Darkside of Oktavianus

Making virus and all of them as our friends

Vires, Kecil-Kecil Cabe Rawit

Posted by oktavianus pada November 1, 2007

 Dahulu, para virus maker mengusahakan agar ukuran virus mereka sekecil mungkin tapi dengan kemampuan yang hebat. Kini mungkin sekarang ukuran file sudah tidak menjadi masalah, karena banyak sekali virus yang memiliki ukuran yang sangat besar. Namun, hal ini tidak berlaku pada Vires.
Sebagai contoh, mungkin komputer Anda sudah pernah terinfeksi oleh virus local seperti Nahital yang besarnya 474.112 bytes, atau bahkan virus Harpot.A dengan ukurannya yang sebesar 760.832 bytes atau lebih dari 0.5 Megabytes. Untuk ukuran sebuah virus, angka ini sungguh sangat besar.

Vires, begitulah PC Media Antivirus mengenal virus ini. Vires merupakan virus dengan icon mirip dengan icon dokumen Microsoft Word. Virus yang juga dikenal dengan nama Latifah ini dibuat dengan menggunakan bahasa Visual Basic yang di compile dengan metode Native Code. Virus ini dapat menginfeksi komputer dengan operating system Windows 9x/XP. Satu hal yang menarik dari virus ini, ia memiliki ukuran tubuh yang kecil, hanya 19.465 bytes atau sekitar 19Kb. Virus ini juga di-compress menggunakan UPX, yang apabila dilakukan proses decompress ukuran file virus menjadi 57.344 bytes.

Virus yang memproklamasikan diri berasal dari kota Tegal ini adalah contoh virus yang boleh dibilang sangat sederhana. Karena jika di-disassembly dan dilihat rutin virus di dalamnya, ia tidak menggunakan teknologi-teknologi virus yang canggih, tapi dari segi penyebaran virus ini juga tidak kalah.

Salah satu ciri virus ini lainnya adalah ia juga memiliki Version Information. Ini bisa dilihat dengan mengklik kanan file virus lalu klik Properties. Maksudnya, Version Information ini ia manipulasi agar tidak terlalu mencurigakan user karena apabila dilihat sekilas akan seperti dokumen Microsoft Word.

PC Media Antivirus dapat membasmi virus ini sejak RC9. Karena terbukti dari setiap edisi ke edisi, banyak pembaca yang melaporkan ataupun mengirimkan sampel dari virus ini. Ini menandakan, memang virus ini sudah menyebar atau in the wild di masya rakat, walau mungkin memang jumlahnya masih terbatas dan tidak sebanyak si Brontok yang sekarang ada di peringkat ke-3 dunia seperti yang dilaporkan salah satu situs antivirus di Internet.

Vires yang kami punya ini pun masih satu jenis, artinya kami belum mendapatkan ada nya varian lain dari virus ini. Tapi, itu tidak menutup kemungkinan bahwa di luar sana masih ada varian lainnya.

Menginfeksi System

Seperti halnya yang dilakukan oleh virus-virus lain, secara garis besar yang dilakukan oleh Vires kali pertama adalah menyerang operating system tersebut. Pertama, dengan cara menginfeksi system Windows dengan menempatkan file induk pada direktori yang telah ditentukannya. Dan kedua menginfeksi atau memanipulasi registry Windows agar sesuai dengan keinginannya ataupun agar virus tersebut dapat selalu aktif otomatis pada saat kita memulai Windows. Kedua sektor tersebut merupakan yang sangat krusial di Windows.

Lebih jelasnya, Vires menciptakan beberapa file induk pada “\%windows%\desktop.com”, “\%system32%\check.exe”, dan pada “\Documents and Settings\%username%\Start Menu\Programs\Startup\Scan.pif”. Setelah file-file induk tersebut berhasil ditanamkan, ia kemudian menginfeksi registry dengan membuat beberapa perubahan, terutama dalam hal program-program mana saja yang dijalankan pada saat startup. Yakni, ia menciptakan sebuah item baru pada registry di section HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ dengan nama item “Desktop”, lalu nilai dari item ini diarahkan ke file induk virus yang telah ia buat tadi pada “\%windows%\desktop.com”.

Namun, tidak hanya satu, ia juga membuat item untuk startup lagi pada registry di section HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ dengan nama item “Check” yang juga juga diarahkan kepada file induk virus yang terletak pada “\%system32%\check.exe”. Sekarang, dengan melakukan penambahan atau perubahan-perubahan tersebut, virus tersebut kini dapat aktif otomatis setiap memulai Windows.

Namun, tidak sampai di situ saja. Seperti kewajiban yang dilakukan oleh virus lainnya juga, ia mencoba untuk mempertahankan kelangsungan hidupnya. Yakni, salah satunya adalah dengan menghilangkan menu Folder Options, dan mengaturnya agar tidak menampilkan file dengan attribut hidden serta tidak menampilkan extension dari file. Ini dilakukannya untuk mempersulit dan mengecoh user, agar mengira bahwa virus tersebut adalah merupakan dokumen word-nya. Karena memang agak sulit bagi orang awam untuk membedakan mana file dokumen asli dan mana yang memang virus.

Lalu, juga dengan mengubah registry Windows, beberapa tools internal Windows berhasil diblokir olehnya. Di antaranya kita tidak dapat menjalankan Registry Editor, Task Manager, dan Find.

Penyebaran Virus

Dalam segi penyebaran, Vires masih mempercayakannya pada storage media seperti misalnya melalui disket atau flash disk. Caranya, ia akan mencari tahu drive apa saja yang terdapat pada komputer itu, lalu memeriksa apakah drive tersebut sudah ready untuk diinfeksi, artinya misalkan drive yang akan diinfeksi adalah berupa floppy drive, ia akan memeriksa terlebih dahulu apakah pada floppy drive tersebut sudah terdapat disket di dalamnya. Jika ya, maka Vires langsung membuat duplikat dari dirinya ke root drive tersebut dengan nama “New Microsoft Word Document.exe”.

Lalu tugasnya selanjutnya adalah mencari ke seluruh direktori yang terdapat di drive tersebut. Apabila ditemukan file dokumen dari Microsoft Word, yakni file dengan extension .doc, ia akan menyembunyikan dokumen asli tersebut dengan memberikan attribut hidden, lalu membuat file duplikat dari Vires dengan nama yang sama dengan file dokumen aslinya.

Jadi apabila mengklik sebuah file virus yang menyamar sebagai dokumen yang Anda miliki, yang akan dilakukan oleh Vires adalah membuka dokumen aslinya yang telah ia sembunyikan tadi, jadi seolah-olah memang tidak terjadi apa–apa pada komputer Anda, padahal dengan begitu Vires akan terus menerus aktif dan siap menyebarkan diri lagi.

Dan karena ukuran tubuhnya yang kecil, proses penyebarluasan virus ini terbilang sangat cepat. Pada saat dilakukan pengujian, dalam waktu sedikit saja ia dapat meng-hidden-kan seluruh dokumen Microsoft Word asli dan menggantikannya dengan tubuhnya sendiri. Inilah salah satu keuntungan untuk sang virus.

Aksi dan Ciri
Vires ini juga akan selalu senantiasa memeriksa program-program apa saja yang sedang aktif di memory. Apabila terdapat process dengan nama file “regedit.exe”, “taskmgr.exe”, ataupun “msconfig.exe”, ia akan segera meng-close aplikasi tersebut. Tentu saja, karena ia tak ingin dirinya dihapus oleh sang user.

Walau Vires tidak melakukan tindak pengrusakan atau menghilangkan data asli Anda, namun biar bagaimanapun, kehadirannya telah mengganggu dan tentu saja akan memperlambat kerja komputer.

Tak lupa Vires juga akan membuat sebuah file HTML pada root drive dari system Windows Anda yang biasanya terdapat di “C:\L@tif@h.html” yang berisi pesan dari pembuat virus.

Pembasmian dan Pencegahan
PC Media Antivirus (PCMAV) sudah dapat mengenali dan membasmi virus ini hingga tuntas dan akurat 100%. Untuk membasminya, silakan scan komputer Anda secara menyeluruh dengan PC Media Antivirus RC11 ini.

Untuk pencegahan, sebaiknya sebelum melakukan transfer data entah itu dari disket, flash disk, ataupun data yang Anda download, hendaknya scan terlebih dahulu dengan antivirus kesayangan Anda. Apabila PCMAV ternyata tidak dapat mengenali Vires yang jelas–jelas terdapat pada komputer Anda, dengan senang hati kami akan menerima contoh virus yang Anda kirimkan. Kami tunggu!

Arief Prabowo

Dahulu, para virus maker mengusahakan agar ukuran virus mereka sekecil mungkin tapi dengan kemampuan yang hebat. Kini mungkin sekarang ukuran file sudah tidak menjadi masalah, karena banyak sekali virus yang memiliki ukuran yang sangat besar. Namun, hal ini tidak berlaku pada Vires.

Sebagai contoh, mungkin komputer Anda sudah pernah terinfeksi oleh virus local seperti Nahital yang besarnya 474.112 bytes, atau bahkan virus Harpot.A dengan ukurannya yang sebesar 760.832 bytes atau lebih dari 0.5 Megabytes. Untuk ukuran sebuah virus, angka ini sungguh sangat besar.

Vires, begitulah PC Media Antivirus mengenal virus ini. Vires merupakan virus dengan icon mirip dengan icon dokumen Microsoft Word. Virus yang juga dikenal dengan nama Latifah ini dibuat dengan menggunakan bahasa Visual Basic yang di compile dengan metode Native Code. Virus ini dapat menginfeksi komputer dengan operating system Windows 9x/XP. Satu hal yang menarik dari virus ini, ia memiliki ukuran tubuh yang kecil, hanya 19.465 bytes atau sekitar 19Kb. Virus ini juga di-compress menggunakan UPX, yang apabila dilakukan proses decompress ukuran file virus menjadi 57.344 bytes.

Virus yang memproklamasikan diri berasal dari kota Tegal ini adalah contoh virus yang boleh dibilang sangat sederhana. Karena jika di-disassembly dan dilihat rutin virus di dalamnya, ia tidak menggunakan teknologi-teknologi virus yang canggih, tapi dari segi penyebaran virus ini juga tidak kalah.

Salah satu ciri virus ini lainnya adalah ia juga memiliki Version Information. Ini bisa dilihat dengan mengklik kanan file virus lalu klik Properties. Maksudnya, Version Information ini ia manipulasi agar tidak terlalu mencurigakan user karena apabila dilihat sekilas akan seperti dokumen Microsoft Word.

PC Media Antivirus dapat membasmi virus ini sejak RC9. Karena terbukti dari setiap edisi ke edisi, banyak pembaca yang melaporkan ataupun mengirimkan sampel dari virus ini. Ini menandakan, memang virus ini sudah menyebar atau in the wild di masya rakat, walau mungkin memang jumlahnya masih terbatas dan tidak sebanyak si Brontok yang sekarang ada di peringkat ke-3 dunia seperti yang dilaporkan salah satu situs antivirus di Internet.

Vires yang kami punya ini pun masih satu jenis, artinya kami belum mendapatkan ada nya varian lain dari virus ini. Tapi, itu tidak menutup kemungkinan bahwa di luar sana masih ada varian lainnya.

Menginfeksi System

Seperti halnya yang dilakukan oleh virus-virus lain, secara garis besar yang dilakukan oleh Vires kali pertama adalah menyerang operating system tersebut. Pertama, dengan cara menginfeksi system Windows dengan menempatkan file induk pada direktori yang telah ditentukannya. Dan kedua menginfeksi atau memanipulasi registry Windows agar sesuai dengan keinginannya ataupun agar virus tersebut dapat selalu aktif otomatis pada saat kita memulai Windows. Kedua sektor tersebut merupakan yang sangat krusial di Windows.

Lebih jelasnya, Vires menciptakan beberapa file induk pada “\%windows%\desktop.com”, “\%system32%\check.exe”, dan pada “\Documents and Settings\%username%\Start Menu\Programs\Startup\Scan.pif”. Setelah file-file induk tersebut berhasil ditanamkan, ia kemudian menginfeksi registry dengan membuat beberapa perubahan, terutama dalam hal program-program mana saja yang dijalankan pada saat startup. Yakni, ia menciptakan sebuah item baru pada registry di section HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ dengan nama item “Desktop”, lalu nilai dari item ini diarahkan ke file induk virus yang telah ia buat tadi pada “\%windows%\desktop.com”.

Namun, tidak hanya satu, ia juga membuat item untuk startup lagi pada registry di section HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ dengan nama item “Check” yang juga juga diarahkan kepada file induk virus yang terletak pada “\%system32%\check.exe”. Sekarang, dengan melakukan penambahan atau perubahan-perubahan tersebut, virus tersebut kini dapat aktif otomatis setiap memulai Windows.

Namun, tidak sampai di situ saja. Seperti kewajiban yang dilakukan oleh virus lainnya juga, ia mencoba untuk mempertahankan kelangsungan hidupnya. Yakni, salah satunya adalah dengan menghilangkan menu Folder Options, dan mengaturnya agar tidak menampilkan file dengan attribut hidden serta tidak menampilkan extension dari file. Ini dilakukannya untuk mempersulit dan mengecoh user, agar mengira bahwa virus tersebut adalah merupakan dokumen word-nya. Karena memang agak sulit bagi orang awam untuk membedakan mana file dokumen asli dan mana yang memang virus.

Lalu, juga dengan mengubah registry Windows, beberapa tools internal Windows berhasil diblokir olehnya. Di antaranya kita tidak dapat menjalankan Registry Editor, Task Manager, dan Find.

Penyebaran Virus

Dalam segi penyebaran, Vires masih mempercayakannya pada storage media seperti misalnya melalui disket atau flash disk. Caranya, ia akan mencari tahu drive apa saja yang terdapat pada komputer itu, lalu memeriksa apakah drive tersebut sudah ready untuk diinfeksi, artinya misalkan drive yang akan diinfeksi adalah berupa floppy drive, ia akan memeriksa terlebih dahulu apakah pada floppy drive tersebut sudah terdapat disket di dalamnya. Jika ya, maka Vires langsung membuat duplikat dari dirinya ke root drive tersebut dengan nama “New Microsoft Word Document.exe”.

Lalu tugasnya selanjutnya adalah mencari ke seluruh direktori yang terdapat di drive tersebut. Apabila ditemukan file dokumen dari Microsoft Word, yakni file dengan extension .doc, ia akan menyembunyikan dokumen asli tersebut dengan memberikan attribut hidden, lalu membuat file duplikat dari Vires dengan nama yang sama dengan file dokumen aslinya.

Jadi apabila mengklik sebuah file virus yang menyamar sebagai dokumen yang Anda miliki, yang akan dilakukan oleh Vires adalah membuka dokumen aslinya yang telah ia sembunyikan tadi, jadi seolah-olah memang tidak terjadi apa–apa pada komputer Anda, padahal dengan begitu Vires akan terus menerus aktif dan siap menyebarkan diri lagi.

Dan karena ukuran tubuhnya yang kecil, proses penyebarluasan virus ini terbilang sangat cepat. Pada saat dilakukan pengujian, dalam waktu sedikit saja ia dapat meng-hidden-kan seluruh dokumen Microsoft Word asli dan menggantikannya dengan tubuhnya sendiri. Inilah salah satu keuntungan untuk sang virus.

Aksi dan Ciri
Vires ini juga akan selalu senantiasa memeriksa program-program apa saja yang sedang aktif di memory. Apabila terdapat process dengan nama file “regedit.exe”, “taskmgr.exe”, ataupun “msconfig.exe”, ia akan segera meng-close aplikasi tersebut. Tentu saja, karena ia tak ingin dirinya dihapus oleh sang user.

Walau Vires tidak melakukan tindak pengrusakan atau menghilangkan data asli Anda, namun biar bagaimanapun, kehadirannya telah mengganggu dan tentu saja akan memperlambat kerja komputer.

Tak lupa Vires juga akan membuat sebuah file HTML pada root drive dari system Windows Anda yang biasanya terdapat di “C:\L@tif@h.html” yang berisi pesan dari pembuat virus.

Pembasmian dan Pencegahan
PC Media Antivirus (PCMAV) sudah dapat mengenali dan membasmi virus ini hingga tuntas dan akurat 100%. Untuk membasminya, silakan scan komputer Anda secara menyeluruh dengan PC Media Antivirus RC11 ini.

Untuk pencegahan, sebaiknya sebelum melakukan transfer data entah itu dari disket, flash disk, ataupun data yang Anda download, hendaknya scan terlebih dahulu dengan antivirus kesayangan Anda. Apabila PCMAV ternyata tidak dapat mengenali Vires yang jelas–jelas terdapat pada komputer Anda, dengan senang hati kami akan menerima contoh virus yang Anda kirimkan. Kami tunggu!

Arief Prabowo

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
%d blogger menyukai ini: