Thursday, July 16, 2009

CARA LAIN MEMBUAT VIRUS LOKAL

CARA LAIN MEMBUAT VIRUS

Penyebaran virus kian hari makin menggila. Tidak mengherankan, karena banyak cara yang dilakukan untuk menciptakan virus. Tidak mesti jago-jago amat, hanya dengan sedikit usaha, virus bisa tercipta.

COBALAH LIHAT KONDISI SAAT INI, source code virus siap saji ataupun tutorial membuat virus pun bisa Anda dapatkan gratis dari Internet. Atau ingin lebih mudah lagi bisa menggunakan program Virus Generator yang bisa membuat virus dengan instan menggunakan template aksi-aksi virus yang sudah disediakan, bukannya tidak mungkin, kini orang awam dengan pengetahuan minim sekalipun bisa membuat virus dengan mudah. Tentu tidak heran kalau populasi virus kian hari kian meningkat.

Dan lagi jika Anda berjalan-jalan ke mall, cobalah Anda lihat, buku-buku yang mengajarkan cara membuat antivirus, sudah bertebaran di mana-mana. Namun perlu Anda perhatikan juga, karena biasanya selain mengajarkan cara membasmi virus, buku tersebut juga sekaligus mengajarkan Anda cara-cara membuat virus, ibarat pedang bermata dua.

AutoHotKey

Untuk berbuat kejahatan memang selalu ada jalan. Karena saat ini ditemukan virus lokal pertama yang dibuat menggunakan program AutoHotKey. Apakah itu AutoHotKey? Seperti yang dikutip dari situs aslinya (http://www.autohotkey.com), Auto-HotKey merupakan sebuah program automation, hotkeys, dan scripting yang dibuat menggunakan bahasa C++, ia bersifat open source dan diperuntukan bagi operating system berbasis Windows. Dengan menggunakan program ini kita dapat mengotomatisasi setiap perkerjaan yang sering kita lakukan sehari-hari. Berbagai hal dapat dilakukan dengan menggunakan program ini, mulai dari otomatisasi penekanan tombol keyboard, pergerakan atau penekanan tombol mouse, atau bahkan menggunakan script untuk memperintahkan AutoHot- Key mengerjakan suatu perintah. Saat membuat suatu project menggunakan AutoHotKey, file yang dihasilkan akan memiliki extension .ahk. Dan bersamaan dengan paket program AutoHotKey tersebut, tersedia juga program yang dinamakan Ahk2Exe yang dapat mengonversi . file project (.ahk) ke dalam executable. Artinya, script yang telah dibuat tadi nantinya bisa dijalankan secara langsung di computer manapun, tanpa harus terinstal program AutoHotKey.

Virus Hasil AutoHotKey

Semua kemudahan yang telah dipaparkan di atas sepertinya telah dimanfaatkan dan disalahgunakan oleh pembuat virus.  Buktinya kini ada satu virus lokal yang menggunakan cara tersebut memanfaatkan program AutoHotKey. Dikenal dengan nama Virus Tati, begitulah PC Media Antivirus mengenalnya. Saat tulisan ini dibuat, belum banyak antivirus yang dapat mengenali virus ini. Dan satu pertanyaan yang membuat kami penasaran adalah, “Bagaimana virus ini bisa menyebar dengan cepat dan luas?”. Sebab perlu Anda ketahui, si Tati ini menempati urutan pertama virus yang banyak dikirimkan oleh pembaca selama satu bulan terakhir ini.

Membongkar si Tati

Virus yang ini icon-nya berpenampilan mirip dengan icon folder standar bawaan Windows ini, memiliki ukuran sebesar 202.263 bytes, dalam keadaan terkompresi menggunakan UPX. Memang, script yang telah dikonversi dari file.ahk ke .exe menggunakan program Ahk2Exe bawaan AutoHotKey, secara otomatis akan di-compress menggunakan UPX. Program ini pun memiliki . tur untuk memberikan password pada file executable yang maksudnya agar tidak bisa di-decompile kembali menjadi .ahk, sepertinya ini yang akan dilakukan oleh si pembuat virus Tati, karena tentunya dia tidak ingin virusnya dapat dengan mudah untuk dianalisis. Pada situsnya, ada sebuah program dengan nama Exe2Ahk. Dari namanya sudah bisa diterka, program ini untuk mendecompile file script AutoHotKey yang sudah menjadi executable (.exe) agar kembali menjadi script (.ahk). Setelah dicoba, ternyata benar, program ini meminta password dari executable virus tersebut. Namun dengan meng-crack-nya, kami dapat dengan mudah mengetahui password-nya dan script asli virus tersebut pun dapat terlihat. Dan, dengan hanya mempelajari script yang ada, sangat memudahkan bagi kami untuk mengetahui apa yang diperbuat oleh virus tersebut.

Tati di Memory

Pada saat kali pertama virus ini menginfeksi, ia akan membuat file induk pada direktori Windows dengan nama Tati.exe, selanjutnya ia akan langsung memanggil . le tersebut, sehingga di memory akan ada process virus dengan nama Tati.exe. Selain itu file Tati.exe akan ada juga pada direktori StartUp, default-nya biasanya terletak di C:\Documents and Settings\%username%\Start Menu\Programs\Startup, atau Anda dapat melihatnya juga pada StartUp di Start Menu. Untuk selanjutnya virus akan aktif otomatis saat memulai Windows.

Sedikit Modifikasi Registry

Tidak seperti virus lainnya yang senang sekali mengutak-atik registry dan atau memberikan restriction di segala penjuru Windows, virus ini cukup cuek karena ia hanya memodi. Kasi dua item registry yang menyangkut masalah Windows Explorer atau Folder Options, yakni mengisikan nilai 0 pada HKEY_CURRENT_ USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden agar Windows Explorer tidak menampilkan . le dengan attribut hidden dan system. Dan mengisikan nilai 1 pada HKEY_CURRENT_USER\Software\Microsoft\ Windows\CurrentVersion\Explorer\Advanced\HideFile-Ext, yang maksudnya adalah memerintahkan Windows Explorer untuk menyembunyikan extension dari setiap file.

Memantau Harddisk

Seperti yang tertulis pada rutin CekHardDisk di script yang telah berhasil dibongkar, saat virus ini aktif di memory, timer yang ada pada virus ini akan memeriksa setiap . xed drive atau hard disk pada komputer terinfeksi dalam periode waktu 600.000 milliseconds atau sama dengan 10 menit. Rutin ini nantinya akan membuat tiga file pada drive tersebut dengan nama autorun.inf dengan attribut hidden dan system, tati.exe, dan tati.my.love.txt. File autorun.inf merupakan . le bantuan agar virus ini dapat aktif otomatis pada saat user mengakses drive tersebut. File tati. exe merupakan file induk virus. Dan terakhir file tati.my.love.txt merupakan file teks yang berisi pesan dari si pembuat virus.

Menjadi .SCR

Drive . ash disk juga tidak luput dari jangkauannya, dia akan membuat tiga file seperti di atas. Dan ia juga akan membuat file virus dengan nama yang menyerupai nama folder yang ada, dengan extension .scr atau dikenal dengan Screen Saver. Sebaiknya ubah View dari Windows Explorer Anda menjadi Details agar dapat dengan mudah membedakan Antara folder asli dan virus Tati. Cukup dengan melihat kolom Type, jika folder asli maka Type nya berupa File Folder. Dan lebih baik, Anda nonaktifkan opsi “Hide extensions for known file types” dan “Hide protected operating system files” pada Folder Options dengan menghapus centangannya (_).

Tuntaskan dengan PCMAV

Memang trik social engineering lama dengan menyerupai icon folder dan membuat tiruan dari nama–nama folder yang ada masih menjadi favorit para pembuat virus. Dan cukup aneh, karena virus Tati ini termasuk yang sangat sederhana dan jika dibandingkan dengan virus–virus lokal lainnya di luar sana, ia sangat kalem, tidak terlalu aneh–aneh, namun terbukti tingkat penyebarannya tinggi. Dan lagi, seperti yang telah dikatakan di awal, saat tulisan ini dibuat, dari sekian banyak hanya satu dua antivirus saja yang sudah mengenali virus ini, dan heuristic dari setiap antivirus tersebut pun tidak menunjukkan keanehan apa–apa. Jadi, ia makin leluasa menyebar ke mana–mana. Maka dari itu, hentikan penyebarannya dan gunakan PC Media Antivirus RC24 yang telah disempurnakan ini untuk dapat membasmi virus ini.

COMMENTS :




Don't Spam Here

0 komentar to “ CARA LAIN MEMBUAT VIRUS LOKAL ”

Post a Comment

Bagi sobat-sobat silahkan comment disini, Insya Allah saya comment balik di blog anda dan Saya follow juga. Blog 7ASK adalah Blog Do Follow, Terimakasih atas kunjungan Anda..!

 

Copyright © 2008-2011 All Rights Reserved. Mobile View Powered by 7ASK / WAWAN ADIE and Distributed by Template

Facebook Twitter Mykaskus