Sekilas Tentang Cara Kerja Virus

Setelah sekian lama tidak ngupdate blog, akhirnya nongol juga nih artikel di bulan Ramadhan yang suci ini (walau pun di akhir Ramadhan), sebelumnya saya mengucapkan selamat menjalankan ibadah puasa semoga amal ibadah dan niat yang tulus dalam menjalankan ibadah puasa ini diterima oleh Allah.SWT, amiiin.
Ehm... sesuai dengan judul di atas, kita akan belajar bagaimana si Virus/Virii melakukan manipulasi di dalam komputer tempatnya bersarang (khususnya Virus2 lokal yang emang nakal2, he3x) ;).

Penyebaran + Infeksi
Banyak Virus di rumahkuuu..., gara2 kamu..., dipopulerkan oleh Eno Lari2an, Hahay!!! (O’on Power! Yeah!!!) :O
Penyebaran Virus yang paling banyak adalah melalui media USB Flash Disk (UFD), kenapa lewat UFD? Karena benda yang satu ini emang tugasnya pindah2 komputer buat tuker2an data. Dan emang hampir semua orang yang berhubungan dengan komputer mempunyai UFD, beda dengan internet, ga semua orang pasang internet di rumahnya. Penyebaran dilakukan bisa dengan beberapa metode:

1. Virus mengcopykan dirinya sendiri ke dalam UFD + file Autorun.inf sebagai pemicu/pengexecute file Virus.
2. Virus melakukan duplikasi atas file atau folder yang menjadi target infeksi sekaligus melakukan penyebaran agar lebih mudah tereksekusi oleh si user sendiri. Karena file atau folder yang asli di sembunyikan bahkan di hapus oleh Virus, dan si user mengira itu adalah file yang asli. Padahal klo di lihat ada bedanya, misal: file asli Ketikan.doc, file hasil infeksi Ketikan.doc.exe. Penjelasan, *.doc.exe= Virus melakukan infeksi terhadap file yang berekstensi .doc, lambang * (bintang) adalah variabel peganti “nama file” yang mempunyai ekstensi .doc, .exe adalah ekstensi asli Virus. Jadi Virus melakukan pencarian di HDD *\* (Harddisk Drive) korban jika bertemu dengan file berekstensi .doc, maka Virus akan mengcopykan dirinya ke dalam folder yang mengandung file berekstensi .doc dengan merename copy-annya (Virus) dengan nama file infeksiannya tadi (*). Dan file asli (.doc) di ganti atribut filenya menjadi Hidden atau SuperHidden/System. Tetapi untuk rencana cadangannya Virus tetap menyertakan file Autorun.inf.
3. Virus melakukan infeksi terhadap file berekstensi .exe, nah ini dia Virus yang tak kasat mata, kok gitu? Iya karena file terinfeksi berekstensi .exe tidak mempunyai ciri yang mencolok kecuali bobot filenya yang bertambah sedikit berdasarkan bobot Virus. Misal, file belum terinfeksi Aplikasi.exe= 1Mb, file terinfeksi= 1,1Mb+Virus 0.1Mb. Virus yang model begini sering nipu user yang ga pake AntiVirus (AV), salah satunya saya Hikz33x...! Masa kita harus hafal file size .exe yang kita punya? Capek dech...
4. Virus menginfeksi komputer yang terhubung dengan jaringan bisa LAN, Internet, atau jaringan yang lain. Biasanya Virus yang seperti ini mempunyai beberapa metode sama seperti yang di atas supaya daerah “jajahannya” lebih luas.
Biasanya sih si VirusMaker (kang bikin pirus) memakai beberapa cara di atas atau mungkin juga ada cara lainnya agar penyebarannya maksimal. Karena makin cepat dan luas penyebarannya berarti makin bagus (buat Virus).

Pertahanan
Yoyoyo... cekidot2...!Hah ni dia cara si Virus2 bandel “ngumpet” di kompie kita tersayang. Tapi buat apa ya Virus pake ngumpet segala, hmmm emangnya Virus suka main petak umpet ya? Hi3x... Malu kali yeee!? :r Sebenernya bukan itu jawabannya, (Serius mode= On) Virusnya ga pake baju! He he he... lebih ngaco lagi! :O Ehm (lagi) Virus mempunyai/menggunakan sistem pertahananya sendiri bertujuan agar user (yang maenin komputer) tidak dapat menghentikan proses Virus dan menghapus File Virus tersebut, klo user bisa ngapus File Virusnya, ya langsung wasalam Virusnya dong! Virus biasanya melakukan pertahanan dengan memanipulasi Registry. Metode pertahanan yang biasa di pake Virus:

1. Menutup akses Task Manager
Maksudnya agar user tidak bisa mematikan proses “Sang Virus”, karena jika proses Virusnya dihentikan maka user dapat menghapus File Virus dengan mudah. Value dari Registry yang dimanipulasi:

“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System”,”DisableTaskMgr", 1


2. Menutup akses Folder Options
Maksudnya apa ya? Ah iseng aja nich Virus!!! Supaya user ga bisa liat file yang beratribut Hidden/HiddenSystem dan supaya user tidak dapat melihat ekstensi asli file. Kok gitu? Yoi coy, kan Virus (kebanyakan) beratribut Hidden/HiddenSystem jadi FileVirusnya ga bakal keliatan sama user dan pastinya ga bakal bisa diapus sama user. Keliatan aja ga gimana mau diapus??? Klo ngumpetin ekstensi file berguna untuk mengelabuhi user atas file hasil infeksi sang Virus. Maksudnya Virus akan mengginfeksi file dokumen dan me-rename dirinya sendiri seperti nama file dokumen yang diinfeksinya dan iconnya pun biasanya sama dengan icon dokumen yang diinfeksi, jadi ketipu deh :D. Value dari Registry yang dimanipulasi:

Menutup akses Folder Options:
“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer”,”NoFolderOptions", 1
Tidak menampilkan file/directory beratribut Hidden:
“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\", "Hidden", 0
Tidak menampilkan file/directory beratribut SuperHidden/HiddenSystem:
“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\", "ShowSuperHidden", 0
Menghilangkan ekstensi file:
“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\", "HideFileExt", 1


3. Menutup akses Regedit
Regedit! Apaan tuch? Hi3x saya juga bingung, lho penulis yang aneh siapa si yang nulis artikel ini!? Ehm udah ah dari tadi tulisannya becanda mulu. Klo ditinjau dari namanya dan fungsinya kira2 Regedit= Registry Editor (asal ajah siii), ya kurang lebih pemahamannya kira2 gini Registry adalah tempat dimana sebuah Aplikasi atau Windows sebagai OperatingSystem menyimpan settingan walau pun dalam bentuk file juga bisa. Jadi klo isi dari Registry dirubah2 logikanya settingan Windowsnya pun akan berubah. Makanya di sini Virus menutup akses Regedit, maksudnya agar user tidak menggembalikan settingan2 jahat yang sudah dibuat si Virus sebelumnya begitchu lho. Dan biasanya Virus melakukan StartUp dengan menulis sebuah value (Run) di Registry. Virus menutup akses Regedit dengan menyuntikkan nilai di Registry dengan alamat:

“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System”,”DisableRegistryTools", 1


4. File induk Virus biasanya dan juga hampir pastinya beratribut Hidden/HiddenSystem. Biasanya file induk Virus ini bisa bertempat di directory Windows atau Windows\System32 atau Documents and Settings atau sesuai dengan keinginan si VirusMaker.

Tapi klo dilihat dari perkembangan Virus yang banyak beredar sekarang ini metode mendisable TaskManager, mendisable Regedit, dan mendisable FolderOptions sudah jarang sekali dipakai (walau pun masih ada), mungkin karena alasan mudah terdeteksinya Virus (logikanya kan jadi gampang klo user mo ngecek kompienya ada Virusnya apa ga, ya tinggal buka TaskManager/Regedit/FolderOptions aja klo ga bisa kebuka berarti ada Virusnya) dan juga sudah banyaknya tools2 pengganti diluar bawaan Windows. Sebenernya masih banyak lagi metode pertahanan Virus seperti menutup akses CommandPrompt, Search, Kill/Block AntiVirus, Tembus/Blok SafeMode dll tapi yang di atas tadi adalah metode standar/dasar yang biasanya dimiliki oleh Virus.

Start Up
StartUp buat apaan si Virus ikut2an StartUp? Ya buat menjalankan aksi2nya lagi dong! Masa pertualangannya cuma berumur sampe komputer di Shutdown doang? Klo Virusnya ga ikut StartUp berarti petualangannya sampe di situ aja dong atau nunggu tereksekusinya file Virus tersebut, kinerja Virusnya jadi kurang efektif dong, tul ga? Biasanya Virus mengaktifkan dirinya pada saat komputer dinyalakan dengan cara,
1. Membuat shortcut pada folder Startup yang ada di StartMenu

Documents and Settings\All Users.WINDOWS\Start Menu\Programs\Startup
atau
Documents and Settings\..user..\Start Menu\Programs\Startup


2. Menuliskan nilai pada Registry, Ex. File Virus= ArdeeX.eXe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ArdeeX.eXe
atau
HKET_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\ArdeeX.eXe


3. Virus melakukan SartUp melalui Service seperti komponen2 bawaan Windows atau aplikasi2 lainnya.

Ya kira2 begitulah cara kerja Virus yang saya ketahui, walau pun masih banyak efek2 manipulasi Virus yang lainnya, tapi yang di atas tadi merupakan mekanisme standar “seekor” Virus. Sekian dulu yaaa tulisannya udah capek ngetiknya he3x. Maap yaaa klo banyak tulisan yang salah2 (emang banyak salahnya! Tuing!). Bagi ada yang lebih mengerti mohon koreksi dan pencerahannya maklum saya kan amatiran dan terbilang baru megang komputer he...he...he...! Kan ada pribahasa “Di atas gunung ada gunung”, maksudnya gunungnya pada tumpuk2an kali ye? Pasti anda paham laaah.

Ukuran File Virus
Biasanya ukuran dari sebuah file Virus kecil2 bahkan para VirusMaker mempunyai semboyan “Kecil2 caberawit” walau pun kecil ukurannya tapi efeknya bikin masalah besar, hi3x! Lagian klo filenya berukuran besar misal 10mb (ha3x becanda ajah nich) akan membuat berat kompie user termasuk pada saat Virus mengcopykan dirinya ke UFD, jadi user bakal tau klo di kompienya ada Virus. Kan Virus adalah aplikasi yang berjalan Stealth, klo modelnya kayak yang tadi Virus grubag-grubug dong user aja bisa langsung tau :o. Ada Virus yang hanya berbobot 5kb atau lebih kecil lagi, biasanya itu Virus yang dibuat pake Notepad. Tapi kebanyak Virus yang beredar di Tanah Air kita ini dibuat pake VisualBasic 6.0, kenapa ga pake bahasa pemrograman lain aja ya? Mungkin karena VisualBasic lebih mudah dimengerti dan source codenya mudah dicari di internet. Virus yang dihasilkan oleh VisulBasic biasanya berukuran “agak” besar, dan untuk mengakalinya para VirusMaker mengkompres file Virusnya dengan aplikasi bernama UPX (The Ultimate Packer for eXecutables) atau bisa dengan aplikasi lainya yang khusus untuk mengkompres file *.exe. Misalnya hasil akhir (.exe) file berukuran 200kb lalu dikompres dengan UPX dengan parameter paling bagus (metode kompresnya –ultra -brute) bisa menghasilkan file .exe berukuran 100kb atau lebih kecil lagi.


Sedikit tentang penulis:
Setelah sekian lama blog ini dibikin kayakna belum pernah ada tulisan yang menjelaskan tentang si penulis (maksudnya saya gitchu... hehehe ge’er nich). Tulisan di blog ini kebanyakan dan hampir semua saya tulis sendiri lho, walau pun ada juga siii yang nyontek, tapi artikel yang di contek juga pasti di tulis sumbernya kok!;) Memang kata2 di blog ini menggunakan banyak kata2 yang tidak baku, tidak ilmiah, dan bahkan aneh2!, maksudnya supaya para pemula/newbie yang lainnya mudah mengerti (karena saya juga kan pemula :k).
“Tak kenal maka tak sayang”, begitu juga dengan blog ini (khususnya penulisnya,huuu...) :L. Nama saya Ardi F***, saya lahir di Jakarta tanggal: bla...bla...bla... he3x (rahasia ah, biar misterius dikit!). Saya coba sekolah di SDN I Pisangan, dan ikut2an masuk SMPN 2 Ciputat (One), trus ngetest juga bersekolah di SMAN I Pamulang Jur. IPA, dan pada akhirnya cuma lulus DIII Komp. Akuntansi - BSI baru lulus Maret 2009 kemaren. Kemampuan komputer saya bermula dari kuliah semester 1 apa 2 ya, lupa!? Yang pada saat itu saya belum bisa menggunakan teknik sakti “Copy-Paste” (Hi3x norak ya?). Kebanyakan kemampuan komputer didapat dari coba2, utak-atik, iseng2 & ga sengaja mainin pencetan komputer, alias otodidak (maaf bukan sombong tapi lebih sebagai motivasi bagi para newbie, termasuk saya ;)). Kemampuan yang saya punya adalah sok2an jadi programmer dodol. Padahal cuma bisa maenin VB 6.0, itu juga sedikit he3x! Bagi kawan2 yang merasa “susah” menggunakan komputer jangan berkecil hati dahulu, karena untuk memulai sesuatu pasti diawali dari angka 0 (Nol). Kuncinya belajar dan belajar terus, dan jangan takut2 ngotak-atik komputer (buat pengalaman). Pengalaman saya, dalam waktu 2 bulan punya komputer di rumah dah format Harddisk ±10X untuk install ulang, karena Windows dan aplikasinya saya otak-atik efeknya komputer sering gagal Booting Hi3x! Trus naikin clock processor (apa itu yang disebut OverClocking ya?) akibatnya komputer hanya bisa hidup 2 minggu sesudah itu angus, Hikz3x... komputer ku yang malang :c. Tapi Alhamdulillah sekarang jadi agak sedikit ngerti tentang komputer. “Segala kejadian yang terjadi walau pun itu buruk sekali pun pasti ada hikmahnya” PositiVe ThinKing aja!!! Maaf sX lagi klo ada kata2 yang bermakna sombong dan salah2 kata. Karena manusia memang tidak mempunyai satu hal pun yang bisa di sombongkan, karena walau pun ia mempunyai kelebihan itu hanyalah karunia yang diberikan oleh Allah.SWT kepada umatnya. Cacian, makian, dan hinaan boleh ditujukan ke ardi_ferdiansyah666@yahoo.com atau YM! ardhie_7. Jangan sampe deh jadi orang sombong, hiiiy amit2 :D!!!
.::ArdeeX - 1CreaTive::.

***erdiansyah

Baca selanjutnya yuk!?