Saat ini virus dengan jenis varian ini luar biasa berkembang pesat. Mungkin jika di deskripsikan secara kasar perkembangan nya setara dengan perkembangan software open source. Karena dari 'script' yang hampir sama kemudian berkembang menjadi beberapa 'thread' yang berbeda. Kalo ada yang bertanya 'script' atau 'thread' yang mana yang duluan ? Walohualam....sampai dengan detik ini saya belum mempunyai data yang akurat.
Ada beberapa nama virus jenis ini yang lumayan ngetop akhir-akhir ini (dari hasil pengamatan saya selama mengikuti beberapa forum komunitas IT), yaitu diantaranya : FLu Burung (H5N1), Latifah, Mr Coolface, My Prince, Nahital, Harpot.A. Dua nama terakhir terdeteksi sebagai virus lokal alias dikembangkan oleh 'virus maker' dari dalam negeri sendiri.
Ada beberapa nama virus jenis ini yang lumayan ngetop akhir-akhir ini (dari hasil pengamatan saya selama mengikuti beberapa forum komunitas IT), yaitu diantaranya : FLu Burung (H5N1), Latifah, Mr Coolface, My Prince, Nahital, Harpot.A. Dua nama terakhir terdeteksi sebagai virus lokal alias dikembangkan oleh 'virus maker' dari dalam negeri sendiri.
Untuk ngebahas semua nama virus diatas, rasanya terlalu berat. Selain karena dikembangkan oleh 'virus maker' yang berbeda sehingga mempunyai ciri atau karakteristik 'serangan' yang berbeda pula (tergantung dari motivasi dia pada saat mengembangkan virus). Saya memilih untuk membahas virus yang menamakan diri FLu Burung atau H5N1. Dari nama-nya mirip dengan nama virus ganas yang menyerang tubuh manusia lewat unggas.
Apa ciri-ciri dari virus Flu_Burung?
Virus yang memiliki icon mirip seperti Microsoft Word ini memiliki ukuran tubuh sebesar 46.592 bytes. Di-compress menggunakan tool executable compressor ASPack. Seperti kebanyakan virus-virus lokal lainnya, virus ini diprogram menggunakan bahasa favorit para virus maker yakni Visual Basic. Virus ini juga menggunakan sedikit teknik enkripsi. Pada resource yang ada di tubuh virus ini terdapat icon-icon Ms. Word dan version information yang dibuat sedemikian rupa agar mirip dengan aplikasi Ms. Word yang tentunya agar user tidak curiga. Selain iu juga terdapat resource dengan nama FLU_BURUNG, yang setelah di-unpack resource ini berupa text biasa yang merupakan pesan dari pembuat virus. Pada dokumen Ms. Word yang terinfeksi, extension-nya berupa .scr yang secara default merupakan extension untuk file Screen Saver.
Bagimana ia menginfeksi?
Pada saat kali pertama aktif, yang dilakukannya adalah memeriksa apakah sistem tersebut sudah pernah diinfeksi? Apabila belum, maka ia akan menginfeksinya. Cara yang dilakukannya cukup unik, yakni memeriksa apakah pada direktori Recycle Bin sudah terdapat “agen” dari sang virus, kalau belum dengan senang hati ia akan segera men-copy-kan tubuh asli dari sang virus ke direktori Recycle Bin tersebut yang secara default direktori tersebut sebenarnya bernama Recycled dan biasanya akan terdapat pada setiap drive. Nama file induk yang digunakan pun mirip sekali dengan nama-nama process atau service penting dari Windows yakni CTFMON.EXE, SMSS.EXE, SPOOLSV.EXE, dan SVCHOST.EXE. Apabila dilihat menggunakan hex editor, data mengenai nama-nama file induk-nya tidak dapat dibaca dengan mudah begitu saja, karena seperti yang penulis bilang di awal, virus ini menggunakan sedikit teknik enkripsi. Hal ini juga berlaku bagi beberapa string lain seperti letak key, section, ataupun item di registry yang ia rubah. Lalu setelah file induk berhasil ditanamkan pada sistem tersebut, ia akan merubah registry yang salah satunya terletak pada HKEY_CURRENT_USER, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell dengan maksud merubah nilai dari item Shell agar virus tersebut dapat aktif otomatis pada saat memulai Windows. Selain itu, pada direktori Temp milik Windows juga terdapat pesan dari pembuat virus.
Teknik Enkripsi
Karena sebelumnya ragu terhadap beberapa string aneh yang terdapat pada tubuh virus ini. Apalagi bagi yang telah berpengalaman di bidang menganalisa virus dan cryptography. Dan ditambah juga dengan tidak adanya string-string yang menyangkut nama-nama file induk virus, registry yang dirubah, dan lain sebagainya pada tubuh virus tersebut, seperti yang telah dikatakan di awal. Disinilah awal kecurigaan bahwa kemungkinan string aneh tersebut merupakan hasil enkripsi. Akhirnya dengan bermodalkan salah satu string yang terdapat di tubuh virus tersebut “MS\fI\Y\UN”, ketemulah engkripsi yang digunakan. Yakni hanya memundurkan setiap karakter ASCII sebanyak 7 karakter. Dan dengan membuat program sederhana yang akan men-dekripsikan seluruh string yang ter-enkripsi, maka didapatkan hasil bahwa string “MS\fI\Y\UN” adalah “FLU_BURUNG”.
Infeksi file DOC
Sebenarnya banyak hal menarik yang dilakukan oleh virus ini. Yakni salah satunya lagi yang ia lakukan adalah dengan menginfeksi setiap document Ms. Word yang baru saja dibuka. Seperti yang kita ketahui bahwa apabila kita membuka suatu dokumen, entah itu file txt, rtf, doc, ataupun yang lainnya maka windows menyimpan history atau recent document mengenai file apa saja yang pernah dibuka. Anda dapat dengan mudah melihatnya dengan meng-klik “Start>Documents”. Dan itulah yang dilakukan oleh virus ini, ia akan mendapatakan direktori asli yang menyimpan informasi recent document, yang secara default terletak pada direktori “\Documents and Settings\%UserName%\Recent” lalu membaca isi dari direktori tersebut, apabila terdapat link yang mengarah ke file .doc maka dengan segera virus ini akan menginfeksikannya. Teknik infeksi yang digunakan adalah dengan cara menambahkan file dokumen yang akan di-infeksikannya kebagian akhir dari tubuh aslinya, dan menggunakan nama yang hampir mirip dengan aslinya, yang membedakan hanya ektensionnya yakni .scr. Sementara dokumen yang asli disembunyikannya dengan memberikan attribut hidden.
Jelas saja apabila file yang sudah terinfeksi virus tersebut Anda coba buka paksa dengan Ms. Word maka tidak akan bisa, karena formatnya berbeda, bukan lagi file Ms. Word tapi Executable. Tapi kalau Anda double-click file yang terinfeksi tersebut, dokumen tersebut dapat terbuka dengan baik. Sebenarnya cara kerjanya cukup sederhana, yakni dokumen yang terinfeksi tersebut pada saat dijalankan, virusnya yang terlebih dahulu di eksekusi, lalu setelah berhasil dia akan mencoba men-drop data yang ada di akhir tubuhnya pada direktori tersebut, yang dalam hal ini adalah data Ms. Word kita. Lalu menjalankan data yang berhasil di-extract dari dalam tubuhnya itu.
Selain itu, tubuh virus yang asli juga memiliki nilai hashing yang berbeda-beda, karena setiap ia membuat duplikat dari dirinya, ia akan meng-generate random number sebanyak 4 bytes yang ia taruh di akhir tubuh aslinya.
Merubah registry
Karena extension file yang digunakan pada saat menginfeksi file adalah .scr, jadi virus melakukan banyak perubahan untuk extension ini di registry, tujuannya jelas untuk menyamarkan kehadirannya, agar user tidak curiga. Seperti type information dari yang dirubah dari “Screen Saver” menjadi “Microsoft Word Document”. Key yang banyak dilakukan perubahan pada “HKEY_CLASSES_ROOT\scrfile\”.
Tidak seperti virus lainnya yang selalu men-disable Folder Options, pada virus ini hal tersebut tidak dilakukannya, namun yang ia lakukan adalah men-set default UncheckedValue untuk HideFileExt dan SupperHidden, jadi walaupun kita mencoba masuk ke Folder Options untuk merubah settingannya, tidak akan berpengaruh apa-apa. Karena tetap saja Windows tidak menampilkan extension dan file dengan attribut hidden. Selain itu pada key “HKEY_CLASSES_ROOT\*” virus ini juga melakukan beberapa perubahan pada item QuickTip, TileInfo, dan InfoTip.
Stay resident in memory
Pada saat virus aktif maka ia akan bersemayam di memory, memonitor aksi yang dilakukan oleh user. Di memory, virus ini memiliki 3 process atau lebih, dengan nama yang sama seperti file induknya. Apabila ada yang mencoba untuk membunuh process-nya, dengan sigap ia kan memanggil kembali process yang telah di-kill tersebut. Hal tersebut juga berlaku untuk item autostart virus di registry. Otomatis akan di-create apabila ada yang mencoba menghapusnya. Dan tugas virus yang lebih penting lainnya adalah memonitor folder “Recent Documents”, apabila terdapat dokumen yang baru dibuka, maka akan langsung diinfeksi.
Membasmi Flu_Burung
Untuk dapat mematikan virus ini sebenarnya bisa saja dengan me-rename file runtime library milik VB yakni MSVBVM60.DLL, tapi yang agak sulit adalah men-disinfeksikan file dokumen yang telah terinfeksi oleh virus Flu_Burung ini. Maka dari itu, apabila komputer Anda terinfeksi oleh virus ini, silahkan Anda menggunakan versi PCMAV versi terbaru saja. Download klik disini.
Atau jika anda ingin mencoba dengan teknik lain, saya sudah memposting cara menghilangkan virus ini, baca disini.
Kalo saya sendiri saat ini menggunakan antivirus Norton Antivirus 2007 (yang selalu terupdate setiap saat, dan alhamdulilah sampai dengan saat ini aman-aman saja). "Antivirus versi 'jamu' juga bisa kok, asal anda berhasil mem-'bobok'nya sehingga bisa terupdate setiap saat dari sumbernya". Tapi akibat dari 'pembobokan' ini resiko-nya tanggung sendiri ya..! hehehehe..!
Tapi intinya berhati-hatilah anda mulai dari sekarang, karena virus ini bisa menyebar selain melalui email attachment, juga beberapa bisa menular melalui berbagai media penyimpanan seperti harddisk, removal disk, disket, flash disk dll. Ada beberapa tips yang bisa saya diberikan yaitu :
Note : Dikumpulkan dari beberapa sumber dan dari pengalaman sendiri selama bekerja sebagai staff IT.
Atau jika anda ingin mencoba dengan teknik lain, saya sudah memposting cara menghilangkan virus ini, baca disini.
Kalo saya sendiri saat ini menggunakan antivirus Norton Antivirus 2007 (yang selalu terupdate setiap saat, dan alhamdulilah sampai dengan saat ini aman-aman saja). "Antivirus versi 'jamu' juga bisa kok, asal anda berhasil mem-'bobok'nya sehingga bisa terupdate setiap saat dari sumbernya". Tapi akibat dari 'pembobokan' ini resiko-nya tanggung sendiri ya..! hehehehe..!
Tapi intinya berhati-hatilah anda mulai dari sekarang, karena virus ini bisa menyebar selain melalui email attachment, juga beberapa bisa menular melalui berbagai media penyimpanan seperti harddisk, removal disk, disket, flash disk dll. Ada beberapa tips yang bisa saya diberikan yaitu :
- Update terus secara berkala anti virus anda. Sudah banyak kok anti virus terkenal seperti NOD32, Bit Defender, Norton(Symantec), Mc Afee, PCMAV, yang berhasil menaklukan virus jenis ini.
- Jangan lupa untuk terus menerus mengaktifkan status protection dari Antivirus yang ada gunakan. (Allways On).
- Menjadwalkan secara berkala agar Antivirus anda melakukan scanning otomatis terhadap seluruh sistem operasi anda.
- Jika anda menerima email dari beberapa nama yang asing bagi anda jangan pernah anda mencoba membukanya, apalagi disertai dengan attachment file yang aneh dan bikin penasaran, biasa-nya berakhiran .scr, .jpg, langsung delete saja dari pada komputer anda terinpeksi.
- Jangan pernah mengcopy sesuatu ke dalam disket, flashdisk dll dari komputer warnet (karena biasanya virus ini banyak berkeliaran di komputer warnet, terutama jika admin warnet-nya kurang rajin melakukan 'sweeping')
- Jangan lupa untuk melakukan scanning terhadap media ......disk (Flash, Floppy, Hard) anda, terutama jika anda terpaksa harus mengcopy file dari komputer orang lain kedalam komputer anda sendiri.
Note : Dikumpulkan dari beberapa sumber dan dari pengalaman sendiri selama bekerja sebagai staff IT.
Click sini
1 komentar:
Terima Kasih informasinya sangat bermanfaat
Cara Merawat Burung Cililin
Cara Merawat Burung Cucak Jenggot
Perawatan Burung Murai Batu
Cara Merawat Burung Cucak Ijo
Cara Merawat Burung Love Bird
Cara Merawat Burung Kacer
Pecinta Burung
Posting Komentar