Celah Pemicu aktifnya Virus

27.10.08


Program virus yang dikopi ke komputer yang bersih dari virus tidak mengakibatkan komputer tersebut tertular. Virus tersebut menjadi aktif dan mulai bekerja ketika program tersebut dijalankan oleh user, misalnya ketika diklik dua kali melalui Windows Explorer atau My Computer. Jadi infeksi virus pertama kali ke komputer diakibatkan oleh user sendiri. Sekali saja diberi kesempatan,

virus dapat secara leluasa membuat jadwal aktif sesuai yang diinginkan pembuatnya. Dengan melihat celah-celah yang dapat menjadi pemicu aktifnya virus, kita akan lebih mudah menemukan sarang persembunyian virus kemudian meringkusnya.

Registry
Registry menyediakan fasilitas yang memungkinkan program aktif sendiri sebelum start menu muncul. Fasilitas ini sebenarnya disediakan untuk program-program aplikasi, namun banyak
dimanfaatkan oleh virus. Setting registry dapat dilihat dan dimanipulasi menggunakan program REGEDIT bawaan Windows (Run, REGEDIT). Struktur di dalamnya terdiri atas lima root (HKEY_CLASSES_ROOT,HKEY_CURRENT_USER, HKEY_LOCAL_MACHINE, HKEY_USERS, dan HKEY_CURRENT_CONFIG), masing-masing root memiliki banyak cabang yang disebut key. Setiap key dapat memuat beberapa key dan/atau value. Dalam struktur manajemen file, root dapat diidentikkan dengan drive, key identik dengan folder, dan value identik dengan file. Seperti halnya folder, key tidak dapat memuat data, ia hanya dapat memuat key lain dan value. Data registry yang dapat mempengaruhi perilaku sistem secara keseluruhan dimuat dalam value. Untuk mengetahui struktur registry secara lebih jelas, jalankan REGEDIT. Hati-hati menjalankan REGEDIT, karena salah prosedur dapat mengakibatkan sistem lumpuh total!!!

Key "Run"
Key "Run" dibuat untuk menampung daftar program yang akan dijalankan sistem sesaat sebelum start menu aktif. Di registry, key ini dapat ditemukan di beberapa tempat yaitu
di:

"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion"
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion"

Jika satu atau beberapa user didaftarkan dalam User Account (Control Panel > User Account), maka pada root HKEY_USERS akan terdapat beberapa key yang menampung setting untuk masing-masing user. Sebagian dari key ini juga berisi key "Software\Microsoft\Windows\CurrentVersion" dan di dalamnya mungkin juga memuat
key "Run".

Value "Shell" dan "Userinit" di dalam Key "Winlogon"

Value "Shell" dan value "Userinit" di dalam key "Winlogon" dapat memberikan efek yang sama efektifnya—bagi virus—dengan value yang disimpan di dalam key "Run". Umumnya data untuk kedua value tersebut adalah:
• Shell = "Explorer.exe"
• Userinit = "C:\WINDOWS\system32\userinit.exe,"
• Key "Winlogon" berada di:
“HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion”
“HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion”

Selain value dan key yang disebutkan di atas, sangat dimungkinkan masih banyak key/value yang dapat dimanfaatkan oleh virus, meskipun mungkin tidak efektif, dan selama ini penulis belum pernah menemukan. Jika ditemukan value yang mencurigakan, lakukan analisis yang memadai sebelum memutuskan untuk menghapusnya. Jangan asal hapus!!!


Start Menu dan Desktop
• Folder "StartUp" di start menu disediakan untuk menampung program-program yang akan dijalankan secara otomatis oleh Windows ketika proses booting selesai. Virus dapat memanfaatkan folder ini untuk memicu aktifnya virus tersebut dengan membuat shortcut di dalamnya, atau dengan membuat duplikat virus di dalamnya.
• File-file link atau shortcut (file berekstensi “.LNK” dan “.PIF”) yang berada di start menu atau di desktop berfungsi sebagai “jalan pintas” ke file program untuk memudahkan user menjalankan program tersebut. File semacam ini, karena bukan benar-benar program, umumnya berukuran kecil, tidak lebih dari 4KB. File ini dapat dimanipulasi virus sehingga tidak menunjuk ke program yang seharusnya, tetapi dibelokkan ke program virus. Untuk mengetahui shortcut tersebut dibelokkan atau tidak, klik kanan pada file shortcut tersebut, klik “Properties”, kemudian lihat keterangan pada kotak “Target”.

File shortcut juga bisa saja dihapus oleh virus kemudian diganti dengan program virus
yang ikonnya dibuat sama dengan file shortcut yang asli. Kasus semacam ini jarang, tetapi pernah terjadi. Jika hal ini terjadi, umumnya ukuran file ‘shortcut’ tersebut lebih dari 4KB. Tetapi ukuran file "shortcut" yang besar tidak menjadi jaminan bahwa file tersebut telah dimanipulasi menjadi program virus. Untuk memastikannya harus dilihat isinya menggunakan program HEX Editor. Sayangnya hanya orang-orang tertentu—terutama yang pernah mempelajari pemrograman atau teknik elektronika digital —yang bisa memahami program HEX Editor. File shortcut umumnya memiliki gambar panah, kecuali jika file tersebut dilihat di start menu. Jika kita melihat isi folder start menu menggunakan Windows Explorer, semua file shortcut asli (bukan folder) akan memiliki gambar panah. Jika tidak ada gambar panahnya, kemungkinan (bukan jaminan) file shortcut tersebut sudah bukan shortcut beneran.

Task Scheduler
Scheduled Tasks untuk melihat daftar jadwal periodik yang sudah dijadwalkan di sistem. Virus kadang-kadang membuat jadwal di sini untuk menjalankan program virus dari lokasi tertentu. Hapus scheduled task yang merugikan saja.


AUTOEXEC.BAT
Setiap booting, komputer akan memeriksa file C:\AUTOEXEC.BAT dan menjalankan perintah-perintah di dalamnya, jika ada. Tentu saja peluang ini menguntungkan program aplikasi maupun program virus. Periksa isinya, dan hapus perintah yang merugikan atau yang menunjuk ke file virus. Jika tidak yakin dengan akibatnya, file AUTOEXEC.BAT dapat dikopi dulu, sehingga jika terjadi hal-hal yang tidak diinginkan, dapat dikembalikan seperti semula dengan menimpa file AUTOEXEC.BAT dengan kopian yang telah dibuat. Untuk menonaktifkan satu atau beberapa perintah di dalam file AUTOEXEC.BAT dapat ditambahkan kata "REM" (tanpa tanda petik).

Ambil Alih Program
Virus bisa juga mengambil alih program dengan cara sebagai berikut:
• Mengubah nama program aplikasi yang sering digunakan user.
Misalnya WINWORD.EXE (Microsoft Word) diubah menjadi WINWORD1.EXE.
• Membuat duplikat virus dengan nama program yang sering digunakan user. Dalam contoh ini, virus membuat duplikat dengan nama WINWORD.EXE.
• Ketika user bermaksud menjalankan program aplikasi (Microsoft Word), user sebenarnya
menjalankan program virus, kemudian program virus tersebut memanggil program aplikasi yang asli yang telah diubah namanya (WINWORD1.EXE) Strategi ini diterapkan oleh virus d2/Decoil daun, dengan mengambil alih program Winamp. Untuk memeriksanya, cek program-program yang shortcutnya tersedia di start menu atau di desktop. Program virus umumnya kecil, yaitu antara 30KB sampai 300KB, sedangkan program aplikasi biasanya berukuran relatif besar (WINWORD.EXE berukuran lebih dari 8.000KB, EXCEL.EXE berukuran lebih dari 6.000KB). Tanggal pembuatan program juga dapat digunakan untuk mengetahui apakah suatu program masih asli atau tidak, meskipun sebenarnya suatu file dapat diubah tanggalnya dengan mudah.


0 komentar:

Post a Comment