Virus buatan lokal yang akan diperkenalkan kali ini adalah Chasnah. Virus ini diketahui sudah agak lama juga bermasyarakat. Sampai saat ini pun, kiriman sample virus ini masih saja berdatangan ke meja redaksi. PC Media Antivirus RC18 sudah dapat mengenali sebanyak empat buah variant, dan mungkin masih akan bertambah.
Tiga dari variant Chasnah yang kami miliki memiliki ukuran sebesar 80.896 bytes, dan satu variant lainnya memiliki ukuran 77.824 bytes. Ia diprogram menggunakan bahasa Visual Basic, dan tubuhnya di-compress menggunakan UPX, dan dapat menyebar di lingkungan sistem operasi berbasis Windows.
Teknik Infeksi
Saat kali pertama virus dieksekusi, ia akan menanamkan file induk ke beberapa direktori yang akan dijadikan sebagai tempat tinggalnya. Seperti di root drive tempat system operasi berada biasanya C:\, dengan nama UserInit.exe, bitblt.exe, dan ntoskernel.exe.
Pada lokasi \Documents and Settings\%username%\Local Settings\ApplicationData\, akan terdapat direktori dengan nama %username%.task. Isi direktori tersebut terdiri dari beberapa file induk dengan nama chasnah.exe, csrss.exe, lsass.exe, server.exe, smss.exe dan file msvbvm60.dll, yang tak lain adalah file run-time library milik Visual Basic. Ini dilakukannya agar virus tetap dapat berjalan, meski file msvbvm60.dll yang biasanya terdapat di direktori System32 tidak ada, mungkin sengaja di-rename oleh user. Karena apabila file tersebut tidak ditemukan oleh sistem operasi, maka virus dan semua aplikasi yang dibuat menggunakan VB6 tidak akan dapat berjalan.
Pada direktori yang sama juga terdapat kumpulan icon yang dikeluarkan dari dalam tubuhnya, mulai dari icon file WinAmp, PDF, TXT, sampai icon program antivirus. Icon-icon yang telah di-extract dari dalam tubuhnya itu digunakannya, agar ia dapat dengan leluasa mengubah icon dirinya sendiri. Selanjutnya, di \Documents and Settings\All Users\Application Data\ juga akan terdapat beberapa file induk lainnya, dengan nama seperti flash.exe, folder.exe, pdf.exe, txt.exe. File induk yang ada di direktori ini merupakan file induk yang sudah ia ubah icon-nya. File -file ini dijadikan sebagai file sumber, jika nanti ia ingin membuat file duplikat di harddisk ataupun flash disk. Diketahui memang beberapa virus sudah ada yang melakukan trik ini, dan sepertinya Chasnah yang paling banyak kumpulan icon-nya. Cerdiknya lagi, ukuran tubuhnya nya masih relatif kecil. Pada direktori Application Data itu juga akan terdapat subdirektori dengan nama, misalnya chasnah.20-6-2007. Tanggal di akhir nama direktori tersebut merupakan tanggal kali pertama Chasnah menginfeksi komputer Anda.
Dan tak lupa, seperti halnya kebanyakan virus lokal lain yang ingin pamer, ia juga memiliki file pesan-pesan dengan nama chasnah.htm, yang disimpan pada direktori \Documents and Settings\All Users\ApplicationData\.
Tak ketinggalan, direktori Windows pun ia tempati. Pada direktori ini akan terdapat file induk lainnya, dengan nama albasya.exe, sca.exe, dan sitta.exe. Serta sebuah file teks chasnah.ini, yang berisi tanggal dan waktu eksekusi virus ini. Agar ia dapat aktif otomatis saat start Windows, ia pun akan menaruh beberapa agennya pada direktori StartUp. Biasanya terdiri dari dua buah file dengan nama OfficeLoader.bat dan start.exe.
Terlihat dari penamaan file-file induk di atas, sang programmer virus ini memang sepertinya berusaha sebisa mungkin agar user tidak curiga.
Setelah file-file induk tersebut berhasil ditanamkannya, maka file-file tersebut juga akan ia eksekusi. Jadi pada memory akan terdapat banyak sekali process virus seperti chasnah.exe, execute.exe, bitblt.exe, ntoskernel.exe. Dan kesemua process virus tersebut memiliki kemampuan untuk saling menjaga satu sama lain. Artinya jika ada process virus yang tidak aktif, maka ia akan mengeksekusinya lagi.
Mengubah Registry
Selain menaruh file induk di direktori Start-Up, ia juga menuliskan beberapa item di section Run pada registry, agar ia dapat aktif secara otomatis saat memulai Windows. Item Run tersebut bisa ditemukan pada key HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ dengan nama item Media Adapter, dan sittachasnahalbasya, yang diarahkan kepada file induk yang telah ia buat sebelumnya.
Nilai default dari item HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit, yang tadinya menunjuk kepada file \Windows\System32\userinit.exe, ia alihkan kepada file userinit.exe yang telah ia buat di root drive tadi. Ini unik, karena file userinit.exe tersebut merupakan file hasil ciptaan sang virus sendiri, dan bukan file userinit.exe bawaan dari Windows. Perlu diketahui bahwa file user init.exe merupakan file yang sangat krusial bagi Windows yang dibutuhkan untuk inisialisasi pada saat melakukan logon. Dan yang dilakukan oleh file userinit.exe milik virus adalah memanggil file induk virus secara otomatis pada saat logon.
Registry item lainnya yang diubah adalah AlternateShell, yang ia alihkan ke file induk virus agar dapat aktif dalam safemode. Selain itu, konfi gurasi registry yang mengatur masalah shell-extension pun ia ubah, terutama pada konfi gurasi untuk file dengan tipe extension file executable, seperti .exe,.com,.scr. Makdsudnya agar ini bisa dijadikan pemicu untuk virus agar dapat aktif. Jadi setiap ada aksi eksekusi, maka terlebih dahulu akan dialihkan ke file induk virus, baru dilanjutkan ke program aslinya. Ini akan lebih mempersulit user untuk dapat membunuh virus tersebut.
Menyebar...
Dengan kemampuannya yang dapat mengubah-ubah icon sesuai keinginannya, ini memberikan peluang yang besar bagi virus untuk dapat mengelabui sang korban. Contohnya, apabila Anda mencolokan Flash Disk pada komputer terinfeksi, maka pada flash disk tersebut akan terdapat beberapa file baru dengan nama – nama yang menggoda user untuk mengkliknya. Contohnya, Install_Deep_Sea_Screensaver.exe, avg72free_435a 20.exe, Install_winamp_full5.25_pro.exe. tentunya dengan icon yang juga sesuai dengan nama file tersebut, agar lebih meyakinkan. Dengan begitu, tidak sedikit pengguna awam yang tertipu oleh virus ini.
Aksi Lainnya
Begitu virus mengetahui bahwa ada yang mencoba untuk membunuh process-nya, maka ia akan menampilkan pesan virus dalam bentuk HTML pada Browser, selanjutnya komputer akan di-logoff. virus ini juga membuat item baru pada Schedule Task Windows dengan nama chasnah, yang akan aktif setiap hari pada pukul 20.30. Saat schedule ini di-eksekusi, virus juga akan menampilkan pesannya kembali.
Beberapa fitur penting Windows juga akan diblok olehnya, Seperti Task Manager, Regedit, Command Prompt, dan lain sebagainya. Karena ia dapat membaca setiap nama file yang dieksekusi, dan juga caption dari program yang sedang berjalan. Apabila ditemukan program yang mengancam kelangsungan hidupnya, maka akan langsung ia close. Ini berlaku juga bagi program antivirus, karena pada tubuhnya pun terdapat banyak sekali string nama-nama program yang ia masukan daftar black list. Beberapa string tersebut seperti PCMAV, VAKSIN, MCAFF, NORMAN, KASPERS, dan masih banyak lagi.
Cara yang cerdik juga digunakan oleh virus ini. Yakni pada rutin untuk mencari dan membunuh process yang ia black list. Karena virus ini menggunakan fungsi internal Windows, yakni WMI (Windows Management Instrumentation). Untuk mencari process tertentu, ia hanya perlu melakukan query. Contoh query yang dilakukan oleh virus adalah “select name from Win32_Process where name = %namaprogram%”, mirip seperti melakukan query pada database. Dari segi programming, cara ini sebenarnya sangat memudahkan kerja sang programmer, karena ia tidak perlu lagi membuat rutinnya karena semua sudah disediakan oleh Windows.
Pencegahan dan Penanggulangan
Pembasmian virus ini secara manual memang dirasa cukup kompleks. Maka dari itu, Anda tinggal menggunakan PC Media Antivirus RC18 ini untuk dapat membersih kan computer terinfeksi secara tuntas, dan akurat 100%.
Sumber : PC MEDIA
http://www.pcmedia.co.id
Tidak ada komentar:
Posting Komentar