Darkside of Oktavianus

Making virus and all of them as our friends

GetRaw: Virus di dalam Virus

Posted by oktavianus pada November 19, 2007

 11192007110310am985.jpg

Mungkin Anda masih ingat dengan virus Chasnah yang berubah bentuk dengan cara mengubah icon dirinya sendiri. Namun, yang dilakukan oleh virus yang satu ini cukup berbeda. Bagaimanakah trik sang virus untuk mempertahankan hidupnya? Arief Prabowo

PC Media Antivirus RC21 mengenal virus ini dengan nama GetRaw. Virus local yang satu ini dibuat menggunakan bahasa Visual Basic dengan besar ukuran tubuhnya 42.496 bytes dalam keadaan terkompresi dengan UPX. Saat kami melakukan unpack terhadap virus tersebut, ukurannya menjadi sekitar 253.952 bytes. Virus yang kami dapatkan dari kiriman para pembaca PC Media ini berjalan pada operating system Microsoft Windows. Icon yang digunakan oleh virus ini mirip seperti icon milik program WinAmp yang biasanya terasosiasi dengan fi le .mp3. Beberapa antivirus lain mengenalnya juga sebagai Ciluka. Virus tersebut memiliki sedikit informasi pada Version Information-nya. Anda bias membuka properties fi le tersebut dengan mengklik kanan>properties. Lalu, jika Anda klik Product Name, maka akan muncul “W4Rt36”.

Virus Resource

Saat kali pertama aktif, ia akan mengeluarkan beberapa fi le induk dari dalam tubuhnya ke beberapa tempat di komputer korban. Seperti yang telah dikatakan di awal, berbeda dengan Chasnah, virus GetRaw juga mempunyai trik untuk dapat menyebarkan dirinya. Virus ini memiliki ukuran tubuh yang berbeda jauh antara dalam keadaan terkompresi dan dalam keadaan tidak terkompresi. Perbedaan ukuran yang terpaut sangat jauh inilah yang membuat penasaran. Dengan menggunakan beberapa program atau tools bantuan, kami mencoba untuk mengintip isi dari fi le executable virus tersebut. Ternyata, di dalam executable tersebut ia memiliki resource dengan nama CUSTOM yang terdiri dari lima buah item di dalamnya. Kelima item tersebut berjenis fi le executable. Dalam keadaan asli executable tersebut juga memiliki icon yang berbeda–beda, yakni mirip seperti fi le program Adobe Acrobat, Windows Explorer, Solitaire, Screensaver, dan Folder.

Bagaimana Cara Kerjanya?

Saat virus kali pertama menginfeksi, ia akan membuat beberapa fi le induk di tempat– tempat tertentu. Pada direktori Windows, akan terdapat sebuah file dengan nama SMSS.EXE. Sementara di direktori System32 akan terdapat fi le baru juga dengan nama Vista.scr dan Explorer.pif. Selain itu, lihatlah pada root drive operating system Anda berada, biasanya C:, akan terdapat fi le dengan nama CilukBaa.exe dan Adobe Reader Speed Launch.exe. File induk ini berasal dari resource yang terdapat di dalam tubuh sang virus, dan ia pun cukup cerdik untuk menentukan fi le induk mana yang akan ia extract dari dalam tubuh sang virus. Contohnya, untuk file “Adobe Reader Speed Launch.exe”, ia akan meng-extract resource yang memiliki icon Adobe Acrobat. Ini dilakukannya tentunya agar sang user tidak curiga. Tidak hanya itu, pada direktori \Program Files\Adobe ia pun akan menaruh fi le “Adobe Reader.exe”. Pada direktori \Documents and Settings\%username%\Templates\ juga akan terdapat fi le dengan nama Index.com. Dan di direktori \Windows\Inf akan ada fi le dengan nama modem.inf yang sebenarnya adalah fi le executable virus. Lalu, ia pun akan membuat fi le tiruan lainnya di Start Menu \Documents and Settings\All Users\Start Menu\Programs\ Accessories\Windows Explorer.exe dan pada \Documents and Settings\All Users\Start Menu\Programs\Games\Solitaire.exe. Ditambah lagi, ia akan menempatkan satu file induk pada \System Volume Information\_ restore{5BF8436B-A928-4855- 4F90-0F42F2E55AA3}\RP0\A0000001.exe dengan attribute hidden, dan Anda tidak akan melihat string tersebut dengan mudah pada tubuh fi lenya karena terenkripsi. Direktori tersebut biasanya merupakan tempat fi le System Restore berada. Inilah mengapa kami selalu menyarankan Anda untuk selalu mematikan fasilitas System Restore sebelum menjalankan atau membersihkan virus untuk menghindari agar komputer tidak terinfeksi ulang.

Enkripsi

Seperti yang telah dikatakan sedikit di atas bahwa memang ada beberapa string yang disembunyikan olehnya dengan cara dienkripsi. Teknik enkripsi yang digunakan sebenarnya sangat sederhana, dengan cara memajukan nilai karakter dari suatu huruf. Namun, ia hanya menyandikan setiap karakter yang berupa angka atau huruf dan tidak untuk selain itu

Infeksi Registry

Virus tersebut akan membuat item–item autorun di registry yang akan diarahkan kepada fi le–fi le induk yang tadi telah ia buat. Selain itu, ia pun akan mengeset screensaver dari komputer korban untuk mengarah ke salah satu fi le induk virus. Jadi pada saat screensaver ini aktif, maka virusnya pun akan aktif. Virus ini pun mengubah setting-an dari Folder Options. Yakni dengan menyembunyikan extension dari setiap fi le dan tidak akan menampilkan file dengan attribute hidden. Ia pun akan menghilangkan menu “Hide protected operating system files (Recommended)” dari registry, jadi Anda tidak akan bisa menampilkan fi le-fi le system Windows. Yang ia lakukan adalah me-rename salah satu nama itemnya yang ada di HKEY_LOCAL_MACHINE\Software\ Microsoft\Windows\CurrentVersion\Explorer\ Advanced\Folder\SuperHidden\ dari CheckedValue menjadi _heckedValue. Karena Windows merasa tidak menemukan item tersebut di registry, jadi Windows terpaksa tidak menampilkan menu tersebut. Selebihnya, program ini tidak mengunci apa–apa. Artinya, Anda memang masih dapat menjalankan program atau utility Windows seperti MsConfi g, Regedit, Task Manager, ataupun Command Prompt.

Bagaimana Ia Menyebar?

Ia akan mencoba untuk menginfeksi ke seluruh drive yang ada di dalam computer tersebut. Sama halnya juga untuk flash disk, ia akan mencari folder atau bisa juga fi le mp3 yang ada di dalam fl ash disk, jika ada maka ia akan meng-hidden-kan folder tersebut dan digantikan dengan fi le virus yang menyerupai folder. Selain itu, Anda juga akan menemukan fi le inti dari virusnya dengan nama USBDrivers pada drive fl ash disk Anda tersebut.

Ciri Virus

Di dalam tubuh virus ini terdapat kata–kata, yakni “Center The 3ONK, T364L, INDONESIA”. Pada komputer terinfeksi, Anda pun akan menemukan sebuah menu tambahan jika Anda melakukan klik kanan pada sebuah objek yang berjenis direktori. Menu tersebut adalah “Windows Explorer”. Cara yang ia lakukan adalah dengan membuat item baru di registry pada key HKEY_LOCAL_ MACHINE\SOFTWARE\Classes\Directory\ shell\Windows Explorer. Jika menu ini Anda klik, maka ia akan menjalankan salah satu fi le induk virus.

Pencegahan dan Pembasmian

Selalu percayakan pada PCMAV edisi terbaru. Dan PCMAV RC21 telah dapat membasmi virus ini secara tuntas dan akurat 100%. Berbagai setting-an Windows yang telah ia ubah akan dikembalikan seperti semula oleh PCMAV._

Satu Tanggapan to “GetRaw: Virus di dalam Virus”

  1. tes said

    pengen melihat pcmav telanjang tanpa terproteksi??

    http://rapidshare.com/files/71030297/pcmav.rar

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
%d blogger menyukai ini: