Virus
Doomsday adalah virus yang dibuat oleh salah seorang pakar virus
Indonesia dengan tujuan sebagai promosi bukunya yang membahas tentang
pemrograman virus. Disamping itu, tujuan lainnya yaitu untuk menantang
kekuatan antivirus lokal Indonesia untuk membersihkan virus ini sampai
tuntas. Tujuan ini sangat bagus sehingga para tim antivirus lokal bisa
memperbaiki engine dan teknik antivirusnya agar bisa membunuh virus ini.
Apakah Anda setuju dengan adanya buku pemrograman virus? Mudah-mudahan
saja buku tersebut lebih banyak manfaatnya dibanding ruginya, dan
mudah-mudahan juga buku canggih itu tidak dimanfaatkan pembuat virus
lokal untuk membuat virus lokal yang lebih canggih lagi, karena kita
harapkan sebentar lagi virus lokal akan punah 
Virus Doomsday ini sangat sulit dihapus dengan cara manual karena
menggunakan hampir semua teknik virus lokal yang pernah ada dan ditambah
lagi dengan teknik-teknik baru yang ditambahkan oleh pembuatnya. Itulah
mengapa pembuatnya memberi nama Doomsday untuk virus ini, karena dia
mengira antivirus lokal tidak akan mampu membasminya. Tapi, Smadav 2009
Rev. 5 mudah saja membunuh virus ini sampai ke akar-akarnya sehingga
komputer yang terinfeksi sebelumnya akan kembali seperti semula
seakan-akan belum pernah terinfeksi virus ini. Pembersihan ini sangat
cepat, tidak lebih dari 15 detik setelah satu kali klik Smadav.
Sebelum membersihkan virus ini dengan Smadav, mari kita bahas dulu apa saja kecanggihan virus ini.
Virus ini dibuat dengan Visual Basic 6
dikompresi dengan UPX dan mempunyai ukuran 65 KB. Jika dilihat di
Process Explorer, disana terlihat ada 5 proses virus yang sedang aktif. 1
proses yang paling atas aktif sebagai Windows Service dan tugasnya
adalah untuk mencegah kita membuka tool system di windows seperti
regedit, msconfig, dll. Sedangkan kumpulan 4 proses yang paling bawah
yang punya tugas utama untuk melakukan penyebaran dan pertahanan di
komputer korban. 4 proses ini saling melindungi satu sama lain, jika
kita membunuh salah satu prosesnya maka proses lain akan kembali
menghidupkan proses yang kita bunuh tadi, jadi kita akan kesulitan jika
membunuhnya secara manual dengan process explorer seperti ini. Walaupun
berhasil, semua proses ini akan kembali aktif kalau kita membuka program
apa saja di komputer kita. Jadi kita harus memperbaiki registry dulu
untuk membersihkannya, tapi registry pun diblok dengan teknik
berlapis-lapis. Jadi, hampir tidak mungkin virus ini bisa diberantas
dengan cara manual karena selain sulitnya membunuh proses di memori,
virus ini juga merusak sangat banyak value registry.
Virus ini akan memblok semua akses ke antivirus lokal (PCMAV, SMADAV, atau ANSAV), hampir semua antivirus impor, dan program-program lain yang bisa membahayakan dirinya. Dia mempunyai teknik yang sangat banyak dan cerdik untuk mengenali dan mencegah program yang membahayakannya. Tapi dia tidak mampu untuk mengenali Smadav 2009 Rev. 5, sehingga Smadav 2009 Rev. 5 bisa dengan mudah menghancurkannya. Selain memblok program,virus ini juga akan memblok akses ke situs antivirus. Itu dia lakukan dengan menulis daftar situs yang diblok ke file hosts windows. Berikut ini daftar situs yang diblok :
2-spyware.com, 360.cn, 360safe.com, ansav.com, antirootkit.com, antiviruslab.com, arcabit.com, avast.com, avg.com, avg-antivirus.net, avira.com, bitdefender.co.uk, bitdefender.com, bullguard.com, ca.com, cainternetsecurity.net, clamav.net, clamwin.com, commandondemand.com, comodo.com, crit.org, cwsandbox.org, cyberdefender.com, drweb.com, drweb-online.com, emsisoft.com, eradicatespyware.net, eset.com, eset.eu, ewido.net, fortiguardcenter.com, fortinet.com, f-prot.com, freeantivirushelp.com, free-av.com, freedom.net, freedrweb.com, freerav.com, freespywareremoval.info, f-secure.com, grisoft.com, housecall.trendmicro.com, housecall60.trendmicro.com, iavs.cz, incodesolutions.com, jayloden.com, jotti.org, kaspersky.com, lavasoft.com, malwarebytes.org, malwareremoval.com, mcafee.com, microsoft.com, misec.net, mwti.net, my-etrust.com, nai.com, networkassociates.com, noadware.net, nod32.com, norman.com, offensivecomputing.net, old.antivir.ru, onecare.live.com, online.drweb.com, onlinelinkscan.com, pandasecurity.com, pandasoftware.com, pchell.com, pctools.com, prevx.com, ravantivirus.com, resplendence.com, rootkit.com, rootkit.nl, safer-networking.org, scanner.novirusthanks.org, security.symantec.com, siteadvisor.com, smadav.net, sophos.com, spyany.com, spybot.info, spychecker.co, spywareterminator.com, sunbeltsoftware.com, superantispyware.com, support.f-secure.com, sygate.com, symantec.com, sysinternals.com, threatexpert.com, threatfire.com, trendmicro.com, us.mcafee.com, vaksin.com, virologi.info, virscan.org, viruschief.com, virusindonesia.com, virusscan.jotti.org, virusscanonline.org, virusspy.com, virustotal.com, windowsecurity.com, windowsupdate.com, winpatrol.com, zonelabs.com
Virus ini menyebar lewat removable disk (Flashdisk) dan jaringan. Dia akan mencoba membuat file autorun.inf dan doomsday.exe di flashdisk korban. Dia juga akan mendeteksi kalau folder itu sudah dipasang smad-lock smadav dan mencoba menghapus smad-lock autorun.inf yang sudah dibuat smadav. Tapi usahanya gagal, sehingga dia tidak bisa menginfeksi flashdisk yang sudah dipasangi Smad-Lock. Untuk mendukung penyebarannya, virus juga akan membuat file folder.htt dan desktop.ini. Selain itu dia juga akan menginfeksi folder-folder di komputer dan flashdisk, folder akan diinfeksi tepat setelah kita mengakses folder tersebut dengan windows explorer. Virus akan membuat file exe dengan nama yang sama dengan folder, dan folder aslinya akan di-hidden. Tapi lagi-lagi semua usahanya gagal untuk menginfeksi folder Δ Smad-Lock Δ sehingga hanya folder yang berada di luar Smad-Lock yang terinfeksi. Dia juga akan menyebarkan dirinya dengan nama file menggunakan karakter unicode sehingga akan sulit dideteksi antivirus yang belum mendukung unicode seperti PCMAV. Smadav 2009 Rev. 5 jadi satu-satunya antivirus lokal yang mendukung penuh Unicode.
Dari sisi pemrograman, Virus Doomsday sangat baik diproteksi oleh
pembuatnya. Dia tidak akan bisa dijalankan di lingkungan Virtual seperti
VirtualPC, VMWare, VirtualBox, SandBox, Qemu dan Virtual OS sejenisnya.
Dia juga akan mencoba mendeteksi jika ada debugger yang mencoba
men-debugnya. Dia mendeteksinya dengan menggunakan string/teks berikut :
av, reg, asm, assem, autorun, comp,
config, dbg, debug, defend, dmp, dump, guard, hack, ida, lock, olly,
patrol, ripper, rootkit, scan, snoop, timefix, win32. Tidak hanya sampai disitu, virus ini juga di-enkripsi walaupun hanya dengan teknik enkripsi dasar Caesar Cipher
tapi sudah cukup untuk mengecoh heuristik antivirus impor sehingga
virus menjadi lebih sulit untuk dianalisis karena kita harus membuat
kode dekripsinya dahulu.
Pertahanan virus di komputer korban benar-benar kuat. Selain proses
yang saling melindungi, virus juga akan menyebar di banyak tempat di
komputer korban, sehingga akan sulit diberantas secara manual karena
terlalu banyak daerah yang dijadikan tempat sembunyi virus. Virus akan
membuat task schedule sehingga bisa aktif otomatis pada jam-jam
tertentu. Untuk penyembunyian file, virus tidak hanya menggunakan teknik
sembunyi biasa dengan mengeset atribut file menjadi hidden+system, tapi
virus juga menggunakan cara-cara tidak biasa untuk bersembunyi. Virus
akan bersembunyi dalam folder system32 dengan path C:\WINDOWS\system32:ctfmon.exe jadi tidak akan pernah terlihat di dalam folder system32 tersebut, ini dilakukan dengan memanfaatkan teknik ADS (Alternate Data Stream) pada NTFS.
Dan pada teknik satunya lagi virus akan bersembunyi di folder yang nama
foldernya “CON.2012″ dilarang digunakan di windows karena memuat string/teks yang dilarang dipakai sebagai nama file/folder di windows seperti con, aux, nul.
Pertahanan lainnya dilakukan virus dengan memblok firewall dan
safemode. Firewall diblok dengan perintah command “NETSH FIREWALL SET
OPMODE DISABLE”. Dan Safemode diblok dengan menghapus key registry HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\
Mungkin masih ada beberapa lagi kecanggihan Virus Doomsday ini yang
terlewatkan di pembahasan kali ini, tapi intinya semua kecanggihan ini
tidak mampu melawan kekuatan Smadav 2009 Rev. 5 yang menghancurkan virus
ini sampai ke akar-akarnya hanya dalam 1 klik dan menunggu beberapa
detik.
Sekarang mari kita lihat hasil scan Smadav.
Kalau folder pada komputer/flashdisk yang teinfeksi Doomsday diakses
lewat windows explorer maka SmaRTP akan muncul segera memperingatkan
bahwa ada virus dan harus segera dihapus. Ini screenshot-nya :
Setelah membuka Smadav 2009 Rev. 5 pada komputer yang terinfeksi Virus Doomsday, maka Smadav akan segera memperingatkan bahwa ada virus yang aktif di komputer sehingga scanning akan otomatis dimulai. Setelah menunggu beberapa detik, scanning akan selesai dan memperlihatkan hasil seperti screenshot ini :
Kemudian kita bisa melihat-lihat bahwa banyak sekali file virus yang
terdeteksi dan registry yang rusak. Ini screenshot file virus yang
terdeteksi :
Dan di bawah ini screenshot registry yang terinfeksi, disana terlihat Smadav mendeteksi 877 value registry yang rusak, ini didapatkan setelah Smadav melakukan scanning pada lebih dari 2000 value registry :
Kemudian klik saja Fix All dan tunggu beberapa detik lagi sampai semuanya sudah hilang, lakukan scanning ulang dengan mode full scan (scanning keseluruhan) pada komputer untuk mendeteksi file-file virus yang sudah mati yang masih tersisa di komputer.
Keep Using Antivirus Indonesia ^^
0 komentar:
Posting Komentar