Rabu, 15 Agustus 2012

‘Bocah’ dalam tanda kutip satu disini maksudnya adalah virus, yang kali ini mengangkat tema program acara di salah satu stasiun televisi Indonesia. Mungkin si pembuatnya (VM) suka nonton acara televisi tersebut, atau ulah virus ini memang memiliki kesamaan dengan hal tersebut? Kayaknya iya sih... berpetualang dalam sistem koputer kayaknya...Mari kita selidiki!

Dari kesamaan, mereka sama-sama berteman. Kalau si Bocah Petualang kan mereka selalu ada teman dalam petualanganya tersebut, nah virus kali ini juga berteman dalam berpetualang ‘mencari’ dokumen yang ada di komputer sasarannya. Bagaimana dia memanggil temannya? Mari kita cari tau!


Karakteristik Virus
Nama : SiBolang.exe
Ukuran: 35 KB
File version: 3.0.0.5
Icon: Ms. Word
Developed in : VB
Packed by: UPX



Aksi Virus
Saat pertama kali virus dijalankan, ia akan menjalankan Text Editor seperti Ms. Word atau WordPad (jika belum/tidak terinstall Ms. Word) dengan Title yang sama dengan nama file virus.


Dari gambar di atas, terlihat bahwa Smadav begitu cekatannya dalam mecekal virus menggunakan Smad-Behaviornya, yang disana terlihat bahwa ada tingkah laku yang mencurigakan bernama “SERVICES.EXE”.


Mengcopykan diri ke “C:\WINDOWS\Config\SERVICES.EXE” dengan atribut Hidden yang dijadikan sebagai induk utama virus. Membuat salinan di “C:\WINDOWS\Get.EXE”, yang mana file ini akan dijalankan ketika “Empty.exe”, “winhlp.exe” maupun “link.com” tereksekusi, dan “Get.exe” ini akan menjalankan lagi “SERVICES.EXE” sebagai proses induknya, muter-muter gitu deh. :D

Mengcopykan diri ke” C:\WINDOWS\inf\ WORD32” dengan atribut Hidden dan tanpa ekstensi file.

Mengekstrak file dengan nama:
  •  “winhlp.exe” (16 KB) yang ada dalam dirinya ke “C:\Documents and Settings\UserName\NetHood”, dan mencopykan ke “C:\WINDOWS” dengan nama file “link.com”.  VB tanpa Pack.
  • “Empty.exe” (12 KB) yang ada dalam dirinya ke “C:\Documents and Settings\All Users\Start Menu\Programs\Startup” .  VB tanpa Pack.

Berburu file dokumen, inilah kegemaran virus ini, yang tidak segan-segan memangsa file dokumen yang ada di flashdisk Anda, lihat gambar di bawah!


Setiap virus menemukan file dengan ekstensi “.doc” maupun “.docx”, maka dengan lincahnya virus ini membuat salinan dirinya dengan nama yang menyamai file dokumen tersebut, menyembunyikan file dokumen asli dan menampakkan dirinya bahwa dialah dokumen tersebut, yang padahal adalah tidak, tidak lain adalah virus.

Tunggu! Ada perbedaan sedikit tentang file “.doc” dan “.docx”. Lihat lagi baik-baik gambar diatas dengan perbedaan tanda warna yang ada.

Ya, perbedaannya ada pada tanda titik (.), yang mana pada file “.doc” nama virus akan sama dengan nama file tersebut, sedangkan pada file “.docx” akan ditambahkannya tanda titik (.) setelah nama asli file.

Manipulasi Registry
  • Membuat Run agar virus bisa jalan sendiri saat komputer dinyalakan:
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    @=”C:\\WINDOWS\\config\\SERVICES.EXE”
  •  Menghapus nilai pada Registry agar ekstensi file tidak terlihat:
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt]
    “CheckedValue”=dword:00000001 => dihapus olehnya
  • Menghapus nilai pada Registry agar file yang Hidden menjadi SuperHidden sehingga tidak terlihat:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
    “CheckedValue”=dword:00000000 => dihapus olehnya
  • RunOnce agar virus bisa jalan sendiri saat komputer dinyalakan:
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
    @=”C:\\Documents and Settings\\Ryan\\NetHood\\winhlp.exe”
  •  Run agar virus bisa jalan sendiri saat komputer dinyalakan:
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    @=”C:\\WINDOWS\\link.com”

Tuntaskan dengan Smadav

Beruntung memiliki Smadav, karena dengan fitur “One-Virus By-User”, kita dapat dengan mudah mendapatkan virus beserta antek-anteknya yang bersemayam di storage yang dijangkiti virus.
 
Bagaimana cara membasmi virus ini jika belum masuk database Smadav?
Ikuti langkah-langkah berikut!


Perhatikan, ada tiga file yang diberi tanda garis merah, yaitu:
  1. SERVICE.EXE
  2. link.com
  3. Empty.exe
Karena tidak bisa membasmi semua sekaligus dalam satu waktu, maka satu persatu saja deh membasminya, dengan cara klik Tab Tools dari Smadav, lalu pilih lagi Tab One-Virus By-User, nah disana bisa kita temukan tiga file virus tersebut.
Klik satu dulu, misal Empty.exe, lalu klik kanan, pilih opsi Add As Virus, jika sudah, maka pindah lagi ke Tab Scanner lalu pilih Scanner lagi, lalu centang list disk yang ada, lalu Scan!


Nah, jika ketiga file virus tadi sudah divonis dengan hal demikian, tinggal Clean All deh dan tadaaaa…, selesai sudah petualangan virus ini. 

Keep Using Local Anti Virus ^^

0 komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)