri dengan meng- ini akan tergantung pada apa nama virus yang
menekan tombol Create, tak lama kemudian Recent Folder gunakan icon dari dokumen lain. Pada dibuat saat itu, sementara angka numerik
virus baru akan tercipta. Ya, hanya semudah Ini akan menyerang folder Recent atau program Virus Generator ini terdapat opsi di belakangnya merupakan bilangan acak.
itu membuatnya. folder yang berisi shortcut yang mengarah “Penyamaran icon VBS” dengan pilihan Seperti itulah polymorphic yang dimaksud oleh
kepada dokumen yang terakhir dibuka. Yang extension, antara lain doc, xls, ppt, rar, zip, rtf, pembuatnya.
Lokasi Penyebaran dilakukan virus ini, ia akan membuat short- mp3, jpg, gif, dan bmp. Misalkan yang dipilih
Beberapa lokasi penyebaran, di antaranya cut atas dirinya pada folder Recent, jadi saat adalah doc, nantinya icon file vbs akan seperti Encryption
adalah flash disk, drive, folder root, Folder Anda membuka menu Documents (Start file doc. Tidak hanya itu, type information Enkripsi yang digunakan adalah sandi ge-
II (Up), Folder III (Up), My Documents, > Documents) akan terdapat shortcut yang untuk file vbs juga diubah dari VBScript Script ser atau Caesar Cipher yang digunakannya,
Nethood, Windows, dan Recent Folder. File mengarah kepada file virus. File menjadi Microsoft Word Document, dan ditambah dengan teknik reverse atau membalik
induk utama ia tempatkan pada direktori mengeset NeverShowExt agar extension asli kata/kalimatnya. Misalkan string“WScript.
Application Data (C:\Documents and Set- Duplikat File tidak ditampilkan oleh Explorer. Shell” akan menjadi “mmfi T/uqjsdTX”.
tings\%username%\Application Data), dan Pembuat virus dapat menentukan extension
Favorites (C:\Documents and Settings\%user- file mana saja yang akan diserang, di antaranya Restriction Time-Bomb
name%\Favorites) dengan nama file yang doc, xls, ppt, rtf, rar, zip, mp3, pdf, jpg, gif, Generator ini memiliki opsi untuk memblokir Jika pembuatnya mengeset tanggal bom
telah diset oleh pembuatnya sebelumnya. bmp, docx, xlsx, dan pptx. Apabila ditemukan program atau fitur Windows yang tidak waktu, maka di tanggal tersebut user akan sulit
Lalu membuat item Run baru di Registry file dengan extension yang dipilihnya itu, maka dikehendaki, seperti Task Manager, Registry untuk login, karena virus secara terus-menerus
HKCU\Software\Microsoft\Windows\ virus itu akan membuat duplikat dengan nama Editor, MsConfig, Command Prompt, dan memanggil perintah logoff dan shutdown.
CurrentVersion\Run\%NamaFileInduk% yang sama dengan file yang ditemukannya itu, Attrib. Nanti, saat user mengakses program Dan semua file dokumen yang baru dibuka
agar dapat aktif otomatis pada saat kali hanya saja ia memiliki extension .vbs. Dan file tersebut, yang muncul malah Notepad berisi oleh user akan dihapus dengan cara membaca
pertama memulai Windows. aslinya akan diberi attribut hidden dan system bahasa binary yang merupakan isi dari file Recent folder. SRAP
01/2009 29
D
ikenal dengan nama XFly, dibuat meng- re \Microsoft\Windows\CurrentVersion\Run. ada pada resource OCX pada
gunakan Visual Basic, dan memiliki Beberapa extension pun ia ubah default direktori System32 dengan
ukuran sebesar 143.360 bytes tanpa di- open-nya agar mengarah kepada file induk di nama avg.ico, word.ico, rmb5.
compress. Saat virus mulai beraksi, ia membuat c:\WINDOWS\r4m83.exe. Extension yang ia ico, mp3.ico, jpg.ico, dan
file induk pada drive C dan D (jika ada), ubah tersebut adalah .LNK, .PIF, .BAT, dan folder.ico. Dari namanya, pas-
tepatnya ia akan membuat folder baru pada .COM. ti Anda sudah bisa mengira
drive C:\soulfly dan D:\soulfly, serta menaruh tampilan icon tersebut seperti
beberapa file induknya pada folder tersebut. File Restriksi Registry apa. Dan dia akan mengubah
induk lainnya ditempatkan pada root drive C Beberapa item baru ditambahkan, seperti resource icon pada bebera-
dengan nama yang tak lazim, yakni MSNTLR. NoFolderOptions, NoFind, NoRun, Disable- pa file executable induknya,
DYS, MSFLC.FYS, MSDLF.HHS, PSK.FLY, TaskMgr, dan DisableCMD yang maksudnya menggunakan icon yang baru
dan satu lagi bernama fadly_keren.ocx. Serta adalah untuk tidak memperbolehkan user yang telah ia extract.
membuat file dengan nama mediaplayer.exe untuk mengakses menu Folder Options,
dan rj.html pada folder startup Windows. Search/Find, Run, Task Manager, Command Berkembang Biak
Ia pun tak lupa membuat back-up terhadap Prompt, dan System Restore. Folder Options Pada flash disk yang terserang
file MSVBVM60.DLL pada direktori C:\WIN- juga diset untuk tidak menampilkan file virus ini akan terdapat file baru
DOWS\System dengan nama MSVBVM60. dengan attribut hidden dan system, serta dengan nama New Folder.exe,
DLL, dan rambe.dat. Setelah file induk berhasil menyembunyikan extension dari setiap file dengan icon folder, dan sebuah
disebar, tugas selanjutnya adalah memanggil yang dikenal. file dengan nama autorun.inf. Tidak hanya menampilkan layar hitam berisi pesan dari si
beberapa file induk tersebut, jadi memory pun lewat flash disk, sharing folder yang aktif yang pembuat virus, dan selama layar hitam ini
akan dipenuhi dengan process dari sang virus. Register Extension Baru memiliki akses write juga diinfeksi. Dan untuk muncul, sang user tidak akan bisa berbuat
Ini sangat membuat kerja processor bertambah XFly ini menciptakan file executable dengan menarik perhatian user, virus ini akan membuat apa–apa.
berat dan akan sangat terasa, saat menjalankan nama yang tak lazim, namun bisa dieksekusi. file dengan nama berbau pornografi. Pada komputer terinfeksi, caption Internet
beberapa aplikasi secara bersamaan. Itu bisa dilakukan karena sebelumnya ia Explorer, berubah menjadi “..:: x-fly ::..”,
telah me-register extension baru yang telah ia Menghapus File dengan default page yang mengarah pada
Banyak AutoRun tentukan, seperti .DYS, .FYS, .HHS, dan .FLY Saat user mencolokkan flash disk, virus file “C:\Documents and Settings\All Users\
Yang dilakukan oleh virus ini untuk dapat pada registry HKEY_CLASSES_ROOT, dan ini dengan segera akan mencari file dengan Start Menu\Programs\Startup\rj.html” yang
running otomatis saat memulai Windows, baik mengesetnya sedemikian rupa agar dikenali extension .MPG, .WMV, .AVI, .JPG, .SCR, merupakan file pesan virus. File ini pun
normal maupun safe-mode memang dibilang layaknya file executable. .ZIP, dan .RAR. Apabila ditemukan, ma- akan dijalankan otomatis pada saat memulai
cukup berlebihan. Bayangkan, ia membuat ka ia akan menghapus file tersebut, dan Windows, karena berada pada folder StartUp.
lebih dari 20 item Run baru di registry. Yang Menyamar Berganti Icon menggantikannya dengan file virus dengan Selain itu, sebuah file pesan virus dengan
pertama, ia akan memanipulasi nilai default Agar selalu dapat mengelabui korbannya, nama yang hampir sama. nama x-fly.html pun akan terlihat jelas pada
dari Userinit, Shell, System, dan AlternateShell virus ini memiliki kemampuan untuk meng- desktop, tepatnya berada pada C:\Documents
untuk diarahkan kepada file virus. ubah resource icon dirinya. Jika executable virus Pesan Virus and Settings\All Users\Desktop\x-fly.html. Dan
Selebihnya, ia membuat beberapa item run ini dibedah, pada section resource akan terdapat Jika ada aplikasi yang caption atau class-nya setiap waktu menunjukkan pukul 12:30, 16:00,
lainnya pada key HKEY_LOCAL_MACHINE\ resource dengan nama OCX. Resource OCX ini mengandung string seperti PROCESS, SETUP, atau 20:00, virus ini juga akan menampilkan
Software\Microsoft\Windows\CurrentVersion\ berisi kumpulan icon yang akan digunakannya RESOURCE HACKER, HEX WORKSHOP, layar hitam yang berisi pesan dari si pembuat
Run dan HKEY_CUR-RENT_USER\Softwa- nanti. Virus ini akan meng-extract icon yang HIJACKTHIS, atau KILLBOX, ia akan segera virus. SRAP
V
irus ini dapat menghapus koleksi video Virus Aktif file, seperti Setup.exe, Install.exe, procexp. file log bernama Amburadul_List.txt yang bisa
Anda. Ia juga melancarkan serangan Di memory akan terdapat process virus exe, msconfi g.exe, wscript.exe dan nama file ditemukan pada direktori X:\WINDOWS\
ke beberapa situs. Bagaimanakah aksi dengan nama menyerupai process atau ser- virus lain, seperti kspoold.exe, HokageFile. Temp.
selanjutnya? Virus yang dibuat menggunakan vices di Windows, seperti csrss.exe, lsass.exe, exe, dan KakashiHatake.exe. Amburadul juga
Visual Basic ini, PC Media Antivirus sudah services.exe, smss.exe, winlogon.exe, dan memanipulasi value HKLM\SOFTWARE\ Aksi Virus
mengenali beberapa varian dari virus ini, yang ~Paraysutki_VM_Community~, yang jika Microsoft\Windows\CurrentVersion\Policies\ Memang banyak hal yang dilakukan virus
sebenarnya tidak terlalu banyak perbedaan pada dilihat menggunakan program seperti Pro- System\EnableLUA dengan mengubah nilainya ini. Saat aktif, ia akan melancarkan beberapa
masing-masing variannya. Ia memiliki ukuran cess Explorer akan terlihat perbedaannya, menjadi 0, yang mungkin maksudnya adalah perintah yang mengarah kepada DDoS attack
file sekitar 50-an Kb, dalam keadaan ter-compress karena virus ini menggunakan icon seperti file untuk mematikan fasilitas security UAC (User (distributed denial-of-service attack). Perintah
menggunakan UPX yang di-scrambled. gambar. Ia juga melakukan serentetan perintah Account Control) di Windows Vista. Dan ia tersebut berupa ping dengan request packet yang
Beberapa antivirus lain mengenali virus taskkill untuk menutup secara paksa beberapa juga merusak setting-an registry untuk safe- besar yang dilancarkan kepada situs duniasex.
ini sebagai virus Autorun. Virus yang meng- process virus lain, antivirus, dan aplikasi lain mode, agar user tidak bisa masuk ke modus safe- com, data0.net, dan rasasayang.com.my. Selain
gunakan lambang mirip icon default untuk seperti misalnya kspoold.exe, tati.exe, wscript. mode. itu, virus ini diketahui juga dapat mengubah
file gambar (.JPG) ini masih menggunakan exe, winamp.exe, dan firefox.exe. headerexecutable dirinya. Pada offset $4D, vi-
media penyimpan data seperti flash disk Menghapus Data rus ini akan menuliskan jam saat itu.
untuk penyebarannya. Tapi itu bukan berarti Autorun di Registry Virus ini akan mencari file dengan extension
menghambat populasinya, karena buktinya Agar dapat running otomatis, ia mengubah nilai seperti .JPEG, .BMP, .PNG, .GIF, .TIFF, Pesan Pembuat Virus
yang kami temukan di lapangan, virus ini me- default dari HKLM\SOFTWARE\Microsoft\ .TIF, dan .3GP, untuk disembunyikan dan Dan terakhir, seperti sebuah standar
mang sudah menyebar luas di Indonesia. Windows NT\CurrentVersion\Winlogon\Shell, digantikan dengan nama file yang hampir operation procedure bagi virus-virus, Ambu-
juga pada key HKLM\SOFTWARE\Microsoft\ sama. Dan mencari file dengan extension .AVI, radul juga memiliki pesan yang ingin
Nama File Induk Windows\CurrentVersion\Run, dengan penam- .MP4, .WMV, .MPG, .MPEG, .VBS, dan disampaikan. Pada komputer terinfeksi, virus
Saat kali pertama aktif, ia akan membuat bahan item run baru dengan nama UpDaTer, .EML, yang tanpa ragu akan dihapus setiap ini akan menampilkan pesan pada caption
file induk pada C:\Windows\System32\ WinDOwsUPdate, ViSulaBaCis, BaRloNd- ia menemukannya. Di varian tertentu, setiap Internet Explorer yang bertuliskan “++++ Hey,
~A~m~B~u~R~a~D~u~L~²\. Isinya beberapa DiLhep, dan RealTimeProtector yang diarah- file yang disembunyikan atau dihilangkan Hokage/babon (Anbu*Team*Sampit), Is this
file induk yang diberi nama mirip dengan nama- kan kepada setiap file induknya. akan dicatat, dan disimpannya pada sebuah My places, Wanna start a War ++++”. SRAP
nama file system dari Windows, seperti csrss.
exe, lsass.exe, services.exe, smss.exe, winlogon. Restriksi Registry
exe, dan ~Paraysutki_VM_Community~ yang Ia men-setting Folder Options untuk tidak
kesemuanya memiliki attribut hidden dan menampilkan file dengan attribut hidden dan
system. system, serta tidak menampilkan extension un-
Dan ia juga menggunakan nama-nama yang tuk file yang dikenali oleh Windows. Opsi
menarik perhatian user saat membuat file tiruan, “Hide protected operating system files (Recom-
seperti contohnya Friendster Community. mended)” pun hilang dari Folder Options. Se-
exe, J3MbataN K4HaYan.exe, MyImages. lebihnya seperti, System Restore, menu Find,
exe, PaLMa.exe, dan beberapa nama yang Registry Editor dan Command Prompt juga ia
berbau pornografi. Saat file-file virus tersebut blok.
dijalankan, yang muncul hanyalah sebuah Ia juga memanipulasi Image File Execution
jendela preview yang kosong tanpa gambar. Options untuk memblokir beberapa nama
30 01/2009
T
ren virus jenis VBScript memang belum rus berhasil di-decrypt, tepat di bagian atas pada direktori My Documents. File yang akan terinfeksi dijalankan, virus ini akan terlebih
selesai. Dikenal oleh PC Media Antivirus source script tersebut terlihat beberapa string diinfeksi oleh virus ini adalah file-file dengan dahulu meng-extract file dokumen yang
sebagai Repvblik.vbs, yang juga virus comment yang bertuliskan seperti “Repvblik extension DOC, XLS, PPT, PPS, dan RTF, terdapat pada tubuhnya pada current directory,
lokal. Teknologi yang diusung lain daripada Ver 2.0 ^_^!”, dan juga beberapa pesan yang yang pasti sudah tidak asing lagi di mata Anda. lalu menjalankan kembali dirinya, dan seolah-
virus VBScript biasanya. Ukuran asli file virus ia sampaikan. Semua alur penginfeksiannya bisa dipelajari olah tidak terjadi apa-apa.
yang menyebar dalam lingkungan Windows ini jelas, dengan membaca rutin fungsi yang ia
sebesar 5915 bytes. Sekilas, jika dilihat secara Pesan beri nama explore_folder_and_infect_file yang Manipulasi Registry
visual menggunakan Notepad, jenis virus yang Saat virus dieksekusi, sebuah file induk akan terdapat pada tubuhnya. Cara yang ia lakukan Virus Repvblik ini pun akan dengan cerdik
memiliki extension. ditempatkan pada direktori StartUp dengan sebenarnya sangatlah sederhana, ia akan mencoba untuk mengubah default icon dari
nama Repvblik.vbs. Bersamaan dengan itu mencari di direktori My Documents file-file setiap file VBS agar menggunakan icon
Enkripsi pula, ia akan menciptakan direktori baru pada dengan extension tersebut, termasuk ke dalam Microsoft Word. Serta mengubah file type-nya
VBS ini hadir dalam kondisi terenkripsi. drive C:\ dengan nama Repvblik. Di dalam subdirektori. Jika ia menemukannya, maka menjadi “Microsoft Word Document”, dan
Bisa diketahui pada saat dibuka, karena direktori tersebut, ada sebuah file teks dengan dengan sigap ia akan menginfeksinya. menghilangkan tampilan extension .VBS pada
yang muncul hanya karakter aneh. Jika lebih nama Repvblik.txt yang merupakan pesan Dengan sebelumnya ia pun telah menghapus Windows Explorer, dengan menambahkan
teliti, di bagian paling atas terdapat string dari sang pembuat virus. Tidak hanya di situ isi dari folder Recent yang berisi data file-file item NeverShowExt pada key VBSFile di
“RPVBLK=True” atau “RPVBLK=False”. Ini saja, karena di setiap direktori tingkat pertama yang terakhir kali dibuka. Caranya meng- Registry Windows. Tentunya jika sudah begini,
merupakan pengenal untuk membedakan an- yang ia temukan pun pasti akan terdapat file infeksi adalah dengan cara meng-append file user awam tidak akan bisa membedakan antara
tara file induk dan file yang terinfeksi. Repvblik.txt. dokumen yang akan diinfeksi di bagian bawah file asli dengan file virus.
Di bagian bawah terdapat rutin yang biasa tubuh sang virus. Jadi, apabila Anda memiliki
disebut sebagai decryptor yang tentunya dapat Infeksi Dokumen! file dengan nama misalkan Skripsi.doc, maka Rename MP3
terbaca. Enkripsi yang ia lakukan hanyalah Setelah file induk berhasil dibuat, ia pun virus ini akan membaca keseluruhan isi Tidak hanya menginfeksi dokumen, ia
permainan karakter saja, biasa dikenal de- segera melancarkan jurus pamungkas, yakni dari file tersebut, lalu ditaruhnya isi dari file pun mulai mengerjai file musik MP3 koleksi
ngan Caesar Cipher. Saat seluruh tubuh vi- menginfeksi dokumen Anda yang terdapat dokumen itu di bagian paling bawah tubuh Anda. Setiap file MP3 yang ia temukan, akan
sang virus, dan memberikan tanda berupa di-rename olehnya. Yang ia lakukan adalah
string “RPVBLK=False” di bagian awal tubuh menambahkan string “Repvblik_” di depan
sang virus, yang artinya virus tersebut sudah nama file MP3 yang akan ia kerjai.
menginfeksi file. Ini biasa juga dilakukan oleh
virus lain yang memiliki kemampuan injeksi, Flash Disk
agar file yang sudah diinfeksi tidak diinfeksi Berhati–hatilah jika menemukan file dengan
lagi. File yang sudah diinfeksi namanya akan nama-nama seperti “I am So Sorry.txt.vbs”,”SMS
menjadi Skripsi.doc.vbs. Dan file dokumen Gratis via GPRS.txt.vbs”,”Indonesian and
yang asli pun akan dihapusnya. Tentu saja, their corruption!! .txt.vbs”,”Never be touched!!
kini file dokumen Anda sudah menjadi file .txt.vbs”,”Make U lofty.txt.vbs”,”Thank U
VBScript, yang sudah tentu tidak bisa dibuka Ly.txt.vbs”,”The Power of Midwife.txt.vbs”,
dengan Microsoft Word. Namun Anda tidak dan atau “NenekSihir and her Secrets.txt.
perlu bingung, biarkan PCMAV melakukan vbs” pada perangkat removable disk Anda. Itu
tugasnya mengembalikan dokumen Anda ke adalah nama file yang biasa ia gunakan untuk
keadaan seperti semula. Nanti pada saat file menyebar. SRAP
P
C Media Antivirus mengenalinya secara otomatis akan dieksekusi. Selain itu
sebagai Godham. Virus yang diciptakan ada beberapa file baru lainnya, Mercedez
menggunakan Visual Basic ini memiliki Benz.exe, Mellysa.exe, dan Kawasaki.exe yang
ukuran file sekitar 260 Kb tanpa di-compress. menggunakan icon seperti file gambar.
Virus yang didapat atas kiriman beberapa
orang pembaca ini menggunakan icon seperti Comments
file gambar, namun terkadang ia pun dapat Untuk mengetahui apakah file Anda ter-
berubah icon menjadi mirip seperti file doku- infeksi oleh virus Godham atau tidak adalah
men Microsoft Word, atau berubah menjadi dengan cara melihat Properties dari file
mirip seperti folder. tersebut (Klik kanan file > Properties). Pada
Beberapa antivirus luar mengenali virus ini file induk atau file yang terinfeksi, di bagian
dengan nama Autorun.File Induk Virus. Saat Version > Comments > Value berisi “Thank’s
virus kali pertama aktif, ia akan membuat try is program is fun “GODHAM””.
file induk pada direktori Windows dengan
nama Twunk33.exe, nòteepad.exe, regèedit. Infeksi File
exe dengan icon mirip folder. Dia pun Virus ini juga dapat menginfeksi file .DOC
menciptakan sebuah direktori baru pada \ dan JPG sehingga file yang terinfeksi tidak dapat
WINDOWS\system32\ dengan nama Pchelp dibuka dengan aplikasi yang bersangkutan.
yang berisikan file dengan nama SvcHelp. Teknik yang ia lakukan hanyalah append biasa
Exe. atau lebih tepatnya menambahkan di akhir file
virus. Jadi, seluruh isi file korban ditaruhnya
Sedikit Utak-atik Registry di bagian bawah file virus. Virus tersebut juga
Selanjutnya, ia akan membuat item Run baru memberikan penanda batas atas dan batas bawah,
di registry agar ia dapat running otomatis. Nama mengenai letak atau posisi file asli yang ada pada
item Run baru yang ia buat adalah NotepadRun tubuhnya itu dengan string “02RjFekDi±Akhir”
dan RegeditRun. Ia pun mengubah nilai default di awal, dan “01RjFekDi±Awalm” di akhir.
dari shell winlogon. Selain pembuatan item Saat file .DOC terinfeksi dijalankan, maka vi-
autorun, ia juga mengeset folder options untuk rus tersebut akan lebih dahulu mengaktifkan
tidak menampilkan file dengan attribut hidden setiap program yang sedang running. Apabila Autorun Flash Disk dirinya, lalu meng-extract file asli pada direktori
dan system, serta tidak menampilkan extension ada program yang tidak ia inginkan, dengan Virus ini menciptakan file autorun.inf dan yang sama, setelah itu menjalankan file aslinya
dari file yang dikenal oleh Windows. Hanya segera akan dia beri tanda dengan blok segi file induk dengan nama Booting.com pada seolah–olah tidak terjadi apa–apa.
itu saja, dan setiap fungsi Windows ataupun empat dengan caption “Ilegal Program”, root drive, keduanya ber-attribut hidden. Beberapa user awam yang tidak menyadari
fitur-fiturnya masih dapat diakses. lalu beberapa saat kemudian virus tersebut Guna file autorun.inf tidak lain adalah un- file dokumennya terinfeksi, karena file DOC
akan mencoba men-terminate aplikasi yang tuk mempermudah virus tersebut dalam yang tidak bisa dibuka, dan walaupun dipaksa
Stay Resident dianggapnya membahayakan tersebut, yang menyebarkan diri. Karena, apabila flash disk dibuka dari Microsoft Word misalnya, file
Saat virus aktif di memory, maka akan caption-nya mengandung string antivirus, task terinfeksi dimasukkan ke dalam komputer tersebut tidak akan bisa dibaca dengan baik,
terdapat process virus yang merujuk kepada file manager, process viewer, registry editor, dan yang masih bersih, lalu user mengklik dua malah akan muncul window “File Conversion”.
induk virus. Dan ia pun akan terus memonitor process explorer. kali drive flash disk bervirus tersebut, virus SRAP
01/2009 31
F
ile yang berasal dari salah satu situs Penginfeksian drive ini dilakukannya terus- ditampilkan jika menit yang ditunjukkan saat AM, diganti menjadi Cinta, sedangkan PM
hosting file di Internet ini sangat diyakini menerus dalam interval waktu 10 ms. itu habis dibagi 5. Sebenarnya di balik itu, diganti menjadi Luka.
merupakan virus. PC Media Antivirus banyak sekali pesan lain yang ia sampaikan. Virus ini tidak hanya men-disable folder
mengenalinya sebagai SmsLucu. Virus ini Pertahanan Diri Sebagai contoh, ketika user melakukan copy- options, namun juga men-setting-nya untuk
menggunakan icon mirip icon file teks Note- Apabila ada aplikasi yang caption-nya me- paste terhadap suatu teks, pada saat Anda tidak menampilkan file dengan attribut
pad. Ia dibuat menggunakan Visual Basic, ngandung string berikut “Task, vir, av, safe, paste-kan, teks yang muncul bukanlah teks hidden, serta menyembunyikan extension file
dengan ukuran tubuhnya sebesar 73.728 bytes, process, spy”, maka akan segera ia tutup. yang Anda copy-kan tadi, melainkan teks yang yang dikenal oleh Windows. Dan yang lebih
tanpa di-compress. Untuk memudahkan dalam Beberapa fitur atau program internal Windows berisi pesan cinta. menjengkelkan lagi, virus ini memiliki rutin
mengenali virus ini, bisa dilihat pada File juga di-disable seperti display setting, regedit, yang akan memonitor posisi cursor mouse.
Properties-nya, di bagian Version Information, command prompt, serta meniadakan menu Penampakan di Mana-mana Apabila, pointer cursor berada pada sebuah
akan terdapat kata–kata seperti “buat cinta” run, control panel, find/search, dan turn off Cobalah lihat pada tampilan Windows komponen Edit Box misalnya, maka akan ia
pada description-nya atau “sms_Lucu” pada atau shutdown. Anda, dimulai dari tampilan desktop. Lihatlah disable, berubah warna menjadi grayed-out.
Internal Name. icon My Documents dan Recycle Bin, berubah Ini juga berlaku pada komponen Button, dan
Pesan Cinta menjadi lambang hati berwarna merah yang lagi caption-nya ia ubah menjadi “cinta..!!”, ini
Autorun Virus Pesan bertemakan cinta ia tampilkan pada diambil dari salah satu icon milik games pun terkadang terjadi pada caption aplikasi.
Saat file virus dijalankan kali pertama, ia akan browser default, misalnya Internet Explorer, Hearts, yakni mshearts.exe. Lalu, tombol start.
meng-copy-kan dirinya ke direktori System32 dan pada Notepad. Atau jika Anda ingin Tombol ini berubah nama menjadi tombol Data Hilang?
untuk dijadikan sebagai file induk, dengan melihatnya, pesan tersebut juga bisa Anda te- cinta. Lalu menu akan dipangkas oleh virus ini, Jika merasa data Anda hilang karena virus
menggunakan nama seperti megaria.exe dan mukan pada root direktori pada drive C: dengan yang terlihat hanyalah Programs, Documents, ini. Lebih baik Anda periksa drive C. Karena
system_usd.exe. Lalu, ia menghubungkan nama 22-11-05.html. Pesan tersebut juga akan Settings, Help and Support, dan Log Off, seperti yang dikatakan oleh sang pembuat
file induk tersebut dengan registry agar da- beberapa bagian se- virus dalam pesan singkatnya yang muncul
pat running otomatis saat kali pertama men- perti Search, Run, pada browser, “Jangan Pernah Format
jalankan komputer. dan Turn Off telah Komputermu, Semua File Yang Hilang Aku
Cara yang ia lakukan adalah dengan dihilangkan. Lalu, jika Pindah Ke Drive C”. Memang, virus ini
mengubah nilai default dari item Shell. Ia Anda mengklik Start diketahui dapat memindahkan berkas Anda ke
juga mengubah konfigurasi untuk beberapa -> Programs, akan drive C, tepatnya pada direktori Windows.
extension file, seperti .doc, .htm, .html, .jpg, terlihat bahwa menu File yang ia pindahkan adalah file bertipe
.mhtml, .mp3, .pdf, .ppt, .rtf, .txt, .url, dan Accessories berubah DOC, XLS, PPT, RTF, MP3, JPG, GIF,
.xls agar aplikasi default untuk membukanya nama menjadi “Aku ICO, BMP, MPG, HTM, TXT, JAVA, PDF,
mengarah kepada file virus tersebut. Virus ini Masih Sayank Kamu”, ZIP, RAR, 3GP, HTML, dan PHP. Misalkan,
pun terkadang menciptakan direktori baru Entertainment ber- file dokumen Anda bernama Skripsi.doc,
bernama maria, yang berisi file maya.exe dan ubah menjadi “cinta_ maka pada direktori Windows akan ber-
folder.htt. luka@yahoo.com”, nama system32Skripsi.doc. Dugaannya ini
dan lain sebagainya. merupakan bug dari virusnya sendiri. Mung-
Menyebar Pada jam atau pe- kin maksud sang pembuatnya, ia ingin
Ia akan membuat file autorun.inf dan maya. nunjuk waktu di po- memindahkan file tersebut pada direktori
exe pada setiap root drive yang dapat ditulisi, jok kanan bawah layar System32, namun salah karena kurang slash
artinya ia pun melakukannya pada flash disk. monitor Anda. Waktu “\”. SRAP
V
irus VBScript kembali menyerang. Four- Dan diyakini, ia dibuat atau dirilis pada 17 Rutin Decryptor dari file .DLL. Dan yang terakhir, menghapus
TwoOne.vbs, nama yang dikenali oleh April 2008, ini diketahui dari file pesan yang Virus yang menyerang operating system command edit dari file VBS (kanan file .VBS
PC Media Antivirus. Hadir dengan ia ciptakan. Windows ini juga diketahui menggunakan > Edit).
empat buah file dengan nama masing-masing teknik enkripsi. Sebagian dari tubuhnya telah
adalah Recycle.bin, Recycle.vbs, autorun.inf, Tinggal di System32 ia enkripsi untuk melindungi string-string Time Bomb
dan Google.jpg. Kesemuanya dengan attribut Ia membuat beberapa file induk dan di dalamnya, seperti string untuk nama file Ia juga memiliki bom waktu yang telah
System, Hidden, dan Read Only. Recycle.bin pendukungnya, seperti four2one.vbs dan induk, key registry yang ia ubah, dan isi file ia rancang. Sebelumnya, ia telah membuat
memiliki ukuran file sebesar 18.858 bytes. File Fortuna.dll yang merupakan file inti. Dan pendukung lainnya yang akan ia buat. Enkripsi file localdate.dll, jadi saat virus ini berja-
ini merupakan file paling utama di antara file explorer.vbs, google.htm, serta google.jpg yang yakni me-reverse kalimat yang akan dienkripsi, lan, secara real-time ia akan meng-compare
lainnya. merupakan file pendukung. Kesemua file virus lalu menggeser setiap karakter dengan ditam- tanggal saat ini (date*1+421000000.0421)
Jika dilihat sekilas, nama yang ia gunakan tersebut berada pada direktori \Windows\ bah satu. Jadi, untuk men-decrypt-nya cukup dan tanggal yang telah ia catat sebelumnya
cukup untuk membuat user lengah, karena System32, dan memiliki attribut System, membalikkan lagi algoritmanya. Sebagai con- (date*1+421000014.0421). Apabila selisih di
mungkin dipikirnya hanyalah bagian dari Hidden, dan Read Only. Ia pun membuat copy- toh, pada tubuhnya terdapat string “tvsjw/ antaranya lebih dari 0, maka virus ini akan
Recycle Bin milik Windows. Triknya terlihat an file pesannya pada root drive C: dengan nama fop3svpg” yang setelah di-decrypt akan menjalankan rutin bom waktunya. Beberapa
sederhana, namun terbukti masih ampuh. dan file attribut yang sama, yakni google.htm menjadi “four2one.virus”. hal yang ia lakukan adalah seperti mengubah
File selanjutnya Recycle.vbs yang memiliki dan google.jpg. Dan sebuah file berisi kalkulasi default Start Page dari Internet Explorer
ukuran file sebesar 872 bytes. File ini yang tanggal saat kali pertama virus menyebar di Stealth dengan Registry yang diarahkan ke file C:\Google.htm yang
akan bertugas memanggil file inti, Recycle. komputer tersebut, disimpannya di direktori Ia melakukan beberapa perubahan pada merupakan file pesannya. Lalu mengubah
bin. Lalu, ada file autorun.inf dengan ukuran Windows dengan nama localdate.dll. Setelah Registry. Sebuah registry value baru dengan default command dari context menu, saat
96 bytes yang bertugas untuk membuat drive dapat aktif di memory, secara terus menerus ia nama Microsoft System akan ia buat pada key klik kanan Folder > Explorer, yang akan
yang ia infeksi memiliki fungsi Autorun, untuk akan memeriksa komputer Anda untuk mencari HKEY_LOCAL_MACHINE\Software\Mic- diarahkan kepada file virus. Serta mengubah
memudahkan penyebaran virus itu sendiri. drive yang dapat ia infeksi, begitu seterusnya. rosoft\Windows\CurrentVersion\Run\ untuk default screen saver menjadi 3D Text dengan
dapat running otomatis. Ia pun menambahkan tulisan “i’m four2one ver 2.0”. Mengubah
atau mengubah registry value NoFolderOptions MouseSensitivity menjadi 1 dan MouseSpeed
dan DisableTaskmgr untuk memblok Folder menjadi 0.
Options dan Task Manager. Folder Options Saat Anda mengklik kanan suatu drive atau
pun di-set untuk tidak menampilkan file folder, akan muncul sebuah menu tambahan
Hidden. menu yang bertuliskan “%username%’s
Pada registry Image File Execution Op- Please look at Me”. Jika menu ini diklik,
tions, ia juga mengeset agar saat user akan muncul Internet Explorer yang berisi
menjalankan regedit.exe atau msconfi g.exe, pesan dari si pembuat virus. Atau jika menit
yang akan muncul adalah notepad.exe. Dan di komputer Anda menunjukan menit ke 9,
untuk mendukung aksi penyamarannya, ia 19, 29, 39, 49, atau 59, ia juga akan kembali
mengubah type information file .VBS dari menampilkan pesannya pada Internet
“VBScript Script File” menjadi “Application Explorer. Dan jika ia aktif di tanggal 5 dan
Extension”. Extension untuk file tipe ini juga di atas jam 12, ia akan membuat script yang
disembunyikan. Ia juga mengubah default icon berisi “shutdown.exe -s -t 0” yang akan men-
untuk file .VBS agar menyerupai default icon shutdown komputer Anda saat itu juga. SRAP
32 01/2009
V
irgear dibuat menggunakan Visual Basic. yang ada pada Windows Vista. Walaupun Autorun.inf dan Winamps.exe dengan attribut belakang extension tersebut, namun tidak
Yang akan coba dibahas kali ini adalah sebenarnya, virus ini tidak dapat berjalan mulus hidden dan system. terlihat. Selanjutnya, Anda ubah tampilan
varian Virgear.A yang memiliki ukuran di Vista pada user account selain administrator, Selain itu, sebuah direktori baru dengan nama Windows Explorer ke modus Details (View ->
sebesar 16.896 bytes, dan di-pack menggunakan tentu saja karena terbentur masalah privillege My Music 2008 juga akan diciptakan, pada Details), di bagian Type akan terlihat tipe dari
UPX. Ia menggunakan icon yang mirip dengan yang lebih ketat dibandingkan operating system direktori tersebut, akan berisi banyak sekali file tersebut. File MP3 yang asli memiliki Type
file .MP3 milik aplikasi WinAmp. sebelumnya, terkecuali memang Anda dengan file MP3 palsu yang sebenarnya merupakan contohnya seperti “MPEG Layer 3 Audio File”,
Ia akan meng-copy-kan beberapa file yang sengaja menjalankan dengan perintah “Run as virus itu sendiri. Nama yang ia gunakan seperti “MP3 Format Sound”, atau sejenisnya. Jika
merupakan duplikat dari dirinya ke direktori administrator”. Agnes_Monica_-_Matahariku__Ost._Jelita_ Type nya adalah Application, bisa dipastikan
yang ia beri nama system. Direktori ini terletak .mp3 ,.exe, Dewiq_feat_Kaka_-_BeTe.mp3, itu adalah virus.
di bawah direktori System32 milik Windows. Matikan Virus Lain .exe, dan masih banyak lagi yang lainnya. Dan Selain itu, lihat juga tampilan dari file
Pada direktori tersebut akan terdapat beberapa Ia mencoba untuk mematikan virus lain nama-nama ini yang selalu di-update di setiap tersebut. Apabila file yang Anda curigai
file dengan nama VirGear.exe, smss.exe, dengan menggunakan bantuan Registry Image varian barunya. memiliki jumlah spasi yang sangat banyak
Gazette.exe, Gazerock.exe, dan Nugen.exe. File Execution Options. Nama file virus yang Jika Anda lebih teliti, terdapat beberapa terutama di bagian akhir, Anda juga harus
Direktori system dan kelima file tersebut ber- dikenalinya seperti kspoold.exe, HokageFile.exe, kejanggalan pada nama file tersebut. Con- waspada, karena bisa jadi diakhir spasi yang
attribut hidden dan system. Lalu, kelima file itu atau HOKAGE4.exe. Ada juga beberapa nama tohnya pada virus ini, terdapat tanda titik segitu banyak terdapat extension asli virus yang
akan ia jalankan. program seperti Setup.exe, Install.exe, msiexec. setelah ekstensi, misalkan “Agnes Monica. sebenarnya, misalkan seperti yang dilakukan
Untuk dapat aktif otomatis, ia membuat exe, regedit.exe, dan termasuk PCMAV-CLN. mp3.”. Tanda titik tersebut mengisyaratkan oleh virus ini “Dewiq_feat_Kaka_-_BeTe.
beberapa item baru di Registry Run dengan exe dan PCMAV-RTP.exe, yang jika user bahwa sebenarnya terdapat extension asli di mp3 [%spasi yang sangat banyak%] ,.exe”.
nama seperti Winamps, Nullsoft, JetAudio, mengakses program ter- Terlihat bahwa extension asli file
CoolEditV2, dan AdobeAudition. Nama sebut akan diblok. Dan tersebut adalah EXE (executable),
yang dibuat memang terlihat mirip dengan untuk menghalau user un- dan bukanlah MP3.
nama beberapa aplikasi multimedia. Saat tuk masuk dalam modus
user menjalankan file virus, ia akan mencoba safe-mode, ia menghapus Cari dan Hapus!
untuk membuka file Clock.avi yang secara setting-an yang berkaitan Parahnya, virus ini mencari ke setiap
default terletak pada direktori Windows untuk Safe-Mode di Registry. penjuru drive akan keberadaan
dijalankan pada Windows Media Player. Pada file MP3. Jika ia menemukannya,
rutin virusnya terlihat bahwa fungsi ini akan Timer Penyebaran maka akan langsung ia hapus,
diaktifkan apabila virus dijalankan bukan pada Timer yang ia namakan dan digantikan dengan file virus
direktori induknya, yakni system. Penyebaran yang ada di dengan nama yang hampir mirip
tubuhnya di-set interval se- dengan nama file aslinya. Jadi,
Matikan UAC besar 60000 ms. Timer ini file MP3 Anda yang asli memang
Ia mengeset folder options untuk tidak bertugas untuk membuat benar–benar dihapus oleh virus ini
menampilkan file hidden dan system, serta file induk dan menyebarkan tanpa ampun. Dan sedihnya lagi,
menyembunyikan setiap extension yang di- diri ke setiap drive yang ia hal ini tidak ia lakukan hanya pada
kenali oleh Windows. Fungsi Windows lainnya temukan, termasuk Remote file MP3 saja, melainkan juga pada
seperti System Restore dan Find/Search juga Drive. Pada saat menyerang, file .3GP, .AVI, .RM, .WMV,
ia disable. Selain itu, ia pun mencoba untuk ia akan menciptakan dua .ASF, .MPG, .MPEG, dan .MP4.
mematikan UAC (User Account Control) buah file baru dengan nama SRAP
M
emiliki ukuran file sebesar 7222 bytes. coba menangkap isi dari file tersebut dan
Dikenal oleh PC Media Antivirus benar seperti yang diduga, isinya merupakan
sebagai Bungas.vbs. Jikalau virus rutin decryptor.
VBScript dienkripsi, pada tubuhnya biasanya File berisi sebuah function yang ia namakan
kita dapat melihat source code rutin decryptor- MPC, yang tak lain adalah function untuk
nya. Namun terlihat dari virus ini, sepertinya melakukan deskripsi. Teknik yang ia gunakan
sang pembuatnya mencoba sebisa mungkin sederhana saja, pertama dia akan mendapatkan
untuk menyembunyikan decryptor dari nilai ordinal karakter per karakter, pada Visual
virusnya. Basic instruksinya dikenal dengan nama
Asc. Yang kedua, nilai tersebut lalu di-mod
Tubuh Terenkripsi (modulus, fungsi numeric sisa pembagian)
Saat kali pertama membuka jeroan dengan 2, jika hasil mod habis dibagi dengan
virus ini, terlihat sekilas string–string yang nol, maka geser karakter ke kiri sebanyak 1,
dienkripsi. Bagaimana mengetahuinya? misalkan C menjadi B, dan sebaliknya. Autorun Beberapa program lain pun tidak dapat
VBScript biasanya merupakan teks murni, Setelah semua karakter ter-decrypt, File statistics.bgs dan Molin.bgs yang dijalankan, seperti rstrui.exe, msconfig.exe,
jika Anda melihat terdapat karakter–karakter terakhir ia akan melakukan string reverse, bertugas melakukan infeksi. Pertama, virus notepad.exe, wordpad.exe, agentsvr.exe, dan
ASCII aneh, kemungkinan besar VBScript yakni membalikan string tersebut untuk tersebut akan membuat file induk pada winword.exe dengan memanfaatkan registry
tersebut dienkrispi. Lalu, bagaimana cara mendapatkan string asal. File Strukdat. direktori Windows dengan nama bungas.vbs Image File Execution Options. Jika user
mendapatkan plaintext (keadaan sebelum bgs yang merupakan decryptor tersebut, dan Virusmaker.bat. Selain itu, pada direktori mencoba menjalankan program yang diblok
terenkripsi)? Kebanyakan virus VBScript setelah di-extract akan langsung ia execute, Temp user, C:\Documents and Settings\ oleh virus tersebut, yang terjadi adalah muncul
(VBS) yang menggunakan teknik enkripsi jadi rutin utama tubuh virus tersebut %username%\Local Settings\Temp, juga akan kotak Command Prompt yang berisi pesan
yang kami miliki, juga akan terdapat rutin dapat memanfaatkan rutin decryptor-nya, ada 3 file virus lainnya, yakni Bungas.vbs, “Bungas Operating System”, yang tentunya
dekripsi pada tubuhnya. Namun kalau dilihat pada VBScript hal tersebut memang dapat Virusmaker.bat, dan Virusmaker.bgs. Kesemua dibuat oleh si pembuat virus. Dan selanjutnya,
sekilas dari virus ini, kita tidak akan melihat dilakukan. Cara yang ia gunakan memang file tersebut ber-attribut hidden, read-only, dan program yang dituju tidak dapat diakses.
rutin decryptor-nya. Bagaimana bisa? ribet, tapi cukup untuk sedikit mengelabui system. Jadi, pada setting-an Windows default
Secara visual, jika dilihat di baris bagian pendeteksian beberapa antivirus. tidak akan terlihat. Agar aktif otomatis, ia Infeksi Flash Drive
tengah source code tersebut terdapat beberapa masuk ke registry dengan mengubah nilai Pada flash disk terinfeksi akan ada nama file
string yang ditulis terbalik seperti penggalan Membelah Diri Shell, dan mencoba membuat item Run random yang menggunakan kombinasi dari
berikut ini “))1,I,nillA(diM(csA=orplA”, yang Ada dua file lainnya yang di-extract dari baru pada HKEY_CURRENT_USER\Soft- Tanggal+Bulan+Tahun, misalkan 29112008.
jika dibalik akan menjadi seperti ini “Alpro= dalam tubuhnya, yakni statistics.bgs, 2656 ware\Microsoft\Windows\CurrentVersion\Run vbs, dan file autorun.inf. Pada virus ini,
Asc(Mid(Allin,I,1))”. Terlihat sepertinya ini bytes, dan Molin.bgs yang memiliki ukuran dengan nama bungas. autorun.inf didesain menggunakan field “shell\
merupakan permainan karakter, kemungkinan sebesar 3413 bytes. Kedua file tersebut Properties\command”. Jadi, saat user mengklik
bagian dari rutin decryptor. Untuk mencoba sudah dalam kondisi ter-decrypt. Di kedua Restriction kanan drive terinfeksi, dan memilih Properties,
membuktikannya, maka file virus tersebut kami file tersebutlah sebenarnya inti dari virus Ia melumpuhkan dan men-disable beberapa virusnya akan aktif. Dan seperti yang terlihat
jalankan. Dengan sekejap, setelah dijalankan, tersebut. Intinya, pada file virus utama, tidak fungsi Windows. Mulai dari Regedit, Task pada source code-nya, virus tersebut juga akan
ia membuat sebuah file baru dengan nama ditemukan atau mencirikan adanya rutin yang Manager, dan Folder Options. Setting- mencoba mendapatkan sharing object yang ada
Strukdat.bgs, tak lama kemudian file tersebut membahayakan, dan lagi pada file virus utama an Folder Options juga ia set untuk tidak pada jaringan setempat, jika berhasil, ia akan
dihapus kembali olehnya. Untuk itu, kami kebanyakan string dalam keadaan terenkripsi. menampilkan file attribut hidden dan system. meng-copy-kan file bungas.vbs. SRAP
01/2009 33
Inilah Definisinya! Windows Vista 5 Untuk menonaktifkan autoplay hanya pada jenis removable disk, Anda
dapat memilih pilihan Take No Action pada pilihan Software and
Games, Pictures, Video Files, Audio Files dan Mixed Content.
Mematikan Autoplay Klik Save.
Autoplay
Sebuah fitur yang terdapat pada
sistem operasi Microsoft Windows
Untuk mencegah virus berjalan secara otomatis ketika removable disk
dengan tujuan mempermudah, dan
disambungkan ke komputer, Anda harus mematikan autoplay pada media
mempercepat akses media input yang
tertentu terlebih dahulu. Ada banyak cara untuk mematikan autoplay pada
dikoneksikan ke komputer. Ketika
flash disk atau apapun media yang digunakan. Bisa dari registry ataupun
fitur Autoplay diaktifkan, ketika user group policy.
memasukkan CD, flash disk, dan se-
bagainya, maka konten pada media Tip berikut adalah cara mematikan
tersebut akan dibaca secara otomatis, Autoplay paling mudah dari User Interface
dan user dihadapkan dengan pilihan Vista:
menu untuk membuka konten tersebut.
3Hapus tanda centang pada menu Use AutoPlay for all media and
devices untuk men-disable seluruh media input.
6gpedit.msc
Cara lain untuk mematikan autoplay
adalah dengan mengetikkan perintah
pada kolom Start-Start
Search.
Extension
Akhiran pada nama sebuah file compu-
ter yang diaplikasikan untuk memberi
7Telusuri menu Administrative Templates-Windows Component-
Autoplay policies.
Firewall
Aplikasi yang mengendalikan traffic
Internet dari dan ke sebuah komputer,
mengizinkan atau melarang
komunikasi dari komputer personal
ke jaringan dengan alasan keamanan.
Serta mengawasi dan memblok
9Aktifkan opsi Enabled. Klik OK.
peranti lunak yang mencurigakan.
Cara kerja firewall adalah dengan
menyediakan informasi ke user Windows Vista 4Klik tab View pada jendela Fol-
der Options.
tentang aplikasi, dan server tujuan Memunculkan Extension File
yang berusaha melakukan koneksi
dengan komputer.
Pada Windows Vista, dilakukan banyak penyederhanaan tampilan. Salah
Removable Disk satunya adalah menyembunyikan file extension pada file yang dieksplorasi
Merujuk pada media penyimpanan data di Windows Explorer, dengan tujuan membuat tampilan terlihat lebih bersih
portabel yang dapat dikoneksikan ke dan rapi. Namun konfigurasi semacam ini juga memiliki risiko, karena
komputer, dan dicabut kembali tanpa adanya kemungkinan virus yang menyamar dengan menggunakan icon
membahayakan data di dalamya. Sebagai folder atau notepad.
koneksi, biasanya menggunakan port
USB atau drive yang dipasang pada Untuk tetap memunculkan extension
komputer. Contohnya antara lain adalah file, Anda dapat menggunakan tip-tip
flash disk, floppy disk, flash memory,
dan lain sebagainya.
berikut ini:
5known
Hilangkan tanda centang pada
pilihan Hide Extensions for
34 01/2009
2enable
Ketik perintah netsh
firewall set opmode
Icon.
Windows Vista
hilangkan tanda centang pada
checkbox Load system ser-
vices dan Load startup
8Masuk ke pilihan Performance Information
and Tools.
Error pada System Health Report items.
9Klik opsi Advanced Tools.
Salah satu cara untuk mengetahui kondisi sistem adalah
dengan menjalankan System Health Report yang pernah kita
4HideSekarang, klik tab Servi-
ces, dan centang checkbox
All Microsoft Ser-
bahas di edisi sebelumnya. Bagaimana bila System Health vices.
Report tersebut tidak berfungsi?
6mencoba
Klik Start, dan masuk 10 Pilih Generate a system health report dari pilihan
yang tersedia. Niscaya System Health Report akan
1digunakan
Siapkan file bit-
map yang akan
sebagai 6Save file dengan nama autorun.inf, dan simpan di dalam
flash disk Anda bersama dengan gambar tadi.
icon dengan ukuran
16 x 16 pixels atau
32 x 32 pixels dengan nama myicon.bmp. 7Refresh
hardware.
flash disk Anda, lalu lakukan safely remove
01/2009 35
Build
2Anda.Ekstrak file clamav-win32-0.94.1.7z yang ada di folder ClamAV
Library dengan menggunakan WinRAR atau 7-Zip ke folder sesuka
Setelah diekstrak, dari folder tersebut copy tiga buah file ber-
Istilah lain dari fase dalam pengem-
bangan sebuah software.
ClamAV
Software antivirus yang gratis dan
open source untuk Windows dan
UNIX. Salah satu kegunaan utamanya
adalah sebagai scanner virus di server 5 Untuk meng-update database ClamAV, tinggal ganti file daily.cvd yang
ada di C:\PCMAV dengan yang baru, yang bisa di-download dari http://
db.clamav.or.id/daily.cvd atau dari CD PC Mild.
e-mail. Apakah bedanya dengan Clam-
Win? Clamwin adalah ClamAV dengan
tambahan GUI.
PC Media Antivirus 4Klik , setelah itu WinRAR akan mem-packing-nya.
Engine Cara Mengirim Sampel Virus ke Redaksi
Dalam dunia komputer, dalam hal
ini software, engine adalah inti dari
5 Kirim file ZIP tersebut ke redaksi@pcmedia.co.id, dan beri subject
“Sampel Virus”. Jangan lupa untuk memberitahukan password untuk
file ZIP tersebut.
sebuah software. Engine berfungsi
Pertanyaan ini juga sering masuk ke e-mail redaksi atau melalui telepon.
mengendalikan fungsionalitas sebuah
Bagaimana sih, prosedur pengiriman sampel virus ke redaksi?
software.
Sewaktu melakukan scanning dengan PCMAV, terkadang ada virus yang
GPL baru bisa dideteksi saja, tapi belum bisa dibersihkan oleh PCMAV. Bila itu
Singkatan dari General Public Licence. terjadi, ada peringatan yang muncul berupa “Please submit this file
Lisensi yang diterapkan pada sebuah to PC Media for further analysis”. Nah, sebagai pengguna yang
aplikasi yang dapat didistribusikan baik, tentu Anda ingin berpartisipasi agar di rilis mendatang PCMAV sudah
dan dimodifikasi kepada/oleh siapa- bisa membersihkan virus tersebut. Beginilah prosedur mengirim sampel virus
pun. Akan tetapi jika program tersebut ke redaksi:
sudah dimodifikasi maka source code-
nya juga harus ikut didistribusikan.
1dikategorikan
Cari file yang Anda curigai
sebagai virus atau oleh PCMAV
sebagai suspect. Setelah
Heuristic ketemu, klik kanan file tersebut, dan
Semacam algoritma yang mengabaikan
pilih Add to archive jika Anda
apakah solusi yang ditawarkan terbukti menggunakan WinRAR.
benar. Tapi algoritma ini biasanya
menghasilkan solusi yang bagus atau
memecahkan masalah yang lebih
sederhana. Heuristic biasa digunakan
2Divirus”dalam, WinRAR, pilih tab General. Ubah namanya menjadi “sampel
dan Archive format pilih ZIP.
saat tidak ada cara untuk menemukan
solusi optimal. Banyak antivirus yang
menggunakan heuristic untuk mencari
atribut atau karakterisitik tertentu untuk
mendeteksi virus dan bentuk malware
lainnya.
Memory Resident
Program yang menetap di dalam mem-
ory setiap saat program lain jalan.
PIF
Singkatan dari Program Information
File, yang menentukan bagaimana se-
buah program DOS dijalankan di dalam
lingkungan multi tasking. Umumnya
hal itu dilakukan untuk menghindari
resource yang tidak perlu untuk pro- Setelah virus tersebut berhasil dianalisis
gram lain. Di dalam Windows, PIF (dan ini membutuhkan waktu yang tidak
menyimpan informasi agar bagaimana sebentar), PCMAV akan mengeluarkan
Windows harus menjalan aplikasi yang update untuk virus tersebut secara online.
berhubungan dengan PIF tersebut. Pastikan koneksi Internet Anda (non-proxy)
Misalnya, instruksi penggunaan mem- telah tersambung sebelum menjalankan
PCMAV.
ory, jalur ke file eksekusi dan lain-lain.
3Pindah ke tab Advanced, klik Set password.
Beri centang pada Show password, dan tulis password-nya sesuka Anda.
36 01/2009
sudah ditaruh di harddisk? lebih dulu di PC Media, jika tanggal terbit PC Media dan PC
PC Media Antivirus A: Ada beberapa virus yang mencoba untuk memblokir PCMAV,
contohnya Windx-Maxtrox. Solusinya adalah mengubah
Mild berdekatan. PCMAV + Build baru akan dihadirkan di
PC Mild, jika versi terbaru tanpa build itu sudah muncul di
FAQ PCMAV nama PCMAV-CLN.exe dan PCMAV-RTP.exe menjadi PC Media.
nama lain sesuka Anda, misalnya PCMILDOKE.exe. Selain
itu, ubah juga nama folder tempat PCMAV berada menjadi Q: Saya baru saja mendapat PCMAV dari PC Mild. Tapi
Ada beberapa pertanyaan yang sering ditanyakan (FAQ) ke sesuka Anda. baru beberapa hari dipakai, PCMAV sudah memunculkan
redaksi, dan sebenarnya jawabannya sangat simpel. Oleh peringatan “Out of Date”.
karena itu, kami akan menampilkannya untuk Anda. Q: Bagaimana caranya mendapatkan PCMAV versi paling A: PCMAV akan dianggap “Out of Date” apabila masuk ke bulan
baru? baru. Contohnya jika Anda menggunakan PCMAV 1.8 di
Q: Kenapa PCMAV-RTP.exe tidak bisa dijalankan di komputer A: Anda cuma bisa mendapatkannya melalui DVD/CD dari PC tanggal 27 November, peringatan tersebut belum muncul. Tapi
saya? Media, dan CD dari PC Mild. Selain dari kedua sumber ini, begitu PCMAV 1.8 itu dipakai di tanggal 2 Desember, maka
A: PCMAV-RTP.exe sementara ini hanya bisa dijalankan di kami tidak menjamin keasliannya. peringatan “Out of Date” akan muncul. Namun walaupun
Windows XP, dan harus dijalankan dari harddisk, bukan begitu, PCMAV tersebut masih tetap bisa digunakan secara
langsung dari CD. Q: Kenapa versi PCMAV di PC Mild terkadang kalah baru normal dan tetap tangguh, jika database daily.cvd-nya rajin
dengan yang ada di PC Media? di-update.
Q: Kenapa PCMAV-CLN.exe tidak bisa dijalankan, padahal A: PCMAV terbaru tanpa tambahan build, akan selalu hadir
01/2009 37
Trial
Masa percobaan sebuah software
yang bukan software gratis. Atau dapat
disebut juga demoware yaitu aplikasi
komersial yang dapat digunakan secara
gratis namun penggunaannya dibatasi
4 Proses aktivasi akan berjalan.
Bila sudah selesai, di jendela
terakhir klik Finish.
melalui cara tertentu. Pembatasan terse-
but dapat berupa pengurangan fitur,
pembatasan jumlah pengoperasian 5Apabila proses aktivasi ini berjalan
dengan lancar, maka Anda bisa
(misalnya aplikasi CD Burning), pem-
batasan tenggat waktu penggunaan,
penambahan tanda (biasa dilakukan 5Usahakan
Kembali ke jendela utama Panda Antivirus, klik Update now.
Virus Signature
Dalam dunia antivirus, signature ada- Panda Antivirus Pro 2009
lah algoritma yang secara unik meng- Perlindungan Terhadap Ancaman yang Diketahui
identifikasi virus tertentu. Algoritma
tersebut bisa berupa kode yang dibawa
virus itu atau perilaku yang dilakukan oleh
Salah satu fitur kunci dari Panda Antivirus Pro 2009 adalah kemampuannya
virus tersebut. Contohnya, bila sebuah untuk melindungi komputer dari serangan spyware dan segala jenis
file mencoba melakukan aksi XYZ, malware, seperti virus, hacking tool, cookie jahat, dan lain-lain.
maka antivirus akan menandainya dan
memberitahukan user untuk mengambil Kemampuan melindungi sistem dari spyware dan malware lainnya merupakan
keputusan. Sebuah signature tunggal bagian dari perlindungan terhadap
biasanya berisi informasi mengenai ancaman yang diketahui. Jika
virus dalam jumlah banyak. perlindungan ini tidak diaktifkan,
maka komputer Anda tidak
Wizard akan terlindungi dari berbagai
Sebuah aplikasi komputer interaktif ancaman dari luar. Bagaimana ca-
yang berperan sebagai interface untuk ra mengaktifkannya?
membimbing/memandu user melalui
perintah-perintah yang kompleks de-
ngan menggunakan langkah-langkah 1 Jalankan Panda, kemudian
di dalam tab Status bagian
Protection, klik Settings.
dialog. di sebelahnya.
38 01/2009
Panda Antivirus Pro 2009 2 Lalu pilih Unknown threats. Beri centang pada Enable
protection against unknown threats, dan Enable
behavioral analysis.
Perlindungan dari Ancaman yang Tidak Diketahui
Seperti kita semua ketahui, virus selalu muncul lebih dulu dan
lebih cepat daripada antivirus. Tapi umumnya, virus memiliki
pola yang bisa dibaca oleh antivirus. Sehingga walaupun
sebuah antivirus belum memiliki data dari virus tersebut, si
antivirus bisa memperkirakan bahwa ada sebuah virus yang
sedang bergerilya di dalam sistem. Panda Antivirus Pro 2009
menyertakan teknologi bernama TruPrevent yang melengkapi
teknik heuristik tradisional.
3 Kemudian beri centang juga pada keempat item yang ada
di bagian Heuristic scan.
Tapi bila Anda tidak terhubung dengan Internet, maka beri
1 Di jendela Panda, dalam tab Status bagian Protection,
klik Settings. centang Heuristic file scan saja.
Panda Antivirus Pro 2009 3Setelah di-restart untuk mengaktifkan firewall tersebut,
dalam tab Status bagian Protection, klik Settings.
Pemasangan Firewall
4mode.Dithedalamnya pilih Firewall, dan beri centang pada Enable
firewall protection dan Enable automatic
Fitur penting lain yang juga disertakan oleh Panda adalah fitur
firewall. Beberapa proteksi yang ditawarkan oleh firewall ini antara
lain:
Firewall ini berfungsi untuk menyaring koneksi yang masuk dan • Proteksi berbeda berdasarkan lokasi komputer. Saat komputer
keluar dari komputer, saat terhubung ke Internet atau jaringan. mencoba menghubungkan diri ke suatu jaringan, firewall
Jadi, setiap ada aplikasi yang mencoba untuk menghubungkan akan mengubah tingkat keamanan sesuai jaringannya. Jadi,
diri ke Internet, Panda Antivirus akan menanyakannya dulu ke tingkat keamanan untuk mengakses Internet akan lebih
Anda. Begitu juga sebaliknya, jika ada aplikasi dari luar/Internet ditinggikan dibanding akses ke komputer lokal.
yang ingin masuk ke dalam komputer Anda, Panda Antivirus • Proteksi terhadap Wi-Fi. Saat komputer sedang terkoneksi
juga akan menanyakannya dulu ke Anda. ke jaringan wireless, dan bila ada yang mencoba masuk ke
komputer Anda, sebuah peringatan akan muncul dan
2 Akan muncul wizard, tinggal ikuti saja tanpa ada yang harus
di-setting.
Setelah itu, restart komputer Anda.
program mana saja yang diizinkan untuk mengakses Internet
atau program mana saja yang diizinkan untuk mengakses ke
dalam komputer.
Pendeteksian Celah
1danDipilihjendela Panda,
tab Scan,
klik Detect 3informasi
Di jendela berikutnya, klik Go to page.
Setelah itu akan terbuka halaman website yang menampilkan
vulnerabilities. mengenai celah tersebut, beserta solusi yang harus
dilakukan.
01/2009 39
PC MILD 01/09
StarOne); Telkomsel (Halo, Simpati, As); XL
sesuai abjad yang tersedia di bawah ini. Susun menjadi
(Xplor, Bebas, Jempol); Flexi; Mobile-8 (Fren); Esia
You See Is What You Get 8. Embedded Sebuah istilah dalam pemrograman:
kirim SMS ke 7669:
Platform for Industrial Computing 9. A B C D E MILD<spasi>01<spasi>JAWABAN<spasi>NAMA
Nama kode Intel Atom 13. Yang dianut
oleh Linux 14. Sebelum Beta 15. Interface Contoh: MILD 01 KOMPUTER BUDI
paralel untuk penyimpanan kapasitas be- Untuk kartu pos dikirim ke Redaksi PC MILD, Jl. Kramat IV No.11,
sar 18. Antarmuka 19. Processor Intel [B] Jakarta 10430, sertakan kupon kuis TTS di pojok kanan atas.
untuk server SMS dan kartu pos diterima selambat-lambatnya 21 Januari 2009.
Nama pemenang diumumkan pada PC Mild 03/2009 yang terbit 5
Februari 2009. Tarif premium Rp2.000++ per SMS. Gunakan pulsa
Menurun 2. Fitur untuk melanjutkan Anda secara bijak.
download yang terhenti 4. Processor Jawaban TTS edisi 24/2008
dual-core dari AMD untuk notebook 5. Mendatar 1. MENLOW 4. INDESIGN 8. GAME 9. ACCELERATOR 13.
LARRABEE 16. HTC 18. PRESCOTT 19. DBMS 20. CONROE
Area yang menawarkan koneksi Wi-Fi 7.
GPU dari Nvidia 10. Seri 3DMark terbaru Menurun 1. MPEG 2. WIKIPEDIA 3. SILVERLIGHT 5. DARPA 6. NOKIA 7.
UMPC 10. CUIL 11. ENKRIPSI 12. TOLEDO 14. BASH 15. CUDA 17. CORE
11. Perangkat pengganti mouse di note-
book 12. Extensible MACroSystem 16. PENGUMUMAN PEMENANG EDISI 24/2008
Jawaban: ENDIAN
Penerus Pentium 17. Isolated Subscriber Masing-masing pemenang mendapatkan 1 unit MP3 Player Zotac Salsa
Digital Network 100 128 MB yang dipersembahkan oleh Asiaraya Computronics:
Indrawati 081807067XXX
Jeffry 081586021XXX
Dapatkan! Bambang 081575061XXX
3 Unit MP3 Player Zotac Mambo 100 256 MB untuk 3 orang Pemenang harap menghubungi sekretariat PC Mild di Telp. 021-
3153731 ext. 127 atau e-mail ke evawani.putri@pcmedia.co.id untuk
pemenang yang dipersembahkan oleh Asiaraya Computronics konfirmasi pengambilan hadiah paling lambat 8 Februari 2009. Hadiah
yang tidak diklaim dinyatakan hangus.
Asiaraya Computronics:
Mangga Dua Mall Lt 4 A-62, Telp: 021-6019408
www.alamraya.co.id
40 01/2009