SEPUTAR VIRUS DAN DAERAH PENYERANGANNYA. Pengertian Virus

Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan

SEPUTAR VIRUS DAN DAERAH PENYERANGANNYA Untuk dapat melabas virus – virus lokal ini, kita harus terlebih kenal bahkan dekat dengan yang namanya virus.

Pengertian Virus Virus adalah program yang dibuat oleh seorang programmer dan bersifat merusak. Virus menginfeksi file dengan ekstensi file tertentu, .exe, .com, .txt, .jpg, dan lain sebagainya. Jenis – jenis virus bisa dibedakan menjadi beberapa bagian, yaitu : a) Virus boot sector Merupakan virus umum, menggandakan diri dengan cara menindih bootsector asli pada sebuah disk, sehingga pada saat booting virus akan langsung dijalankan ke memori.

1 Depkominfo


b) Virus file Menyerang file yang dijalankan oleh suatu sistem operasi. Biasanya menyerang com atau exe. c) Virus direct action Virus ini akan masuk ke memori untuk menjalankan file lainnya. Lalu menjalankan program lain untuk menipu. d) Multi Partition virus Merupakan gabungan dari virus boot sector dan virus file. e) Polymorphic virus Virus dirancang untuk mengelabui program AV yaitu

dengan

mengubah

struktur

dirinya

setelah menjalankan perintah

2 Depkominfo


f) Stealth virus Mengendalikan instruksi – instruksi level DOS dengan menguasai tabel interrupt. g) Macro virus Ditulis oleh bahasa pemrograman dari suatu aplikasi,

sehingga

bersifat

platform

independent.

Perbedaan

virus

dengan

program

komputer lainnya Perbedaan virus dengan program aplikasi komputer lainnya adalah : 1. Kemampuan mendapatkan informasi penting. Virus didesain untuk menginfeksi banyak file atau program. Misalnya, virus akan menulari seluruh file .txt atau .htt, maka virus tersebut akan mencari informasi

3 Depkominfo


tentang

file-file

atau

program-program

yang

ada.

Setelah virus mendapatkan informasi tersebut, maka akan disimpan di memory atau di suatu file tertentu yang

telah

di-set

attributnya

menjadi

hidden

(tersembunyi). 2. Kemampuan untuk memeriksa program atau file Ketika

meninfeksi

sebuah

file,

virus

harus

bisa

memeriksa apakah file tersebut telah terinfeksi atau belum. Biasanya virus akan memeriksa byte yang dipakai oleh virus tersebut, atau dengan nama lain penanda. Apabila penanda tersebut telah ada maka virus tidak akan menginfeksi file tersebut. Tetapi apabila file tersebut tidak ada penandanya, maka virus akan menulari file yang sehat itu.

3. Kemampuan menggandakan diri Kemampuan ini harus (wajib) dimiliki oleh virus, karena kemampuan ini digunakan untuk perkembang-biakan

4 Depkominfo


virus tersebut. Biasanya virus akan memasang penanda dan menyisipkan program untuk memperbanyak virus tersebut. 4. Kemampuan untuk memanipulasi Kemampuan ini digunakan untuk memunculkan pesan, gambar, menghapus file, mencuri data/file, dan lain sebagainya. 5. Kemampuan untuk menyembunyikan diri dan data yang dibuat Seluruh aktifitas yang dilakukan virus haruslah tidak kelihatan, baik dari user ataupun dari komputer. Hal ini menjadi keindahan sebuah virus. Biasanya kita bisa melihat

seluruh

proses

yang

ada

di

komputer

(khususnya yang berbasis Windows) hanya dengan menekan Ctrl+Alt+Delete, maka akan muncul kotak yang

berisikan

proses-proses

yang

berjalan

pada

komputer. Sebuah virus yang bagus adalah yang tidak tertangkap prosesnya oleh trapping tersebut. Apalagi jika dapat menghindari deteksi sebuah antivirus.

5 Depkominfo


Struktur Virus Virus pada umumnya mempunyai struktur yang hampir sama, dan dapat dibedakan menjadi beberapa kode, yaitu :

1. Kode penanda virus Setiap virus pasti mempunyai identitas masing – masing. Bisa dibuat dengan karakter atau jumlah byte tertentu sebagai marker sesuai dengan keinginan si programmer. Contoh, virus A mempunyai penanda X dan virus B mempunyai penanda Y, maka virus-virus itu akan dikenali antivirus sesuai penandanya. Pada virus hallo.roro.htt penandanya adalah sebuah file desktop.ini yang mempunyai ukuran 299 byte, atau pada virus w32.redlof.html mempunyai penanda file folder.htt yang ada di tiap folder dengan ukuran 13 Kb.

6 Depkominfo


2. Kode penggandaan virus Suatu program tidak dapat dikatan virus jika tidak dapat menggandakan dirinya sendiri. Contoh, virus hallo.roro.htt menggandakan dirinya dengan memakai program

syssrv.exe. Hasil

penggandaan

tersebut

disimpan dalam file desktop.ini yang berukuran 299 byte dan hallo.roro.htt. Banyak cara atau jurus untuk menggandakan diri yang digunakan oleh virus – virus sekarang. 3. Kode pertahanan dan penyembunyian deteksi Kode ini diperlukan virus untuk mengecoh antivirus, bisa dengan meng-encrypt file virus tersebut, me-nonvisiblekan proses pada komputer korban, ataupun menampilkan pesan pengalihan ketika kita mencoba menjalankan aplikasi antivirus. 4. Kode pemicu Setiap virus mempunyai program atau kode untuk mengaktifkan program utamanya. Program atau kode

7 Depkominfo


ini

bisa

dipicu

dengan

bermacam-macam

cara,

contohnya, virus diaktifkan ketika kita mengklik atau membuka file tertentu dari windows explorer. Atau dengan memakai nama file yang sedang populer. Contoh, virus worm anna-kournikova memakai kode pemicu dengan nama file anna-kournikova.jpg.exe. dengan nama ini orang akan mengira file tersebut adalah .jpg (file gambar), padahal file tersebut adalah file jenis application atau file .exe. Atau virus w32.hllw.pesin, file pemicunya adalah SysTask.exe dengan icon MS-Word. Sehingga orang terkecoh dan mengira bahwa SysTask.exe merupakan file MS-Word. 5. Kode Manipulasi Kode ini berguna untuk menghapus file, menjalankan aplikasi tertentu untuk mencuri dan mengirimkan data ke sebuah email. Batasan manipulasi terserah kepada pembuatnya,

karena

hal

inilah

maka

virus

dikategorikan dalam program yang bersifat merusak.

8 Depkominfo


Dari kode - kode diatas dapat dirangkum menjadi satu,

sehingga

menjadi

sebuah

program

yang

bernama virus.

Cara Kerja Virus Cara kerja sebuah virus diterangkan sebagai berikut : 1. Setelah program virus diklik oleh user, maka virus akan menjalankan proses. 2. Kemudian virus menjalankan kode pertahanan diri, yaitu dengan menyembunyikan proses yang terjadi di komputer. 3. Lalu, seperti yang diterangkan pada ilustrasi gambar 1.1, virus akan menjalankan kode penggandaan diri yaitu dengan mencari file berekstensi tertentu (yang banyak digunakan oleh user komputer), seperti .exe, .jpg,

.doc,

dan

lain

–

lain.

Misalnya

virus

9 Depkominfo


menemukan

file

yang

bernama

sehat.doc,

selanjutnya virus akan memeriksa apakah

file

tersebut ada kode penandanya.

Gambar 2. 1 Cara kerja Virus

4. Jika file tersebut tidak ada kode penanda maka virus akan menginfeksi file yang sehat tersebut, atau menyisipkan

kode

virus

seperti

gambar

1.2

10 Depkominfo


kemudian virus akan mencari file yang belum terinfeksi.

Gambar 2. 2 Virus mencari file lain setelah menulari file sehat 5.Jika virus tidak menemukan penanda pada file yang dicari, maka virus akan mencari file selanjutnya yang belum terinfeksi. 6.Kemudian virus akan menjalankan kode manipulasi, entah menghapus data, atau menjalankan kode penggandaan diri lagi.

7.Setelah kode – kode tersebut dijalankan virus akan mengerjakan

kode

pertahanan

kembali,

yaitu

11 Depkominfo


dengan

cara

mengenkrip

file

virus

untuk

menyembunyikan diri dari pendeteksian antivirus.

Serangan Virus ke Sistem Komputer Yah yang namanya virus ya…sukanya merusak dan merangsek (masuk dengan paksa…) kayak komik – komik silat Pedang Mahadewa, Tiger Wong, Tapak sakti…hush hush hush!Maksudnya yang namanya virus pasti berusaha untuk masuk ke sistem yang ada di komputer kita. Gunanya mas? Ya untuk mengunci sistem, memanipulasi dan mengganti sistem tersebut agar virus dapat lebih leluasa berkembang biak. Lalu bagaimana langkahnya kok si virus itu bisa sampai masuk ke sistem komputer kita?nah untuk menjawab pertanyaan ini baca paragraf berikut ini. Biasanya virus menyerang sistem yang ada di komputer kita yaitu:

12 Depkominfo


Registry Registry

windows???ada

yang

belum

tahu

yah!!!!!Registry windows adalah suatu database untuk menyimpan dan mengatur sistem di windows. Untuk lebih jelasnya BACA BUKUNYA!!!Banyak kok, yang jelas kalau bermain-main dengan registry sangat asyik sekali, bisa-bisa anda terhanyut dan tenggelam di dalamnya (maaf saya mengutip judul dari pak Tri Amperiyanto, mohon diizinkan pak, terima kasih). OK…kalau ada yang belum tau coba klik start -> run -> ketik ‘regedit’ (tanpa tanda petik). Nah akan muncul jendela seperti gambar di bawah ini :

13 Depkominfo


Gambar 1: Gambar Registry Edit pada MS Windows

Key Registry Key Registry dilambangkan dengan

. Key Registry

terdiri dari 5 Kunci utama, yaitu:

-

HKEY_CLASSES_ROOT

atau

biasa

disingkat

atau

biasa

disingkat

HKCR -

HKEY_CURRENT_USER HKCU

14 Depkominfo


-

HKEY_LOCAL_MACHINE atau biasa disingkat HKLM

-

HKEY_USERS atau biasa disingkat HKU

-

HKEY_CURRENT_CONFIG atau biasa disingkat HKCC

Gambar 2: Key Registry Di Windows Di tiap – tiap registry utama terdapat key utama terdapat key anak yang berguna untuk menyimpan value.

15 Depkominfo


Gambar 3: Key Registry HKEY_CURRENT_CONFIG yang mempunyai key anak Nah dari gambar di atas kita dapat melihat HKEY_CURRENT_CONFIG mempunyai anak yaitu: -

Key Software

-

Key Sytem

Dan Key System mempunyai anak lagi yaitu : -

Current Control Set

Kemudian Key Current Control Set mempunyai anak lagi: -

Key Control

-

Key Enum

Dan seterusnya…saya capek euy…ngerti kan…(He-eh he-eh)…Nah

16 Depkominfo


Value

Value di sini adalah isi dari key yang ada di registry windows. Maksudnya??? Begini coba klik anak dari key utama sampai anda menemukan isi dari key anak yang paling terakhir pasti ada penampakkan seperti gambar di bawah ini kan, walaupun beda tulisannya ya gpp, kalau pada gambar di bawah ini hanyalah contoh dari value :

Gambar 4: Contoh dari value registry Value terbagi 3 jenis yaitu: -

DWORD dengan jenis angka atau integer

17 Depkominfo


-

STRING dengan jenis karakter (huruf) atau kalimat

-

BINARY dengan jenis angka biner

Sebenarnya ada jenis – jenis lain tetapi jarang dipakai dalam registry itu sendiri.

Sekarang kita akan coba membahas sedikit tentang registry di windows tersebut.

Alamat Registry Registry sendiri mempunyai alamat yang berguna untuk mengatur konfigurasi pada windows, misalnya: Alamat registry: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\R un\

Berguna untuk menjalankan suatu aplikasi secara otomatis

18 Depkominfo


Alamat registry: HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\

Berguna untuk memanipulasi kode explorer

Alamat registry: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\

Berguna untuk memanipulasi drive penginstalan, Lisensi pada Windows. Beberapa alamat di registry sangat riskan sekali jika diubah-ubah, terkadang hal tersebut menjadi “senjata makan tuan” jika kita tidak berhati – hati dalam pengubahan registry tersebut.

Registry yang paling sering dijadikan sasaran virus

19 Depkominfo


Wah wah wah dari bab-nya saja sudah jelas maksudnya…ini nih alamat registry yang biasa di exploitasi oleh virus lokal. Paling tidak jika kalian menemukan virus lokal, sebaiknya cek di alamat registry ini:

Registry pemicu virus Registry pemicu ini berguna untuk memicu file virus, sehingga virus otomatis akan aktif jika windows masuk. Alamat: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ Di sini neh biasanya virus bercokol, maksudnya di alamat registry ini biasanya digunakan oleh programmer virus untuk memicu program virusnya secara otomatis. Misalnya pada virus kangen alamt registry :

20 Depkominfo


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cu rrentVersion\Run

Di isi oleh string NvsSchd, sehingga penampakkannya seperti pada gambar di bawah ini:

Gambar 5: Pemicu registry pada virus kangen Ngerti kan….nah untuk virus lain coba cari sendiri aza…..okeh!!!!!

-----------------------------PENANGGULANGAN---------------------

Hapus key registry yang mencurigakan di alamat tersebut, untuk mempermudah penghapusan coba deh install System Mechanic kemudian klik Optimize dan pilih Start Up Manager. -------------------------------------------------------------------------

21 Depkominfo


Registry penyembunyian Extensi file Pada alamat registry ini biasanya digunakan untuk menyembunyikan extensi file. Ngerti??? Kurang jelas mas…okeh coba liat gambar di bawah ini:

Gambar 6: Extensi file terlihat di Windows Explorer Nah pada gambar 6 Extensi file masih dapat terlihat. Yaitu file winword dengan extensi file ICO dan file wepkeys dengan extensi file txt.

Biasanya virus

menyembunyikan extensi file tersebut, agar user tertipu, seperti

yang

dilakukan

oleh

w32.rontokbro

atau

w32.kangen, dan virus lainnya. Lalu di mana alamat registry-nya??? Ya di sini (sambil menunjuk jidat pembaca..)

22 Depkominfo


Alamat: HKCU\Software\Microsoft\Windows\CurrentVersion\Expl orer\Advanced\ Key : HideFileExt Value : 1 Jika extensi file disembunyikan, maka penampakkanya akan seperti pada gambar berikut:

Gambar 7: Extensi file tidak terlihat di Windows Explorer Extensi file winword dan wepkeys tidak terlihat.

23 Depkominfo


-----------------------------PENANGGULANGAN---------------------

Jika extensi file tidak terlihat, anda harus menuju ke alamat registry dan mengubah value registry tersebut menjadi 0. Atau buka windows explorer kemudian klik tools->folder option->view-> hilangkan tanda pada “Hide extension for known file types”. -------------------------------------------------------------------------

Registry penyembunyian file yang beratribut hidden

Alamat registry ini berguna untuk menyembunyikan file

yang

ber

mempertahankan

artribut

hidden.

kelangsungan

Jadi

hidupnya,

untuk virus

menyembunyikan diri dengan mengeset file beratribut hidden. Walaupun sebenarnya ada tehnik lain, yaitu dengan membuat nama file utama virus mirip dengan nama system file di windows, misalnya :

24 Depkominfo


-

Pada virus brontok menggunakan nama file svchost, lsass, csrss, dan lain – lain, nama file tersebut mirip dengan nama file system yang ada pada windows.

-

Pada virus riyani_jangkaru menggunakan nama file xpshare

-

Pada virus kangen nama file virusnya adalah NvsScd

Nah alamat registry untuk menyembunyikan file yang beratribut hidden tersebut adalah: Alamat: HKCU\Software\Microsoft\Windows\CurrentVersion\Expl orer\Advanced\ Key : Hidden Value : 0 Untuk jelasnya, coba lihat gambar berikut ini :

25 Depkominfo


Gambar 8: File beratribut hidden File yang beratribut hidden pada windows explorer ditandai dengan icon yang kabur atau “blaur” bahasa jawanya. Nah file tersebut dapat disembunyikan dengan alamat registry di atas tadi. Sehingga pada windows explorer nanti file msdos.sys tidak akan terlihat…ngerti kan…nah begitu juga file virus. File virus tidak akan terlihat karena file tersebut di-set dengan atribut hidden. -----------------------------PENANGGULANGAN---------------------

Jika kalian tidak menemukan file virus yang beratribut hidden, ubah value pada registry tersebut dengan nilai 1. -------------------------------------------------------------------------

26 Depkominfo


Registry Pengunci regedit (Registry Edit)

Registry ini berguna untuk mengunci regedit yang ada di windows. Sehingga bila kita mencoba masuk ke registry, maka akan timbul pesan sbb :

Gambar 9: Pesan kalau registry edit telah terkunci Alamat : HKCU\Software\Microsoft\Windows\CurrentVersion\Polici es\System\ Key : DisableRegistryTools Value : 1

-----------------------------PENANGGULANGAN---------------------

27 Depkominfo


Nah agar regedit dapat dibuka kembali ubah hapus nilai registry tersebut. LOH MAS KAN KITA GAK BISA MEMBUKA REGEDIT-NYA, GIMANA KITA BISA MERUBAH NILAI REGISTRY ITU??? HU… !!! Sabar sodara…sabar… kalo gak bisa ya buka pake vbscript atau program pembongkar kunci regedit donk… -------------------------------------------------------------------------

SYSTEM EDITOR (SYSEDIT) Selain virus menyerang daerah registry, virus juga menghajar Sysedit atau sistem editor yang ada di MS Windows. Mmmmm……System Editor itu apamas??? oke saya jelaskan…System Editor atau yang biasa disingkat dengan Sysedit adalah file – file tertentu yang dijalankan ketika komputer masuk ke windows pertama kali. Ya seperti regedit. Sysedit ini biasanya masih banyak dipakai di Sistem Operasi Windows lama seperti win95, Win98, Win 3.1…jadi walaupun memang sudah lama…tapi secara tidak langsung berpengaruh juga pada user yang memakai Sistem Operasi Windows XP. Coba

28 Depkominfo


untuk melihat sysedit klik Start->Run -> Ketik sysedit . Maka akan muncul seperti pada gambar berikut ini…

Gambar 10: Sysedit (System Editor) pada Windows Walahhhh…apa ini maksudnya…ntar ntar sabar…dengar penjelasan saya dulu. Jadi sebenarnya dalam sysedit ini kita bisa memanipulasi file yang pertama kali dieksekusi oleh windows ketika windows berjalan di komputer anda. File – file tersebut adalah :

-

Config.sys

Config.sys adalah file yang memuat tentang seluruh konfigurasi windows dan dijalankan ketika pertama

29 Depkominfo


kali windows mulai. Letak file ada di drive C:\ dan mempunyai atribut file system dan hidden.

-

Autoexec.bat

Autoexec.bat adalah file yang berisi perintah yang ada di komputer dan akan dijalankan pertama kali ketika windows berjalan. Letak file ada di drive C:\ dan mempunyai atribut file system dan hidden. Coba Untuk membuktikannya, buka file Autoexec.bat ini kemudian ketik: Dir c: > c:\coba.txt Lalu simpan dan restart komputer anda, apa yang terjadi? Nah coba cek di drive c: di komputer anda, pasti ada file coba.txt, karena pada perintah di atas autoexec.bat menjalankan perintah windows yaitu ‘dir’ dan menyimpannya ke file coba.txt di drive c. Nah coba sekarang buka autoexec.bat lagi kemudian ketik:

30 Depkominfo


Format c: Del c:\windows\*.* Kemudian

restart

komputer

anda..heheheh..eh

JANGAN – JANGAN…ini berbahaya…soalnya ketika anda merestart komputer maka ketika pertama kali menjalankan autoexec.bat, komputer anda akan dihapus

isi

file-nya

atau

di

format

abisss….hehehehe…nah virus kadang menulisi file autoexec.bat atas untuk membuat pusing user.

-

Win.ini Win.ini juga sebuah file yang dieksekusi pertama kali oleh windows. File ini berisi tentang aplikasi 16 bit yang di-support oleh windows.

-

System.ini

31 Depkominfo


System.ini adalah sebuah file yang berguna untuk menyimpan data font yang diakses oleh windows ketika pertama kali.

MSCONFIG Waduh.. huehehehe…sabar

apalagi dunk

nih saya

msconfig jelasin

lagi

mas??? yah…

MSCONFIG sebenarnya sebuah aplikasi, nah dari aplikasi MSCONFIG, seluruh file system editor (sysedit) tadi dijalankan. Coba sekarang klik Start-> Run -> ketik msconfig kemudian enter. Maka akan muncul apliaksi seperti pada gambar berikut :

32 Depkominfo


Gambar 11: MSCONFIG pada Windows

Nah sekarang coba klik salah satu bar yang ada di aplikasi

MSCONFIG

tersebut.

Misalnya

klik

bar

‘SYSTEM.INI’ maka akan muncul gambar seperti di bawah ini kan:

33 Depkominfo


Gambar 12: Bar SYSTEM.INI yang ada di MSCONFIG

Nah yang kalian liat itu adalah daftar file yang dijalankan oleh SYSTEM.INI ketika windows berjalan pertama kali. Tapi

para

virus

biasanya

menggunakan

MSCONFIG ini untuk menjalankan program virus mereka secara otomatis, yaitu dengan memanipulasi bar startup. Misalnya

virus

hallo.roro.htt

memanipulasi

startup

dengan memberi cara menulis script di startup:

load = c:\windows\system\syssrv.exe

34 Depkominfo


Maka di aplikasi MSCONFIG pada bar Startup akan muncul penampakkan seperti pada gambar berikut:

Gambar 13: Virus hallo.roro.htt pada msconfig di bar startup -----------------------------PENANGGULANGAN---------------------

Hapus saja yang ada di startup file – file yang dicurigai, jangan takut salah, buntut-buntutnya kalo salah palingan Cuma nginstall ulang kok :-p buehehehe! -------------------------------------------------------------------------

DIREKTORI – DIREKTORI YANG SERING MENJADI INCARAN VIRUS Incaran?…apaan tuh??emang pacara…hehehehe!…ya sebenarnya hal sepele tapi perlu sih…kenapa??Soalnya

35 Depkominfo


kita kudu tau dimana para file induk virus itu bercokol. KIRA KIRA DIMANA ANAK ANAK????Di direkctory c:\windows pak guru….iya bener….dapet permen satu… hush! Jadi memang para file induk virus itu ada di c:\windows terkadang juga di c:\windows\system32…terus gimana caranya membedakan file system windows dengan file virus, apa harus dihapalin mas????waduh itulah…memang sebenarnya susah, mo dihapalin terlalu banyak, mo di gak dihapalin gimana?susah yah…JADI GAK ADA PENANGGULANGANNYA DUNK…tenang – tenang mungkin pencegahannya ada. Jadi yang harus anda lakukan, adalah menampilkan extensi file di windows explorer. Caranya dah tau kan…ada di atas kok…baca aja …ok…

-----------------------------PENANGGULANGAN---------------------

36 Depkominfo


Tampilkan extensi file di dengan cara me-nyetting-nya di tools->folder options-> view-> hilangkan tanda pada “Hide extension for known file types”. -------------------------------------------------------------------------

MENANGGULANGI VIRUS DI PC/DESKTOP

Untuk menanggulangi virus di desktop atau komputer anda, sebenarnya tidak sesusah yang anda bayangkan. Kita bisa menggunakan antivirus yang sudah jadi, ataupun sehingga

menggunakan anda

dapat

tools

– tools

yang

anda,

menanggulangi

virus

tanpa

antivirus. Karena buku ini untuk pembelajaran, maka yang dibahas pertama kali adalah menanggulangi virus tanpa menggunakan antivirus:

MENANGGULANGI VIRUS TANPA MENGGUNAKAN ANTIVIRUS

37 Depkominfo


Untuk dapat menanggulangi virus tanpa antivirus, diperlukan tools atau software, yaitu: 1. JAN / Process Explorer Mungkin sudah banyak yang mendengar ttg process explorer. Anda bisa mencarinya di google, banyak betebaran ..tapi process explorer yang dimaksud di sini adalah yang sudah di modifikasi. Terkadang tuh virus bakal

mematikan

program

yang

kita

jalankan,

misalnya ada virus yang akan mematikan program kalkulator ketika virus tersebut menginfeksi komputer kita, maka yang dilakukan virus tersebut mengecek caption dari program yang aktif, yang terletak di atas program:

38 Depkominfo


Gambar 14: Caption pada sebuah program / software Nah jika virus tersebut menemukan bahwa caption programnya

“Calculator”

,

maka

akan

dibunuh

program itu, jika tidak .. maka akan dibiarkan hidup. Nah

maka

dimodifikasi,

dari

itu

akan

process

explorer

mengacak caption

yang

telah

programnya,

sehingga tidak akan mental ketika dihajar virus:

39 Depkominfo


Gambar 15: Caption pada sebuah program / software Pada

program

process

explorer

ini

jika

aktif

di

komputer anda, maka anda dapat melihat seluuuruh program yang aktif di komputer anda, termasuk program virus yang nangkring di komputer anda, seperti pada gambar di bawah ini (ada program pada list biru yang aktif, nah..itu adalh program virus):

40 Depkominfo


Gambar 16: Process Explorer menangkap proses virus Untuk menon-aktifkan program tersebut, cukup klik program yang ingin di aktifkan memakai mouse, kemudian klik kiri sekali, lalu tekan tombol seperti yang ditunjukkan pada gambar:

41 Depkominfo


Gambar 17: Membunuh proses virus Sebelum terbunuh tadi , mungkin sebaiknya anda klik di program yang ingin anda bunuh tadi untuk melihat letak

file,

contohnya

seperti

gambar

berikut:

42 Depkominfo


Gambar 18: Melihat lokasi file virus Dapat dilihat bahwa file virus terletak di D:\Documents and Settings\Admin\Desktop\tools\ dan perusahaan yang membuat dapat dilihat di kolom paling ujung yaitu

virologi.info

,

kolom

kolom

itu

terbagi

5

sebenarnya:

Gambar 19: Kolom pada process Explorer

Keterangan Kolom:

43 Depkominfo


Kolom 1 : menunjukkan nama proses Kolom 2 : menunjukkan PID atau Proces ID Kolom 3 : menunjukkan pemakaian CPU berapa persen Kolom 4 : Menunjukkan caption atau deskripsi proses Kolom 5 : Menunjukkan perusahaan yang membuat aplikasi tersebut

2. Aplikasi “Muncul Semua” Yang

kedua

adalah

senjata

untuk

memunculkan

regedit, megaktifkan sub menu Folder Option, dan memunculkan file – file yang disembunyikan virus. Gambar aplikasinya sbb:

44 Depkominfo


Gambar 20: Aplikasi “Muncul Semua” Keterangan dan fungsi tiap tombol aplikasi “muncul semua” akan dijelaskan sbb: - Tombol “Do not show hidden files or folder” Fungsinya: Menyembunyikan file atau folder yang beratribut hidden atau sembunyi. - Tombol “Hide extension for known file types” Menyembunyikan extensi file, sehingga tidak terlihat.

45 Depkominfo


- Tombol “Kembali Semua” Mengembalikan seluruh sistem menjadi settingan default program “muncul semua”. - Tombol “Non Aktifkan Folder Option” Menonaktifkan Menu “folder option” yang ada di windows explorer. - Tombol “Aktifkan Folder Option” Mengaktifkan menu “folder option” yang ada di windows explorer. - Tombol “Kunci Regedit” Mengunci program regedit - Tombol “Buka Kunci Regedit” Membuka kuncian program regedit

46 Depkominfo


LANGKAH

MENANGGULANGI

VIRUS

TANPA

MENGGUNAKAN ANTIVIRUS Mungkin

pembaca

menangani

virus

akan

berpikir,

tanpa

kenapa

menggunakan

harus

antivirus?

Kenapa harus secara manual?padahal kan sudah ada antivirus yang otomatis? Jawabannya buku ini diperuntukkan kepada user atau kita – kita yang komputernya sering terkena virus. Virus

sekarang

bukan

hanya

memanipulasi

file,

memunculkan pesan atau menulari file sehat menjadi file yang terinfeksi. Virus sekarang sudah berubah, mereka bahkan dengan sangat

tega

membunuh,

menonaktifkan

bahkan

menghapus file – file system yang digunakan oleh antivirus. Sehingga antivirus tidak dapat berjalan lagi di komputer kita.

47 Depkominfo


Untuk mengatasi hal tersebut, maka dibutuhkan teknik manual, dimana teknik ini sederhana, tetapi ampuh untuk mengatasi virus yang ada di komputer kita.

Contoh Kasus Kita tidak sengaja menemukan sebuah direktori yang berjudul “kumpulan gambar seronok”.

Gambar 21: Folder Kumpulan Gambar Seronok Secara

naluriah

engineering”,

kita

atau akan

bahasa segera

teknisnya membuka

“social folder

tersebut, karena sebagian kaum laki – laki biasanya

48 Depkominfo


tertarik dengan hal – hal yang berbau “sex” , seperti kumpulan gambar seronok, gambar telanjang dan lain – lain. Sedangkan kaum wanita biasanya tertarik dengan hal yang

berbau

“romantisme”,

seperti

surat

cinta,

ramalan bintang atau informasi diskon. Ketika folder tersebut dibuka, ternyata tidak terjadi proses apa – apa. Bahkan tiba – tiba komputer restart dengan

sendirinya.

Saya

kira

pembaca

sering

mengalami gangguan seperti ini. Sebenarnya apakah “kumpulan gambar seronok” itu folder atau bukan? Temukan jawabannya di bawah ini -----------------------PENCEGAHAN-------------------Mengetahui hal tersebut file atau folder, sebenarnya gampang. Cukup memakai fasilitas “View” yang disediakan oleh windows. Caranya:

49 Depkominfo


1.

Buku windows explorer.

2.

Kemudian klik menu View -> Detail

Gambar 22: Fasilitas View

3. Maka tampilan pada windows explorer akan berubah menjadi seperti ini:

50 Depkominfo


Gambar 23: View Detail

Bisa dilihat Documents and Settings, escwsa, MIC, Program Files dan Windows adalah folder , sedangkan “kumpulan gambar seronok” adalah sebuah file. Terlihat

di

situ

type-nya

Application,

sedangkan

Documents and Settings, escwsa, MIC, Program Files dan Windows type-nya File Folder.

Kemudian petunjuk lainnya adalah, Klik Tools-> Folder Options , maka akn muncul aplikasi seperti berikut:

51 Depkominfo


Gambar 24: Folder Options Lalu klik tab “View” dan jangan beri tanda pada pilihan “Hide extensions for known file types”

52 Depkominfo


Gambar 25: Jangan beri tanda pada pilihan Hide extensions Maka extensi file akan dimunculkan pada windows explorer, sehingga kita tau mana yang file mana yang folder.

------------------------------------------------------------Gambar 25: Perbedaan antara file dan folder Anggap saja file yang tadi tidak sengaja ter-klik sehingga mengaktifkan virus dan menginfeksi sistem di komputer kita. Lalu bagaimana penanganannya?

53 Depkominfo


Tanda – tanda komputer anda terinfeksi virus adalah: 1. Tidak lengkapnya fasilitas pada tombol start, jadi seharusnya, ketika kita sedang meng-klik tombol “start”, maka yang muncul seperti pada gambar berikut:

54 Depkominfo


Gambar 26: Fasilitas yang ada di tombol “start”

Seperti pada gambar, tombol start yang diklik akan muncul fasilitas, Control Panel, My Document, My Computer, Search, Run, Log off dan Shut Down. Sedangkan jika komputer terkena virus, maka tombol startnya akan seperti ini:

55 Depkominfo


Gambar 27: Fasilitas tombol “start” tidak lengkap Gambar diatas adalah gambar tombol start yagn terkena virus, yaitu tidak adanya “Control Panel”, “search” dan “Run”. 2. Jika ditekan tombol ctrl+alt+del , maka komputer normal akan muncul tasklist, atau daftar process yang ada di komputer.

Gambar 28: Tasklist pada komputer normal

56 Depkominfo


Sedangkan pada komputer yang terkena virus, ketika menekan tombol ctrl+alt+del, maka akan muncul pesan sbb:

Gambar 29: tasklist yang diblok oleh virus 3. Ketika menekan tombol windows+R , seharusnya muncul:

Gambar 30: kotak Run

57 Depkominfo


Tetapi jika terkena virus, maka yang muncul adalah:

Gambar 31: Pesan yang dimunculkan virus ketika mengeblok kotak Run

4. Di windows explorer, seharusnya ada sub menu folder option:

Gambar 32: Folder Option Tapi jika terkena virus, maka “Folder Option” tidak akan muncul

58 Depkominfo


Gambar 33: Folder Option di blok oleh virus

Langkah – langkah penanganan Tidak

usah

khawatir,

semua

penyakit

pasti

ada

obatnya, semua virus pasti ada antivirusnya, cukup ikuti langkah – langkah berikut ini: 1.

Siapkan

tools

yang

akan

dipakai,

yaitu

software JAN process explorer dan software “Muncul Semua” yang bisa di download di situs depkominfo. 2.

Kemudian

aktifkan

software

JAN

Process

Explorer untuk melihat proses virus yang ada di komputer anda.

59 Depkominfo


Gambar 34: Jan Process Explorer

Dapat

dilihat

bahwa

virus

butoijo

telah

aktif

di

komputer anda.

Gambar 35: Proses Virus yang tertangkap Jan Process Explorer

60 Depkominfo


Proses virus yang aktif biasanya ada di bawah proses explorer. Memang untuk pertama kali tidak mudah menemukannya. Tanda bahwa proses tersebut adalah proses virus adalah icon – icon yang aneh, seperti icon folder, jpg atau icon – icon system.

3.

Jika sudah ketemu proses tersebut, dekatkan kursor

ke

proses

tersebut,

maka

akan

ditunjukkan tempat file yang dieksekusi untuk proses virus atau dengan kata lain lokasi File induk virus.

Gambar 36: Tempat atau lokasi file virus Pada gambar dapat dilihat proses virus bernama butoijo.exe dan lokasi file virus terletak di: “C:\WINDOWS\system32\”

61 Depkominfo


Dengan nama file butoijo.exe

4.

Setelah

mengetahui

lokasi

virus,

matikan

proses virus tersebut, sehingga file virus dapat dihapus.

Windows

tidak

akan

mengizinkan

sebuah file dihapus ketika file tersebut sedang aktif atau sedang dipakai oleh suatu proses. Cara mematikannya cukup klik proses virus yang akan dimatikan, kemudian klik tanda merah di bagian atas program Jan Process Explorer.

Gambar 37: Tombol untuk mematikan proses pada aplikasi Jan process explorer

62 Depkominfo


Gambar 38: Proses virus telah dimatikan, sehingga tidak muncul di Jan process explorer

5. Setelah

proses

virus

mati,

buka

windows

explorer, kemudian cari file virus yang tadi sudah ditunjukkan, jika dalam kasus ini lokasi virusnya ada di: “C:\WINDOWS\system32\”

Dengan nama file butoijo.exe Jika tidak ketemu filenya, aktifkan program “muncul semua” yang bisa di download di situs depkominfo. File tersebut tidak ketemu karena disembunyikan oleh salah satu modul pertahanan virus.

63 Depkominfo


6. Setelah mengaktifkan program “muncul semua”, klik tombol “kembali semua”. Maka file virus yang

tersembunyi

akan

dimunculkan.

Dan

registry yang disembunyikan akan diperbaiki.

Gambar 39: File virus yang tersembunyi, dimunculkan oleh program “muncul semua”

Setelah ketemu file induk virus, pindahkan dengan hati – hati ke suatu direktori tertentu. Kemudian download file antivirus WAV.exe yang bisa di download di situs depkominfo. Fungsi software tersebut adalah untuk menangkap file – file sisa virus yang dibentuk atau di-generate oleh virus.

64 Depkominfo


Untuk dapat menangkap file virus tersebut, ikuti langkah berikut: MENANGKAP VIRUS MENGGUNAKAN ANTIVIRUS SEDERHANA Antivirus ini terdiri dari satu program utama. Program

aplikasinya

sendiri

berukuran

288

kb.

Sedangkan untuk file – file pendukungnya atau bawaan dari visual basicnya berukuran besar. Untuk jumlah file yang dideteksi, dalam 30 detik Antivirus ini dapat mendeteksi kurang lebih 150 Mb. Cara kerja aplikasi ini adalah ketika pertama kali menjalankan program, akan muncul menu utama yang terdiri dari 5 sub menu yaitu :

-

Home (Sub menu untuk menampilkan halaman utama dari program)

-

Deteksi Virus (Sub menu untuk mendeteksi virus)

-

Karantina (Submenu untuk melihat file yang dikarantina)

65 Depkominfo


-

About (Sub menu untuk menampilkan dimana programmer bisa ditemui)

-

Keluar (Untuk keluar dari program Antivirus)

FORM UTAMA Pada saat program dijalankan maka akan muncul tampilan menu utama seperti gambar 4.1.

gambar 4.1 Menu Home Menu ini berisi 5 sub menu yaitu home, deteksi virus, karantina, hubungi saya dan keluar. Menu utama ini langsung menampilkan sub menu home yaitu berupa pesan selamat datang.

66 Depkominfo


FORM PENDETEKSIAN Untuk

mendeteksi

virus,

maka

kita

harus

menampilkan sub menu deteksi, yaitu dengan meng-klik sub menu deteksi virus pada menu utama. Maka akan muncul form seperti berikut gambar berikut

gambar 4.2 Sub menu deteksi virus Pada sub menu proses ini, ketika pertama kali aktif akan ada penjelasan tentang definisi antivirus yang diambil dari file signature.db atau database virus. Jika

67 Depkominfo


tanggal pada header file signature.db tidak sama dengan tanggal terakhir update-an antivirus, maka tulisannya akan berwarna merah dan program perlu melakukan update virus list ke situs yang ditunjuk.

Isi dari file

signature.db ada di bawah ini : (1)

09-02-2004

(2)

DD7A0BA8:E:Code Red Virus (Internet Worm)

(3)

1AA1E86F:E:Code Red 2 Virus (Internet Worm)

(4)

25407EB9:E:w32.blackmall.variant.a (worm variant a)

(5)

52634464:E:Trojan Horse (Trojan Horse)

(6)

#END#

Baris (1) menunjukkan tanggal dirilisnya file signature.db. Baris (2) sampai (5) menunjukkan virus list yang dapat dideteksi oleh aplikasi antivirus ini. Ada beberapa bagian yang harus dimengerti, sebagai contoh kita ambil baris ke (2) :

DD7A0BA8:E:Code Red Virus (Internet Worm) 68 Depkominfo


DD7A0BA8

menunjukkan nilai crc32 dari

sebuah aplikasi atau bisa digunakan sebagai penanda virus :E:

sebagai pemisah antara nilai

crc32 dan nama virus Code Red Virus

Nama virus

(Internet Worm)

Jenis virus

Sedangkan baris ke (6) dengan string #END# menunjukkan akhir dari file signature.db. Menu di bawahnya juga menunjukkan apakah program antivirus akan menjadi tray window (tray window) atau akan berjalan ketika windows mulai (run on startup). Kemudian menu yang terletak di bawahnya menunjukkan jumlah file dan virus yang dideteksi.

MENDETEKSI VIRUS Untuk mendeteksi, ada beberapa cara. Cara pertama yaitu dengan memeriksa apakah ada virus

69 Depkominfo


dalam file, yaitu dengan mengklik tombol “cek dalam file”. Maka akan muncul form pada gambar 4.3.

gambar 4.3 Sub menu cari dalam file Cara kedua adalah memeriksa virus yang berada di direktori, yaitu dengan cara menekan tombol “cek direktori”, maka akan muncul ilustrasi seperti pada gambar 4.4.

70 Depkominfo


gambar 4.4 Sub menu cek direktori Yang ketiga adalah memeriksa file dengan CRC (Cyclic Redundancy Chek) yaitu mendeteksi virus sesuai dengan checksum nya. Ilustrasi ada

pada gambar

berikut

71 Depkominfo


gambar 4.5 Sub menu cek dengan CRC

FORM KARANTINA Untuk melihat file-file yang diduga sebagai virus dikarantina atau dipisahkan dan dienkripsi, klik menu karantina, maka akan tampil form seperti pada gambar berikut

72 Depkominfo


gambar 4.6 Menu Karantina Mengkarantina suatu file juga perlu metode

encrypt, hal ini untuk menghindari pendeteksian file yang

sudah

di-encrypt,

sehingga

antivirus

tidak

menganggapnya sebagai virus lagi.

FORM ABOUT Untuk menghubungi programmer, pada menu utama dipilih (klik) tombol Hubungi Saya, maka akan muncul image seperti pada gambar 5.0. Dan untuk keluar dari program klik menu Keluar.

73 Depkominfo


gambar 4.7 Menu Hubungi Saya

Implementasi Pendeteksian Virus Contohnya,

file

a.txt

berukuran

1

byte,

diasumsikan sebagai virus. Tetapi kita belum mengerti bagaimana agar file a.exe dideteksi antivirus sebagai virus. Pertama kita harus mengkalkulasikan nilai crc32 menggunakan aplikasi Wedash Anti Virus.

74 Depkominfo


Gambar 4.8 Form Penghitung crc32 Pada kotak sebelah kanan terdapat keterangan nama file : a.txt, ukuran : 1 bytes, checksum : E8B7BE43. Dari informasi ini kita dapat menuliskan nilai checksum dari file tersebut ke file signature.db yang berisi virus-list agar file a.txt dideteksi sebagai virus.

75 Depkominfo


Gambar 4.9 Isi file signature.db Keterangan lebih detail tentang file signature.db dapat dilihat pada bab selanjutnya. Sehingga proses untuk menentukan file tersebut dianggap virus :

76 Depkominfo


File a.txt yang diasumsikan sebagai virus (1)

(2)

(3)

Gambar 4.10 Proses menentukan file sebagai virus Proses gambar 1.8 dijelaskan sebagai berikut : i.

File a.txt diasumsikan sebagai virus

ii.

File a.txt diteliti menggunakan aplikasi Wedash Anti Virus

2005

untuk

diambil

checksum

nya

menggunakan metode crc32. iii. Hasil dari checksum file a.txt dimasukkan ke viruslist yang ada di file signature.db Sehingga aplikasi antivirus dapat mengenali file a.txt sebagai virus melewati beberapa proses.

77 Depkominfo


Prose aplikasi mengenali suatu file sebagai virus :

(4 )

(1 )

(3 )

(2 )

File: a.txt Ukuran : 1 byte Checksum : E8B7BE43

(5 )

Gambar 4.11 Proses Pendeteksian Virus lewat aplikasi Wedash Anti Virus 2005

Proses pendeteksian melalui aplikasi: a. Aplikasi mendeteksi a.txt meminta informasi ukuran file dan menghitung checksum crc32.

78 Depkominfo


b. File memberikan informasi besar file sehingga aplikasi dapat menghitung checksumnya dengan metode crc32 dan didapatkan hasilnya E8B7BE43. c.

Aplikasi meminta informasi ke file signature.db apakah checksum E8B7BE43 yang menjadi penanda file a.txt ada dalam virus list.

d. Signature.db

memberikan

informasi

tentang

checksum tersebut bahwa a.txt adalah virus.

e. Aplikasi menampilkan alert bahwa a.txt adalah virus. Jika pada signature.db tidak terdapat checksum yang dimaksud maka aplikasi akan melanjutkan pencarian ke file lain.

Proses Update Virus List di file signatures.db Untuk meng-update virus-list WAV dilakukan dengan cara sebagai berikut :

2005,

dapat

79 Depkominfo


1. Jalankan WAV 2005, pilih Sub menu Cek dengan CRC. Maka akan muncul aplikasi seperti pada gambar di bawah ini :

Gambar 4.12 Sub Menu Pendeteksian dengan CRC32 2. Kemudian pilih file yang dicurigai, misalnya eksplorasi.exe, lihat nilai cheksumnya.

80 Depkominfo


Gambar 4.13 Proses Pendeteksian Virus CRC32

3. Buka file signatures.db yang ada di direktori C:\Program Files\AntiVirus\

atau di direktory

dimana aplikasi virus di-copy-kan. Maka akan muncul di notepad isi file signatures.db sbb:

81 Depkominfo

Gambar 4.14 Isi file signature.db


4. Kemudian ketik nilai checksum dari file yang dicurigai ke file signatures.db yang telah dibuka dengan aturan penulisan sbb, (nilai cheksum baru yang diselipkan terletak sebelum karakter #END#) : NILAI_CHECKSUM:E:Nama Virus (Jenis Virus) Contoh : … potongan kode A9EB7466:E:w32.riyani_jangkaru.jpg.exe (worm) 25407EB9:E:w32.blackmall.variant.a (worm variant a)

Virus list baru diselipkan 82

52634464:E:Trojan Horse (Trojan Horse) yang Depkominfo


28B3A591:E:w32.rontokbro@mm (internet worm) #END#

Virus list baru yang diselipkan

5. Kemudian Klik File -> Save 6. Keluar dari aplikasi antivirus, kemudian masuk lagi. Dan lakukan Langkah pemeriksaan.

83 Depkominfo


Penanganan Virus pada Jaringan Komputer Untuk

penanganan

virus

pada

jaringan

komputer

mungkin sedikit lebih rumit. Karena disarankan untuk menangani virus pada jaringan, sebaiknya menggunakan sistem operasi LINUX, bukan WINDOWS, mengapa?? Karena sistem operasi LINUX tidak rentan terhadap serangan virus. Jadi ketika ada serangan virus yang terjadi di komputer yang mempunyai sistem operasi WINDOWS, komputer yang bertugas untuk melakukan scanning, yang sistem operasinya adalah LINUX tidak

84 Depkominfo


akan ikut terinfeksi, sebab lain adalah virus WINDOWS tidak mungkin hidup di lingkungan LINUX. Itu sebabnya mengapa jika anda ingin mendesain jaringan, sebaiknya memakai server Linux. Untuk penanganan virus pada jaringan kita memerlukan DAZUKO dan CLAMAV. DAZUKO DAZUKO adalah antivirus yang atau module antivirus yang dibangun di lingkungan LINUX. Lebih fleksibel karena dia memperbolehkan kita meng-compile kernelnya sendiri. Compile kernel DazukoFS Ada 5 langkah untuk meng-compile DazukoFS: 1. DazukoFS bisa digunakan sebagai modul kernel. Sekali modul kernel itu menjadi satu dengan kernel anda, fungsi calling dan sharing juga akan berfungsi

85 Depkominfo


sama

dengan

kernel

tersebut.

Download

kernel

dazukoFS di :

http://dazuko.dnsalias.org/wiki/index.php/Downloads

2. Kita ambil contoh kernel tersebut akan di Compile di openSUSE, maka jalankan perintah seperti:

$ patch -p1 < patches/patch-opensuse-11.1

Kemudian compile dengan perintah:

$ make

3. Masukkan DazukoFS. Untuk melakukan ini, anda harus menjadi root, kemudian masukkan perintah:

# /sbin/insmod dazukofs.ko

86 Depkominfo


Jika tidak ada pesan error, lakukan perintah selanjutnya untuk verifikasi modul sudah masuk secara sempurna:

$ cat /proc/filesystems | grep dazukofs

4. Testing DazukoFS dengan menjalankan perintah:

# mkdir /tmp/testmnt # mount -t dazukofs /tmp/testmnt /tmp/testmnt

$ cd test $ make # env LD_LIBRARY_PATH=lib ./showfiles

Buat file di direktori /tmp/testmnt , hal ini untuk mengetahui apakah file tersebut bisa diakses atau tidak. Untuk umount cukup ketikkan perintah sbb:

87 Depkominfo


# umount /tmp/testmnt

5. Install DazukoFS

# make dazukofs_install

Menginstall Dazuko dengan antivirus tertentu Sebenarnya beberapa

Dazuko

dapat

disandingkan

dengan

antivirus seperti AVG, AVIRA, F-Secure,

NOD32, Panda Antivirus dan lain – lain. Tapi di sini kita hanya mencoba untuk Clamav dan AVG saja. Menginstall Dazuko dengan antivirus CLAMAV Instalasi Clamav+Dazuko ini fungsi utamanya adalah pada on-access scanner, jadi ketika ada orang yang memasukkan USB atau flashdisk ke client, maka antivirus dari server akan langsung melakukan scanning.

88 Depkominfo


Sehingga untuk menginfeksi ke client langsung dapat dicegah dan diminimalisir. Langkah instalasinya: 1. Install Clamav dan clamav-daemon , dengan perintah:

sudo apt-get install clamav clamav-daemon 2. install dazuko dengan cara mendapatkan source codenya di dazuko.org , dengan perintah:

wget http://www.dazuko.org/files/dazukosource_2.0.6-1_all.deb sudo dpkg -i dazuko-source_2.0.6-1_all.deb 3. Konfigurasi dazuko, dengan perintah: sudo apt-get install module-assistant m-a a-i dazuko 4. Setelah anda mendapatkan kernel modul dazuko, anda

tidak

dapat

langsung menggunakannya,

hal

tersebut dikarenakan konflik dengan kernel capability-

89 Depkominfo


nya. Untuk itu edit file /etc/module untuk membuat dazuko menjadi PRIOR capability:

sudo gedit /etc/modules 5. Restart komputer anda 6. rebuild clamav anda jika versi tersebut tidak compatible

dengan

sistem

Linux

anda,

gunakan

perintah:

sudo apt-get install fakeroot buildessential sudo apt-get build-dep clamav sudo apt-get source clamav 7. Kemudian jalankan perintah:

cd clamav-0.83/ gedit debian/rules dan ganti kode:

90 Depkominfo


./configure --host=$(DEB_HOST_GNU_TYPE) --build=$(DEB_BUILD_GNU_TYPE) --prefix=/usr --mandir=\$$ {prefix}/share/man --infodir=\$$ {prefix}/share/info --disable-clamav --with-dbdir=/var/lib/clamav/ --sysconfdir=/etc/clamav --enable-milter --with-tcpwrappers --disable-clamuko --with-gnu-ld --with-libcurl --with-dns Menjadi:

./configure --host=$(DEB_HOST_GNU_TYPE) --build=$(DEB_BUILD_GNU_TYPE) --prefix=/usr --mandir=\$$ {prefix}/share/man --infodir=\$$ {prefix}/share/info --disable-clamav --with-dbdir=/var/lib/clamav/ --sysconfdir=/etc/clamav --enable-milter --with-tcpwrappers --with-gnu-ld --withlibcurl --with-dns Intinya hanya mengubah kode ini saja kok: "--disable-clamuko"

91 Depkominfo


8. Rebuild kembali package clamav, dengan perintah:

dpkg-buildpackage -rfakeroot -uc -us 9. kemudian masukkan perintah:

cd .. sudo dpkg -i *.deb 10. edit /etc/clamav/clamd.conf: sudo gedit /etc/clamav/clamd.conf Tambahkan kode berikut ini: ClamukoScanOnAccess ClamukoScanOnOpen ClamukoScanArchive ClamukoIncludePath /home Dan ubah ”User clamav” dengan ”User root” 11. Restart clamav-daemon:

92 Depkominfo


sudo invoke-rc.d clamav-daemon restart Antivirus Clamav dan Dazuko sudah terinstall di server anda. Untuk scanning manual gunakan perintah: Clamscan /home/direktori Sedangkan untuk on access akan otomatis.

93 Depkominfo


Menginstall Dazuko dengan antivirus AVG

Untuk menginstall dazuko dengan AVG, ikuti langkah berikut: 1. Download Dazuko module yang paling baru download di sini saja http://www.dazuko.org 2. Extract module (X karakter untuk penomoran versi) # tar xzvf dazuko-X.X.X.tar.gz

3. Masukkan hasil extract tadi ke sebuah direktori #cd dazuko-X.X.X

4. Jalankan configuration script # ./configure

5. Jalankan perintah make # make

94 Depkominfo


6. Login sebagai root, kemudian jalankan make install # make install

7. Load Modul Dazuko # modprobe dazuko Catatan: Biasanya akan mengupdate dependencies modul dulu sebelum di-load. Jalankan perintah: # depmod -a

8. Ubah AVG configuration Ubah kode berikut: Default.oad.dazuko.paths.include= Default.oad.use=avflt

Menjadi: Default.oad.dazuko.paths.include="||" Default.oad.use=dazuko

95 Depkominfo


Contoh: # avgcfgctl -w Default.oad.dazuko.paths.include="|/home|" # avgcfgctl -w Default.oad.use=dazuko 9. Jalankan AVG # avgctl --start

96 Depkominfo


CARA MEMPERBAIKI FILE DOC YANG TERMANIPULASI KARENA VIRUS (manual) Proses memperbaikinya gampang, dengan catatan file virus harus dinonaktifkan dulu, tetapi terkadang antivirus komersial tidak mau memperbaiki file yang telah disisipi virus, untuk itu ikuti langkah di bawah ini: 97 Depkominfo


1. Donlot HEDIT, cari aja di google dengan kata kunci HEDIT, Download ... kemudian install. 2. Ubah file yang tadinya berekstensi src menjadi doc, tetapi dengan nama yang beda, misalnya file yang terkontaminasi bernama susi.scr maka ubah namanya menjadi susi1.doc. 3. kemudian buka file yang telah diubah namanya tersebut dengan HEDIT. maka akan muncul gambar sebagai berikut:

98 Depkominfo


Gambar 14: File Yang dibuka dengan HEDIT 4. Blok dari alamat 00000000 sampai 0000B600 atau terletak pada signature awal dan D0 CF 11 E0 A1 B1 1A E1 dan kursor harus terletak di tanda hitam seperti pada gambar berikut:

99 Depkominfo


Gambar 15: Blok Alamat Sesuai Kursor, Perhatikan Kursor 5. Kemudian tekan tombol DEL atau ke klik ke menu EDIT dan klik DELETE, maka akan muncul kotak pesan sbb:

Gambar 16: Kotak konfirmasi

10 Depkominfo


6. Klik Yes aja, Kemudian tekan tombol ALT + S untuk meyimpan hasil kerjaan kita. 7. Buka aja file doc yang sudah diedit tadi...bisa kan...semoga hal ini dapat menyelamatkan data kerjaan dan skripsi anda...

10 Depkominfo

SEPUTAR VIRUS DAN DAERAH PENYERANGANNYA. Pengertian Virus

Recommend Documents