1 Virus dan Keluarga Bahagia -nya Di saat kumat edane, CyberSufi alias Kyai Kebal Wirang terkadang beralih profesi dari seorang kyai menjadi seorang d...
Di saat kumat edane, CyberSufi alias Kyai Kebal Wirang terkadang beralih profesi dari seorang kyai menjadi seorang dukun virus. Hehehe… ☺ Tapi begitulah … untuk membuat buku ini menjadi “heboh”, terpaksa… seorang kyai beralih profesi menjadi dukun. Karena dengan menjadi seorang dukun, batasanbatasan haram halal (temasuk norma ☺) yang membelenggu seorang kyai, itu terkadang sudah menjadi samar batasannya. Oke! Itu tadi preview atau bahasa kasarnya: alasan agar narasi buku ini dapat diterima. Once upon a time…, Mbah dukun virus sedang santai. Kemudian datanglah beberapa orang bertanya (konsultasi) meminta saran dan bantuan. Dari sebagian pertanyaan-pertanyaan membosankan tersebut, secara nekat, disusunlah naskah seperti berikut ini ..☺
1. Mbah dukun … kata orang komputer saya terkena virus. Jadinya sering membuat komputer menjadi lambat dan menjengkelkan. Apa sih itu sebenarnya virus komputer? 1
Itu adalah pertanyaan yang sering dilontarkan oleh pemakai komputer. Dan jawabannya cukup banyak dan bervariasi. Definisi sederhananya: Virus komputer adalah program yang memiliki kemampuan untuk berkembang biak menulari program lain, dan menjadikan file-file yang ditularinya sebagai file infector. Sebagai file infector, file yang tercemar virus tersebut pada akhirnya akan menjalankan virus setiap kali program aslinya dijalankan. Namun, secara kasar dapat dikatakan: Virus komputer adalah suatu program yang dapat menggandakan dirinya melalui berbagai cara dalam suatu sistem komputer secara diam-diam tanpa dikehendaki dan melakukan gangguan pada sistem komputer. Jika dilihat secara lebih detail, sebenarnya ada berbagai jenis virus komputer. Bergantung dari “sudut mana” ia dipandang. Kebanyakan pemakai komputer menyebut program yang dapat membawa masalah ke dalam sistem komputer adalah virus. Tanpa membedakan, apakah ia malware, trojan, virus, worm, spyware dan lain-lain. Yang penting, bikin komputer rewel maka itu virus! (Asumsi ngawur tersebut membuka kemungkinan kita menjadi virus lho.. ☺ Jika kita sering membikin masalah dengan komputer yang kita pakai, apakah kita tidak layak untuk dimasukkan menjadi salah satu species virus? … hehehe ... .)
2. Mbah … apa yang dimaksud dengan Worm? Worm komputer adalah program mandiri yang mempunyai kemampuan untuk berkembang biak, menulari sistem komputer, dan jika menulari program atau file lain maka file yang tertular tidak menjadi file infector. Bingung dengan penjelasan ini ya? Begini, virus dan worm sama-sama memiliki kemampuan berkembang biak dan menulari sistem komputer. Yang membedakan keduanya adalah cara memanipulasi file/program lain. Worm menurut pakem standar, seharusnya tidak akan “mengganggu keaslian file lain” ia hanya akan menggandakan dirinya sendiri dan mengganggu sistem komputer. Berbeda dengan virus, dapat dipastikan mengganggu “privasi keaslian file.”
2
Karena ia berkembang biak menggandakan dirinya dengan menempel pada file. Tentu saja dengan menempel, ia akan melakukan modifikasi pada file aslinya. Itu seharusnya! Tapi pada perkembangannya, masalah ini menjadi tidak jelas. Karena pada beberapa worm akan menempelkan dirinya pada file dengan cara menindih atau menggeser file yang ada. Tapi sah-sah saja bukan? Siapa yang bisa melarang? Sama halnya, jika seorang kyai terkadang berprofesi menjadi dukun. Siapa yang bisa melarang? … hehehe ☺
3. Mbah … apa pula yang dimaksud dengan Trojan? Program Trojan adalah program mandiri yang kelihatannya berguna, namun saat dijalankan tanpa izin penggunanya, ia juga juga akan melakukan beberapa kegiatan membahayakan dan merugikan. Ada yang menyebut program trojan dengan istilah keren: RAT singkatan dari Remote Administration Tools. Alias alat untuk melakukan administrasi secara jarak jauh. (Dalam dunia “perdukunan”, ilmu ini dapat diibaratkan dengan ilmu santet .. ☺ Tidak ketauan jelas apa dan siapa penyebabnya, tahu-tahu tewas terkapar sudah korbannya!) Lalu, bagaimana sebenarnya program ini bekerja? Penjelasan singkat bagaimana Trojan bekerja adalah sebagai berikut. Program trojan akan selalu berpasangan. Satu bagian program disebut dengan Server, sedangkan bagian lainnya disebut dengan Client. Program Server dipasangkan pada komputer korban, sedangkan program server ada di komputer pemilik trojan. Hal ini harus ada karena tanpa berpasangan, trojan tidak akan pernah dapat melakukan “administrasi secara jarak jauh”. (Dalam dunia “perdukunan” … ☺ juga harus berpasangan, satu sang dukun (sebagai client-nya) yang memberi perintah, sedangkan lelembut (sebagai server-nya) yang menjalankan tugasnya.) Yang terjadi ketika korban menjalankan program server, program akan membuka beberapa port yang spesifik dan menunggu untuk koneksi via protokol TCP atau UDP. 3
Ketika pemilik trojan melakukan koneksi dengan program Client dengan alamat IP korban, maka dia dapat melakukan apa saja karena program server tersebut akan melayani, melakukan fungsi yang ada pada Trojan di komputer korban. Tentang fungsi apa saja yang tersedia, itu bervariasi antara trojan satu dengan yang lainnya. Pada umumnya, program Server Trojan akan langsung diaktifkan setiap kali Windows di-load. Hal itu dapat dilakukan dengan melakukan modifikasi win.ini atau system.ini atau Registry. Jadi, Trojan berkomunikasi seperti program client dan server standar. (Dalam dunia “perdukunan” … ☺ lelembut (sebagai server) akan menjalankan tugasnya sesuai dengan levelnya ... misalnya: level prajurit yang hanya bisa bikin linu-linu pada jempol, tentu tidak dapat membuat korban dibuat jungkir balik. Jika mau begitu, tentu saja yang dikirim adalah level panglima.) Loh … loh … mbah, ini buku komputer lho ... bukan buku klenik. Kok mbah fasih banget sih soal santet menyantet? (Ada pembaca yang protes .. ☺) Dengan dingin, mbah dukun menjawab dengan bahasa gaul: EGP! ☺ siapa suruh baca buku edan ini?) Baiklah, sekarang kita serius, cukup guyon-nya. Berikut ini beberapa jenis Trojan berdasarkan fungsinya.
3.1. Remote Access Trojan (RAT) Ini adalah Trojan yang umum ada. Jika kita memakai jenis Trojan ini, kita akan mempunyai akses ke hard drive korban. Kita bisa melakukan apa saja tergantung fasilitas yang disediakan oleh Trojan yang kita gunakan. RAT juga mempunyai fungsi lain yang menakutkan (nggegirisi – bahasa jawanya ☺) seperti: * Keylogger. Fungsi ini akan mencatat SETIAP KETUKAN keyboard yang diketikkan oleh korban. Tanpa pandang bulu, apakah yang dituliskan datadata vital semacam: rekening bank, PIN, atau sekadar surat cinta … * Upload dan fungsi download. Fungsi ini dapat membuat data-data korban diambil tanpa sepengetahuannya. Atau, jika pemakai trojan sedang jelek mood-nya, tidak menutupi kemungkinan akan memberi bonus tambahan dengan mengirimkan virus yang mematikan… ☺ * Screenshoot. Fungsi ini membuat apa yang sedang dikerjakan oleh korban dapat terlihat secara offline (dalam bentuk file gambar) maupun live (secara streaming) di komputer yang mengendalikan trojan. 4
* Dll. Tergantung pada level trojan yang dipasangkan. (Eh-em! Dalam dunia perdukunan … eh… ndak jadi ding ... nanti sampeyan malah marah ☺.)
3.2. Trojan Pengirim Passwords (Passwords Sending Trojan) Trojan jenis ini khusus bertugas mencari password yang tersimpan dalam komputer kemudian mengirimnya melalui e-mail secara rahasia kepada si empunya trojan. Dalam mengirimkan data, lazimnya menggunakan port 25 (smtp-simple mail transfer protocol) untuk mengirim e-mail.
3.3. Keylogger Meskipun Trojan ini sederhana, tapi gawat. Tugasnya adalah menyimpan ketukan keyboard pada komputer korban dan terkadang memeriksa password yang tersimpan pada log file. Tidak menutup kemungkinan juga merekam pada saat online dan saat offline. Artinya, segala aktivitas kita saat online di internet akan dicatat dan disimpan. Pada mode offline, trojan akan merekam semua aktivitas setelah Windows diload, dan menyimpannya. Pada akhirnya akan dikirimkan atau diambil oleh si empunya penaruh trojan.
3.4. Trojan Perusak (Destructive Trojan) Program Trojan jenis ini bertujuan untuk menghancurkan dan menghapus file pada komputer korban. Misalnya menghapus semua file .exe. Jika kita terkena serangannya, dapat dipastikan data-data berharga akan musnah.
3.5. FTP Trojan Trojan model ini akan membuka port 21 untuk melakukan fungsi FTP (File Transfer Protocol) di komputer korban. Sehingga membuat setiap orang yang mempunyai FTP client dapat tersambung ke komputer kita tanpa otentifikasi password. Dengan manipulasi basis FTP, tentu saja empu trojan akan dengan bebas meng-upload dan men-download file secara bebas.
5
Solusi: Lalu bagaimana dong ... menghadapi serangan maut trojan? Oh … Jawabannya akan banyak dan beragam. Serangan trojan dapat ditanggulangi dengan AntiVirus atau antispyware yang baik dan ter-update. Satu hal yang penting, pasangkan program berjenis firewall untuk menghalau akses tidak sah dari internet. Dengan adanya program-program tersebut, tentu saja trojan akan kesulitan menembus komputer.
4. Mbah duk … apakah yang dimaksud dengan Spyware? Spyware adalah program berbahaya yang dapat membajak komputer. Ia akan berusaha mencuri identitas online dan terkadang melakukan penyebaran virus. Ciri khas komputer yang terkena spyware adalah kinerjanya yang menurun secara drastis. Jadi, dapat dikatakan bahwa Spyware adalah salah satu jenis program yang menempelkan dirinya ke sistem operasi dengan berbagai cara. Ia akan mencuri sumber daya komputer. Ia didesain untuk melakukan tracking kebiasaan internet kita dan memberikan iklan yang tak dikehendaki. Spyware secara umum didesain tidak untuk melakukan perusakan sistem komputer. Biasanya ia hanya akan menjadikan komputer korbannya sebagai sarana beriklan atau menyeret browser komputer ke suatu web tertentu.
5. Mbah … bagaimana komputer bisa terkena Spyware? Spyware akan singgah karena kita izinkan tanpa kita sadari. Misalnya saat berinternet–ria, mengklik tombol saat muncul suatu pop-up window. Atau mungkin, kita menginstal paket software gratisan tertentu, atau kita menyetujui dengan penambahan fungsi pada web browser.
6
Spyware umumnya akan melakukan tipuan licik agar kita menginstalnya secara sukarela. Cara rayuannya pun bervariasi, misalnya dengan menampilkan pesan palsu sampai memalsukan fungsi tombol Cancel menjadi OK. Berikut ini beberapa trik standar Spyware.
5.1. Penginstalan Software Nakal Istilah kerennya - Piggybacked software installation. Biasanya beberapa software yang ada di peer-to-peer file-sharing clients ditengarai menginstal spyware sebagai salah satu prosedur instalasi standar. Dan ini dapat terjadi karena kesalahan kita yang tidak membaca “perjanjian instalasi“ (EULA-End User License Agreement) dengan teliti. Tahunya klik next, next dan next lalu finish! ☺ Masa bodoh dengan apa yang sedang kita instal plus risikonya. Untuk itu, saatnya meningkatkan kewaspadaan dan berperilaku lebih rasional dalam menginstal program.
5.2. Drive-by Download Saat kita berinternet, kita mengunjungi suatu web site. Ada kalanya web tersebut akan menginstal suatu aplikasi. Atau mungkin muncul suatu pop-up Windows, yang sebenarnya secara otomatis akan men-download atau menginstal spyware ke komputer. Jika Browser kita dalam setting keamanan standar, secara standar ia akan memperingatkan kita bahwa ada software yang akan diinstal dan meminta persetujuan kita. Ini jika settingan web browser kita standar. Jika tidak, kita tidak akan pernah mendapat peringatan apa pun.
5.3. Browser Add-ons Adalah software yang menambahkan kemampuan ke web browser, seperti toolbar, animasi atau search box tambahan. Memang, ia akan berfungsi dengan benar, tapi juga menyertakan elemen spyware sebagai salah satu paket perjanjian. Jadi, berhati-hatilah saat menginstal suatu program. Baca baik-baik End Of User License Agreement (EULA). Jika ternyata tidak cocok atau ragu, jangan teruskan.
7
Sayangnya, kebanyakan kita main klik next-next saja, tanpa membacanya dengan teliti. Tapi … bagaimana mau membaca dengan teliti? Wong… EULAnya kebanyakan dalam bahasa Inggris dan dalam format bahasa yang bernuansa formal hukum. Bah… Pusing! Iya kan? Hehehe … sama, saya juga sukanya begitu kok ☺ Intinya … saat akan menginstal program, jika kita ragu sebaiknya tidak usah diteruskan!
5.4. Berkedok Sebagai Anti-spyware Ini lagi siasat licik yang menyesatkan. Software yang berpura-pura sebagai program antispyware, padahal saat dijalankan program ini malahan menginstal spyware. Trik social engineering yang benar-benar memesona dan menjebak sebagian besar pemakai komputer. Maksud hati ingin lebih aman (tapi gratis ... ☺), malahan menuai masalah dengan menanamkan sendiri spyware di komputer. Kalau sudah begini siapa yang salah? Menurut saya, ya … dua-duanya. Satu pihak menipu pemakai dengan lihai, cerdik dan licik. Menawarkan jasa keamanan, tapi sebenarnya menebarkan spyware. Sedangkan pihak yang lain ingin aman namun sembarangan saja menginstal progam. Ingat! Tidak semua “materi” atau barang di internet itu baik dan benar. Banyak yang bermasalah dan sengaja menebarkan masalah … hehehe ☺
Solusi: Lalu bagaimana meminimalkan risiko ini? Jawabnya sederhana saja. Saat kita akan menginstal suatu program, jangan langsung menginstalnya. Namun, mencari dahulu data-data kebenaran akan program yang akan dipasang via search engine semacam Google. Ketikkan nama file yang akan diinstal ke mesin pencari Google. Maka dalam sekejap, biasanya, informasi yang berhubungan dengan program tersebut akan muncul. Baca dan teliti baik-baik, apa saja yang “diomongkan” oleh data-data temuan kita. Jika data-data temuan cenderung baik dan benar, proses instalasi program baru boleh dijalankan.
8
6. Mbah dukun … apakah yang dimaksud dengan Malware? Malware adalah istilah untuk setiap program yang melakukan perubahan atau kegiatan berbahaya tanpa izin kita. Seperti: Adware – program yang mengirimkan iklan tak diundang. Stealware – program spyware didesain untuk menangkap klik atau Web-site referral credits Browser hijacker – program yang ditanamkan di browser yang pada akhirnya mengambil alih kendali browser sesuai dengan tujuan program tersebut.
7. Jika sekadar program komputer, mengapa virus dianggap berbahaya bagi pemakai komputer? Memang, Virus itu tidak membahayakan secara langsung bagi pemakai komputer. Ia tidak akan berjalan-jalan di udara bebas, dan merasuk ke dalam sistem pernafasan kita. Tapi, ia dapat menyebabkan munculnya penyakit darah tinggi, jantungan, dan ketidakstabilan emosi. Hehehe …☺ Ilustrasinya adalah: anggap saja kita sudah berhari-hari bekerja dengan komputer membuat data-data fatal perusahaan atau bisnis kita, sehingga kita memperoleh uang untuk menunjang kehidupan. Eeeeh… pas sudah mau kelar, tiba-tiba datadata tersebut hilang begitu saja. Atau menjadi rusak tidak terbaca. Akibatnya? Jelas sekali materi yang seharusnya kita dapat akan melayang sia-sia. Kalau sudah begini, bagaimana tidak membuat tensi kita naik dan bisa fatal akibatnya bagi yang berpenyakit darah tinggi. Bisa-bisa pecah itu termometer mengukur tingginya tekanan darah … hehehe.. Apalagi buat yang jantungan, saking gusarnya tidak menutup jantungnya berdetak abnormal bahkan bisa game over… ☺ Beberapa jawaban yang dapat dipakai untuk menjelaskan mengapa Virus komputer berbahaya sebagai berikut. 9
Pada umumnya virus (sejati) berkembang biak dengan cara menempelkan diri pada file atau memperbanyak dirinya sehingga dapat merusak sistem komputer. Juga tidak menutup kemungkinan ia akan merusak program atau file yang ditularinya. Jadi, jelas akan membahayakan kehidupan sistem komputer. Program virus dibuat tidak hanya sekadar menggandakan dirinya, namun mengandung beberapa tujuan yang cenderung bersifat negatif alias merusak. Seperti: sabotase data, mengincar data-data kritis sistem, mengacak-acak data, menghapus data, mencuri data, pamer diri, dan lain-lain. Saat virus aktif menyerang, pasti membutuhkan kapling memory pada sistem komputer, memerlukan tempat khusus pada disk, menghambat kecepatan network dan menurunkan kinerja komputer. Itu beberapa contoh kerugian dan bahaya yang terkandung dalam program virus. Jika diuraikan lebih banyak, tentu akan menghabiskan berlembar-lembar halaman buku ini.
8. Mbah … bagaimana virus menyebar? Ini adalah pertanyaan klasik yang umum dilontarkan oleh pemakai komputer pemula. (Sampai bosan saya menjelaskannya …☺. Tapi apa boleh buat, saya akan menyinggungnya lagi, lagi dan … lagi! Pelbagai macam cara dilakukan virus dalam menyebarkan dirinya. Di antaranya melalui:
1. Perangkat Lunak Bajakan Pada perangkat lunak bajakan, tidak menutup kemungkinan bahwa file program asli telah diubah. Misalnya diinjeksi atau diinfeksi dengan serangkaian kode program yang berbahaya. Untuk itu disarankan untuk selalu memakai program asli.
10
2. Situs www di Internet Banyak situs di internet yang secara sengaja memasangkan program-program berbasis Java yang sifatnya nakal sehingga tidak menutup kemungkinan didownload-nya program virus ke komputer pemakai.
3. File-File Network dan Lingkungan Network Dalam lingkungan kerja, jaringan kita tentu dapat berbagi dan mengakses file milik teman. Jika kebetulan teman Anda iseng memasangkan file virus, ada kemungkinan akan Anda ambil dan jalankan.
4. Download File Titik satu ini merupakan titik rawan penyebaran virus. Oleh karena itu, jangan asal main download dari internet ya? Kita harus yakin dengan file yang kita unduh dari internet, sebelum kita benar-benar ingin menjalankannya. Siapa tahu file tersebut bermasalah mengandung virus.
5. File Tambahan pada Email File tambahan yang disertakan pada email (attachment) juga dapat dicurigai sebagai titik berkembangbiaknya virus. Jadi, hati-hati saat menerima file tambahan pada email dari orang yang tidak kita kenal dengan baik. Bahkan dari orang yang kita kenal dengan baik pun, kita harus tetap waspada. Mengapa? Karena ada virus yang kadang meminjam nama teman kita untuk mengelabui kita.
6. Pertukaran Disk Pertukaran disk antarteman. Pinjam meminjam CD atau flashdisk juga amat berpotensi mendukung merebaknya virus komputer.
7. Lab Komputer/WARNET Oleh karena pemakainya begitu banyak dan beragam keinginan dan kemampuannya maka lokasi ini merupakan lahan subur bagi berkembangbiaknya virus.
11
Coba lihat buku “Cara Ampuh Melawan Virus”, (promosi lagi.. ☺) saya sudah menjelaskannya secara panjang lebar. Pada kesempatan ini, saya tidak akan mengulanginya lagi.
9. Mbah … saya sering mendengar istilah Virus boot sector. Apakah ia merupakan salah satu keluarga virus? Ya, benar! Jenis tersebut adalah salah satu varian dari jenis virus. Virus Boot Sector ini, pada saat ini sudah hampir punah keberadaannya. Ini seiring dengan perkembangan teknologi simpan data dan operasional komputer. Pada saat zaman dulu, komputer masih mengandalkan disket dalam menyimpan data, maka virus ini begitu menjamur, karena Virus ini memakai bagian disk yang benama Boot sector atau boot record dalam bekerja. Oleh karena dalam melakukan infeksi dan penggandaan diri via bantuan Boot record, maka ia beken dikenal dengan nama Virus boot sector. Sekadar info, Boot Record pada suatu disk akan berisi informasi tentang: OEM dan versinya, Kapasitas disk, Jumlah byte per sector, Jumlah sector per cluster, Jumlah FAT, Jumlah maksimum file pada root directory, dan lain-lain. Cara kerja Virus Boot Sector secara ringkas adalah sebagai berikut: * Boot Record Asli digantikan dengan Boot Record Virus. Sehingga saat disk digunakan untuk booting, boot record virus akan dijalankan, baru kemudian Virus Boot Record Virus membelokkan proses menuju Boot record asli. * Dan melakukan manipulasi rutin Pembelok Interupsi yang pada akhirnya membuat Rutin Virus Resident dijalankan. Jika perintah interupsi sistem operasi dijalankan, interupsi yang telah dimanipulasi virus yang dijalankan. Nah! Pusing kan? Makanya, jangan tanya yang kurang perlu … ☺
12
10. Saya sering mendengar istilah Virus File. Apakah ia merupakan salah satu keluarga virus? Ya! Virus file merupakan salah satu dari keluarga bahagia virus.. ☺ Disebut dengan Virus file karena dalam bekerja memanfaatkan file data/program. Jika dilihat lebih mendalam, dapat dikelompokkan sebagai berikut.
1. Virus File Overwrite Virus ini akan menempelkan (menindih) seluruh bagian programnya di awal file. Sehingga bagian asli file akan hilang digantikan dengan program virus. Cara kerja Virus file Overwrite sederhana, yaitu seluruh program virus di-copy-kan ke awal file yang diinfeksi. Selesai! Urusan yang ditempeli rusak ataukah tidak, tidak menjadi bagian yang diperhatikan oleh Virus. Untuk lebih gilanya .. ☺ kita lihat bagaimana ia bekerja.
Gambar 1.1 Skema kerja virus overwrite
Melengkapi pembahasan, berikut ini gambaran kerja Virus overwrite secara global.
13
Suatu Virus overwrite, saat diaktifkan akan menimpa program aplikasi yang ditularinya dengan mengopikan program. Akibatnya program menjadi rusak. Metode ini sudah lama ditinggalkan para pembuat virus. Karena membuat virus tidak bebas berkembang biak dan akan segera ketahuan oleh pemakai. Karena dengan cara virus merusak program, akan memancing kecurigaan pemakai.
2. Virus File Non Overwrite Virus jenis ini menempel pada file namun tidak akan merusak file program yang diserangnya. Prinsip kerjanya mirip dengan virus overwrite hanya saja ia tidak akan menindih file asli, tapi menempelkan dirinya di awal file dan menggeser kedudukan file asli. Sehingga ukuran file asli akan berubah. Pada beberapa Virus, teknik menempel ini tidak akan selalu di awal program/ data yang diinfeksinya. Yaitu menempel pada file namun tidak akan merusak file program yang diserangnya. Prinsip kerjanya mirip dengan virus overwrite hanya ditambahi rutin peloncat agar data file tidak rusak.
Gambar 1.2 Skema kerja virus non-overwrite
Anggap saja, saat virus beraksi, menemukan file yang cocok dengan kriterianya. Maka bagian utama Virus akan diletakkan (tidak menindih data file asli) di awal program yang ditulari. Lalu virus pergi ke akhir file penggabungan file virus dan memasangkan suatu penanda bahwa virus sudah aktif.
14
Dengan metode yang lumayan susah ini, virus akan aktif dan program yang diinfeksi dapat bekerja secara normal. Saat aktif, virus akan mencari tanda pengenal. Jika ditemui maka file tersebut tidak dinfeksi, karena dianggap sudah terinfeksi. Saat aplikasi korban dijalankan, yang pertama kali aktif adalah program virus. Setelah melakukan manipulasi maka proses akan ditahan dan kendali virus akan meloncat menjalankan file asli program. Saat file asli selesai dijalankan maka proses kembali akan dihandel oleh virus.
Gambar 1.3 Skema kerja virus non-overwrite
Cara lain virus non-overwrite adalah dengan memodifikasi data header file EXE. Virus akan memanipulasi data-data header win32/PE pada file korban. Dan menambahkan data jenis DLL di bagian akhir program. Saat program terinfeksi dijalankan, ia akan membaca data virus dan berdasarkan data modifikasi pada header, ia akan mengambil data DLL yang telah dipasangkan. Dan menginjeksi proses memory dengan data DLL (umumnya akan menginfeksi semua thread proses yang ada). Dengan demikian, virus akan semakin sulit untuk dikalahkan. Karena ia akan menginjeksi seluruh (atau sebagian) thread proses memory dengan data program, dengan demikian akan terjadi lingkaran setan yang tak kunjung selesai. Apakah hanya teknik model begini saja yang akan dipakai oleh virus? Jawabnya: tentu saja tidak. Loh, embah kok tau? Saya tidak tahu kok … hanya
15
memperkirakan saja. Yang saya tulis adalah hanya sebatas yang saya tahu saja. Namun, seiring dengan perkembangan waktu, tentu saja akan bermunculan caracara yang lain. Bagian ini sekadar contoh saja. 1001 kemungkinan bisa saja terjadi!
3. Virus File New File (WORM) Virus yang dalam menggandakan dirinya tidak menempel pada file, tapi membuat copy programnya sendiri dengan kriteria tertentu. Jenis ketiga ini sebetulnya tidak murni Virus! Karena ia tidak menempel dan tidak menginfeksi program. Kalaupun ia menempel, dapat dipastikan tidak akan dapat bekerja sebagaimana mestinya. Sehingga file yang diinfeksi (kalau ada) tidak dapat menjadi file infector (file virus yang mempunyai kemampuan menulari file lainnya). Jenis ini, bagi mereka yang “tenggelam” dalam dunia komputer, lebih dikenal dengan sebutan WORM. Varian model ini yang saat ini banyak berkembang di tanah air kita. Dan kebanyakan orang menyebutnya dengan sebutan virus juga. Cara kerja Virus file New file: •
Virus me-load manipulasi awal.
•
Melacak file sesuai kriteria dan membuat copy-an dirinya tanpa menempel di suatu file.
•
Menyebarkan ke jaringan.
•
Menghilangkan pertahanan sistem.
•
Melakukan manipulasi tertentu.
Model beginilah yang saat ini digandrungi oleh VX di tanah air kita ini. Mungkin karena simpel dan tidak membutuhkan pengetahuan pemrograman yang rumit. ☺ Jadi … ya….. begitulah! Booming deh… model seperti ini.
16
11. Mbah dukun, saya sering mendengar istilah Virus Macro. Apakah ia merupakan salah satu keluarga virus? Ya. Ia adalah salah satu jenis virus yang menyerang aplikasi Office milik Microsoft dan ngendon menjadi satu dalam file berbasis office. Virus ini bekerja menggunakan jasa pemrograman VBA yang tertanam pada program Office. Program VBA ini dikenal dengan sebutan Macro. Oleh karena itu, virus jenis ini dikenal dengan sebutan Virus Macro. Ada berbagai teknik infeksi virus macro, di antaranya adalah: •
Teknik 1: Infeksi DOT (normal template)
•
Teknik 2: Infeksi This Document
•
Teknik 3: Infeksi Impor Ekspor
Kita akan melihat secara ringkas beberapa teknik tersebut.
Teknik 1: Infeksi DOT (normal template) •
Mengekspor data filenya ke suatu tempat khusus dengan nama khusus.
•
Melakukan infeksi normal template dengan cara mengimpor file khusus tersebut.
•
Normal template dimodifikasi dan disimpan dengan file jenis dot ke folder Startup Office.
•
Saat Word dijalankan, ia akan menjalankan file dot tersebut.
17
Gambar 1.4 Cara MS-Word membuka file
Dalam membuka suatu file, MS-Word akan melakukan proses seperti yang terlihat pada gambar. MS-Word aktif akan memeriksa folder startup dan membaca normal template. Word juga akan memeriksa keberadaan program macro. Jika tidak ditemui maka akan langsung dibuka. Sebaliknya, jika ditemui ada program macro, maka Word akan membaca This Documents dan me-load modul object yang berisi macro. Baru kemudian file dibuka.
Gambar 1.5 Cara kerja infeksi file dot
18
Namun, dengan cerdik virus akan membelokkan alur saat proses sampai tahapan membaca This Documents. Virus akan mengambil file teks virus dan meneruskannya ke normal template dan folder startup. Baru kemudian proses akan berjalan sesuai prosedur standar pengaktifan suatu file DOC.
Teknik 2: Infeksi This Document Dengan teknik ini, Virus akan dibuat di objek This Document. Caranya: •
Saat virus aktif, ia akan meng-copy-kan file programnya ke suatu file khusus di tempat khusus.
•
Saat melakukan penginfeksian, file tersebut dibaca untuk proses infeksi file yang ada.
Saya tidak akan berpanjang lebar, silakan simpulkan sendiri dari gambar proses. (Kalau bisa tentu saja … ☺)
Gambar 1.6 Cara kerja infeksi This Documents
Dari proses terlihat bahwa untuk menginfeksi This Documents, virus tidak akan melalui jalur folder startup. 19
Teknik 3: Infeksi Impor Ekspor Dengan teknik ini, virus akan disimpan di modul objek. •
Teknik ketiga ini mirip dengan teknik pertama. Hanya saja ia tidak akan membuat file dot. Ia akan memanfaatkan file normal template dalam melakukan infeksi.
•
Saat aktif, virus akan mengekspor data filenya ke suatu tempat khusus.
•
Lalu melakukan infeksi normal template dengan cara mengimpor file khusus tersebut ke normal template.
•
Normal template dimodifikasi dan di-save.
•
Saat Word dijalankan, normal template berisi virus dijalankan.
Perhatikan skema alur proses infeksi. Dari gambar tersebut silakan buat kesimpulan sendiri. Oke?
Gambar 1.7 Cara kerja infeksi impor ekspor modul
Walaah… cukup ah.. ngomongin virus macro. Nanti membosankan dan Anda males mengikuti bahasan pada buku ini. Maksudnya sekadar tahu saja kok. Lagipula, cukup sulit sekarang, bagi virus macro menembus WORD. Karena 20
secara “membabi buta dan menggila” Microsoft telah memfilter pengaktifan macro. Dan itu benar-benar membuat virus macro menjadi mati kutu. (Untunglah embah sudah lama mengundurkan diri dari dunia persilatan virus macro nak .. heheh ☺ jadi tidak terlalu pusing…)
12. Bagaimana ciri-ciri komputer terkena virus? Ini juga merupakan pertanyaan klasik yang menjengkelkan tentang virus. Puluhan kali diterangkan, masih saja ada yang bertanya… ☺ capek deh! Saya akan bahas secara singkat saja ya? Ada beberapa ciri yang dapat dipakai sebagai pegangan kasar, apakah komputer mengalami gangguan virus. Ataukah tidak. Ciri-cirinya sebagai berikut.
1. Sistem Melambat Jika sistem komputer kita tiba-tiba melambat (tidak seperti biasanya) secara ekstrem, kita wajib berhati-hati! Bisa jadi komputer kita terkena serangan virus. Proses awalnya biasanya ditandai dengan melambatnya kinerja komputer. Jadi, jika suatu saat kita bekerja dengan suatu program dan program tersebut berperilaku tidak seperti biasanya, misalnya proses menjadi amat lambat, kita boleh curiga, mungkin komputer terkena virus. Jika kita bekerja dengan jaringan (network), akses network menjadi sedemikian lambatnya, tidak seperti biasanya, ini juga wajib kita waspadai.
2. Keluar Pesan Aneh Saat kita bekerja dengan komputer, tiba-tiba muncul pesan aneh yang biasanya tidak pernah muncul. Ini jelas sekali, pertanda bahwa komputer kita mungkin terkena virus. Contoh pesan-pesan aneh ini beraneka ragamnya. Misalnya muncul pesan tertentu dengan bahasa enggak karuan.
21
3. Keluar Kejadian Aneh Kejadian aneh di sini misalnya, saat kita membuka program-program pengatur sistem Windows, seperti msconfig, Task Manager, regedit, tiba-tiba komputer menjadi macet atau malahan melakukan booting ulang. Padahal sebelumnya tidak pernah terjadi keanehan seperti itu. Atau tampilan desktop tiba-tiba menjadi kacau (misalnya menu Start hilang, Taskbar hilang) atau berubah dengan sendirinya.
4. Muncul File-File Baru Tiba-tiba kita menemukan file-file baru yang tidak pernah ada sebelumnya muncul pada disk. Apakah file itu dalam bentuk execute ataupun teks biasa. Juga dengan nama sembarang ekstension. Misalnya doc, txt, scr, exe, dll, jpg, dan sebagainya. File-file baru yang bermunculan ini, biasanya cukup banyak jumlahnya. Juga, file-file baru tersebut dalam ukuran yang sama.
5. Setting Program Berubah Settingan program berubah dengan sendirnya. Misalnya, Windows Explorer tiba-tiba kehilangan satu atau dua pilihannya. Misalnya pilihan Folder options hilang. Pilihan pada menu Start ada yang hilang. Meskipun tanda-tanda ini tidak akurat, namun itu adalah beberapa tanda, yang mungkin dapat dipakai sebagai langkah awal deteksi kehadiran virus pada sistem komputer.
13. Mbah duk, apakah file Desktop.ini itu virus? Tidak! File itu adalah salah satu file settingan Windows yang berguna untuk mengatur tampilan desktop/folder. Contoh tampilan dari salah satu desktop.ini adalah seperti terlihat pada gambar. File ini saya ambil dari file yang berada di folder My Pictures. Untuk dapat melihat file desktop.ini Anda harus mengubah pengaturan tampilan data pada Windows Explorer di bagian Folder options. Kita akan membahas masalah ini nanti secara lebih detail. 22
Gambar 1.8 Desktop.ini dilihat dengan Notepad
Celakanya, Virus terkadang memanfaatkan file desktop.ini dan dibantu dengan file yang bernama folder.htt. Kedua file ini biasanya digunakan oleh Windows untuk mengatur tampilan suatu folder. Dengan melakukan eksploitasi terhadap file-file ini, file virus otomatis akan dieksekusi begitu media disk yang telah terinfeksi dibuka, dengan cara di-browse dengan Windows Explorer. Beberapa virus akan melakukan penyebaran dirinya via kerja sama dua file ini. Tekniknya lebih kurang sebagai berikut. File desktop.ini akan diletakkan di root directory. Dan kondisi atribut filenya biasanya adalah readonly (hanya bisa dibaca) dan hidden (tersembunyi). Jika isi desktop.ini kita buka, akan terlihat lebih kurang sebagai berikut. Contoh isi file Desktop.ini dimanipulasi virus adalah sebagai berikut. [.ShellClassInfo] ConfirmFileOp = 0 [{5984FFE0-28D4-11CF-AE66-08002B2E1262}] PersistMoniker=file://VIRUS\Folder.htt [ExtShellFolderViews] {5984FFE0-28D4-11CF-AE66-08002B2E1262}={5984FFE0-28D4-11CFAE66-08002B2E1262}
Dari listing skrip di atas, terlihat bahwa virus akan mencari data file folder.htt, di folder yang benama VIRUS. Kemudian, virus akan membuat folder yang bernama VIRUS dan di dalamnya akan diisi dengan file yang bernama folder.htt. 23
14. Mbah … apakah folder.htt itu virus? Jawabnya adalah: Tidak! Pada kenyataannya, Folder.htt adalah salah satu file settingan Windows yang berguna menangani settingan suatu folder. Namun, file ini sering disalahgunakan oleh virus untuk mengaktifkan dirinya. Sebagai contoh, kita lihat isi folder.htt yang telah dimanipulasi oleh virus, lebih kurang sebagai berikut. <meta http-equiv='content-type' content='text/html; charset=Windows-1252'> <script> objectstr='' objectstr+=''; document.writeln(objectstr); document.close();
Dari contoh data di atas, dapat kita lihat, jika suatu folder di-browse dengan Windows Explorer maka file yang bernama VIRUS.EXE akan dijalankan. File VIRUS.EXE ini adalah contoh file virus atau worm. (Lihat bagian tercetak tebal.) Biasanya dalam folder, di mana folder.htt berada akan dibuat hidden (tersembunyi) dan system (sistem) oleh para pembuat Virus. Selain itu, biasanya dalam folder akan ditambahi “perangkat perang tambahan”…☺ seperti file-file 24
penjalan script vbscript (wscript.exe dan csscrip.exe), atau JView. Dan tidak lupa … file mesin VB (MSVBVM60.DLL). Oh iya… embah hampir lupa.. untuk melengkapi kekejaman yang dilakukan. .. ☺ Selain kerja sama dua file tersebut (desktop.ini dan folder.htt), virus akan membuat suatu file yang bernama autorun.inf. Fungsi file ini adalah agar virus dapat langsung aktif saat kita mengakses suatu drive. Jadi, semacam jebakan pengaktifan yang berlapis. Begitu lebih kurang maksudnya. Jika file autorun.inf gagal menjalankan misinya, desktop.ini akan meneruskan misi tersebut memanggil file virus yang ada dengan bantuan folder.htt.
15. Mbah, apakah file thumbs.db itu virus? Tidak! File ini adalah file pembantu Windows dalam menampilkan suatu folder dalam bentuk thumbnail. Saat kita memakai Windows Explorer dan melihat file gambar dalam modus thumbnail, file-file gambar akan ditampilkan secara mini. Sehingga kita dapat dengan mudah mengidentifikasi file gambar yang dibutuhkan. Secara default, file ini dalam atribut (status) hidden, alias tesembunyi. Jadi, tidak akan terlihat begitu saja, sampai kita mengubah settingan Folder Options untuk melihat file-file tersembunyi. File thumbs.db akan menyimpan hasil view mini tersebut ke dalam filenya. Sehingga saat dibutuhkan preview suatu folder maka dapat ditampilkan secara cepat.
Gambar 1.9 File thumbs.db milik Windows
25
Memang amat membantu file thumbs.db ini, tapi juga mengandung bahaya. Yaitu: INVASI PRIVASI. Kok bisa? Bisa saja! Jika file thumbs.db ini diambil maka dapat dilihat dengan suatu program khusus untuk melihat isinya, biarpun ia tidak berada pada folder aslinya. Sayangnya, embah lupa file programnya apa. Coba cari sendiri via embah Google di internet ya? Dengan program bantu tersebut akan terlihat semua gambar kita yang ada diminimalkan dan disimpan dalam file tersebut. Kalau ternyata isinya file gambar tersebut adalah foto selingkuhan, tentu akan bikin runyam. Hehehe…. Makanya hati-hati lho jika punya pacar hacker… ☺ Perlu dicatat, memang ada virus yang memakai nama tersebut, dengan menghilangkan huruf s pada nama filenya. Jadi, tidak THUMBS.DB tetapi THUMB.DB. Kalau tidak salah, virus yang melakukannya bernama Yuyun. Virus ini adalah jenis virus skrip. Dengan nama yang sedikit diplesetkan tersebut, tentu saja akan membuat pemakai komputer yang kurang berhati-hati akan terkecoh. Benar-benar cerdik!
16. Mbah, apakah yang dimaksud dengan atribut read only file? Saat suatu file dilahirkan, ia akan dianugerahi dengan 4 sifat. Sifat di sini dalam bahasa komputer dikenal dengan istilah attribute. Dan kita terbiasa menyebutnya dengan atribut. Salah satu atribut yang dimilikinya adalah readonly. Dengan atribut ini, file tidak akan dapat dihapus secara langsung dan standar. Atribut yang dimiliki oleh suatu file dapat dihidupkan dan dimatikan. Atribut ini umumnya akan dimanfaatkan virus agar filenya tidak gampang dihapus. Keempat atribut yang lazim ada adalah ReadOnly, Hidden, System dan Archieve. Untuk dapat melihat atribut suatu file via Windows Explorer (GUI), lakukan klik kanan pada suatu file yang diinginkan. Lalu klik Properties.
26
17. Mbah, apakah yang dimaksud dengan atribut hidden file? Saat suatu file dibentuk, ia akan mempunyai 4 sifat (atribut). Atribut yang dimiliki oleh suatu file dapat dihidupkan dan dimatikan. Salah satu atribut yang dimilikinya adalah Hidden. Dengan atribut ini, file akan tersembunyi. Jadi, tidak akan dapat dilihat secara standar, sampai kita mengubah settingan Windows Explorer. Atribut ini umumnya akan dimanfaatkan virus dalam menyembunyikan filenya.
18. Mbah dukun, apakah yang dimaksud dengan atribut system file? Saat suatu file dibentuk, ia akan mempunyai 4 sifat (atribut). Atribut yang dimiliki oleh suatu file dapat dihidupkan dan dimatikan. Salah satu atribut yang dimilikinya adalah system. Ada yang menyebutnya dengan atribut Super Hidden. Dengan atribut ini, file akan bersifat sistem dan tersembunyi. Jadi, tidak akan dapat dilihat secara standar, sampai kita mengubah settingan Windows Explorer. Atribut ini umumnya akan dimanfaatkan virus dalam menyembunyikan dirinya.
19. Mbah … saya ingin mengubah file beratribut system. Mengapa pilihan system tidak dapat diaktifkan via properties? Secara default, jika kita memakai Windows Explorer dan melihat properties suatu file, maka pilihan system tidak akan dapat diubah. Ditandai dengan pilihan 27
menjadi Grey. Alias tidak dapat diotak-atik. Untuk dapat mengubahnya, harus dilakukan via command prompt/shell. Atau dengan suatu perintah pemrograman. Atau mungkin dengan bantuan program pihak ketiga.
20. Mbah dukun … bagaimana melihat atribut file dengan Windows Explorer? Empat atribut yang lazim ada adalah: ReadOnly, Hidden, System dan Archieve. Untuk dapat melihat atribut suatu file via Windows Explorer (GUI), lakukan klik kanan pada suatu file yang diinginkan. Lalu klik properties. Anggap saja kita akan melihat properties dari file 1.doc. Klik kanan pada nama file tersebut. Saat menu konteks muncul, pilih Properties.
Gambar 1.10 Klik kanan dan pilih Properties
Suatu jendela info akan muncul berisi keterangan tentang file tersebut. Pada tab General, perhatikan pada kelompok Attributes. Pada contoh ini, terlihat dua pilihan atribut saja: Read only dan Hidden. 28
Gambar 1.11 Melihat atribut
Pada kasus ini terlihat bahwa pilihan tersebut tidak dicentang. Ini menandakan bahwa file dalam kondisi dapat dihapus dan tidak hanya dapat dibaca (Readonly) dan tidak tersembunyi (Hidden). Jika file beratribut hidden dan readonly, tampilannya sebagai berikut.
Gambar 1.12 Atribut hidden dan readonly aktif
Untuk menghilangkan sifat atribut tersebut, cukup klik pada checkbox untuk menghilangkan tanda centang. Jika file beratribut readonly, tampilannya sebagai berikut.
Gambar 1.13 Atribut readonly aktif
29
Jika file beratribut archieve, hidden, system dan readonly, tampilannya sebagai berikut.
Gambar 1.14 Atribut hidden, system dan readonly aktif
Untuk menghilangkan sifat atibut System maka tidak dapat dilakukan via Windows Explorer. Ini adalah kelemahan pengubahan atribut via GUI. Karena pilihan Hidden akan menjadi grey alias tidak dapat diganti. Untuk dapat mengubahnya, kita harus memakai suatu program khusus atau melakukannya via command prompt.
21. Mbah … lalu bagaimana caranya melihat atribut file dengan command prompt? Kita dapat melihat properties file dengan bantuan command prompt. Klik Start dan pada kotak Run, ketik command atau cmd.
Gambar 1.15 Memanggil cmd
Lalu tekan Enter. Tindakan ini akan menyebabkan munculnya jendela command prompt. 30
Gambar 1.16 Command prompt siap tempur
Untuk melihat atribut suatu file, kita dapat memakai jasa perintah Attrib. Anggap kita akan melihat isi folder C:\TEST berikut atributnya. Maka perintahnya: cd c:\test attrib
(tekan enter) (tekan enter)
Gambar 1.17 Kondisi dilihat attrib
Dari gambar terlihat bahwa folder c:\test berisi 5 file. Ada.txt dengan atribut archieve diwakili dengan huruf A di depan nama filenya. Coba.txt dengan atribut Archieve, Hidden dan Readonly. Diwakili dengan huruf AHR di depan nama filenya. 31
EN.exe dengan atribut Archieve dan Readonly diwakili dengan huruf AR di depan nama filenya. help.txt dengan atribut Archieve, System, Hidden dan Readonly diwakili dengan huruf ASHR di depan nama filenya. Sedangkan untuk file xx.zip tidak ada atribut yang diset sama sekali.
Untuk menghilangkan atribut tersebut dari file dilakukan dengan perintah ATTRIB dengan penambahan karakter – (minus) diikuti dengan kode atribut yang akan di-oprek.
Attrib
-R
c:\test\coba.txt.
Untuk memasangkan atribut tersebut dari file dilakukan dengan perintah ATTRIB dengan penambahan karakter + (plus) diikuti dengan kode atribut yang akan di-oprek.
Attrib
+R
c:\test\coba.txt.
Untuk menghilangkan atribut Hidden, system, dan readonly pada seluruh file yang ada pada folder test, dilakukan dengan perintah ATTRIB dengan penambahan karakter - (minus) diikuti dengan kode atribut yang akan di-oprek.
Attrib
32
-R
-H -S
c:\test\coba.txt.
Gambar 1.18 Pemakaian attrib
Dengan cara ini, seluruh data yang ada akan dinormalkan atributnya. Lihat gambar. Perintah ini akan amat berguna untuk menampilkan seluruh data yang dimanipulasi oleh virus. Yang umumnya akan membuat ketiga atribut (RHS) aktif sehingga membuat file yang ada seolah-olah terlihat hilang. Untuk dapat menormalkan seluruh file yang ada dapat dilakukan dengan bantuan wildcard : *.*. Contoh:
Attrib
-R
-H -S
c:\test\*.*
Untuk ikut menormalkan folder yang berada di bawahnya, dapat ditambahkan switch (parameter) /S. Contoh: Attrib
-R
-H -S
c:\test\*.* /S
Untuk menormalkan folder yang berada di bawahnya dapat ditambahkan switch (parameter) /D berikut atribut foldernya.
33
Contoh: Attrib
-R
-H -S
c:\test\*.* /S
/D
Dengan cara ini, folder yang tersembunyi pun akan ditampilkan lagi.
22. Mbah … apakah itu folder Options? Folder Options adalah satu fitur/pilihan pada Windows yang digunakan untuk mengatur settingan Windows dalam menampilkan suatu data. Pilihan ini umumnya dapat kita akses melalui Windows Explorer. Klik Tools pilih Folder Options.
Gambar 1.19 Memanggil folder Options
Maka jendela folder Options akan muncul. Ada beberapa TAB di sana, seperti General, View, dan lain-lain. Virus biasanya akan memanipulasi pilihan pada tab Views.
34
Gambar 1.20 Folder Options tab View
23. Mbah … apakah bedanya Virus dan Worm? Pertanyaan ini sering dilontarkan oleh pemakai awam. Capek menjawabnya! (ugh… mana ndak ngasih kemenyan sama kembang lagi…☺) Perbedaannya (singkat saja, lagi kumat malesnya) sebagai berikut. •
Worm biasanya tidak menempel dalam file. Sedangkan virus menempel.
•
Virus biasanya akan membuat file yang diinfeksi menjadi program virus itu sendiri. Sedangkan worm tidak.
•
Worm bila ditambahi kemampuan menempel pada file, pada umumnya akan membuat program tersebut rusak.
35
24. Mbah dukun, adakah ciri yang membedakan Virus luar negeri dan lokal? Perbedaan antara virus impor dan lokal adalah dalam cara menggandakan diri dan mempertahankan diri. Kebanyakan Virus impor yang berhasil piknik ke negeri kita, lebih banyak menempel pada file EXE. Sehingga lebih susah untuk diberantas. Sedangkan kebanyakan virus lokal lebih mengacu pada worm bukan virus. Jadi, tidak menempel pada file. Ciri lain, pada kebanyakan virus lokal akan terlalu berlebihan dalam mempertahankan dirinya. Caranya dengan menutup aplikasi yang dianggapnya sebagai aplikasi yang dapat membunuh dirnya. Misalnya: Task manager, regedit, msconfig. Sedangkan virus impor, biasanya tidak begitu. Ciri lain, virus lokal banyak menghajar Registry. Ia akan melakukan pelbagai blok untuk akses-akses Registry yang dianggap dapat membahayakan dirinya. Misalnya: mengunci regedit, run, taskmanager. Virus luar negeri tidak akan banyak mengebiri registry …☺ Ciri lain, virus lokal banyak membuat backup dirinya sendiri dalam proses. Ia akan mengaktifkan virus dalam memory, mungkin 3 atau bahkan 4 sekaligus pada saat yang sama … yang pada akhirnya file-file tersebut akan saling bekerja sama dalam menjaga kelangsungan hidup virus. Misalnya, virus memakai 4 proses. Jika proses pertama dilumpuhkan, akan segera dihidupkan lagi oleh virus yang belum sempat dimatikan. Kebiasaan virus lokal ini dapat dimengerti, mungkin karena vrius lokal sebagian besar tidak pandai dalam menempelkan dirinya sendiri. Hanya sekadar melakukan kloning, kloning dan kloning dirinya pada hard disk. Jadi mau tidak mau, ia harus lebih paranoid dalam mengamankan dirinya, agar filenya tidak gampang dihapus.
36
25. Mbah Duk, apakah yang dimaksud dengan Registry Windows? Registry akan mengendalikan hampir seluruh fungsi sistem operasi Windows. Dan pengendalian ini diwujudkan dalam suatu informasi database yang dibuat dengan gaya hierarki. Data-data yang tersebar akan dikumpulkan dan disusun dalam beberapa komponen yang sesuai. Pada akhirnya, komponen-komponen kecil tersebut akan disusun lagi dan membentuk suatu komponen besar. Dan beberapa komponen besar ini disatukan lagi sehingga membentuk suatu database yang ampuh. Itulah desain registry. Dengan desain seperti itu, sistem operasi Windows dapat dengan fleksibel dikelola sesuai kebutuhan pemakainya. Asal pemakai tersebut tahu bagaimana mengatur komponen-komponen kecil tersebut, “diletakkan” dan digunakan, maka ia akan mendapatkan suatu bentuk, cita rasa, bahkan kekuatan yang berbeda dari sistem operasi Windows. Registry secara global terdiri atas enam kategori informasi. Bagian ini dikenal dengan kunci-kunci induk (root keys). Kunci induk ini seperti kontainer data. Ia dapat berisi data nama value (value name) dan nilainya (value), juga dapat berisi kunci (key) atau kunci anak (subkey). Dengan metode hierarki inilah, registry dapat dikelola dengan baik. Mungkin istilah key dan subkey ini membingungkan. Untuk gampangnya kita analogkan dengan pengelolaan folder pada disk. Pada suatu disk dapat dibuat beberapa directory (folder). Ini sama dengan root keys, jika dianalogkan. Pada directory ini dapat terdiri atas beberapa subdirectory (subfolder), hal ini sama dengan key. Pada subdirectory ini dapat terdiri atas beberapa subsubdirectory (subsubfolder), ini sama dengan subkey. Demikian seterusnya, sehingga akan terbentuklah suatu struktur hierarki. Kebanyakan orang menyebut root keys ini dengan handle keys. Disingkat dengan HKEY. Tampilan program pengedit registry standar milik Microsoft (REGEDIT.EXE) pun menampilkan dengan tanda HKEY. Saya juga cenderung menyebutnya dengan demikian, karena lebih gampang diingat sesuai dengan tampilan registry pada REGEDIT. Struktur HKEY jika dilihat dengan program Regedit (registry editor) secara global adalah sebagai berikut.
37
Gambar 1.21 Struktur registry Windows
•
HKEY_CURRENT_USER
Merupakan root dari informasi konfigurasi untuk pemakai yang sedang aktif. Folder pemakai, screen colors, dan Control Panel akan disimpan di sini. Informasi di sini sering direferensi sebagai suatu user profile. Jadi, ia merupakan hkey yang menyimpan setting individual dari setiap pemakai yang memakai sistem operasi Windows.
•
HKEY_USERS
Berisi root dari seluruh user profile yang ada pada komputer. Jadi, secara implisit, HKEY_CURRENT_USER adalah subkey dari HKEY_USERS. Setting ini merupakan pengaturan tertentu yang dipakai oleh pemakai, seperti layout desktop, dan pengaturan aplikasi-aplikasi yang dipakainya. Bagian ini, seperti telah disinggung di muka, akan menyimpan seluruh data user. Sedangkan hkey_current_user akan merujuk pada Hkey_users untuk mendapatkan pemakai yang sedang aktif.
•
HKEY_LOCAL_MACHINE
Berisi informasi konfigurasi yang sudah pasti pada komputer. Dan ini berlaku bagi semua user. Hkey ini merupakan hkey yang menyimpan setting global dari komputer yang terkait dengan perangkat keras dan perangkat lunak.
38
•
HKEY_CLASSES_ROOT
Kebanyakan informasi pada key ini, digunakan untuk memastikan pengaktifan program yang tepat saat kita membuka file dengan Windows Explorer. Jadi, hkey ini merupakan hkey yang menyimpan seluruh asosiasi file. Juga akan menyimpan jenis kelas spesial folder (CLSID). CLSID ini digunakan oleh sistem operasi Windows dan kebanyakan aplikasi agar dapat berfungsi dengan benar. Isi hkey ini sama dengan Hkey_local_machine\software\classes.
•
HKEY_CURRENT_CONFIG
Berisi informasi tentang profile hardware yang digunakan oleh komputer lokal saat startup sistem. Jadi, Hkey ini menyimpan informasi profil perangkat keras terpasang. Sebenarnya isinya sama dengan hkey_local_machine\config. Pada prakteknya saat bekerja, Registry akan membutuhkan bantuan file dalam menampilkan strukturnya. File-file tersebut dikenal dengan sebutan Registry hives. Registry Hives atau sering disingkat dengan istilah hive adalah suatu kumpulan dari key, subkey dan value pada registry yang mempunyai suatu set file pendukung yang berisi backup dari data tersebut. Pada saat proses boot berlangsung, Windows akan melakukan setup secara otomatis, dengan mengambil data dari file-file pendukung ini. Pada saat kita melakukan shutdown, Windows akan secara otomatis pula menulis data hive ke file-file pendukung ini. File pendukung dari seluruh file kecuali HKEY_CURRENT_USER berada di directory (folder) Systemroot\System32\Config. Sedangkan file pendukung untuk HKEY_CURRENT_USER berada pada directory Systemroot\Profiles\Username. Ekstension nama file (File name extensions) dari file yang ada pada directory ini menunjukkan isi data yang ada di dalamnya. Pada file pendukung, bahkan ada yang tanpa ekstension file sama sekali. Lho…? Lalu untuk apa? Berikut ini deskripsi ringkasnya. •
File pendukung tanpa extension, akan menunjukkan copy dari data hive secara komplet.
39
•
File pendukung dengan ekstension .alt merupakan backup copy dari hive HKEY_LOCAL_MACHINE\ System. Hanya key System yang mempunyai ekstension .alt.
•
File pendukung dengan ekstension .log adalah file pencatat transaksi, yang mencatat perubahan pada key dan masukan value pada hive.
•
File pendukung dengan ekstension .sav merupakan copy dari file hive yang dicari saat setup tahapan mode teks berakhir.
Setiap kali suatu user baru logon ke komputer, suatu hive baru akan dibuat untuk user tersebut dengan file tersendiri untuk user profile. Ini disebut dengan user profile hive. Hive user berisi informasi registry spesifik yang menyimpan setting aplikasi, desktop, environment, koneksi network dan printer untuk user tersebut. User profile hives berada di key HKEY_USER. Pada Windows XP, file pendukung untuk user profile hive bagi suatu pemakai tertentu akan disimpan di: HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\ ProfileList\SID\ProfileImagePath File tersebut akan diberi nama Ntuser.dat. Mbah dukun… pusing saya mendengar wejangannya… itu mungkin komentar sampeyan. Memang begitu kok keterangan Registry. Itulah. Tapi lama-lama kalau terbiasa oprek Registry, tidak pusing kok. Swear! Hanya bikin linglung saja heheh! Hayooo…. Mana kembangnya?!!! Mbah … lapar nih… ☺ 40
26. Mbah … apakah safemode itu? Safemode? Ya … Windows biasanya akan diperlengkapi dengan modus safemode. Dimaksudkan agar pemakai dapat memperbaiki Windows jika terjadi suatu musibah dengan Windows. Windows safemode sebetulnya tidak lebih dari Windows yang dijalankan dengan driver standar! Sehingga jika terjadi kerewelan pada driver-driver non-standar, Windows yang membuat Windows modus standar gagal dijalankan, maka Windows modus standar dapat dipulihkan lagi dengan cara masuk ke modus safemode. Pada saat dalam modus safemode inilah, pemakai berkesempatan untuk melakukan eliminasi pada driver non-standar yang bermasalah tersebut. Dengan cara ini, Windows yang rusak akan menjadi normal kembali. Itu harapannya. Melihat fungsinya, tentu saja, modus safemode ini, juga merupakan ancaman bagi kelangsungan hidup virus atau program-program yang suka bikin masalah … ☺ Oleh karena itu, modus safemode ini juga merupakan target utama program virus. Artinya, virus akan berusaha memanipulasi modus safemode atau bahkan menggagalkan fungsinya!
27. Mbah duk, bagaimana masuk ke modus safemode? Lakukan booting ulang komputer. Pada saat proses booting dimulai, tekanlah tombol F8 secara cepat dan berulang kali. (Agak histeris juga boleh… ☺) sehingga muncul menu boot Windows. Pilihlah Safemode, maka proses akan berjalan hingga akhirnya akan menampilkan pilihan user yang harus digunakan untuk masuk ke Windows safemode. Pada Windows XP, biasanya akan muncul account Administrator dan account yang kita miliki. Pilihlah user Account yang biasa kita pakai. Setelah itu, biasanya kita akan ditanya, apakah akan masuk ke modus Safemode ataukah kita akan memakai fasilitas system restore Windows. Klik Yes, maka kita akan masuk ke mode Windows safemode. Artinya, Windows akan aktif dengan perangkat apa adanya (standar minimalnya).
41
28. Mbah dukun ... bagaimana cara Virus menggagalkan safemode? Virus akan menggagalkan proses menuju safemode dengan memanipulasi Registry. Tepatnya di lokasi: HKLM\System\ControlSet001\Control\SafeBoot
Sedangkan nama value yang dimanipulasi adalah: AlternateShell yang secara standar isiannya adalah Cmd.exe. Dengan cerdik virus akan mengganti masukan cmd.exe dengan nama file exe virus. Misalnya: virusku.exe atau test.exe. Terserah nama virus yang akan dipakai memblok safemode. Lokasi lain dengan efek yang sama ada di: HKLM\System\ControlSet002\Control\SafeBoot
Tampilan visualnya seperti terlihat pada gambar.
Gambar 1.22 Lokasi subkey SafeBoot
42
29. Mbah dukun, bagaimana cara memulihkan safemode? Dari pembahasan di atas jelas sekali jawabannya. Kita harus mengedit Registry dengan subkey: HKLM\System\ControlSet001\Control\SafeBoot
Kita harus mengubah AlternateShell.
isian
nama
value
yang
dimanipulasi,
yaitu:
Gantilah isiannya dengan data: Cmd.exe.
Lakukan pada beberapa lokasi lainnya, seperti di: HKLM\System\ControlSet002\Control\SafeBoot
Periksa pula bagian controlsetxxx lainnya. Barangkali telah diubah pula datanya oleh virus. Perlu dicacat… eh ..dicatat, pada virus yang pembuatnya masuk kategori sadis ☺ ia tidak sekadar mengubah nama value tersebut. Tapi ia akan menghapus subkey Safeboot berikut subkey-subkey yang ada di bawahnya! Masya Allah… itu benar-benar efektif sekali ☺ I love it! (benar-benar maniak!) karena pemakai komputer tentu saja akan kelimpungan dalam mengembalikan data yang dihapus. Untuk mengatasi metode sadis ini, ekspor (ambil) data-data subkey safeboot dari komputer lain. Lalu, lakukan impor (masukkan) data ke Registry. Alternatif lain, kita dapat memakai file INF. Dan ini membutuhkan jatah kembang dan kemenyan tersendiri lho …☺
