Contoh Penanganan Virus   Leave a comment

1. Virus Brontok
Sebenarnya virus Brontok sudah berkembang dan dirilis berkali-kali. Penulis tidak ingat virus Brontok yang diujicoba ketika tulisan ini dibuat versi berapa. Yang jelas ciri-ciri dan cara kerja virus yang diujicoba ini dijelaskan berikut ini.

a. Ciri-ciri

· Menggunakan ekstensi EXE, COM, PIF, SCR untuk duplikasi virus

· Ukuran file 45KB (45.344 byte)

· Dibuat tanggal 16 Januari 2006, jam 09:10

· Memperlambat komputer

· Menghilangkan menu Folder Options

· Memanipulasi setting Folder Options sehingga file hidden tidak ditampilkan

· Menyembunyikan ekstensi file pada Windows Explorer

· Membuat file EMPTY.PIF (duplikat virus) di Start ® Programs ® StartUp

· Restart komputer jika user mencoba menjalankan program-program: REGEDIT.EXE, CMD.EXE (Command Prompt),

· Membuat jadwal periodik (Scheduled Task) bernama At1 dan At2, lihat di Control Panel ® Scheduled Tasks

· Membuat duplikasi virus:

Banyak file duplikasi yang namanya diacak dengan nama-nama seperti: br6657on.exe, csrss.exe, inetinfo.exe, lsass.exe, services.exe, smss.exe, svchost.exe, winlogon.exe, 11496-NendangBro.com, Empty.pif, DXBLAK.exe, cmd-bro-nmx.exe.

o File screen saver (.SCR) di folder C:\Windows\System32 dengan nama misalnya “kecrut’s Settings.SCR”, di mana kecrut adalah nama user yang terdaftar dalam User Accounts (Control Panel ® User Accounts)

o EMPTY.PIF di Start ® Programs ® StartUp

o Di Folder C:\Windows\ShellNew

· Dibuat menggunakan program Visual Basic 6.0

· Virus tetap bekerja di Safe Mode

b. Cara Mengatasinya

· Catat ukuran dan tanggal file virus yang sudah menular di berbagai folder. Jika tidak ketemu, klik kanan file EMPTY.PIF di Start ® Programs ® Startup, klik Properties, lihat ukuran dan tanggalnya.

· Booting ulang menggunakan StartUp Disk Windows 98 (walah… harus buat StartUp 98)

· Setelah berhasil masuk ke Command Prompt 98:

o Masuk ke folder Windows (C:\Windows), cari file .EXE yang ukuran dan tanggalnya sama dengan file virusnya. File ini hidden, gunakan perintah “DIR *.EXE /A”.

o Non-aktifkan atribut hidden pada file tersebut, kemudian ubah ekstensi file tersebut menjadi ekstensi lain misalnya “.DEL”. Jika file ini ternyata bukan file virus, nanti bisa dikembalikan ke nama aslinya.

(Misal nama filenya “SEMBAK~1.EXE”:)

ATTRIB –R –H –S SEMBAK~1.EXE

REN SEMBAK~1.EXE SEMBAK~1.DEL

o Masuk ke folder C:\Documents and Settings, ubah semua folder yang namanya sama dengan nama-nama user yang terdaftar dalam User Accounts. Nama yang panjang biasanya terpotong menjadi enam karakter ditambah karakter “~” dan karakter angka, misal “Soepardjono” akan menjadi “SOEPAR~1”. Jika nama folder mengandung titik, folder tersebut akan memiliki ekstensi. Gunakan perintah “DIR /AD” untuk melihat nama-nama folder di dalamnya.

Contoh:

C:\WINDOWS>CD ..

C:\>CD DOCUME~1 atau CD “Documents and Settings”

C:\DOCUME~1>DIR /AD

(Daftar nama folder ditampilkan)

C:\DOCUME~1>REN SOEPAR~1 SUPAR

C:\DOCUME~1>REN MASYUS~1.YES MASYUS.TOK

o Masuk ke folder C:\Windows\ShellNew, ubah ekstensi file .EXE yang tanggal dan ukurannya sama dengan tanggal dan ukuran file virus. File ini hidden, gunakan perintah “DIR *.*/A”. Sebelum dihapus, atribut hidden-nya harus dinonaktifkan dulu:

(Misal nama filenya bbm-ypmmngnc.exe)

ATTRIB –R –H –S BBM-Y~1.EXE

REN BBM-Y~1.EXE BBM-Y~1.DEL

o Keluarkan disket startup dari floppy drive, kemudian restart.

o Jika langkah-langkah di atas berhasil, setelah booting akan muncul pesan “Windows cannot find … ” diikuti nama salah satu virus yang ngendon di sistem.

o Hapus At1 dan At2 di Control Panel ® Scheduled Tasks. Dua file ini adalah file penjadwal aktifnya virus.

o Jalankan Windows Explorer. Klik menu View ® Details supaya Windows Explorer menampilkan atribut file secara detail (nama, ukuran, ekstensi, tipe).

Sampai di sini, Folder Options di Windows Explorer sudah muncul, CMD.EXE (Command Prompt) sudah dapat dijalankan, REGEDIT juga sudah dapat dijalankan.

o Klik Tools ® Folder Options, kemudian lakukan konfigurasi berikut:

§ Aktifkan “Show hidden files and folders” supaya file hidden tetap terlihat.

§ Non-aktifkan “Hide extensions for known file types” supaya ekstensi setiap file ditampilkan.

§ Non-aktifkan “Hide protected operating system files (Recommended)” supaya file C:\AUTOEXEC.BAT dapat dilihat.

§ Klik tombol “Apply to All Folders”, supaya setting di atas diberlakukan untuk setiap folder, bukan hanya untuk folder yang sekarang dibuka.

o Saatnya mencari sisa-sisa file virus yang masih ada di sistem

Gunakan fasilitas Search, dan pada kategori pilihan More advanced options, aktifkan pilihan Search system folders, Search hidden files and folders, dan Search subfolders.

§ Mulai mencari dari folder yang namanya sama dengan nama-nama user di dalam folder C:\Documents and Settings:

· Masukkan kata kunci pencarian nama file: “*.EXE”, kemudian klik Search.

· Tunggu hingga proses search selesai! Kemudian urutkan hasil pencarian berdasarkan ukuran (View ® Arrange Icons by ® Size), atau klik kolom “Size” pada tampilan daftar file. Dengan cara ini semua file yang sama ukurannya akan mengelompok.

· Jika terdapat file yang tidak diragukan lagi sebagai virus, hapus saja. Perhatikan ikon, ukuran dan tanggalnya.

· Ulangi lagi langkah pencarian dari awal, tetapi menggunakan kata kunci “*.COM”, kemudian “*.PIF”, dan “*.SCR”.

§ Lakukan juga pencarian di folder C:\Windows.

o Klik kanan file C:\AUTOEXEC.BAT, kemudian klik Edit. Hapus baris pertama yang bertulisan “PAUSE”, kemudian simpan kembali.

o Jalankan REGEDIT, kemudian lakukan langkah-langkah berikut:

§ Masuk ke key Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Jika terdapat value yang datanya menunjuk ke file-file virus, hapus value tersebut. Jika tidak yakin value tersebut dibuat oleh virus, sebaiknya data tersebut diekspor dulu dengan mengklik menu File ® Export… . Jika ternyata value tersebut ternyata bukan buatan virus, nanti file hasil ekspor tinggal diklik dua kali untuk mengembalikan seperti semula.

Cari juga value serupa di key Run di lokasi-lokasi lain. Jika tidak tahu lokasi lain untuk key Run, gunakan fasilitas Find (Edit ® Find…) untuk mencari key “Run”.

Contoh value yang mesti dihapus:

o Value bernama Bron-Spizaetus, datanya kosong (tidak ada datanya).

o Value bernama Bron-Spizaetus, yang berisi data “C:\WINDOWS\ShellNew\bbm-ypmmngnc.exe”

§ Masuk ke key Winlogon

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

o Jika terdapat value Shell yang datanya “Explorer.exe” diikuti nama file virus (contoh: Explorer.exe “C:\WINDOWS\sembako-cnzjmng.exe”), ubah sehingga datanya hanya “Explorer.exe” saja.

o Virus jenis lain mungkin akan mengubah data untuk value Userinit. Biasanya value ini berisi data “C:\WINDOWS\system32\userinit.exe,”.

o Sampai di sini, jika berhasil, sistem sudah bersih dari virus. Meskipun versi lain mungkin menambahkan strategi baru. Di folder-folder selain folder sistem (mungkin juga di drive lain), kemungkinan masih ada duplikasi virus, tetapi tidak aktif. Cari semua file .EXE dan hapus semua yang diyakini sebagai virus (perhatikan ciri-cirinya!). Mungkin juga perkembangan ke depan virus ini menular dengan ekstensi .SCR, .COM, .PIF.

o Restart ulang. Jika proses selanjutnya kembali normal berarti proses pembersihan virus berhasil.

§ Folder-folder di C:\Documents and Settings yang tadinya di-rename, mungkin masih menyimpan data-data dokumen penting. Cari folder dokumen di dalamnya (biasanya setiap user dibuatkan satu folder dokumen) dan selamatkan data-data di dalamnya. Di folder ini akan muncul nama-nama folder baru untuk menyimpan setting dan data masing-masing user. Pindahkan data-data tersebut di folder user yang baru ini.

§ File-file yang ekstensinya telah diubah (menjadi *.DEL) dapat dihapus jika proses pembersihan berhasil.

2. Virus d2/dkernel/decoil daun

3. Virus SVCHOST?

Virus SVCHOST (saya tidak tahu di anti virus diberi nama apa) saya jumpai pertama kali tanggal 26 Agustus 2006. Virus yang saya temukan adalah versi 11.0.5604 (berdasarkan informasi File Version pada Properties).

a. Ciri-ciri:

· Ekstensi yang digunakan: EXE, SCR

· Ukuran file virus asli (.EXE) 46KB (46.592 byte)

· Ukuran file virus infeksi (.SCR) tidak tentu.

· Tanggal dibuat: tidak diketahui.

· Ikon file dokumen berekstensi .DOC berubah menjadi ikon file .DOC Microsoft Word 2003. Mungkin ciri-ciri ini hanya bisa diketahui jika Microsoft Word yang digunakan mempunyai library ikon yang berbeda (beda versi, misalnya). Komputer saya menggunakan Microsoft Word 2000 (untung pake versi lama :)).

· Menyembunyikan ekstensi file dan menyembunyikan file OS yang dilindungi pada Windows Explorer.

· Setting Folder Options untuk pilihan Hide extensions for known file types dan Hide protected operating system files (Recommended) tidak berfungsi.

· Ketika virus ini berjalan, hasil print sedikit aneh: ukuran font sedikit lebih lebar dan kadang-kadang ada yang menumpuk.

b. Cara Mengatasinya

· Bunuh proses virus (SVCHOST) beserta proses cabangnya.

Hati-hati dalam memilih proses mana yang akan dibunuh, karena nama prosesnya sama dengan nama proses sistem. Jika salah bunuh proses, sistem mungkin akan shutdown sendiri dengan pemberitahuan dan hitungan mundur sebelumnya.

Untuk menghindari salah bunuh proses, gunakan “TASKLIST” untuk melihat daftar proses dan “TASKKILL” untuk membunuh proses virus melalui Command Prompt.

C:\>TASKLIST

Image Name PID Session Name Session# Mem Usage

========================= ====== ================ ======== ============

System Idle Process 0 Console 0 16 K

System 4 Console 0 52 K

SMSS.EXE 448 Console 0 200 K

CSRSS.EXE 500 Console 0 2.024 K

WINLOGON.EXE 524 Console 0 1.328 K

SERVICES.EXE 568 Console 0 2.400 K

LSASS.EXE 580 Console 0 1.384 K

SVCHOST.EXE 728 Console 0 2.960 K

SVCHOST.EXE 776 Console 0 1.776 K

SVCHOST.EXE 868 Console 0 11.204 K

SVCHOST.EXE 960 Console 0 1.216 K

SVCHOST.EXE 996 Console 0 1.796 K

SVCHOST.exe 1196 Console 0 2.416 K
SPOOLSV.EXE 1288 Console 0 2.980 K

SVCHOST.EXE 1324 Console 0 2.164 K

SPOOLSV.EXE 1356 Console 0 2.504 K

Explorer.exe 1476 Console 0 14.452 K

qttask.exe 1560 Console 0 740 K

avgcc.exe 1584 Console 0 5.352 K

ctfmon.exe 1604 Console 0 1.288 K

avgamsvr.exe 1660 Console 0 3.140 K

avgupsvc.exe 1728 Console 0 1.128 K

avgemc.exe 1764 Console 0 3.432 K

alg.exe 1672 Console 0 2.288 K

NOTEPAD.EXE 1096 Console 0 3.132 K

wuauclt.exe 1600 Console 0 6.316 K

wuauclt.exe 468 Console 0 4.764 K

cmd.exe 1872 Console 0 2.356 K

tasklist.exe 1896 Console 0 3.948 K

wmiprvse.exe 660 Console 0 5.232 K

Untuk memilih proses virus, gunakan dua pertimbangan berikut: 1) pilih proses yang berbeda dari yang lain, 2) pilih proses yang mempunyai PID relatif besar dibandingkan dengan proses-proses yang lain. Pada contoh ini, SVCHOST.exe (bukan SVCHOST.EXE) yang memiliki PID 1196 memenuhi kedua kriteria di atas.

C:\>taskkill /f /t /pid 1196

SUCCESS: The process with PID 1324 child of PID 1196 has been terminated.

SUCCESS: The process with PID 1356 child of PID 1196 has been terminated.

SUCCESS: The process with PID 1196 child of PID 524 has been terminated.

· Pulihkan registry menggunakan REGEDIT

Virus ini tidak menonaktifkan REGEDIT, sehingga program REGEDIT tetap dapat dijalankan.

Masuk ke key

HKEY_CLASSES_ROOT\scrfile

Ubah data string untuk value (Default) dari “Microsoft Word Document” menjadi “Screen Saver”.

Masuk ke key

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Ubah data string untuk value Userinit dari “C:\recycled\SVCHOST.exe,” menjadi “C:\Windows\System32\Userinit.exe,”.

Masuk ke key

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Explorer\Advanced\Folder\SuperHidden

Ubah data dword untuk value UncheckedValue dari 0 menjadi 1.

Masuk ke key

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Explorer\Advanced\Folder\HideFileExt

Ubah data dword untuk value UncheckedValue dari 1 menjadi 0.

Masuk ke key

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Ubah data string untuk value Shell dari “Explorer.exe “C:\recycled\SVCHOST.exe”” menjadi “Explorer.exe” saja.

· Hapus/ubah ekstensi file virus melalui Command Prompt

File virus terdiri atas empat file di folder C:\Recycled, masing-masing adalah CTFMON.EXE, SMSS.EXE, SPOOLSV.EXE dan SVCHOST.EXE. Hapus keempat file ini atau ubah ekstensinya, misalnya menjadi “.DEL”, melalui Command Prompt.

C:\>CD RECYCLED

C:\RECYCLED>REN *.EXE *.DEL

· Restart ulang

· Hapus file-file yang menginfeksi di folder data/drive lain

Gunakan fasilitas Search untuk mencari file .SCR di folder data atau di drive lain. Jika ikonnya menggunakan ikon file dokumen (Word 2003), hapus saja.

Jika ingin menganalisis file virus lebih lanjut, lihat empat file virus yang berada di folder C:\Recycled. File ini tidak bisa langsung dilihat menggunakan Windows Explorer. Untuk dapat mengambil file-file virus yang asli, kopilah folder C:\Recycled ke folder/drive lain, nonaktifkan atribut read only, hidden, dan system pada folder tersebut melalui Command Prompt, kemudian ubah nama folder hasil kopian melalui Command Prompt.

Posted Oktober 31, 2007 by asepsajah in Komputer

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

%d blogger menyukai ini: