Teknik Rekayasa Favorit Virus dan Antisipasinya
Setelah virus berhasil menginfeksi sistem komputer, untuk mempertahankan eksistensinya virus akan melakukan blok terhadap tools atau program yang dapat menghentikan penyebarannya. Khususnya tools atau program yang banyak digunakan oleh user, dari analisa yang dilakukan oleh Laboratorium virus Vaksincom ada beberapa “SOP” Standard Operating Procedure atau prosedur standar yang dilakukan oleh programmer untuk dimasukkan ke dalam payload virusnya. Mayoritas memanfaatka metode manipulasi registri Windows. Aksi yang dilakukan cukup menyebalkan seperti blok fungsi Windows, blok software sekuriti dan trik lain seperti bagaimana menyembunyikan file virus dan dimana disembunyikan supaya sulit terdeteksi oleh pengguna komputer / program antivirus.
Berikut ini adalah rangkuman beberapa teknik favorit yang sering menjadi payload virus lokal maupun mancanegara dan seperti biasanya Vaksincom akan memberikan beberapa tips berguna di akhir artikel seperti bagaimana menemukan lokasi penyembunyian file virus, menampilkan type file dan ekstensi file yang dirubah oleh virus.
A. Blok Fungsi Windows
Dengan tujuan untuk mempersulit proses pembersihan, virus akan mencoba untuk melakukan blok terhadap beberapa fungsi Windows contohnya:
· Disable Registry Editor
· Disable MSConfig
· Disable Task Manager
· Disable System Restore
· Disable Folder Options
· Disable Klik kanan
· Disable Menu Run
· Disable Menu Search
· Disable Control Panel
· Disable CMD
· Disable Desktop
· Disable Windows Installer
B. Blok Software Sekuriti
Selain melakukan blok terhadap fungsi Windows, virus juga akan berupaya blok beberapa software sekuriti seperti firewall atau antivirus, baik dengan cara mematikan proses, merubah registry ataupun menghapus file tertentu dari program antivirus sehingga program antivirus tidak dapat menjalankan fungsinya dengan baik. Agar hal ini tidak terjadi sebaiknya instal antivirus yang mempunyai kemampuan untuk proteksi diri sendiri (SelfPROtect) dari upaya virus yang berusaha untuk mematikan atau mengacaukan proses antivirus, hal ini penting dilakukan agar antivirus yang terinstal mampu memberikan perlindungan maksimal terhadap komputer dari serangan virus yang berusaha untuk menguasai komputer. Salah satu antivirus yang mempunyai kemampuan SelfPROtect adalah Dr.Web Anti-virus, untuk informasi lebih jauh mengenai antivirus Dr.Web silahkan akses ke situs www.drweb.com. (lihat gambar 1)
Gambar 1, Salah satu bentuk pertahanan diri yang dilakukan oleh Dr.Web Anti-virus
C. Blok Tools Sekuriti
Untuk mempermudah proses pembersihan, Anda dapat menggunakan tools sekuriti seperti Killbox, Process Explorer, HijackThis atau Sekuriti Tak Manager untuk mematikan proses virus yang aktif di memori, tetapi kebanyakan virus akan menghentikan [mematikan] setiap tools yang berhubungan dengan sekuriti dengan cara membaca nama file atau membaca caption text [judul] dari tools tersebut pada saat dijalankan. Hal ini diantisipasi program antivirus dengan menggunakan nama acak untuk program adan prosesnya setiap kali instalasi sehingga mempersulit virus untuk memblok instalasi antivirus.
D. Manipulasi Registri Windows
Registry merupakan suatu kumpulan database untuk menyimpan dan mengatur sistem windows, semua fungsi windows tersimpan di dalam database registri Anda dapat merubah atau menambah suatu key atau string pada registri tersebut tapi kesalahan yang Anda lakukan dapat mempengaruhi sistem komputer, oleh karena itu sebelum melakukan perubahan pada registri sebaiknya backup terlebih dahulu registri Windows dengan cara:
· Buka program Registry Editor dengan cara klik [Start]
· Klik [Run]
· Pada kolom “Open” ketik regedit.exe
· Klik tombol [OK], sampai muncul layar “Registry Editor” di bawah ini : (lihat gambar 2)
Gambar 2, Tampilan Registry Editor
· Pada program Registry Editor kelik menu [File]
· Klik [Export]
· Pada kolom “File name”, isi dengan nama file yang Anda inginkan [nama file boleh bebas] dan tentukan lokasi penyimpanan file tersebut
· Klik tombol [Save]. (lihat gambar 3)
Gambar 3, Backup registry Windows
Kali ini kita akan membahas mengenai lokasi yang sering di incar oleh virus, baik virus lokal maupun macanegara. Untuk informasi mengenai pengertian registri dan struktur registri silahkan klik link http://id.wikipedia.org/wiki/Windows_Registry
Registri yang paling banyak di serang virus
Seperti yang sudah dijelaskan sebelumnya bahwa virus akan berupaya untuk melakukan blok terhadap beberapa fungsi windows seperti “Registry Editor, MSConfig, Task Manager, Folder Options” serta beberapa fungsi Windows yang lain untuk mempermudah penyebarannya.
Berikut beberapa lokasi registri yang sering menjadi incaran virus diantaranya:
1. Registri pemicu virus agar aktif otomatis
Sudah menjadi SOP, agar virus dapat aktif secara otomatis setiap kali komputer booting, ia akan membuat string pada beberapa alamat registri berikut, biasanya virus akan membuat string lebih dari satu dengan tujuan untuk saling backup jika salah satu proses virus tersebut di matikan sehingga akan mempersulit pada saat proses pembersihan.
Untuk nama string pada registri ini berbeda-beda tergantung dari jenis virusnya, contohnya jika komputer tersebut terinfeksi virus Rontokbro maka akan membuat string Tok-Cirhatus-2619 seperti terlihat pada gambar 4 dibawah ini.
Gambar 4, String registry yang dibuat oleh virus Rontokbro
String di atas dibuat agar virus dapat aktif walaupun komputer booting pada mode aman (safe mode) atau pada saat user membuka aplikasi “Windows Explorer”, seperti contoh pada virus Rontokbro yang akan merubah string Shell dan Userinit seperti yang terlihat pada gambar 5 di bawah ini.
Gambar 5, Alamat registri untuk merubah string Shell dan Userinit agar virus dapat aktif otomatis pada mode “normal” maupun “safe mode”
Beberapa virus akan mengaktifkan dirinya secara otomatis sebagai screen saver Windows sesuai dengan waktu yang telah ditentukan dengan melakukan perubahan pada registri Windows berikut: (lihat gambar 6)
Gambar 6, Virus aktif sebagai screen saver Windows
Gambar 7, Contoh proses virus yang aktif di memory
- Registri untuk blok Login Windows
Harap berhati-hati, banyak virus lokal yang akan memanfaatkan celah pada string ini untuk blok agar user tidak dapat melakukan login Windows [komputer akan selalu meminta Anda untuk mengisi user name dan password secara terus menerus] dengan merubah lokasi Value pada string Userinit ke lokasi dimana file virus disimpan, hal ini pernah terjadi pada kasus virus Gnurbulf.B http://www.vaksin.com/2006/1006/flu_burung_b2.htm atau VBWorm.NFA http://www.vaksin.com/2007/0407/wayang.htm (lihat gambar 8)
Gambar 8, Virus lokal merubah path file pada string Userinit
- Registri untuk blok fungsi Windows
Ingin tahu bagaimana virus lokal blok Registry/MSConfig/Task Manager atau fungsi-fungsi windows lainnya ? Berikut contoh beberapa alamat registry yang akan di incar oleh virus untuk melakukan blok terhadap fungsi windows tersebut:
Biasanya virus juga akan memanfaatkan alamat registri
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
dengan tujuan untuk manipulasi suatu file/program ketika dijalankan dengan cara mengalihkan [debugger] ke file lain yang di inginkan contohnya seperti pada kasus virus Lightmoon jika user membuka “Registry Editor (regedit.exe) atau MSConfig maka virus akan mengalihkan/debugger ke program “notepad” sehingga akan menampilkan program notepad yang berisi bahasa ASCI sehingga user beranggapan bahwa “registry Editor (regedit) atau MSConfig mereka telah dirusak oleh Lightmoon, kemungkinan terburuk virus akan mengalihkan untuk menjalankan file virus yang sudah dipersiapkan sebelumnya sehingga akan lebih semakin mempersulit pada saat melakukan pembersihan atau menjalankan perintah lain yang mungkin berbahaya seperti menghapus file dan perintah berbahaya lainnya. (lihat gambar 9)
Gambar 9, Fungsi regedit yang sudah di alihkan oleh Lightmoon pada saat membuka Registry Editor (regedit.exe) atau MSConfig
Gambar 11, Alamat registri untuk debugger suatu program jika dijalankan
- Registri untuk blok system sekuriti Windows [Antivirus dan Firewall]
Virus juga akan mencoba untuk blok software sekuriti sebut saja firewall dan antivirus. Hal ini dimaksudkan agar virus tersebut dapat dengan bebas menguasai komputer korban, dibawah adalah alamat tegistri yang sering di incar virus untuk disable antivirus dan firewall:
5. Registri untuk manipulasi Internet Explorer
Kalau ini registri yang di incar oleh virus untuk merubah tampilan utama (tampilan awal) pada saat membuka program “Internet Explorer” sehingga jika user menjalankan program Internet Explorer maka akan membuka alamat yang sudah ditentukan oleh virus [bisa berupa alamat link atau file html yang di simpan di folder tertentu].
Virus juga biasanya akan merubah judul internet (Window Title) seperti yang pernah dilakukan oleh virus Solow, berikut contohnya: (lihat gambar 12 dan 13)
Gambar 12, Alamat Registry untuk merubah Start Page Internet Explorer
Gambar 13, Halaman utama Internet Explorer yang sudah diubah virus W32/Oryps
- Registri untuk blok akses file aplikasi (.com/.bat/.pif/.lnk/.scr/.inf/.exe)
Upaya lain untuk mempertahankan dirinya, virus lokal juga akan melakukan manipulasi terhadap file-file yang mempunyai ekstensi tertentu. Biasanya virus akan memanfaatkan file dengan ekstensi yang biasa dijalankan oleh user berupa file eksekusi seperti file dengan ekstensi .exe, .com, .bat, .pif, .com atau .scr sehingga jika pengguna komputer menjalankan file dengan ekstensi tersebut secara tidak langsung akan mengaktifkan virus tersebut. (lihat gambar 14)
Untuk melakukan hal tersebut ia akan membuat string pada registri berikut:
Gambar 14, Contoh string yang dirubah oleh virus untuk manipulasi file yang mempunyai ekstensi EXE
- Registri untuk merubah tipe file dari “Application” menjadi tipe lain (contoh: “File Folder” / Mircosoft Word Document)
Nah... ini registry yang sering dipakai oleh virus untuk manipulasi tipe file virus agar file tersebut terlihat bukan sebagai file virus. Seperti yang kita ketahui bahwa biasanya virus akan menyamarkan icon file yang terinfeksi seperti menggunakan icon Folder/MS.Word atau gambar [JPG] dengan tipe file sebagai “Application” atau “Screen Saver”, jika sang VM masih menggunakan teknik ini maka user akan mudah mengetahui bahwa file tersebut adalah virus, oleh karena itu agar file tersebut tidak terlihat sebagai virus pembuat virus akan merubah tipe file tersebut sesuai dengan icon yang menyertainya contohnya jika virus tersebut menggunakan icon Folder maka ia akan merubah tipe file manjadi “File Folder”, tetapi jika virus tersebut menggunakan icon MS.Word maka ia akan merubah type file menjadi “Microsoft Word Document”. Ia juga akan melakukan hal yang sama terhadap file duplikat yang telah dibuat dengan tujuan untuk mengelabui user.
Bagaimana ia (virus) melakukannya ? Berikut registry yang akan di ubah : (lihat gambar 15 dan 16)
Gambar 15, Lokasi registy untuk merubah tpe file EXE (aplikasi)
Gambar 16, Virus lokal merubah type file manjadi File Folder
Untuk menyempurnakan penyamaran tersebut sang VM akan menyembunyikan ekstensi yang menyertai file tersebut, jadi walaupun Anda sudah menampilkan ekstensi dari file tersebut maka ektensi dari file yang sudah terinfeksi virus tidak akan dapat ditampilkan sehingga user akan kesulitan untuk membedakan antara file asli dengan file virus.
Berikut registry yang akan di incar:
- Registri untuk menyembunyikan file dan ekstensi file
Biasanya virus lokal akan mencoba untuk menyembunyikan file induk yang sudah di buat dengan tujuan agar tidak mudah untuk dihapus serta menyembunyikan ekstensi dari file tersebut untuk mempersulit user membedakan antara file asli dan file virus.
Jika Anda mencoba untuk menampilkan file dan ekstensi file yang disembunyikan dengan memilih opsi “Show hidden files and folders” serta menghilangkan opsi “Hide extension for known file types” dan “Hide protected operating system files [recommended]”, setelah anda klik tombol [OK] jangan kaget jika opsi yang sudah Anda rubah sebelumnya akan kembali ke setting awal sebelum Anda rubah (lihat gambar 17).
Berikut registry yang akan diubah :
Gambar 17, Menu Folder Options yang akan dimanipulasi oleh virus
- Registri untuk merubah nama pemilik Windows
Biasanya para pembuat virus akan berusaha untuk membuat ciri khas tertentu untuk membedakan dengan virus lainnya salah satunya dengan merubah nama pemilik [Owner] atau organisasi [Organization] dari komputer tersebut dengan mencantumkan sebuah nama yang unik [bisa juga sebagai inisial], seperti pada kasus virus W32/Rabox yang akan merubah nama pemilik windows menjadi Borax (lihat gambar 19). Berikut alamat registri yang akan di permak oleh virus: (lihat gambar 18)
Gambar 18, Alamat registri Untuk merubah nama pemilik Windows
Gambar 19, Nama pemilik Windows yang diubah oleh virus Rabox.A
- Registri agar virus dapat aktif pada mode “safe mode with command prompt”
Semenjak kemunculan virus rontokbro yang dapat aktif pada mode “safe mode maupun safe mode with command prompt”, kini bermunculan virus lokal lainnya yang akan mencoba agar dirinya dapat tetap aktif walaupun komputer booting pada pada mode tersebut [rupanya kurang afdol jika hanya aktif pada mode normal saja] berikut alamat registri yang akan dirubah oleh virus : (lihat gambar 20)
Gambar 20, Alamat registri yang di ubah oleh virus agar aktif pada mode “Safe Mode With Command Prompt”
- Registri blok akses ke mode aman (Safe Mode dan Safe Mode With Command Prompt)
Untuk mempersulit proses pembersihan, beberapa jenis virus akan blok agar komputer tidak dapat melakukan booting baik pada mode aman (Safe Mode atau Safe Mode With Command Prompt) dengan cara menghapus key [Minimal] dan [Network] yang berada pada registri berikut:
Gambar 21, Registri yang dirubah oleh virus agar aktif pada mode aman
Itulah beberapa alamat registry yang sering menjadi incaran virus lokal dan mancanegara, jika anda berminat mmepelajari registri, anda dapat mempelajari di beberapa situs informatif seperti :
E. File-file yang diserang virus lokal
MS.Office/file gambar/dan file yang dikompresi [ZIP/RAR] adalah sederetan file yang biasanya akan diserang oleh virus mulai dari hanya sekedar disembunyikan bahkan sampai dihapus. Ada sedikit tips agar data Anda khususnya file MS.Office [Ms.Word] tidak diserang virus lokal yakni dengan menyimpan file tersebut dengan format RTF [Rich Text Format] karena biasanya virus lokal akan menyerang file dengan ekstensi .DOC atau Anda juga dapat menggunakan program Open Office.
Tetapi hal yang terpenting adalah selalu backup data Anda, karena virus akan selalu belajar dari pengalaman sehingga perubahan yang dilakukan terhadap data tersebut tidak dapat menjamin file akan aman dari virus.
F. Lokasi penyimpanan file induk virus
Untuk menjaga eksisitesinya virus akan membuat file induk, file induk inilah yang akan dijalankan secara otomatis setiap kali komputer booting. Nama file yang digunakan terkadang mempunyai nama yang sama dengan nama file System Windows seperti Lsass.exe, Winlogon.exe, Services.exe atau Smss.exe hal ini dimaksudkan untuk mengelabui user sehingga user ragu-ragu untuk menghapus file tersebut karena dikhawatirkan akan merusak/mengganggu program Windows.
File induk yang dibuat oleh virus walaupun mempunyai nama yang sama dengan file system Windows tetapi lokasi penyimpanannya akan berbeda karena tidak mungkin ada nama yang sama dalam satu ditekroti. Contohnya seperti pada virus Rontokbro dan variannya dimana ia akan membuat file yang sama seperti file system Windows seperti LSASS.exe, Services.exe atau Winlogon.exe akan tetapi lokasi penyimpanannya berbeda yakni di direktori [C:\Documents and settings\%Users%\Local Settings\Application Data] sedangkan file system Windows yang asli akan disimpan didirektori [C:\Windows\System32].
Sebenarnya banyak sekali tools/software yang dapat digunakan untuk mengetahui lokasi file induk virus yang dijalankan pertama kali, seperti Proceexp, Iknow Prosess, Curreprosess, Sekuriti Task Manager (lihat gambar 22) atau HijackThis [jika tools tersebut diblok Anda dapat menggunakan tools lain yang tidak diblok oleh virus, silahkan tanya paman Google.
Gambar 22, Security Task Manager dapat digunakan untuk memeriksa lokasi file induk virus
Lalu bagaimana cara membedakan antara file virus dengan file bukan virus ? Sebenarnya ada beberapa tips yang dapat dilakukan untuk membedakan/mengetahui file virus seperti :
- Melihat lokasi penyimpanan file
Untuk mengelabui user biasanya virus akan membuat file induk dengan nama file yang sama dengan file Windows sehingga user akan kesulitan untuk membedakan antara file virus dengan file asli Windows, Contohnya file LSASS.exe, WINLOGON.EXE, SERVICES.exe atau CSRSS.exe, tetapi jika anda jeli maka anda akan dengan mudah untuk membedakan antara file virus dan file asli Windows dengan cara melihat lokasi penimpanan file tersebut , contohnya file LSASS.exe, Winlogon.exe milik Windows akan disimpan di direktori [C:\Windows\system32] sedangkan file milik virus akan disimpan di direktori lain, contohnya pada kasus virus Rontokbro akan di simpan didirektori [C:\Documents and settings\%Users%\Local Settings\Application Data].
Untuk melihat lokasi file induk virus anda dapat menggunakan tools seperti Proceexp atau Sekuriti Task Manager, lihat gambar 22 di atas.
- Menampilkan ekstensi file.
Biasanya virus akan menyamarkan icon yang menyertai file virus tersebut, seperti menggunakan icon 
atau 
[atau icon lain] tetapi biasanya akan mempunyai ext. EXE/SCR/VBS atau ekstensi lainnya. Dengan menampilkan ekstensi dari file tersebut maka akan mempermudah untuk membedakan flie virus dan file asli dimana seharusnya file MS.Word akan mempunyai ekstensi .DOC dan sebuah Folder tidak akan mempunyai ekstensi dan tidak mempunyai ukuran, perhatikan gambar 23 di bawah ini:
Gambar 23, Perbedaan antara file asli dan file virus
Dengan menampilkan tipe file maka anda dapat membedakan apakah file tersebut tergolong file aplikasi atau bukan, karena biasanya virus akan mempunyai tipe file sebagai “Application” atau “Screen Saver” walaupun dengan icon yang disamarkan [seperti menggunakan icon Folder/Ms.Word/txt] (lihat gambar 24)
Gambar 24, Menampilkan tipe sebuah file
Catatan :
Ada beberapa virus yang jika sudah menginfeksi komputer target maka ia akan merubah tipe file yang terinfeksi atau file duplikat yang dibuat sesuai dengan icon yang menyertainya, contohnya jika icon file yang terinfeksi menggunakan “Folder” maka ia akan merubah type file tersebut menjadi “File Folder” atau jika file yang terinfeksi tersebut menggunakan icon “MS.Word” maka ia akan merubah tipe file tersebut menjadi “Microsoft Word Document” hal ini dilakukan dengan tujuan untuk menggelabui user. (lihat gambar 25)
Gambar 25, Virus merubah tipe file sesuai dengan icon yang menyertainya
Catatan:
· Untuk menampilkan ekstensi file, lakukan langkah dibawah ini (lihat gambar 26)
§ Buka [Windows Explorer]
§ Klik menu [File]
§ Klik [Folder Options]
§ Pada layar “Folder Options”, klik tabulasi [View]
§ Pilih opsi “Show hidden files and folders”
§ Hilangkan tanda check list pada opsi “Hide extensions for known file types”
§ Klik tombol [Apply]
§ Klik [OK]
Gambar 26, Menampilkan ekstensi file yang disembunyikan
· Untuk menampilkan tipe file lakukan langkah berikut
§ Buka [Windows Explorer]
§ Klik menu [View]
§ Klik [Details]
![Text Box: Disable “Microsoft Windows Installer [blok file yang mempunyai ekstensi MSI]” dan pembatasan Restore Point (System Restore)
Alamat registry :
HKEY_LOCAL_MACHINE \Software\Policies\Microsoft\Windows\Installer
String:
§ DisableMSI
§ LimitSystemRestoreCheckpointing
Value : 1](http://vaksin.com/2011/0211/trik%20favorit%20virus/clip_image030.gif)
![Text Box: Alamat registry:
• HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
String :
§ Search Page
§ Start Page
§ Windows Title
Value :
§ Alamat acak [contoh: http://www.spyrozone.tk]
§ Start page [contoh: http://www.spyrozone.tk]
§ Windows Title [contoh: Hacked By Zay]](http://vaksin.com/2011/0211/trik%20favorit%20virus/clip_image033.gif)
![Text Box: Alamat registry :
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\%xxfile%
String : Default
Value : %acak% [contohnya: File Folder]
Catatan: %xxfile%, ini berbeda-beda targantung ekstensi file yang digunakan oleh virus (contohnya: exefile, comfile, scrfile, lnkfile, inffile, batfile, cmdfile)](http://vaksin.com/2011/0211/trik%20favorit%20virus/clip_image041.gif)
