Bagi anda sebagai
pengguna computer ada baiknya harus menyetahui lokasi-lokasi folder dan
registri dimana saja biasanya virus bersarang. Sebenarnya virus itu tidak akan
hidup/jalan/aktif dan juga tidak akan berbahaya jika tidak di double klik pada
file tersebut atau dijalankan dengan bantuan program atau script kusus untuk
mengaktifkannya. Tentunya pembuat virus juga lebih pintar dari kebanyakan pengguna
computer. Dia memanfaatkan fasilitar Autorun pada windows untuk mengaktifkan
file virus tersebut secara otomatis dengan bantuan program lain atau script
kusus. Dalam pembahasan kali ini saya akan membahas dilokasi mana saja biasanya
sang virus itu bersarang.
Untuk lokasi registri biasanya sarangnya disini :
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftCurrentVersionRunOnce
HKEY_LOCAL_MACHINESoftwareMicrosoftCurrentVersionRunServices
HKEY_LOCAL_USERSoftwareMicrosoftCurrentVersionRun
HKEY_LOCAL_USERSoftwareMicrosoftCurrentVersionRunOnce
HKEY_LOCAL_USERSoftwareMicrosoftCurrentVersionRunService
Selain alamat tersebut ada alamat Registry lain yang juga menyebabkan program yang di tunjuk akan dijalankan secara otomatis. yaitu :
HKEY_LOCAL_MACHINEMicrosoftWindowsNTCurrentVersionWinlogon
sebagai contoh, dengan merubah nilai Shell menjadi "Shell=Explorer.exe c:ProgVirus.exe", akan menyebabkan ProgVirus.exe dijalankan setiap kali Windows eplorer dijalankan (waktu pertama kali windows masuk ke tampilan desktop/wall paper). Karena Windows explorer selalu dijalankan di Windows, maka program virus juga secara otomatis akan dijalankan. Secara normal, nilai asli dari key Shell ini adalah "Shell=Explorer.exe".
Alamat lain yang juga dapat bekerja saat safe mode adalah :
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSessionManager
Nilai BootExecute yang seharusnya berisi "autocheck autochk *" diganti dengan data "alamat file virus".
Exploit Folder Starup
Ada lokasi folder spesial di Windows, yang jika ditempakan program di dalamnya maka program tersebut akan dijalankan secara otomatis saat Windows pertama kali dijalankan. yaitu :
Untuk semua user :
C:Documents and SettingsAll UsersStar MenuProgramsStartup
Untuk default user :
C:Documents and SettingsDefault UsersStar MenuProgramsStartup
Untuk account Guest :
C:Documents and SettingsGuestStar MenuProgramsStartup
Untuk account Personal :
C:Documents and Settings{nama account, misalnya bambang}Star MenuProgramsStartup
Data alamat folder startup sebenarnya terdapat di Registry, yaitu lokasinya :
HKEY_LOCAL_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders
pada nilai key startup terdapat data nilai alamat folder untuk file startup. Virus dapat saja merubah alamat folder tersebut ke lokasi lain untuk di jadikan folder startup saat Windows dihidupkan pertama kali.
Untuk virus dari jaringan / internet biasanya bersarang di folder-folder berikut :
C:Documents and Settings[USER]Local SettingsTemporary Internet Files
C:Documents and Settings[USER]Local SettingsTemp
Autorun Via Progam Biasa
Exploit Nama Program
Seperti yang sudah diketahui dan sering digunakan, anda bisa mejalankan dengan mengetikkan nama program melalui menu Run (Start > Run). Dengan sedikit manipulasi di registry, pembuat virus bisa merubah sifat ini sehingga apabila korban mengetikkan perintah "nama program", yang dijalankan
justru malah program lain yang akan berjalan dalam hal ini program itu tidak lain adalah virus.
Letak alamat manipulasi registrynya ada di lokasi :
HKEY_LOCAL_USERSoftwareMicrosoftWindowsCurrentVersionAppPath
Pada alamat registry tersebut terdapat key-key nama file program. Jika kita ganti alamat tersebut dengan alamat program yang lain, maka akibatnya adalah ketika anda memanggil program yang anda inginkan dari menu run ternyata program yang dijalankan adalah program yang lain.
Bayangkan saja seandainya alamat yang dimaksud justru program viru. Apa yang terjadi?
Exploit Handle File
Di dalam registry terdapat setting penanganan file. Banyak sekali terdapat file yang berekstensi di dalamnya, misalnya file berekstensi .exe. Jadi saat kita membuka suatu file, maka windows akan membaca ekstensinya dulu, misalnya ekstensinya .exe, maka windows akan membuka dafar key di HKEY_CLASSES_ROOT yaitu .exe, selanjutnya berdasarkan nilai defaultnya diperoleh data handle untuk menangani ekstensi tersebut yaitu exefile.
Suatu virus bisa saja merubah nilai alamat HKEY_CLASSES_ROOTexefile ke handle yang lain, sehingga tingkah laku file berekstensi exe menjadi aneh. Ada tidaknya menu Open saat kita klik kanan suatu program untuk menjalankannya terdapat pada shell pada file handlenya. Jadi jika pada alamat HKCRexefileshellopencommand, data nilai defaultnya dirubah dari "%1" %* menjadi file.exe %1 %*. Di mana file.exe adalah lokasi program virus, maka saat kita mengklik program berekstensi exe, akibatnya adalah yang dijalankan pertama kali adalah program virus.
Exploit Debugger Program
Ada alamat di registry yang menyebabkan saat kita memanggil program tertentu maka yang berjalan adalah program lain, yaitu dengan memanfaatkan debugger program, alamatnya ada di :
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionImage File xecution(nama program)
sebagai contoh :
Key baru Taskmgr.exe
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionImage File xecutionTaskmgr.exe
Pada posisi sebelah kana ada String Value bernama Debugger dan berisikan valuenya alamat program lain atau virus ( conth alamat C:windowsnotepad.exe, ini menjadikan jika pengguna menjalankan taskmgr pada run maka yang muncul menjadi notepad dengan tulisan acak yang tidak dimengerti manusia).
akibat dari setting di atas adalah pada saat kita menjalankan program taskmanager dengan nama file taskmgr, maka yang jalan justru program lain.
Exploit Inject File Program
Yaitu virus masuk dan bergabung ke dalam tubuh file program yang diinfeksinya sehingga saat kita menjalankan program tersebut virus langsung bekerja pula. ini adalah teknik yang sulit tetapi lebih manjur untuk penyebarannya dibandingkan melalui registry.
Untuk memisahkannya, paling gampang digunakan header file untuk selanjutnya di pisahkan berdasarkan posisi header file program asli dengan program virus. Tetapi virus cukup cerdik, header file program yang diinfeksinya diganti, sehingga pemisahan program dari tubuh virus menjadi lebih sulit dibandingkan mengganti program tersebut.
Exploit Shortcut Program
Umumnya jika kita bermaksud menjalankan suatu program yang terinstall di komputer, maka kita cukup memanggil program tersebut dari tombol start atau desktop. Sebenarnya yang kita klik adalah file shortcut pada suatu folder misalnya di :
C:Documents and Settings(nama account misalnya bambang)Start MenuPrograms
Folder-folder disana terdiri atas file-file shortcut yang jika kita jalankan maka file shortcut tersebut akan memanggil suatu program di folder program files.
Untuk menginject via shortcut, virus dapat menggunakan beberapa cara. yaitu :
1. Virus mengganti langsung shortcut dengan duplikat dirinya, dengan syarat file duplikatnya tersebut sama dengan ikon shortcut.
2. Virus membuat file shorcut sendiri dengan mengambil ikon program asli tetapi dengan dialamatkan ke program virus dan barulah virus akan menjalankan program aslinya.
3. Virus merubah nilai handle file shortcut di registry, yaitu di alamat
HKEY_CLASSES_ROOTInkfileshellopencommand, dimana nilai defaultnya berisi "%1" %* diganti menjadi file.exe %1 %*, dimana file.exe adalah alamat program virus.
Semoga membantu dan bermanfaat
Untuk lokasi registri biasanya sarangnya disini :
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun
HKEY_LOCAL_MACHINESoftwareMicrosoftCurrentVersionRunOnce
HKEY_LOCAL_MACHINESoftwareMicrosoftCurrentVersionRunServices
HKEY_LOCAL_USERSoftwareMicrosoftCurrentVersionRun
HKEY_LOCAL_USERSoftwareMicrosoftCurrentVersionRunOnce
HKEY_LOCAL_USERSoftwareMicrosoftCurrentVersionRunService
Selain alamat tersebut ada alamat Registry lain yang juga menyebabkan program yang di tunjuk akan dijalankan secara otomatis. yaitu :
HKEY_LOCAL_MACHINEMicrosoftWindowsNTCurrentVersionWinlogon
sebagai contoh, dengan merubah nilai Shell menjadi "Shell=Explorer.exe c:ProgVirus.exe", akan menyebabkan ProgVirus.exe dijalankan setiap kali Windows eplorer dijalankan (waktu pertama kali windows masuk ke tampilan desktop/wall paper). Karena Windows explorer selalu dijalankan di Windows, maka program virus juga secara otomatis akan dijalankan. Secara normal, nilai asli dari key Shell ini adalah "Shell=Explorer.exe".
Alamat lain yang juga dapat bekerja saat safe mode adalah :
HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSessionManager
Nilai BootExecute yang seharusnya berisi "autocheck autochk *" diganti dengan data "alamat file virus".
Exploit Folder Starup
Ada lokasi folder spesial di Windows, yang jika ditempakan program di dalamnya maka program tersebut akan dijalankan secara otomatis saat Windows pertama kali dijalankan. yaitu :
Untuk semua user :
C:Documents and SettingsAll UsersStar MenuProgramsStartup
Untuk default user :
C:Documents and SettingsDefault UsersStar MenuProgramsStartup
Untuk account Guest :
C:Documents and SettingsGuestStar MenuProgramsStartup
Untuk account Personal :
C:Documents and Settings{nama account, misalnya bambang}Star MenuProgramsStartup
Data alamat folder startup sebenarnya terdapat di Registry, yaitu lokasinya :
HKEY_LOCAL_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShell Folders
pada nilai key startup terdapat data nilai alamat folder untuk file startup. Virus dapat saja merubah alamat folder tersebut ke lokasi lain untuk di jadikan folder startup saat Windows dihidupkan pertama kali.
Untuk virus dari jaringan / internet biasanya bersarang di folder-folder berikut :
C:Documents and Settings[USER]Local SettingsTemporary Internet Files
C:Documents and Settings[USER]Local SettingsTemp
Autorun Via Progam Biasa
Exploit Nama Program
Seperti yang sudah diketahui dan sering digunakan, anda bisa mejalankan dengan mengetikkan nama program melalui menu Run (Start > Run). Dengan sedikit manipulasi di registry, pembuat virus bisa merubah sifat ini sehingga apabila korban mengetikkan perintah "nama program", yang dijalankan
justru malah program lain yang akan berjalan dalam hal ini program itu tidak lain adalah virus.
Letak alamat manipulasi registrynya ada di lokasi :
HKEY_LOCAL_USERSoftwareMicrosoftWindowsCurrentVersionAppPath
Pada alamat registry tersebut terdapat key-key nama file program. Jika kita ganti alamat tersebut dengan alamat program yang lain, maka akibatnya adalah ketika anda memanggil program yang anda inginkan dari menu run ternyata program yang dijalankan adalah program yang lain.
Bayangkan saja seandainya alamat yang dimaksud justru program viru. Apa yang terjadi?
Exploit Handle File
Di dalam registry terdapat setting penanganan file. Banyak sekali terdapat file yang berekstensi di dalamnya, misalnya file berekstensi .exe. Jadi saat kita membuka suatu file, maka windows akan membaca ekstensinya dulu, misalnya ekstensinya .exe, maka windows akan membuka dafar key di HKEY_CLASSES_ROOT yaitu .exe, selanjutnya berdasarkan nilai defaultnya diperoleh data handle untuk menangani ekstensi tersebut yaitu exefile.
Suatu virus bisa saja merubah nilai alamat HKEY_CLASSES_ROOTexefile ke handle yang lain, sehingga tingkah laku file berekstensi exe menjadi aneh. Ada tidaknya menu Open saat kita klik kanan suatu program untuk menjalankannya terdapat pada shell pada file handlenya. Jadi jika pada alamat HKCRexefileshellopencommand, data nilai defaultnya dirubah dari "%1" %* menjadi file.exe %1 %*. Di mana file.exe adalah lokasi program virus, maka saat kita mengklik program berekstensi exe, akibatnya adalah yang dijalankan pertama kali adalah program virus.
Exploit Debugger Program
Ada alamat di registry yang menyebabkan saat kita memanggil program tertentu maka yang berjalan adalah program lain, yaitu dengan memanfaatkan debugger program, alamatnya ada di :
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionImage File xecution(nama program)
sebagai contoh :
Key baru Taskmgr.exe
HKEY_LOCAL_MACHINESoftwareMicrosoftWindows NTCurrentVersionImage File xecutionTaskmgr.exe
Pada posisi sebelah kana ada String Value bernama Debugger dan berisikan valuenya alamat program lain atau virus ( conth alamat C:windowsnotepad.exe, ini menjadikan jika pengguna menjalankan taskmgr pada run maka yang muncul menjadi notepad dengan tulisan acak yang tidak dimengerti manusia).
akibat dari setting di atas adalah pada saat kita menjalankan program taskmanager dengan nama file taskmgr, maka yang jalan justru program lain.
Exploit Inject File Program
Yaitu virus masuk dan bergabung ke dalam tubuh file program yang diinfeksinya sehingga saat kita menjalankan program tersebut virus langsung bekerja pula. ini adalah teknik yang sulit tetapi lebih manjur untuk penyebarannya dibandingkan melalui registry.
Untuk memisahkannya, paling gampang digunakan header file untuk selanjutnya di pisahkan berdasarkan posisi header file program asli dengan program virus. Tetapi virus cukup cerdik, header file program yang diinfeksinya diganti, sehingga pemisahan program dari tubuh virus menjadi lebih sulit dibandingkan mengganti program tersebut.
Exploit Shortcut Program
Umumnya jika kita bermaksud menjalankan suatu program yang terinstall di komputer, maka kita cukup memanggil program tersebut dari tombol start atau desktop. Sebenarnya yang kita klik adalah file shortcut pada suatu folder misalnya di :
C:Documents and Settings(nama account misalnya bambang)Start MenuPrograms
Folder-folder disana terdiri atas file-file shortcut yang jika kita jalankan maka file shortcut tersebut akan memanggil suatu program di folder program files.
Untuk menginject via shortcut, virus dapat menggunakan beberapa cara. yaitu :
1. Virus mengganti langsung shortcut dengan duplikat dirinya, dengan syarat file duplikatnya tersebut sama dengan ikon shortcut.
2. Virus membuat file shorcut sendiri dengan mengambil ikon program asli tetapi dengan dialamatkan ke program virus dan barulah virus akan menjalankan program aslinya.
3. Virus merubah nilai handle file shortcut di registry, yaitu di alamat
HKEY_CLASSES_ROOTInkfileshellopencommand, dimana nilai defaultnya berisi "%1" %* diganti menjadi file.exe %1 %*, dimana file.exe adalah alamat program virus.
Semoga membantu dan bermanfaat
Tidak ada komentar :
Posting Komentar