Tempat ngumpulnya anak Himatika Perbanas
 
IndeksPortailCalendarFAQAnggotaGroupPencarianPendaftaranLogin

Share | 
 

 Celah pemicu Aktifnya virus

Topik sebelumnya Topik selanjutnya Go down 
PengirimMessage
yadoy666
Script Learner
Script Learner


Jumlah posting : 121
Registration date : 20.09.07

PostSubyek: Celah pemicu Aktifnya virus   Sun Sep 23, 2007 3:06 pm

Program virus yang dikopi ke komputer yang bersih dari
virus tidak mengakibatkan komputer tersebut tertular. Virus tersebut menjadi
aktif dan mulai bekerja ketika program tersebut dijalankan oleh user, misalnya
ketika diklik dua kali melalui Windows Explorer atau My Computer. Jadi infeksi
virus pertama kali ke komputer diakibatkan oleh user sendiri. Sekali saja diberi
kesempatan, virus dapat secara leluasa membuat jadwal aktif sesuai yang
diinginkan pembuatnya. Dengan melihat celah-celah yang dapat menjadi pemicu
aktifnya virus, kita akan lebih mudah menemukan sarang persembunyian virus
kemudian meringkusnya.

1. Registry

Registry menyediakan
fasilitas yang memungkinkan program aktif sendiri sebelum start menu muncul.
Fasilitas ini sebenarnya disediakan untuk program-program aplikasi, namun banyak
dimanfaatkan oleh virus. Setting registry dapat dilihat dan dimanipulasi
menggunakan program REGEDIT bawaan Windows (Run, REGEDIT). Struktur di dalamnya
terdiri atas lima root (HKEY_CLASSES_ROOT, HKEY_CURRENT_USER,
HKEY_LOCAL_MACHINE, HKEY_USERS, dan HKEY_CURRENT_CONFIG), masing-masing root
memiliki banyak cabang yang disebut key. Setiap key dapat memuat beberapa key
dan/atau value. Dalam struktur manajemen file, root dapat diidentikkan dengan
drive, key identik dengan folder, dan value identik dengan file. Seperti halnya
folder, key tidak dapat memuat data, ia hanya dapat memuat key lain dan value.
Data registry yang dapat mempengaruhi perilaku sistem secara keseluruhan dimuat
dalam value. Untuk mengetahui struktur registry secara lebih jelas, jalankan
REGEDIT. Hati-hati menjalankan REGEDIT, karena salah prosedur dapat
mengakibatkan sistem lumpuh total!!!

a. Key "Run"

Key "Run"
dibuat untuk menampung daftar program yang akan dijalankan sistem sesaat sebelum
start menu aktif. Di registry, key ini dapat ditemukan di beberapa tempat yaitu
di:
= Key "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion"

= Key "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion"
=
Beberapa key di dalam key "HKEY_USERS"

Jika satu atau beberapa user
didaftarkan dalam User Account (Control Panel > User Account), maka pada root
HKEY_USERS akan terdapat beberapa key yang menampung setting untuk masing-masing
user. Sebagian dari key ini juga berisi key
"Software\Microsoft\Windows\CurrentVersion" dan di dalamnya mungkin juga memuat
key "Run".

b. Value "Shell" dan "Userinit" di dalam Key "Winlogon"


Value "Shell" dan value "Userinit" di dalam key "Winlogon" dapat
memberikan efek yang sama efektifnya—bagi virus—dengan value yang disimpan di
dalam key "Run". Umumnya data untuk kedua value tersebut adalah:

Shell =
"Explorer.exe"
Userinit = "C:\WINDOWS\system32\userinit.exe,"

Key
"Winlogon" berada di:
= Key “HKEY_CURRENT_USER\Software\Microsoft\Windows
NT\CurrentVersion”
= Key “HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion”
= Beberapa key di dalam key “HKEY_USERS”

Selain
value dan key yang disebutkan di atas, sangat dimungkinkan masih banyak
key/value yang dapat dimanfaatkan oleh virus, meskipun mungkin tidak efektif,
dan selama ini penulis belum pernah menemukan.
Jika ditemukan value yang
mencurigakan, lakukan analisis yang memadai sebelum memutuskan untuk
menghapusnya. Jangan asal hapus!!!


2. Start Menu dan Desktop

a. Start >
Programs > StartUp

Folder "StartUp" di start menu disediakan untuk
menampung program-program yang akan dijalankan secara otomatis oleh Windows
ketika proses booting selesai. Virus dapat memanfaatkan folder ini untuk memicu
aktifnya virus tersebut dengan membuat shortcut di dalamnya, atau dengan membuat
duplikat virus di dalamnya. Virus Brontok versi awal memanfaatkan folder ini
dengan membuat file bernama "EMPTY.PIF" bergambar program DOS.

b.
Link/Shortcut

File-file link atau shortcut (file berekstensi “.LNK” dan
“.PIF”) yang berada di start menu atau di desktop berfungsi sebagai “jalan
pintas” ke file program untuk memudahkan user menjalankan program tersebut. File
semacam ini, karena bukan benar-benar program, umumnya berukuran kecil, tidak
lebih dari 4KB. File ini dapat dimanipulasi virus sehingga tidak menunjuk ke
program yang seharusnya, tetapi dibelokkan ke program virus. Untuk mengetahui
shortcut tersebut dibelokkan atau tidak, klik kanan pada file shortcut tersebut,
klik “Properties”, kemudian lihat keterangan pada kotak “Target”.

File
shortcut juga bisa saja dihapus oleh virus kemudian diganti dengan program virus
yang ikonnya dibuat sama dengan file shortcut yang asli. Kasus semacam ini
jarang, tetapi pernah terjadi. Jika hal ini terjadi, umumnya ukuran file
‘shortcut’ tersebut lebih dari 4KB. Tetapi ukuran file "shortcut" yang besar
tidak menjadi jaminan bahwa file tersebut telah dimanipulasi menjadi program
virus. Untuk memastikannya harus dilihat isinya menggunakan program HEX Editor.
Sayangnya hanya orang-orang tertentu—terutama yang pernah mempelajari
pemrograman atau teknik elektronika digital —yang bisa memahami program HEX
Editor. File shortcut umumnya memiliki gambar panah, kecuali jika file tersebut
dilihat di start menu. Jika kita melihat isi folder start menu menggunakan
Windows Explorer, semua file shortcut asli (bukan folder) akan memiliki gambar
panah. Jika tidak ada gambar panahnya, kemungkinan (bukan jaminan) file shortcut
tersebut sudah bukan shortcut beneran.


3. Task Scheduler

Lihat Control Panel
> Scheduled Tasks untuk melihat daftar jadwal periodik yang sudah dijadwalkan
di sistem. Virus kadang-kadang membuat jadwal di sini untuk menjalankan program
virus dari lokasi tertentu. Hapus scheduled task yang merugikan saja.



4. AUTOEXEC.BAT


Setiap booting, komputer akan memeriksa file C:\AUTOEXEC.BAT dan
menjalankan perintah-perintah di dalamnya, jika ada. Tentu saja peluang ini
menguntungkan program aplikasi maupun program virus. Periksa isinya, dan hapus
perintah yang merugikan atau yang menunjuk ke file virus. Jika tidak yakin
dengan akibatnya, file AUTOEXEC.BAT dapat dikopi dulu, sehingga jika terjadi
hal-hal yang tidak diinginkan, dapat dikembalikan seperti semula dengan menimpa
file AUTOEXEC.BAT dengan kopian yang telah dibuat. Untuk menonaktifkan satu atau
beberapa perintah di dalam file AUTOEXEC.BAT dapat ditambahkan kata "REM" (tanpa
tanda petik).


5. Ambil Alih Program


Virus bisa juga mengambil alih program dengan cara sebagai
berikut:

a. Mengubah nama program aplikasi yang sering digunakan user.
Misalnya WINWORD.EXE (Microsoft Word) diubah menjadi WINWORD1.EXE.

b.
Membuat duplikat virus dengan nama program yang sering digunakan user. Dalam
contoh ini, virus membuat duplikat dengan nama WINWORD.EXE.

c. Ketika
user bermaksud menjalankan program aplikasi (Microsoft Word), user sebenarnya
menjalankan program virus, kemudian program virus tersebut memanggil program
aplikasi yang asli yang telah diubah namanya (WINWORD1.EXE).

Strategi
ini diterapkan oleh virus d2/Decoil daun, dengan mengambil alih program Winamp.
Untuk memeriksanya, cek program-program yang shortcutnya tersedia di start menu
atau di desktop. Program virus umumnya kecil, yaitu antara 30KB sampai 300KB,
sedangkan program aplikasi biasanya berukuran relatif besar (WINWORD.EXE
berukuran lebih dari 8.000KB, EXCEL.EXE berukuran lebih dari 6.000KB). Tanggal
pembuatan program juga dapat digunakan untuk mengetahui apakah suatu program
masih asli atau tidak, meskipun sebenarnya suatu file dapat diubah tanggalnya
dengan mudah.
Kembali Ke Atas Go down
Lihat profil user http://yadoy666.blogspot.com
 
Celah pemicu Aktifnya virus
Topik sebelumnya Topik selanjutnya Kembali Ke Atas 
Halaman 1 dari 1
 Similar topics
-
» [share] Caraku terhindar 100% dari Virus PC & Notebook ( No Deep Freeze )
» STEL CELAH KLEP MESIN
» 10 Virus Paling Berbahaya Bagi Tubuh Kita
» Lima Antivirus!
» [ASK]cutting sticker ninja, Bandung

Permissions in this forum:Anda tidak dapat menjawab topik
Himatika Perbanas :: Interaksi Forum Pilihan :: Forum Membahas Semua Jenis Malware-
Navigasi: