Mengenal Kerja Virus Sistem
Aksi yang dilakukan oleh pembuat virus dalam merancang sebuah virus kini semakin sulit terdeteksi. Perlu ketelitian dan keterampilan khusus untuk mencegah penyebarannya. Bagaimana hal itu Anda lakukan, simak ulasan berikut ini.Dalam melakukan aksi penyebarannya, virus atau worm akan memakai banyak cara agar dapat mengaktifkan dirinya. Ada sejumlah virus yang mengaktifkan dirinya dengan bantuan folder startup Windows dan ada pula yang memanfaatkan bantuan subkey dalam sistem registry. Untuk Anda ketahui bersama, ada subkey di dalam sistem registry Windows yang berfungsi menjalankan sebuah program secara otomatis saat Windows diaktifkan. Jika Anda menginginkan sebuah file executable berjalan saat Windows diaktifkan, terlebih dahulu Anda harus menulis pada subkey autorun registry tersebut. Subkey diisi dengan nama value yang berisi data. Data tersebut akan mendefinisikan file executable yang harus dijalankan. Dalam artikel kali ini, Anda akan diajak menelusuri dan membaca sejumlah subkey dengan bantuan tools yang sudah tersedia dalam sistem operasi Windows.
System Configuration Utility
Untuk memeriksa dan melihat konfigurasi startup yang terdapat dalam sistem operasi Windows, Anda dapat menggunakan tools System Configuration Utility. Cara memanggilnya adalah klik "Start | Run", ketikkan msconfig, dan tekan [Enter]. Selanjutnya, akan muncul window System Configuration Utility yang menampilkan beberapa tab-menu, seperti "General", "SYSTEM.INI", "WIN.INI", "BOOT.INI", "Services", dan "Startup". Dari jajaran tab-menu yang ada, "Startup" adalah tab-menu yang dapat digunakan untuk melihat sejumlah program yang akan dijalankan oleh Windows saat diaktifkan. Hal ini termasuk semua informasi subkey yang terdapat dalam sistem registry, (gambar 1).
Dalam tabmenu "Startup", akan terlihat kolom "Startup Item". Kolom tersebut menunjukkan nama aplikasi yang dijalankan saat Windows diaktifkan. Ada pula kolom "Command" dan "Location" yang berisi program yang diaktifkan berikut parameternya dan lokasi subkey registry yang menyimpan konfigurasi program yang akan dijalankan. Jika Anda perhatikan, pada kolom "Startup Item", terdapat checkbox. Checkbox dalam kondisi dicentang, menandakan program tersebut akan dijalankan saat Windows dihidupkan. Untuk menonaktifkannya, cukup klik checkbox tersebut.
Sebagai ilustrasi, pada gambar 1 terlihat program NeroCheck, data pengaktifannya dipicu melalui sistem registry. Hal ini dapat Anda perhatikan pada "Location" yang menyebutkan salah satu subkey autorun registry. Sementara itu, file executable yang akan dijalankan berada dalam folder d:\windows\system32. Perhatikan pula program HP Digital Imaging, pengaktifannya dilakukan melalui folder Common Startup. Hal tersebut dapat Anda perhatikan melalui kolom "Location".
Dapat diambil kesimpulan, jika sebuah virus dengan “modus standar” menyerang, umumnya akan membuat suatu nama value baru di subkey autorun registry dengan harapan file pemicu program virus ikut dijalankan saat Windows diaktifkan. Karena informasi virus tersebut berada di subkey autorun atau folder Common Startup, maka akan terlihat jelas dalam tab-menu "Startup". Tentunya bagi Anda pengguna PC yang berpengalaman, akan lebih mudah mematikan virus tersebut melalui tab-menu Startup. Caranya adalah dengan menghilangkan tanda centang yang ada di depan nama program virus.
Namun sangat disayangkan, sejumlah virus biasanya akan mencantumkan nama program menyerupai dengan nama file sistem Windows. Hal ini bertujuan untuk mengelabui pengguna PC. Misalnya memakai nama windows.exe, rundlll.exe dan lain sebagainya. Oleh karena itu, ketelitian Andalah yang menentukan sukses tidaknya mengenali sebuah program virus. Jika Anda telah menghilangkan tanda centang yang ada, klik tombol OK dan lakukan booting ulang.
Apakah virus sistem itu?
Bagaimana jika Anda telah melakukan langkah di atas, ternyata virus tetap saja aktif di memory dan terus melakukan gangguan! Diindikasikan virus tersebut memanfaatkan teknik shell-spawning. Ini merupakan sebuah teknik yang memanfaatkan eksploitasi key registry dan tidak memakai jalur subkey autorun. Teknik ini akan mempergunakan salah satu subkey di HKEY_CLASSES_ROOT. Untuk memeriksanya, Anda perlu masuk ke sistem registry dan memeriksa subkey tersebut. Jika subkey tidak mengalami manipulasi data berarti virus tersebut memakai teknik lain. Mungkin saja menggunakan teknik Resident dengan memanfaatkan registry Active Setup. Cara ini juga akan manipulasi registry agar virus dapat aktif saat Windows dijalankan.
Kepiawaian Anda telah berhasil mengendus jejak virus tersebut dan menarik kesimpulan bahwa virus yang terdeteksi tidak pula memanfaatkan teknik Resident. Hal ini terlihat dengan bersihnya subkey Active Setup dari manipulasi data. Pertanyaan yang muncul adalah, teknik lain seperti apa yang dipakai oleh virus tersebut untuk menyerang PC Anda? Proses selanjutnya yang dapat dilakukan adalah menganalisis beberapa file yang dipanggil oleh Windows saat booting, seperti file NTLDR, NTDETECT.COM sampai EXPLORER.EXE. Jika hasil analisis Anda menunjukkan bahwa file tersebut “sehat-sehat” saja dan menyatakan virus yang terdeteksi tidak menempel di file yang Anda analisis, Artinya Anda harus menelusuri lebih mendalam lagi agar virus atau worm yang mengancam PC Anda dapat disingkirkan.
Setelah ditelusuri, ternyata jawabannya sederhana, tetapi tak terduga. Saat menyerang virus atau worm akan “menelurkan” virus lain dan mendaftarkan virus tersebut sebagai suatu file service pada Windows alias dijadikan sebagai file sistem. Tentu saja, karena terdaftar sebagai salah satu service Windows, virus tersebut ikut aktif saat Windows dihidupkan. Salah satu virus yang memiliki model seperti ini adalah KSPOOLD. Jika virus ini aktif sebagai sistem, ia akan mengubah file DOC dan XLS menjadi EXE.
Untuk menyingkirkan virus model ini, Anda dapat memakai jasa System Configuration Utility. Tepatnya melalui tab-menu "Services". Setelah meng-klik "Services", akan tampil beberapa service yang ada pada Windows. Jumlah service yang banyak ini akan membuat pengguna PC tidak mengetahui bahwa ada program virus yang dimasukkan, (gambar 2 dan 3).
Untuk menyembunyikan seluruh service milik Windows, Anda dapat memberi tanda centang pada "Hide All Microsoft Services". Secara default, pilihan ini tidak aktif. Dengan mengaktifkan pilihan ini, seluruh service milik Windows akan disembunyikan. Yang tampil hanyalah service-service nonstandar. Dengan demikian, service non-Windows akan terlihat dengan jelas, termasuk yang dimiliki oleh virus sistem, (lihat gambar 4).
Pada contoh gambar 4, diandaikan kondisi virus sistem memang ada. Dalam contoh tersebut, tercantum nama servicenya adalah K Print Spooler. Manufacturernya berisi data unknown dan statusnya sedang berjalan. Untuk menonaktifkan file tersebut, cukup klik checkbox sehingga tanda centang hilang. Lakukan booting ulang dan periksalah apakah gangguan virus masih aktif? Jika masih, berarti service yang Anda nonaktifkan salah. Oleh karena itu, Anda perlu me-nonaktifkan service lainnya.
Awalnya memang terasa sulit menentukan program (service) tersebut milik siapa dan apa kegunaannya. Namun, dari kolom Service maupun Manufacuter, masih dapat diperkirakan oleh Anda siapa pemilik service tersebut. Jika pada kolom Manufacturer berisi data Unknown, hal ini perlu diwaspadai. Barangkali service tersebut sebuah virus. Namun, hal ini tidak dapat dijadikan rekomendasi secara benar. Terkadang, ada service dari program yang terinstall tidak menyebutkan nama pembuatnya. Kesimpulannya, tidak ada cara lain, memang diperlukan latihan dan kejelian dari Anda untuk mengetahui lebih dalam sistem yang digunakan.
Untuk mengetahui informasi secara detail tentang suatu service yang terpasang, Anda dapat menggunakan program Process Explorer (www.sysinternals.com). Contoh tampilan dari program ini dapat dilihat pada gambar 5. Melalui program ini, Anda dapat melihat dan mengawasi sejumlah service yang aktif atau sedang berjalan. Melalui gambar 5, perhatikan struktur pohon services.exe. Di bawahnya terdapat beberapa service yang sedang aktif di komputer. Sebagai ilustrasi, coba Anda perhatikan SMAgent.exe. Terlihat bahwa services-nya adalah SoundMAX Agent Service. Sementara itu file yang memicu service tersebut adalah SMAgent.exe yang terletak di direktori d:\Program Files\Analog Devices\SoundMAX. Jika Anda membutuhkan informasi tambahan yang lebih detail, program ini dapat membantu Anda dengan lebih mudah (gambar 6).
Jika Anda meng-klik ganda proses tersebut, akan keluar window Properties, (lihat gambar 6). Sejumlah tab-menu akan ditampilkan, seperti "Image", "Perfomance", "Strings", "Services", dan sebagainya. Untuk melihat informasi tentang file pemicu, Anda dapat memanfaatkan tabmenu Image.
Menelusuri Jejak Virus Sistem
Berbekal informasi yang Anda peroleh dari tool System Configuration Utility dan Process Explorer, diketahui bahwa file pemicu service K Print Spooler berada di dalam folder d:\windows\system32, yang memiliki nama file KSPOOLD.EXE. Selanjutnya, Anda dapat masuk ke dalam folder tempat file tersebut berada. Jika file sudah ditemukan, periksalah keabsahannya. Misalnya, dengan klik kanan file tersebut dan lihat melalui menu Properties, (gambar 7). Namun, cara ini bukan pula jalan terbaik untuk menyingkirkan virus dari PC yang Anda gunakan. Hal ini disebabkan para pembuat virus biasanya sudah mengamankan Tab Version yang memuat informasi ringkas dari file tersebut. Seperti yang terlihat pada gambar 7, virus ini sudah mengamankan tab tersebut. Jika demikian, tindakan apa yang harus dilakukan? Langkah selanjutnya yang perlu dilakukan adalah membuka file tersebut dengan bantuan program HEX editor, seperti Ultra Edit. Lalu, telusuri isinya, seperti byte demi byte yang ada pada file tersebut. Jika Anda buka file KSPOOLD.EXE dengan program UltraEdit32 (www.ultraedit.com) isinya akan terlihat seperti gambar 8. Bagi Anda yang belum terbiasa melihat jajaran data hexa, tentunya akan merasa sulit. Namun jika terus berlatih, Anda akan terbiasa melihat semua data tersebut. Dari data yang ada, biasanya akan terdapat sejumlah data string (huruf) yang dapat dibaca secara normal. Data string tersebut biasanya berisi informasi mengenai lokasi data virus tersebut berada atau lokasi subkey sistem registry yang dimanipulasi.
Ada cara mudah untuk menganalisis data tersebut. Jika di awal data terdapat data UPX atau ASPAC, tandanya file eksekusi tersebut telah di-pack dengan program packer, seperti Ultimate Packer for eXecutables (http://upx.sourceforge.net). Biasanya, program yang di-pack dengan model seperti ini adalah aplikasi berbahaya. Namun, hal ini tetaplah bukan sebuah jaminan. Karena ada pula aplikasi yang tidak membahayakan, tetapi tetap di-pack. Hal ini karena pertimbangan ukuran file yang lebih kecil, masalah adanya data string yang sensitif, atau hal lainnya. Diindikasikan, file KSPOOLD.EXE di-pack dengan UPX. Dengan program UPX pula, Anda dapat melakukan unpack, (gambar 9). Setelah proses unpack dilakukan, teliti kembali file tersebut dengan program UltraEdit-32. Seharusnya, data string yang telah di-pack akan terlihat.
Langkah terakhir, hapuslah file KSPOOLD.EXE. Untuk proses lainnya, Anda dapat mengubah nama file tersebut, lalu menghapusnya. Hal ini untuk mengantisipasi kesalahan penghapusan. Dengan cara ini, proses service yang berjalan akan terhenti, karena file pemicunya telah Anda singkirkan.
0 komentar:
Posting Komentar