Masih
ingat dengan virus Aksika? Virus "open source” yang satu itu memang
memiliki banyak sekali varian. Tidak heran karena source code-nya memang
disedia kan bebas di Internet, jadi siapapun dapat dengan mudah
mengubah dan meng-compile source code-nya dan jadilah varian baru.
Berawal
dari kemudahan itulah, banyak virus maker ataupun programer pemula
mencoba–coba untuk membuat virus tanpa perlu repot. Paling yang
dibutuhkan hanyalah pengetahuan seputar operating system dan programming. Namun kemudahan itu belum seberapa, bila dibandingkan dengan menggunakan program Virus Generator. Dari namanya saja, kita sudah dapat mengira kegunaan dari program tersebut. Ya, Virus Generator merupakan program untuk dapat membuat virus secara mudah dan instan. Bermula dari sampel sebuah virus yang lumayan banyak dikirimkan oleh pembaca kepada kami. PC Media Antivirus mengenalnya dengan nama Gen.FFE-Fajar, namun antivirus
lain ada juga yang menyebutnya dengan nama Brontok.D. Dengan
penyelidikan sederhana akhirnya diketahui bahwa virus tersebut dibuat
menggunakan Virus Generator. Fast Firus Engine (FFE) Pembuat Generator tersebut menamakan program buatannya itu dengan nama Fast Firus Engine.
Seperti yang terlihat pada program ataupun situs pembuatnya, ia
memberitahukan bahwa program ini hanya untuk tujuan pembelajaran dan
tidak untuk tindakan merusak. Namun tetap saja, bila program ini sudah
jatuh ke tangan yang salah, pasti akan digunakan untuk pengrusakan. Virus Generator
ini dibuat menggunakan bahasa Visual Basic dan di-compress menggunakan
packer tELock. Dalam paketnya terdapat dua buah file, yakni Fast Firus Engine.exe dan data.ex_. Fast Firus Engine.
exe merupakan program utama dalam pembuatan virusnya dan sementara file
data.ex_ sebenarnya merupakan badan virus asli yang belum dimodifi
kasi. Saat file Fast Firus Engine.exe
dijalankan, maka pengguna akan dihadapkan pada sebuah interface. Anda
hanya disuruh mengisikan nama virus, nama pembuat, dan pesan-pesannya.
Lalu dengan menekan tombol Generate, maka jadilah virus Anda. Cara kerja dari Generator
tersebut sebenarnya sangat sederhana. Ia hanya menambahkan data yang
Anda masukkan tadi ke bagian akhir file virus asli (data.ex_). Nantinya
informasi tersebut digunakan oleh virus dalam proses infeksi. Bagaimana Virus Menginfeksi? Virus
hasil ciptaan FFE memang terlihat sederhana. Sama seperti Generatornya,
ia juga dibuat menggunakan bahasa Visual Basic yang di-compile dengan
metode Native- Code. Lalu di compress menggunakan tELock agar ukurannya
semakin kecil. Virus ini memiliki ukuran tubuh asli sebesar 55.296
bytes. Saat
virus kali pertama dieksekusi, ia akan membuat beberapa file induk di
beberapa lokasi. Seperti di direktori \%WINDOWS%\, akan terdapat file
dengan nama.exe, Win32 exe, activex.exe, dan %virusname% (nama virus
sesuai yang diisikan oleh sang pembuatnya pada Generator). Di
\%WINDOWS%\ %system32%\ akan terdapat file copy.pif, _default.pif, dan
surif.bin. Selain itu, ia juga mengubah atau membuat file Oeminfo.ini
yang merupakan bagian dari System Properties. Jadi apabila komputer Anda terinfeksi oleh virus hasil generate dari FFE, maka pada System Properties akan terdapat tulisan "Generated by Fast Firus Engine”. Di direktori \%WINDOWS%\%System%\ akan terdapat beberapa file induk lagi yang menggunakan nama yang sama seperti file system milik Windows, seperti csrss.exe, winlogon.exe, lsass.exe, smss.exe, svchost. exe, dan winlogon.exe. Dan
tak lupa, pada root drive pun akan terdapat file dengan nama "baca
euy.txt” yang berisikan pesan–pesan dari si pembuat virus. Jadi pada
saat membuat virus dengan menggunakan Generator tersebut, maka pembuatnya akan disuguhkan beberapa kotak input, seperti Author of the virus, Name of the virus, dan Messages. Nah, isi dari kotak messages ini yang nantinya ditampilkan pada file "baca euy.txt” tersebut. Setelah
virus berhasil meng-copy-kan file induknya ke dalam sistem tersebut, ia
akan menjalankan file induk tadi, sehingga pada memory akan terdapat
beberapa process virus, seperti csrss.exe, winlogon.exe, lsass. exe,
smss.exe, svchost.exe, dan winlogon.exe. Nama process yang mirip dengan
process/services milik Windows tersebut mungkin sengaja untuk mengecoh
user. Untuk membedakannya, Anda dapat melihat path atau lokasi process
tersebut dijalankan. Process virus ini biasanya berjalan di direktori System sementara process/services milik Windows yang running biasanya berasal dari direktori System32. Mengubah Registry Virus
ini menambahkan beberapa item startup pada registry agar pada saat
memulai Windows ia dapat running secara otomatis atau untuk mengubah
setting-an Windows agar sesuai keinginannya. Informasi mengenai registry
yang diubahnya tidak akan dapat dengan mudah kita lihat karena dalam
kondisi terenkripsi. Yang
ia ubah adalah seperti nilai dari item Userinit, yakni dengan
menambahkan parameter ke file induk. Pada key HKEY_CURRENT_
USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load juga akan
diubah itemnya agar mengarah ke file induknya dengan nama Activex.exe.
Pada HKEY_CURRENT_USER \Software\Microsoft\ Windows\CurrentVersion\Run\
akan terdapat item baru dengan nama present.
Key HKEY_ LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run\
akan terdapat item baru juga dengan nama Default dan %username%,
username di sini merupakan nama user yang sedang aktif saat itu. Virus hasil generate dari FFE juga mengubah shell extension untuk file .exe, yakni dengan mengubah type information dari Application menjadi File Folder.
Setting-an folder Options juga diubah agar tidak menampilkan extension
dan setiap fi le dengan attribut hidden. Dan agar dapat aktif pada
safe-mode, ia pun mengubah nilai dari item SafeBoot. Dengan menggunakan bantuan registry Image
File Execution Options, virus ini juga menambahkan item baru pada
section tersebut dengan nama cmd.exe, msconfi g.exe, regedit.exe, dan
taskmgr.exe. Maksudnya adalah agar setiap user yang mengakses program
dengan nama file seperti itu, maka akan di-bypass oleh Windows dan
dialihkan ke file induk si virus. Bagaimana Virus Menyebar? Virus ini dapat menyebar melalui media penyimpan data seperti flash disk. Saat Anda mencolokkan flash disk pada komputer yang terinfeksi, maka pada flash disk
tersebut akan terdapat beberapa file baru, seperti explorer.exe,
%virusname%.exe, dan msvbvm60.dll. Juga beberapa file pendukung seperti
desktop.ini, autorun.inf agar ia dapat running otomatis pada saat
mengakses flash disk tersebut. File virus lainnya pun disimpan pada direktori baru di flash disk
tersebut dengan nama Recycled yang berisikan file Firus.pif dan
Folder.htt. Kesemua file virus tersebut dalam kondisi hidden sehingga
tidak terlihat. Virus Beraksi Untuk
dapat bertahan hidup, virus ini pun akan mencoba untuk memblok setiap
program yang tidak ia inginkan seperti tools atau program antivirus
termasuk PCMAV. Sama seperti halnya data registry yang diubah, data
mengenai program apa saja yang diblok olehnya juga terdapat dalam
tubuhnya dalam kondisi terenkripsi. Jadi,
saat virus sudah stay di memory, ia akan memonitor setiap program yang
diakses oleh user, yakni dengan membaca nama file dan juga caption
Window. Beberapa nama file antivirus yang dicoba untuk dibloknya adalah
nav.exe, avgcc.exe, njeeves.exe, ccapps.exe, ccapp.exe, kav.exe,
nvcoas.exe, avp32.exe, dan masih banyak lagi yang lainnya. Termasuk
beberapa program setup atau installer juga tidak dapat dijalankan pada komputer terinfeksi. Pencegahan dan Penanggulangan PC Media Antivirus
RC19 ini dapat membersihkan komputer terinfeksi secara tuntas dan
akurat 100% setiap virus yang dibuat dengan menggunakan Fast Firus Generator.
Untuk menghindari aksi blok oleh virus terhadap PCMAV, silakan Anda
rename terlebih dahulu file PCMAV misalnya PCMAV-CLN.EXE menjadi
MERDEKA.EXE.
|