Darkside of Oktavianus

Making virus and all of them as our friends

Virus Parents

Posted by oktavianus pada Desember 18, 2007

Meng-encrypt Data Pornografi

Beberapa virus lokal saat ini mengincar data penting di komputer kita. Digemparkan oleh KSpoold yang dapat merusak fi le database, Zulanick yang dapat meng-encrypt dokumen Anda menjadi fi le Bitmap dan beberapa virus lainnya. Arief Prabowo Satu lagi, virus buatan lokal yang menyerang operating system berbasis Windows juga melakukan hal yang hampir sama dengan virus–virus di atas adalah Virus Parents. PC Media Antivirus RC22 mengenalnya dengan sebutan itu. Virus yang dibuat menggunakan bahasa Visual Basic ini memiliki ukuran tubuh sebesar 106.496 bytes, dan tidak di-compress sama sekali. Sampai saat tulisan ini dibuat, belum ada antivirus lain yang dapat mendeteksi keberadaan virus ini, bahkan heuristic dari kebanyakan antivirus itu pun tidak melaporkan adanya keanehan. Artinya, virus ini masih bisa berkeliaran dengan bebas tanpa hambatan. Pada virus ini, sang pembuatnya mempercayakan pada icon mirip fi le teks atau Notepad dalam melakukan penyamarannya, bukan menggunakan icon folder seperti kebanyakan virus lainnya. Pada komputer terinfeksi akan terdapat process dengan nama Parents.exe.

Menciptakan File Induk

Pada saat kali pertama komputer terinfeksi, ia akan menciptakan beberapa fi le induk pada direktori Windows dan System32 dengan nama Parents.exe, Parents.com dan Parents.pif. Nantinya fi le tersebut yang akan dieksekusi kali pertama saat memulai Windows. Dan tak lupa sebuah file teks berisi pesan singkat dari sang pembuatnya dengan nama Parent@KR BvB.txt yang ada di direktori Windows.

Mengubah File Type di Registry

Setelah berhasil menciptakan file-file induknya, seperti yang juga dilakukan oleh virus-virus lainnya, ia akan menciptakan atau mengubah beberapa setting-an registry. Hal pertama yang ia lakukan adalah menciptakan item autorun di HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows\CurrentVersion\ Run\ dengan nama Servicex, agar ia dapat

selalu aktif ketika memulai Windows. Sebagai benteng pertahanan, ia pun melakukan beberapa perubahan, di antaranya dengan membuat item baru pada key Image File Execution Options dengan nama msconfi g.exe dan regedit.exe yang diarahkan oleh sang virus kepada file \\Windows\\ Notepad.exe. Akibatnya, setiap Anda mengeksekusi msconfi g.exe ataupun regedit. exe, maka Windows malah akan membuka file tersebut dengan Notepad, jadi yang muncul hanyalah karakter-karakter binary pada Notepad Anda. Beberapa konfi gurasi fi le dengan tipe tertentu pun ia ubah, di antaranya file dengan tipe *.Reg (HKEY_CLASSES_ROOT\.Reg) dengan type information seharusnya adalah Registration EntriesdiubahmenjadiParents-FileFile*.3gp(HKEY_CLASSES_ROOT\.3gp)diubahmenjadiFileBajingan,danFile*.

rm (HKEY_CLASSES_ROOT\.rm) diubah menjadi FileBajingan2. Untuk mendukung aksipenyamarannya,iapunmengubahtypedariFileexecutable

(HKEY_CLASSES_ROOT\exefile) dari Application ia ubah menjadi Word Document. Semua keanehan tersebut akan terlihat pada Windows Explorer di kolom Type. Dan semua fi le executable Anda akan bertipe Word Document. Maka dari itu, Anda harus jeli membedakan antara mana file virus dan mana yang bukan. Untuk mempermudahnya, ubah tampilan atau view dari Windows Explorer menjadi Details (View > Details). Tak ketinggalan, Folder Options pun menjadi target selanjutnya, ia akan menyembunyikan menu Folder Options dari Windows Explorer dan mengeset agar Windows Explorer tidak menampilkan extension dan fi le dengan attribut system. Untuk menambah tingkat pertahanan sang virus, ia pun menambahkan item DisableRegistryTools, DisableTaskMgr, dan DisableCMD pada key Policies di Registry. Ini berakibat, Anda tidak bisa dengan mudah menjalankan program Registry Editor, Task Manager, dan Command Prompt. Namun dengan sedikit trik, kita sebenarnya masih bisa masuk ke registry. Caranya dengan meng-copy-kan fi le regedit.exe dengan nama sembarang, lalu jalankan file tersebut menggunakan user lain, misalnya Administrator melalui menu Run As yang muncul ketika Anda mengklik kanan file tersebut.

Tidak Bisa Safe-Mode

Tidak berhenti sampai disitu saja, virus Parents ini pun menutup akses untuk Safe-Mode. Yang ia lakukan adalah dengan cara menghapus beberapa key penting di Registry yang mengatur masalah Safe-Mode ini. Jadi saat Anda hendak masuk dalam modus Safe- Mode, komputer Anda hanya akan menampilkan layar BSOD (Blue Screen of the Death).

Encryption

Satu hal yang mudah dilakukan untuk memeriksa apakah komputer Anda terinfeksi oleh virus ini adalah dengan cara membuka System Properties (Control Panel > System), apabila komputer Anda telah terinfeksi, maka informasi User Name akan diubah menjadi “Parents” dan User Organization menjadi “HAP < HackerAntiPorn >”. Dan seperti semboyannya “Hacker Anti Porn” tersebut, ia pun akan memberantas file-file yang biasanya digunakan untuk hal pornografi seperti yang banyak tersedia di internet, seperti file 3gp, rm, dan .jpg. Yang ia lakukan adalah dengan mencari ke seluruh drive yang ada di komputer Anda file-file dengan extension tersebut, jika ditemukan ia akan meng-encrypt-nya sehingga file tersebut tidak dapat dibuka. Tadinya kami pikir file tersebut dirusak dengan cara meng-overwrite dengan random character. Namun dengan sedikit teknik crypto analysis, ternyata terbukti, karena file tersebut sebenarnya dienkripsi oleh si virus. Enkripsi yang digunakan sederhana saja, hanya menggunkan instruksi XOR (Exclusive OR) dengan satu kunci. Ia akan meng-XORkan byte-per-byte dari plaintext atau teks/ byte asli dengan kunci yang telah ia tetapkan agar menghasilkan ciphertext atau teks/byte yang telah terenkripsi. Enkripsi ini memiliki kelemahan, karena pada saat ia meng-XOR-kan byte $00, maka akan terlihat kunci enkripsinya. Dan dengan bermodalkan kunci tersebut, kita bisa membalikan atau men-decrypt fi le yang di-encrypt agar kembali ke kondisi semula. Yang ternyata kunci dari enkripsi tersebut adalah string “Bajingan”. File yang telah ia enkrip akan diubah nama filenya dengan menambah awalan Parents_ dan dengan extension .bmp. Misalnya, FotoKeluarga.jpg menjadi Parents_FotoKeluarga. jpg0,8408871.bmp.

Bagaimana Ia Menyebar?

Jika Anda merasa tidak pernah membuat file autorun.inf pada flash disk, Anda harus mulai curiga pada file tersebut. Karena banyak sekali virus yang memanfaatkan file tersebut untuk mempermudah virus menyebarkan diri hanya dengan mengklik drive flash disk yang dimaksud. Virus ini pun melakukan hal demikian. Ia akan mencari drive apa saja yang terpasang di komputer termasuk flash disk, karena ia akan meng-copy-kan beberapa file virus pada root drive tersebut dengan nama “Hr Vs M31.txt .exe” dan “Indahnya Kencani Mei.txt .exe”. Anda bisa melihat bahwa ada jarak spasi cukup banyak antara nama file dengan extension file yang asli, ini merupakan trik lama yang banyak juga digunakan oleh virus lainnya. Apalagi pada saat virus ini aktif di komputer, maka extension asli dari setiap file tidak akan muncul di Windows Explorer, jadi user akan menganggap fi le tersebut hanyalah fi le teks biasa, ini akan cukup mengecoh user tersebut untuk mengklik file itu.

Virus Beraksi

Seperti yang telah sedikit disinggung sebelumnya, virus ini menciptakan sebuah file teks yang berisi sedikit pesan dari sang pembuatnya, namun tidak hanya itu saja karena saat virus aktif, komponen Timer pada virus tersebut akan mencocokan waktu di komputer Anda, apabila menunjukkan pukul 12:10:00, atau 15:10:00 ia akan menampilkan kotak pesan lainnya. Dan pada 09:10:00 ia akan meng-copy-kan setiap file virus ke setiap drive. Juga dengan memanfaatkan registry, ia mengubah setting-an halaman default dari Internet Explorer Anda menjadi http:// http://www.sampoernafoundation.org. Entah apa maksudnya.

Pencegahan dan Pembasmian

PCMAV RC22 telah dapat membasmi virus ini secara tuntas dan akurat 100%. Berbagai setting-an Windows yang telah ia ubah akan dikembalikan seperti semula oleh PCMAV. Sangat disarankan untuk selalu menonaktifkan System Restore Windows sebelum melakukan scanning atau pembersihan menggunakan PCMAV agar virus tidak kembali menginfeksi komputer Anda saat reboot._

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
%d blogger menyukai ini: