Berikut artikel dari sebuat forum diskusi :
Title: Re: Membongkar Pertahanan Virus Lokal Menggunakan Visual Basic Script dan Tex
Post by: ebadboy on May 14, 2008, 03:50:01 AM
Pesatnya perkembangan virus lokal belakangan ini yang terkadang menginfeksi komputer, menuntut harus mulai berfikir mengambil bagian tentang bagaimana cara pembuatan pencegahnya. Hal ini diperlukan, karena virus lokal terkadang sulit dideteksi oleh beberapa antivirus terkemuka, kecuali oleh beberapa antivirus buatan lokal yang kemudian dipublikasikan sebagai antivirus yang mampu menangani satu atau beberapa jenis virus lokal. Hal ini bisa terjadi mungkin saja disebabkan karena virus lokal bekerja tidak sebagaimana virus non lokal pada umumnya, sehingga keluar dari standar pencarian virus, contohnya saja jarang sekali virus lokal yang menginfeksi file exe atau file com atau yang lainnya, sehingga sangat sulit dideteksi sebagai virus atau bukan, kecuali ketika virus tersebut telah dilaporkan dan terdeteksi oleh pembuat antivirus, baru virus tersebut dapat diatasi, lagi-lagi tercipta asumsi bahwa virus selangkah lebih maju dari antivirus. Salah satu penyebab dari sulitnya mendeteksi virus lokal ini, karena hampir tidak ada bedanya dengan file biasa, apalagi virus ini juga menggunakan bahasa lokal. Satu sisi mungkin bisa berbangga, karena beberapa nama virus lokal merupakan bahasa Indonesia, dan telah menjadi nama yang berada di database daftar virus internasional. Kini saatnya mencoba membongkar pertahanan virus lokal secara manual, yang mungkin suatu saat teknik ini akan mampu menciptakan antivirus secara sederhana. Teknik membongkar pertahanan virus lokal menggunakan bahsa visual basic script dan teks edior mengacu pada target pengamanan beberapa bagian vital yang diinfeksi oleh virus, seperti registry, msconfig, sysedit, cmd, folder windows, system32 dan masih banyak lagi. Hal ini dimaksudkan bahwa dengan memahami teknik membongkar pertahahanan virus tentunya diharapkan mampu mencegah virus menginfeksi komputer lebih dini, hal ini sejalan dengan asumsi bahwa mencegah lebih baik dari mengobati. Kata Kunci : Virus, Registry, Infeksi, Perlindungan, Pencegahan
1. Daerah Rawan Yang Menjadi Target Serangan Virus
Ini adalah standar virus lokal tentang daerah apa saja yang akan diserang oleh virus,
memang ada beberapa yang tidak standar, namun biasanya file inti dari sebuah virus tidak jauh
berada di folder windows, system32 dan lain sebagainya. Kalau pun tidak berada disana, bisa
melacaknya melalui registry windows, tentunya fasilitas registry harus tidak terblokir. Yang
jelas, virus pasti berusaha masuk ke sistem yang ada di komputer untuk mengunci sistem,
memanipulasi dan mengganti sistem tersebut agar virus dapat lebih leluasa berkembang biak.
2. Registry Windows Sebagai Target Utama Serangan Virus Lokal
Registry windows merupakan suatu database untuk menyimpan dan mengatur sistem di
windows. Registry windows merupakan otak dari sistem operasi windows yang dijalankan,
registry windows akan selalu dibackup oleh sistem dalam hitungan waktu tertentu, registry
windows juga akan melakukan backup pada saat melakukan shutdown. Dengan registry
windows, dapat melakukan beberapa perubahan dan perbaikan terhadap sistem, bahkan dapat
melakukan beberapa pengaturan untuk meningkatkan kinerja windows, memanggil beberapa
file pada saat startup dan lain sebagainya. Karena keberadaan registry windows yang sangat
vital ini, maka registry menjadi sasaran utama virus untuk melakukan beberapa pengaturan yang
terkait dengan persiapan-persiapan aktivitas virus. Berikut adalah registry windows yang
dijalankan melalui klik start run ketik regedit.
2.a. Kunci Utama Registry Windows
Registry windows terdiri dari 5 Key sebagai kunci utama yaitu :
HKEY_CLASSES_ROOT (HKCR);
HKEY_CURRENT_USER (HKCU);
HKEY_LOCAL_MACHINE (HKLM);
HKEY_USERS (HKU)
HKEY_CURRENT_CONFIG (HKCC).
HKCC mempunyai Key Software dan Key System. Dan Key System mempunyai anak lagi yaitu
Current Control Set, dan Key Current Control Set mempunyai anak Key Control dan Key Enum,
dan seterusnya yang tidak dapat dijelaskan secara rinci disini
2.b. Setiap Kunci Utama (Key) Pada Registry Memiliki Nilai (Value)
Value merupakan isi dari setiap key yang ada di registry windows. Dilihat dari tipe
datanya, value memiliki 3 jenis data, yaitu DWORD dengan jenis angka atau integer, STRING
dengan jenis karakter (huruf) atau kalimat, BINARY dengan jenis angka biner, dan masih ada
beberapa jenis lain, namun tidak dibahas karena jarang dipakai dalam registry itu sendiri.
2.c. Alamat Registry
Dalam hal pengaturannya, registry windows mempunyai alamat yang berguna untuk
mengatur konfigurasi pada windows, misalnya :
Untuk menjalankan suatu aplikasi secara otomatis, dapat dilihat pada alamat
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
Untuk memanipulasi kode explorer, dapat dilihat pada alamat :
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Untuk memanipulasi drive penginstalan, lisensi pada windows, dapat dilihat pada alamat:
HKLM\Software\Microsoft\WindowsNT\CurrentVersion\
3. Registry Sasaran Virus Lokal
Dari sekian banyak alamat registry yang memiliki fungsi masing-masing, hanya
sebagian alamat registry saja yang menjadi sasaran virus untuk mengatur penyerangan dan
perlindungan virus yang biasa di exploitasi oleh virus lokal. Paling tidak jika menemukan virus
lokal, sebaiknya cek di alamat registry ini:
3.a. Registry Mengaktifkan Virus Lokal
Berguna untuk memicu file virus agar otomatis aktif pada saat startup, virus akan
mengakses alamat ini dan memberikan nilai alamat dimana file virus berada, dan akan selalu
aktif setiap kali startup, dengan alamat :
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
3.b. Registry Menyembunyikan Extension File
Pada alamat registry ini biasanya digunakan untuk menyembunyikan extension file.
Biasanya virus menyembunyikan extension file untuk menipu user, seperti yang dilakukan oleh
sebagian virus lokal, hal ini dapat dilakukan pada registry dengan alamat :
Alamat : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Key : HideFileExt
Value : 1
3.c. Registry Menyembunyikan File Hidden
Alamat registry ini berguna untuk menyembunyikan file dengan atribut hidden. Jadi
untuk mempertahankan kelangsungan hidupnya, virus menyembunyikan diri dengan mengatur
file beratribut hidden. Walaupun sebenarnya ada teknik lain, yaitu dengan membuat nama file
utama virus mirip dengan nama system file di windows, misalnya file svchost, lsass, csrss, dan
lain – lain, nama file tersebut mirip dengan nama file system yang ada pada windows, alamat
registry untuk menyembunyikan file yang beratribut hidden tersebut adalah (Lihat Gambar-4) :
Alamat : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Key : Hidden
Value : 0
File yang beratribut hidden pada windows explorer ditandai dengan icon yang kabur.
file tersebut dapat disembunyikan dengan alamat registry di atas tadi. Sehingga pada windows
explorer, semua file yang beratribut hidden tidak akan terlihat, begitu juga dengan file virus
dalam menyembunyikan dirinya. file virus tidak akan terlihat karena file tersebut diatur dengan
atribut hidden.
3.d. Registry Memblokir Regedit
Registry ini berguna untuk
mengunci regedit yang ada di
windows. Sehingga bila mencoba
masuk ke registry, maka akan
muncul pesan pemblokiran : "registry editing has been disabled by your administrator"
Alamat : HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
Key : DisableRegistryTools
Value : 1
3.e. Registry Memblokir Command Prompt
Gambar-7: Pesan command prompt yang diblokir
Registry ini
berguna untuk mengunci
command prompt.
Sehingga bila mencoba
masuk ke command
prompt, maka akan timbul
pesan pemblokiran "command prompt has been disabled by your administrator"
Alamat : HKCU\Software\Policies\Microsoft\Windows\System\
Key : DisableCMD
Value : 1
3.d. Registry Memblokir Task Manager
Registry ini berguna untuk
mengunci Task Manager. Sehingga
bila mencoba masuk ke Task
Manager, maka akan timbul pesan
pemblokiran "task manager has been disabled by your administrator"
Gambar-8: Pesan task manager yang diblokir
Alamat : HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
Key : DisableTaskMgr
Value : 1
4. System Editor ( SysEdit )
Selain virus menyerang daerah registry,
virus juga akan menyerang sysedit atau
sistem editor. System editor atau yang
biasa disingkat dengan Sysedit adalah file
tertentu yang dijalankan. ketika komputer
masuk ke windows pertama kali, seperti
halnya regedit. Sysedit ini biasanya masih
banyak dipakai di sistem operasi windows
lama seperti win95, Win98, Win3.1,
walaupun memang sudah lama, secara
tidak langsung berpengaruh juga pada user
yang memakai sistem operasi windows
XP. Untuk melihat sysedit ini klik
StartRunKetik sysedit
Jadi sebenarnya dalam sysedit ini, bisa memanipulasi file yang pertama kali dieksekusi oleh
windows ketika windows berjalan di komputer anda. File yang dimaksud dapat dijelaskan
sebagai berikut :
4.a. Config.sys
Config.sys adalah file yang memuat tentang seluruh konfigurasi windows dan
dijalankan ketika pertama kali windows mulai. Letak file ada di drive C:\ dan mempunyai
atribut file system dan hidden.
4.b. Autoexec.bat
Autoexec.bat adalah file yang berisi perintah yang ada di komputer dan akan dijalankan
pertama kali ketika windows berjalan. Letak file ada di drive C:\ dan mempunyai atribut file
system dan hidden.
4.c. Win.ini
Win.ini juga sebuah file yang dieksekusi pertama kali oleh windows. File ini berisi
tentang aplikasi 16 bit yang di-support oleh windows.
4.d. System.ini
System.ini adalah sebuah file yang berguna untuk menyimpan data font yang diakses
oleh windows ketika pertama kali.
5. Folder Yang Sering Menjadi Target Serangan Virus Untuk Pertahanan
Selain akan menginfeksi registry, virus juga akan menggandakan diri ke beberapa
folder yang dianggap penting dan rawan, hal ini dimaksudkan agar keberadaan virus tetap eksis
dan sulit diketahui oleh pemakai, karena pada umumnya file yang berada pada folder-folder
penting dianggap rawan untuk dihapus, sebab akan mempengaruhi kinerja sistem. Adapun
alamat folder yang sering adalah : c:\windows, c:\windows\system, c:\windows\system32
Cara Kerja Pencegahan Dan Perlindungan Dari Virus Lokal:
Cara kerja teknik pencegahan dan perlindungan dari virus lokal ini adalah kebalikan
dari virus itu sendiri, terutama dalam hal infeksi registry. Hal ini dimaksudkan agar dapat
mengakses registry, command prompt, msconfig dan masih banyak lagi, sehingga dapat melacak
keberadaan file induk virus lokal yang dimaksud, mengetahui bagaimana virus tersebut
menyerang, bertahan, dan pada bagian apa saja virus tersebut melakukan berbagai perubahan.
Berikut ada contoh perintah visual basic script yang dapat dibuat dengan text editor notepad dan
disimpan dengan nama file ber extention vbs (contoh : bongkarvirus.vbs),
on error resume next
dim infreg, almreg
rem -- dapat memilih beberapa beberapa baris scrip saja sesuai kebutuhan
set infreg = createobject("WScript.Shell")
rem -- membongkar beberapa fasilitas yang diblokir
almreg = "HKCU\Software\Policies\Microsoft\Windows\System\"
infreg.RegWrite almreg & "DisableCMD","0", "REG_DWORD"
almreg = "HKCU\Software\Microsoft\Windows\CurrentVersion\"
infreg.RegWrite almreg & "Policies\System\DisableTaskMgr","0","REG_DWORD"
infreg.RegWrite almreg & "Policies\System\DisableMsConfig","0","REG_DWORD"
infreg.RegWrite almreg & "Policies\System\DisableRegistryTools","0","REG_DWORD"
rem -- membongkar beberapa fasilitas yang dihidden
infreg.RegWrite almreg & "Explorer\Advanced\Hidden","0","REG_DWORD"
infreg.RegWrite almreg & "Explorer\Advanced\HideFileExt","0","REG_DWORD"
infreg.Regwrite almreg & "Explorer\Advanced\ShowSuperHidden","0x00000000"
almreg = "HKLM\Software\Policies\Microsoft\Windows NT\SystemRestore\"
infreg.RegWrite almreg & "DisableSR","0","REG_DWORD"
almreg = "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"
infreg.Regwrite almreg & "Folder\SuperHidden\type","checkbox"
infreg.Regwrite almreg & "Folder\HideFileExt\type","Checkbox"
rem -- membongkar kemabali beberapa fasilitas yang disembunyikan untuk dimunculkan
almreg = "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"
infreg.RegWrite almreg & "NoRun", "0", "REG_DWORD"
infreg.RegWrite almreg & "NoFind", "0", "REG_DWORD"
infreg.RegWrite almreg & "NoClose", "0", "REG_DWORD"
infreg.RegWrite almreg & "NoViewOnDrive", "0", "REG_DWORD"
infreg.RegWrite almreg & "NoControlPanel", "0", "REG_DWORD"
infreg.RegWrite almreg & "NoFolderOptions", "0", "REG_DWORD"
infreg.RegWrite almreg & "NoViewContextMenu", "0", "REG_DWORD"
infreg.RegWrite almreg & "NoStartMenuMorePrograms", "0", "REG_DWORD"
rem -- mengembalikan beberapa inisial yang dirubah untuk mempublikasikan virus
almreg = "HKCU\Software\Microsoft\Internet Explorer\Main\"
infreg.Regwrite almreg & "Start page","About:blank"
almreg = "HKLM\Software\Microsoft\Windows NT\CurrentVersion\"
infreg.Regwrite almreg & "ProductId","Your ID"
infreg.Regwrite almreg & "RegisteredOwner","Owner"
infreg.Regwrite almreg & "RegisteredOrganization","Organization"
Tidak ada komentar:
Posting Komentar