Docstoc

068-069_pcm_virus_12

Document Sample
068-069_pcm_virus_12 Powered By Docstoc
					 Virus                                                                                                                                                                                                                                                                                               Virus
 Virus Parents                                                                                                                                                                                                                                                                                Virus Parents


                                                                                                                                                                                                                                                                     gap file tersebut hanyalah file teks biasa, ini


Virus Parents:                                                                                                                                                  File virus yang menyamar sebagai file teks.
                                                                                                                                                                                                                                                                     akan cukup mengecoh user tersebut untuk
                                                                                                                                                                                                                                                                     mengklik file itu.

                                                                                                                                                                                                                                                                     Virus Beraksi

Meng-encrypt Data
                                                                                                                                                                                                                      File yang sudah terenkripsi.
                                                                                                                                                                Tidak Bisa Safe-Mode                                                                                 Seperti yang telah sedikit disinggung
                                                                                                                                                                Tidak berhenti sampai disitu saja, virus Parents   filenya dengan menambah awalan Parents_            sebelumnya, virus ini menciptakan sebuah
                                                                                                                                                                ini pun menutup akses untuk Safe-Mode.             dan dengan extension .bmp. Misalnya,              file teks yang berisi sedikit pesan dari sang


Pornografi                                                                                   Virus Dem
                                                                                                     o



                                                                                                         Kotak pesan yang muncul di waktu-waktu tertentu.
                                                                                                                                                                Yang ia lakukan adalah dengan cara meng-
                                                                                                                                                                hapus beberapa key penting di Registry yang
                                                                                                                                                                mengatur masalah Safe-Mode ini. Jadi saat
                                                                                                                                                                Anda hendak masuk dalam modus Safe-
                                                                                                                                                                                                                   FotoKeluarga.jpg menjadi Parents_FotoKe-
                                                                                                                                                                                                                   luarga.jpg0,8408871.bmp.

                                                                                                                                                                                                                   Bagaimana Ia Menyebar?
                                                                                                                                                                                                                                                                     pembuatnya, namun tidak hanya itu saja
                                                                                                                                                                                                                                                                     karena saat virus aktif, komponen Timer
                                                                                                                                                                                                                                                                     pada virus tersebut akan mencocokan waktu
                                                                                                                                                                                                                                                                     di komputer Anda, apabila menunjukkan
                                                                                                                                                                Mode, komputer Anda hanya akan menampil-           Jika Anda merasa tidak pernah membuat file         pukul 12:10:00, atau 15:10:00 ia akan me-
Beberapa virus lokal saat ini mengincar data penting di                                                     Beberapa konfigurasi file dengan tipe ter-            kan layar BSOD (Blue Screen of the Death).         autorun.inf pada flash disk, Anda harus mulai      nampilkan kotak pesan lainnya. Dan pada
                                                                                                         tentu pun ia ubah, di antaranya file dengan                                                                curiga pada file tersebut. Karena banyak sekali    09:10:00 ia akan meng-copy-kan setiap file
komputer kita. Digemparkan oleh KSpoold yang dapat merusak                                               tipe *.Reg (HKEY_CLASSES_ROOT\.Reg)                    Encryption                                         virus yang memanfaatkan file tersebut untuk        virus ke setiap drive.
file database, Zulanick yang dapat meng-encrypt dokumen Anda                                              dengan type information seharusnya adalah              Satu hal yang mudah dilakukan untuk                mempermudah virus menyebarkan diri hanya             Juga dengan memanfaatkan registry,
                                                                                                         Registration Entries diubah menjadi Parents-           memeriksa apakah komputer Anda terinfeksi          dengan mengklik drive flash disk yang dimak-       ia mengubah setting-an halaman default
menjadi file Bitmap dan beberapa virus lainnya.                                                           File. File *.3gp (HKEY_CLASSES_ROOT\.3gp)              oleh virus ini adalah dengan cara membuka          sud. Virus ini pun melakukan hal demikian.        dari Internet Explorer Anda menjadi http://
Arief Prabowo                                                                                            diubah menjadi FileBajingan, dan File *.rm             System Properties (Control Panel > System),           Ia akan mencari drive apa saja yang terpas-    www.sampoernafoundation.org. Entah apa
                                                                                                         (HKEY_CLASSES_ROOT\.rm) diubah menjadi                 apabila komputer Anda telah terinfeksi,            ang di komputer termasuk flash disk, karena        maksudnya.

S   atu lagi, virus buatan lokal yang menye-
    rang operating system berbasis Windows
juga melakukan hal yang hampir sama de-
                                                         dan Parents.pif. Nantinya file tersebut yang
                                                         akan dieksekusi kali pertama saat memulai
                                                         Windows. Dan tak lupa sebuah file teks
                                                                                                         FileBajingan2.
                                                                                                            Untuk mendukung aksi penyamarannya,
                                                                                                         ia pun mengubah type dari File executable
                                                                                                                                                                maka informasi User Name akan diubah
                                                                                                                                                                menjadi “Parents” dan User Organization
                                                                                                                                                                menjadi “HAP < HackerAntiPorn >”.
                                                                                                                                                                                                                   ia akan meng-copy-kan beberapa file virus
                                                                                                                                                                                                                   pada root drive tersebut dengan nama “Hr Vs
                                                                                                                                                                                                                   M31.txt              .exe” dan “Indahnya Ken-
                                                                                                                                                                                                                                                                     Pencegahan dan Pembasmian
                                                                                                                                                                                                                                                                     PCMAV RC22 telah dapat membasmi virus
ngan virus–virus di atas adalah Virus Parents.           berisi pesan singkat dari sang pembuatnya       (HKEY_CLASSES_ROOT\exefile) dari App-                     Dan seperti semboyannya “Hacker Anti            cani Mei.txt           .exe”. Anda bisa melihat   ini secara tuntas dan akurat 100%. Berbagai
PC Media Antivirus RC22 mengenalnya                      dengan nama Parent@KR BvB.txt yang ada          lication ia ubah menjadi Word Document.                Porn” tersebut, ia pun akan memberantas            bahwa ada jarak spasi cukup banyak antara         setting-an Windows yang telah ia ubah akan
dengan sebutan itu.                                      di direktori Windows.                           Semua keanehan tersebut akan terlihat                  file-file yang biasanya digunakan untuk hal          nama file dengan extension file yang asli,          dikembalikan seperti semula oleh PCMAV.
  Virus yang dibuat menggunakan bahasa                                                                   pada Windows Explorer di kolom Type. Dan               pornografi seperti yang banyak tersedia di          ini merupakan trik lama yang banyak juga          Sangat disarankan untuk selalu menonak-
Visual Basic ini memiliki ukuran tubuh sebesar           Mengubah File Type di Registry                  semua file executable Anda akan bertipe                 internet, seperti file 3gp, rm, dan .jpg.           digunakan oleh virus lainnya. Apalagi pada        tifkan System Restore Windows sebelum
106.496 bytes, dan tidak di-compress sama                Setelah berhasil menciptakan file-file in-      Word Document. Maka dari itu, Anda harus                  Yang ia lakukan adalah dengan mencari           saat virus ini aktif di komputer, maka exten-     melakukan scanning atau pembersihan meng-
sekali. Sampai saat tulisan ini dibuat, belum            duknya, seperti yang juga dilakukan oleh        jeli membedakan antara mana file virus dan              ke seluruh drive yang ada di komputer Anda         sion asli dari setiap file tidak akan muncul di    gunakan PCMAV agar virus tidak kembali
ada antivirus lain yang dapat mendeteksi                 virus-virus lainnya, ia akan menciptakan atau   mana yang bukan. Untuk mempermudah-                    file-file dengan extension tersebut, jika dite-      Windows Explorer, jadi user akan mengang-         menginfeksi komputer Anda saat reboot.
keberadaan virus ini, bahkan heuristic dari              mengubah beberapa setting-an registry. Hal      nya, ubah tampilan atau view dari Windows              mukan ia akan meng-encrypt-nya sehingga
kebanyakan antivirus itu pun tidak mela-                 pertama yang ia lakukan adalah menciptakan      Explorer menjadi Details (View > Details).             file tersebut tidak dapat dibuka. Tadinya
porkan adanya keanehan. Artinya, virus ini               item autorun di HKEY_LOCAL_MACHINE\                Tak ketinggalan, Folder Options pun                 kami pikir file tersebut dirusak dengan cara
masih bisa berkeliaran dengan bebas tanpa                SOFTWARE\Microsoft\Windows\CurrentVer-          menjadi target selanjutnya, ia akan menyem-            meng-overwrite dengan random character.
hambatan.                                                sion\Run\ dengan nama Servicex, agar ia dapat   bunyikan menu Folder Options dari Windows              Namun dengan sedikit teknik crypto analy-
  Pada virus ini, sang pembuatnya mem-                   selalu aktif ketika memulai Windows.            Explorer dan mengeset agar Windows Ex-                 sis, ternyata terbukti, karena file tersebut
percayakan pada icon mirip file teks atau                    Sebagai benteng pertahanan, ia pun           plorer tidak menampilkan extension dan file             sebenarnya dienkripsi oleh si virus.
Notepad dalam melakukan penyamarannya,                   melakukan beberapa perubahan, di anta-          dengan attribut system.                                   Enkripsi yang digunakan sederhana saja,
bukan menggunakan icon folder seperti                    ranya dengan membuat item baru pada                Untuk menambah tingkat pertahanan                   hanya menggunkan instruksi XOR (Exclusive
kebanyakan virus lainnya. Pada komputer                  key Image File Execution Options dengan         sang virus, ia pun menambahkan item                    OR) dengan satu kunci. Ia akan meng-XOR-
terinfeksi akan terdapat process dengan                  nama msconfig.exe dan regedit.exe yang           DisableRegistryTools, DisableTaskMgr, dan              kan byte-per-byte dari plaintext atau teks/
nama Parents.exe.                                        diarahkan oleh sang virus kepada file \\Win-     DisableCMD pada key Policies di Registry. Ini          byte asli dengan kunci yang telah ia tetapkan
                                                         dows\\Notepad.exe. Akibatnya, setiap Anda       berakibat, Anda tidak bisa dengan mudah                agar menghasilkan ciphertext atau teks/byte
Menciptakan File Induk                                   mengeksekusi msconfig.exe ataupun regedit.       menjalankan program Registry Editor, Task              yang telah terenkripsi.
Pada saat kali pertama komputer terinfeksi,              exe, maka Windows malah akan membuka            Manager, dan Command Prompt.                              Enkripsi ini memiliki kelemahan, karena
ia akan menciptakan beberapa file induk                   file tersebut dengan Notepad, jadi yang            Namun dengan sedikit trik, kita sebenar-            pada saat ia meng-XOR-kan byte $00,
pada direktori Windows dan System32                      muncul hanyalah karakter-karakter binary        nya masih bisa masuk ke registry. Caranya              maka akan terlihat kunci enkripsinya. Dan
dengan nama Parents.exe, Parents.com,                    pada Notepad Anda.                              dengan meng-copy-kan fi le regedit.exe                  dengan bermodalkan kunci tersebut, kita
                                                                                                         dengan nama sembarang, lalu jalankan file               bisa membalikan atau men-decrypt file yang
                                                                                                         tersebut menggunakan user lain, misalnya               di-encrypt agar kembali ke kondisi semula.
                                                                                                         Administrator melalui menu Run As yang                 Yang ternyata kunci dari enkripsi tersebut
                                                                                                         muncul ketika Anda mengklik kanan file                  adalah string “Bajingan”.
Blue Screen (BSOD) ketika masuk dalam modus Safe-Mode.                                                   tersebut.                                                 File yang telah ia enkrip akan diubah nama      PCMAV RC22 berhasil membasmi virus Parents.


68        VIRUS                                                                                                                                       12/2007   12/2007                                                                                                                            VIRUS      69

				
DOCUMENT INFO
Shared By:
Categories:
Tags:
Stats:
views:4
posted:12/28/2009
language:Vietnamese
pages:1