Arief Prabowo
Masih ingat dengan virus Aksika? Virus open source yang satu itu memang memiliki
banyak sekali varian. Tidak heran karena source code-nya memang disediakan bebas
di Internet, jadi siapapun dapat dengan mudah mengubah dan meng-compile source
code-nya dan jadilah varian baru.
Berawal dari kemudahan itulah, banyak virus maker ataupun programer pemula
mencoba coba untuk membuat virus tanpa perlu repot. Paling yang dibutuhkan
hanyalah pengetahuan seputar operating system dan programming.
Namun kemudahan itu belum seberapa, bila dibandingkan dengan menggunakan
program Virus Generator. Dari namanya saja, kita sudah dapat mengira kegunaan dari
program tersebut. Ya, Virus Generator merupakan program untuk dapat membuat virus
secara mudah dan instan.
Bermula dari sampel sebuah virus yang lumayan banyak dikirimkan oleh pembaca
kepada kami. PC Media Antivirus mengenalnya dengan nama Gen.FFE-Fajar, namun
antivirus lain ada juga yang menyebutnya dengan nama Brontok.D. Dengan
penyelidikan sederhana akhirnya diketahui bahwa virus tersebut dibuat menggunakan
Virus Generator.
Fast Firus Engine
Pembuat Generator tersebut menamakan program buatannya itu dengan nama Fast
Firus Engine. Seperti yang terlihat pada program ataupun situs pembuatnya, ia
memberitahukan bahwa program ini hanya untuk tujuan pembelajaran dan tidak untuk
tindakan merusak. Namun tetap saja, bila program ini sudah jatuh ke tangan yang
salah, pasti akan digunakan untuk pengrusakan.
Virus Generator ini dibuat menggunakan bahasa Visual Basic dan di-compress
menggunakan packer tELock. Dalam paketnya terdapat dua buah file, yakni Fast Firus
Engine.exe dan data.ex_. Fast Firus Engine. exe merupakan program utama dalam
pembuatan virusnya dan sementara file data.ex_ sebenarnya merupakan badan virus
asli yang belum dimodifikasi.
Saat file Fast Firus Engine.exe dijalankan, maka pengguna akan dihadapkan pada
sebuah interface. Anda hanya disuruh mengisikan nama virus, nama pembuat, dan
pesan-pesannya. Lalu dengan menekan tombol Generate, maka jadilah virus Anda.
Cara kerja dari Generator tersebut sebenarnya sangat sederhana. Ia hanya
menambahkan data yang Anda masukkan tadi ke bagian akhir file virus asli (data.ex_).
Nantinya informasi tersebut digunakan oleh virus dalam proses infeksi.
BagaimanaVirusMenginfeksi?
Virus hasil ciptaan FFE memang terlihat sederhana. Sama seperti Generatornya, ia
juga dibuat menggunakan bahasa Visual Basic yang di-compile dengan metode Native-
Code. Lalu di compress menggunakan tELock agar ukurannya semakin kecil. Virus ini
memiliki ukuran tubuh asli sebesar 55.296 bytes.
Saat virus kali pertama dieksekusi, ia akan membuat beberapa file induk di beberapa
lokasi. Seperti di direktori \%WINDOWS%\, akan terdapat file dengan nama.exe, Win32
exe, activex.exe, dan %virusname% (nama virus sesuai yang diisikan oleh sang
pembuatnya pada Generator). Di \%WINDOWS%\ %system32%\ akan terdapat file
copy.pif, _default.pif, dan surif.bin. Selain itu, ia juga mengubah atau membuat file
Oeminfo.ini yang merupakan bagian dari System Properties. Jadi apabila komputer
Anda terinfeksi oleh virus hasil generate dari FFE, maka pada System Properties akan
terdapat tulisan Generated by Fast Firus Engine .
Di direktori \%WINDOWS%\%System%\ akan terdapat beberapa file induk lagi yang
menggunakan nama yang sama seperti file system milik Windows, seperti csrss.exe,
winlogon.exe, lsass.exe, smss.exe, svchost. exe, dan winlogon.exe.
Dan tak lupa, pada root drive pun akan terdapat file dengan nama baca euy.txt yang
berisikan pesan pesan dari si pembuat virus. Jadi pada saat membuat virus dengan
menggunakan Generator tersebut, maka pembuatnya akan disuguhkan beberapa kotak
input, seperti Author of the virus, Name of the virus, dan Messages. Nah, isi dari kotak
messages ini yang nantinya ditampilkan pada file baca euy.txt tersebut.
Setelah virus berhasil meng-copy-kan file induknya ke dalam sistem tersebut, ia akan
menjalankan file induk tadi, sehingga pada memory akan terdapat beberapa process
virus, seperti csrss.exe, winlogon.exe, lsass. exe, smss.exe, svchost.exe, dan
winlogon.exe. Nama process yang mirip dengan process/services milik Windows
tersebut mungkin sengaja untuk mengecoh user. Untuk membedakannya, Anda dapat
melihat path atau lokasi process tersebut dijalankan. Process virus ini biasanya berjalan
di direktori System sementara process/services milik Windows yang running biasanya
berasal dari direktori System32.
Mengubah Registry
Virus ini menambahkan beberapa item startup pada registry agar pada saat memulai
Windows ia dapat running secara otomatis atau untuk mengubah setting-an Windows
agar sesuai keinginannya. Informasi mengenai registry yang diubahnya tidak akan
dapat dengan mudah kita lihat karena dalam kondisi terenkripsi.
Yang ia ubah adalah seperti nilai dari item Userinit, yakni dengan menambahkan
parameter ke file induk. Pada key HKEY_CURRENT_
USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load juga akan
diubah itemnya agar mengarah ke file induknya dengan nama Activex.exe. Pada
HKEY_CURRENT_USER \Software\Microsoft\ Windows\CurrentVersion\Run\ akan
terdapat item baru dengan nama present. Key HKEY_
LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run\ akan
terdapat item baru juga dengan nama Default dan %username%, username di sini
merupakan nama user yang sedang aktif saat itu.
Virus hasil generate dari FFE juga mengubah shell extension untuk file .exe, yakni
dengan mengubah type information dari Application menjadi File Folder. Setting-an
folder Options juga diubah agar tidak menampilkan extension dan setiap fi le dengan
attribut hidden. Dan agar dapat aktif pada safe-mode, ia pun mengubah nilai dari item
SafeBoot.
Dengan menggunakan bantuan registry Image File Execution Options, virus ini juga
menambahkan item baru pada section tersebut dengan nama cmd.exe, msconfi g.exe,
regedit.exe, dan taskmgr.exe. Maksudnya adalah agar setiap user yang mengakses
program dengan nama file seperti itu, maka akan di-bypass oleh Windows dan dialihkan
ke file induk si virus.
BagaimanaVirusMenyebar?
Virus ini dapat menyebar melalui media penyimpan data seperti flash disk. Saat Anda
mencolokkan flash disk pada komputer yang terinfeksi, maka pada flash disk tersebut
akan terdapat beberapa file baru, seperti explorer.exe, %virusname%.exe, dan
msvbvm60.dll. Juga beberapa file pendukung seperti desktop.ini, autorun.inf agar ia
dapat running otomatis pada saat mengakses flash disk tersebut.
File virus lainnya pun disimpan pada direktori baru di flash disk tersebut dengan nama
Recycled yang berisikan file Firus.pif dan Folder.htt. Kesemua file virus tersebut dalam
kondisi hidden sehingga tidak terlihat.
Virus Beraksi
Untuk dapat bertahan hidup, virus ini pun akan mencoba untuk memblok setiap
program yang tidak ia inginkan seperti tools atau program antivirus termasuk PCMAV.
Sama seperti halnya data registry yang diubah, data mengenai program apa saja yang
diblok olehnya juga terdapat dalam tubuhnya dalam kondisi terenkripsi.
Jadi, saat virus sudah stay di memory, ia akan memonitor setiap program yang diakses
oleh user, yakni dengan membaca nama file dan juga caption Window. Beberapa nama
file antivirus yang dicoba untuk dibloknya adalah nav.exe, avgcc.exe, njeeves.exe,
ccapps.exe, ccapp.exe, kav.exe, nvcoas.exe, avp32.exe, dan masih banyak lagi yang
lainnya. Termasuk beberapa program setup atau installer juga tidak dapat dijalankan
pada komputer terinfeksi.
This document was created with Win2PDF available at http://www.daneprairie.com.
The unregistered version of Win2PDF is for evaluation or non-commercial use only.
