Saat ini kamu sedang membaca artikel...
Software

Teknik Rekayasa Favorit Virus dan Antisipasinya

Setelah virus berhasil menginfeksi sistem komputer, untuk mempertahankan eksistensinya virus akan melakukan blok terhadap tools atau program yang dapat menghentikan penyebarannya. Khususnya tools atau program yang banyak digunakan oleh user, dari analisa yang dilakukan oleh Laboratorium virus Vaksincom ada beberapa “SOP” Standard Operating Procedure atau prosedur standar yang dilakukan oleh programmer untuk dimasukkan ke dalam payload virusnya. Mayoritas memanfaatka metode manipulasi registri Windows. Aksi yang dilakukan cukup menyebalkan seperti blok fungsi Windows, blok software sekuriti dan trik lain seperti bagaimana menyembunyikan file virus dan dimana disembunyikan supaya sulit terdeteksi oleh pengguna komputer / program antivirus.
Berikut ini adalah rangkuman beberapa teknik favorit yang sering menjadi payload virus lokal maupun mancanegara dan seperti biasanya Vaksincom akan memberikan beberapa tips berguna di akhir artikel seperti bagaimana menemukan lokasi penyembunyian file virus, menampilkan type file dan ekstensi file yang dirubah oleh virus.

A.   Blok Fungsi Windows

Dengan tujuan untuk mempersulit proses pembersihan, virus akan mencoba untuk melakukan blok terhadap beberapa fungsi Windows contohnya:

  • Disable Registry Editor
  • Disable MSConfig
  • Disable Task Manager
  • Disable System Restore
  • Disable Folder Options
  • Disable Klik kanan
  • Disable Menu Run
  • Disable Menu  Search
  • Disable Control Panel
  • Disable CMD
  • Disable Desktop
  • Disable Windows Installer

B.   Blok Software Sekuriti

Selain melakukan blok terhadap fungsi Windows, virus juga akan berupaya blok beberapa software sekuriti seperti firewall atau antivirus, baik dengan cara mematikan proses, merubah registry ataupun menghapus file tertentu dari program antivirus sehingga program antivirus tidak dapat menjalankan fungsinya dengan baik. Agar hal ini tidak terjadi sebaiknya instal antivirus yang mempunyai kemampuan untuk proteksi diri sendiri (SelfPROtect) dari upaya virus yang berusaha untuk mematikan atau mengacaukan proses antivirus, hal ini penting dilakukan agar antivirus yang terinstal mampu memberikan perlindungan maksimal terhadap komputer dari serangan virus yang berusaha untuk menguasai komputer. Salah satu antivirus yang mempunyai kemampuan SelfPROtect adalah Dr.Web Anti-virus, untuk informasi lebih jauh mengenai antivirus Dr.Web silahkan akses ke situs www.drweb.com. (lihat gambar 1)

Gambar 1, Salah satu bentuk pertahanan diri yang dilakukan oleh Dr.Web Anti-virus

C.   Blok Tools Sekuriti

Untuk mempermudah proses pembersihan, Anda dapat menggunakan tools sekuriti seperti Killbox, Process Explorer, HijackThis atau Sekuriti Tak Manager untuk mematikan proses virus yang aktif di memori, tetapi kebanyakan virus akan menghentikan [mematikan] setiap tools yang berhubungan dengan sekuriti dengan cara membaca nama file atau membaca caption text [judul] dari tools tersebut pada saat dijalankan. Hal ini diantisipasi program antivirus dengan menggunakan nama acak untuk program adan prosesnya setiap kali instalasi sehingga mempersulit virus untuk memblok instalasi antivirus.

 

D.   Manipulasi Registri Windows

Registry merupakan suatu kumpulan database untuk menyimpan dan mengatur sistem windows, semua fungsi windows tersimpan di dalam database registri Anda dapat merubah atau menambah suatu key atau string pada registri tersebut tapi kesalahan yang Anda lakukan dapat mempengaruhi sistem komputer, oleh karena itu sebelum melakukan perubahan pada registri sebaiknya backup terlebih dahulu registri Windows dengan cara:

  • Buka program Registry Editor dengan cara klik [Start]
  • Klik [Run]
  • Pada kolom “Open” ketik regedit.exe
  • Klik tombol [OK], sampai muncul layar “Registry Editor” di bawah ini : (lihat gambar 2)

  • Pada program Registry Editor kelik menu [File]
  • Klik [Export]
  • Pada kolom “File name”, isi dengan nama file yang Anda inginkan [nama file boleh bebas] dan tentukan lokasi penyimpanan file tersebut
  • Klik tombol [Save]. (lihat gambar 3)

Kali ini kita akan membahas mengenai lokasi yang sering di incar oleh virus, baik virus lokal maupun macanegara. Untuk informasi mengenai pengertian registri dan struktur registri silahkan klik link http://id.wikipedia.org/wiki/Windows_Registry

      Registri yang paling banyak di serang virus

Seperti yang sudah dijelaskan sebelumnya bahwa virus akan berupaya untuk melakukan blok terhadap beberapa fungsi windows seperti “Registry Editor, MSConfig, Task Manager, Folder Options” serta beberapa fungsi Windows yang lain untuk mempermudah penyebarannya.

Berikut beberapa lokasi registri yang sering menjadi incaran virus diantaranya:

1.    Registri pemicu virus agar aktif otomatis

 

Sudah menjadi SOP, agar virus dapat aktif secara otomatis setiap kali komputer booting, ia akan membuat string pada beberapa alamat registri berikut, biasanya virus akan membuat string lebih dari satu dengan tujuan untuk saling backup jika salah satu proses virus tersebut di matikan sehingga akan mempersulit pada saat proses pembersihan.

Untuk nama string pada registri ini berbeda-beda tergantung dari jenis virusnya, contohnya jika komputer tersebut terinfeksi virus Rontokbro maka akan membuat string Tok-Cirhatus-2619 seperti terlihat pada gambar 4 dibawah ini.

String di atas dibuat agar virus  dapat aktif walaupun komputer booting pada mode aman (safe mode) atau pada saat user membuka aplikasi “Windows Explorer”, seperti contoh pada virus Rontokbro yang akan merubah string Shell  dan Userinit seperti yang terlihat pada gambar 5 di bawah ini.

Beberapa virus akan mengaktifkan dirinya secara otomatis sebagai screen saver Windows sesuai dengan waktu yang telah ditentukan dengan melakukan perubahan pada registri Windows berikut: (lihat gambar 6)

nanti di sambung lagi ya cape nie.

Discussion

No comments yet.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

Categories

December 2011
M T W T F S S
« Dec   Mar »
 1234
567891011
12131415161718
19202122232425
262728293031  

Silahkah Confirm Kalau Mau Kenal

Follow Me

  • Sahabat bukanlah mereka yg telah lama kamu kenal, namun mereka yg datang menghampirimu dan tak pernah meninggalkanmu 2 months ago
  • Teman Kampus BSI..... yang mana ya...??? 6 months ago
  • begini nie jadinya kalau TV nonton yang tidur hasilnya sakit kepala.. :D :D :D 1 year ago
  • ada yang pintar tapi membodohi,ada yang bodoh tapi tak tahu diri ada orang beragama tapi tak berakhlak, ada yang berakhlak tapi tak bertuhan 1 year ago
  • @ima39julahm test 1 year ago

Mau Kenal Chatt Aja…..

Maentenance Blog By: Standza Al Zahrah

Bookmark and Share



free counters


Member's Of Ghalast 518

  • Cep Nanang Sunarya
  • Erik AirLangga Saputra
  • Yopi Mera Wijaya
  • Wahyu Illahi
  • M.Romdonie
  • Khasung
  • Achips
  • Aldi
  • Ao

kritik dan saran : entjep@gmail.com

Creative Design By: Cep Nanang Sunarya

Silahkan Kunjungi Juga

SILAHKAN KALAU YANG HOBBY DWONLOAD

FREE EBOOK
%d bloggers like this: