SISTEM DARI VIRUS

Berawal dari kemudahan itulah, banyak virus
maker ataupun programer pemula mencoba–
coba untuk membuat virus tanpa perlu repot.
Paling yang dibutuhkan hanyalah pengetahuan
seputar operating system dan programming.
Namun kemudahan itu belum seberapa, bila
dibandingkan dengan menggunakan program
Virus Generator. Dari namanya saja, kita sudah
dapat mengira kegunaan dari program tersebut.
Ya, Virus Generator merupakan program untuk
dapat membuat virus secara mudah dan instan.
Bermula dari sampel sebuah virus yang lumayan
banyak dikirimkan oleh pembaca kepada kami.
PC Media Antivirus mengenalnya dengan nama
Gen.FFE-Fajar, namun antivirus lain ada juga
yang menyebutnya dengan nama Brontok.D.
Dengan penyelidikan sederhana akhirnya
diketahui bahwa virus tersebut dibuat
menggunakan Virus Generator.
Fast Firus Engine (FFE)
Pembuat Generator tersebut menamakan
program buatannya itu dengan nama Fast Firus
Engine. Seperti yang terlihat pada program
ataupun situs pembuatnya, ia memberitahukan
bahwa program ini hanya untuk tujuan
pembelajaran dan tidak untuk tindakan merusak.
Namun tetap saja, bila program ini sudah jatuh
ke tangan yang salah, pasti akan digunakan
untuk pengrusakan.
Virus Generator ini dibuat menggunakan bahasa
Visual Basic dan di-compress menggunakan
packer tELock. Dalam paketnya terdapat dua
buah file, yakni Fast Firus Engine.exe dan
data.ex_. Fast Firus Engine. exe merupakan
program utama dalam pembuatan virusnya dan
sementara file data.ex_ sebenarnya merupakan
badan virus asli yang belum dimodifi kasi.
Saat file Fast Firus Engine.exe dijalankan, maka
pengguna akan dihadapkan pada sebuah
interface. Anda hanya disuruh mengisikan nama
virus, nama pembuat, dan pesan-pesannya. Lalu
dengan menekan tombol Generate, maka jadilah
virus Anda.
Cara kerja dari Generator tersebut sebenarnya
sangat sederhana. Ia hanya menambahkan data
yang Anda masukkan tadi ke bagian akhir file
virus asli (data.ex_). Nantinya informasi
tersebut digunakan oleh virus dalam proses
infeksi.
Bagaimana Virus Menginfeksi?
Virus hasil ciptaan FFE memang terlihat
sederhana. Sama seperti Generatornya, ia juga
dibuat menggunakan bahasa Visual Basic yang
di-compile dengan metode Native- Code. Lalu
di compress menggunakan tELock agar
ukurannya semakin kecil. Virus ini memiliki
ukuran tubuh asli sebesar 55.296 bytes.
Saat virus kali pertama dieksekusi, ia akan
membuat beberapa file induk di beberapa lokasi.
Seperti di direktori \%WINDOWS%\, akan
terdapat file dengan nama.exe, Win32 exe,
activex.exe, dan %virusname% (nama virus
sesuai yang diisikan oleh sang pembuatnya pada
Generator). Di \%WINDOWS%\ %system32%\
akan terdapat file copy.pif, _default.pif, dan
surif.bin. Selain itu, ia juga mengubah atau
membuat file Oeminfo.ini yang merupakan
bagian dari System Properties. Jadi apabila
komputer Anda terinfeksi oleh virus hasil
generate dari FFE, maka pada System
Properties akan terdapat tulisan “Generated
by Fast Firus Engine”.
Di direktori \%WINDOWS%\%System%\ akan
terdapat beberapa file induk lagi yang
menggunakan nama yang sama seperti file
system milik Windows, seperti csrss.exe,
winlogon.exe, lsass.exe, smss.exe, svchost. exe,
dan winlogon.exe.
Dan tak lupa, pada root drive pun akan terdapat
file dengan nama “baca euy.txt” yang
berisikan pesan–pesan dari si pembuat virus.
Jadi pada saat membuat virus dengan
menggunakan Generator tersebut, maka
pembuatnya akan disuguhkan beberapa kotak
input, seperti Author of the virus, Name of the
virus, dan Messages. Nah, isi dari kotak
messages ini yang nantinya ditampilkan pada
file “baca euy.txt” tersebut.
Setelah virus berhasil meng-copy-kan file
induknya ke dalam sistem tersebut, ia akan
menjalankan file induk tadi, sehingga pada
memory akan terdapat beberapa process virus,
seperti csrss.exe, winlogon.exe, lsass. exe,
smss.exe, svchost.exe, dan winlogon.exe. Nama
process yang mirip dengan process/services
milik Windows tersebut mungkin sengaja untuk
mengecoh user. Untuk membedakannya, Anda
dapat melihat path atau lokasi process tersebut
dijalankan. Process virus ini biasanya berjalan
di direktori System sementara process/
services milik Windows yang running biasanya
berasal dari direktori System32.
Mengubah Registry
Virus ini menambahkan beberapa item startup
pada registry agar pada saat memulai Windows
ia dapat running secara otomatis atau untuk
mengubah setting-an Windows agar sesuai
keinginannya. Informasi mengenai registry yang
diubahnya tidak akan dapat dengan mudah kita
lihat karena dalam kondisi terenkripsi.
Yang ia ubah adalah seperti nilai dari item
Userinit, yakni dengan menambahkan parameter
ke file induk. Pada key HKEY_CURRENT_ USER
\Software\Microsoft\Windows NT
\CurrentVersion\Windows\Load juga akan
diubah itemnya agar mengarah ke file induknya
dengan nama Activex.exe. Pada HKEY_CURRENT_
USER \Software\Microsoft\ Windows
\CurrentVersion\Run\ akan terdapat item baru
dengan nama present. Key HKEY_ LOCAL_
MACHINE\SOFTWARE\Microsoft\ Windows
\CurrentVersion\Run\ akan terdapat item baru
juga dengan nama Default dan %username%,
username di sini merupakan nama user yang
sedang aktif saat itu.
Virus hasil generate dari FFE juga mengubah
shell extension untuk file .exe, yakni dengan
mengubah type information dari Application
menjadi File Folder. Setting-an folder Options
juga diubah agar tidak menampilkan extension
dan setiap fi le dengan attribut hidden. Dan
agar dapat aktif pada safe-mode, ia pun
mengubah nilai dari item SafeBoot.
Dengan menggunakan bantuan registry Image
File Execution Options, virus ini juga
menambahkan item baru pada section tersebut
dengan nama cmd.exe, msconfi g.exe,
regedit.exe, dan taskmgr.exe. Maksudnya adalah
agar setiap user yang mengakses program
dengan nama file seperti itu, maka akan di-
bypass oleh Windows dan dialihkan ke file induk
si virus.
Bagaimana Virus Menyebar?
Virus ini dapat menyebar melalui media
penyimpan data seperti flash disk. Saat Anda
mencolokkan flash disk pada komputer yang
terinfeksi, maka pada flash disk tersebut akan
terdapat beberapa file baru, seperti
explorer.exe, %virusname%.exe, dan
msvbvm60.dll. Juga beberapa file pendukung
seperti desktop.ini, autorun.inf agar ia dapat
running otomatis pada saat mengakses flash
disk tersebut.
File virus lainnya pun disimpan pada direktori
baru di flash disk tersebut dengan nama
Recycled yang berisikan file Firus.pif dan
Folder.htt. Kesemua file virus tersebut dalam
kondisi hidden sehingga tidak terlihat.
Virus Beraksi
Untuk dapat bertahan hidup, virus ini pun akan
mencoba untuk memblok setiap program yang
tidak ia inginkan seperti tools atau program
antivirus termasuk PCMAV. Sama seperti
halnya data registry yang diubah, data mengenai
program apa saja yang diblok olehnya juga
terdapat dalam tubuhnya dalam kondisi
terenkripsi.
Jadi, saat virus sudah stay di memory, ia akan
memonitor setiap program yang diakses oleh
user, yakni dengan membaca nama file dan juga
caption Window. Beberapa nama file antivirus
yang dicoba untuk dibloknya adalah nav.exe,
avgcc.exe, njeeves.exe, ccapps.exe, ccapp.exe,
kav.exe, nvcoas.exe, avp32.exe, dan masih
banyak lagi yang lainnya. Termasuk beberapa
program setup atau installer juga tidak dapat
dijalankan pada komputer terinfeksi.
Pencegahan dan Penanggulangan
PC Media Antivirus RC19 ini dapat
membersihkan komputer terinfeksi secara
tuntas dan akurat 100% setiap virus yang
dibuat dengan menggunakan Fast Firus
Generator. Untuk menghindari aksi blok oleh
virus terhadap PCMAV, silakan Anda rename
terlebih dahulu file PCMAV misalnya PCMAV-
CLN.EXE menjadi MERDEKA.EXE.