Masih ingat dengan virus Aksika?
Virus “open source” yang satu itu
memang memiliki banyak sekali
varian. Tidak heran karena source
code-nya memang disedia kan
bebas di Internet, jadi siapapun
dapat dengan mudah mengubah
dan meng-compile source code-nya
dan jadilah varian baru.
Berawal dari kemudahan itulah,
banyak virus maker ataupun
programer pemula mencoba–coba
untuk membuat virus tanpa perlu
repot. Paling yang dibutuhkan
hanyalah pengetahuan seputar
operating system dan
programming.
Namun kemudahan itu belum
seberapa, bila dibandingkan dengan
menggunakan program Virus
Generator. Dari namanya saja, kita
sudah dapat mengira kegunaan dari
program tersebut. Ya, Virus
Generator merupakan program
untuk dapat membuat virus secara
mudah dan instan.
Bermula dari sampel sebuah virus
yang lumayan banyak dikirimkan
oleh pembaca kepada kami. PC
Media Antivirus mengenalnya
dengan nama Gen.FFE-Fajar, namun
antivirus lain ada juga yang
menyebutnya dengan nama
Brontok.D. Dengan penyelidikan
sederhana akhirnya diketahui bahwa
virus tersebut dibuat menggunakan
Virus Generator.
Fast Firus Engine (FFE)
Pembuat Generator tersebut
menamakan program buatannya itu
dengan nama Fast Firus Engine.
Seperti yang terlihat pada program
ataupun situs pembuatnya, ia
memberitahukan bahwa program
ini hanya untuk tujuan pembelajaran
dan tidak untuk tindakan merusak.
Namun tetap saja, bila program ini
sudah jatuh ke tangan yang salah,
pasti akan digunakan untuk
pengrusakan.
Virus Generator ini dibuat
menggunakan bahasa Visual Basic
dan di-compress menggunakan
packer tELock. Dalam paketnya
terdapat dua buah file, yakni Fast
Firus Engine.exe dan data.ex_. Fast
Firus Engine. exe merupakan
program utama dalam pembuatan
virusnya dan sementara file data.ex_
sebenarnya merupakan badan virus
asli yang belum dimodifi kasi.
Saat file Fast Firus Engine.exe
dijalankan, maka pengguna akan
dihadapkan pada sebuah interface.
Anda hanya disuruh mengisikan
nama virus, nama pembuat, dan
pesan-pesannya. Lalu dengan
menekan tombol Generate, maka
jadilah virus Anda.
Cara kerja dari Generator tersebut
sebenarnya sangat sederhana. Ia
hanya menambahkan data yang
Anda masukkan tadi ke bagian akhir
file virus asli (data.ex_). Nantinya
informasi tersebut digunakan oleh
virus dalam proses infeksi.
Bagaimana Virus Menginfeksi?
Virus hasil ciptaan FFE memang
terlihat sederhana. Sama seperti
Generatornya, ia juga dibuat
menggunakan bahasa Visual Basic
yang di-compile dengan metode
Native- Code. Lalu di compress
menggunakan tELock agar
ukurannya semakin kecil. Virus ini
memiliki ukuran tubuh asli sebesar
55.296 bytes.
Saat virus kali pertama dieksekusi, ia
akan membuat beberapa file induk
di beberapa lokasi. Seperti di
direktori \%WINDOWS%\, akan
terdapat file dengan nama.exe,
Win32 exe, activex.exe, dan
%virusname% (nama virus sesuai
yang diisikan oleh sang pembuatnya
pada Generator). Di \%WINDOWS%
\ %system32%\ akan terdapat file
copy.pif, _default.pif, dan surif.bin.
Selain itu, ia juga mengubah atau
membuat file Oeminfo.ini yang
merupakan bagian dari System
Properties. Jadi apabila komputer
Anda terinfeksi oleh virus hasil
generate dari FFE, maka pada
System Properties akan terdapat
tulisan “Generated by Fast Firus
Engine”.
Di direktori \%WINDOWS%\
%System%\ akan terdapat beberapa
file induk lagi yang menggunakan
nama yang sama seperti file system
milik Windows, seperti csrss.exe,
winlogon.exe, lsass.exe, smss.exe,
svchost. exe, dan winlogon.exe.
Dan tak lupa, pada root drive pun
akan terdapat file dengan nama
“baca euy.txt” yang berisikan pesan–
pesan dari si pembuat virus. Jadi
pada saat membuat virus dengan
menggunakan Generator tersebut,
maka pembuatnya akan disuguhkan
beberapa kotak input, seperti Author
of the virus, Name of the virus, dan
Messages. Nah, isi dari kotak
messages ini yang nantinya
ditampilkan pada file “baca euy.txt”
tersebut.
Setelah virus berhasil meng-copy-
kan file induknya ke dalam sistem
tersebut, ia akan menjalankan file
induk tadi, sehingga pada memory
akan terdapat beberapa process
virus, seperti csrss.exe,
winlogon.exe, lsass. exe, smss.exe,
svchost.exe, dan winlogon.exe.
Nama process yang mirip dengan
process/services milik Windows
tersebut mungkin sengaja untuk
mengecoh user. Untuk
membedakannya, Anda dapat
melihat path atau lokasi process
tersebut dijalankan. Process virus ini
biasanya berjalan di direktori
System sementara process/services
milik Windows yang running
biasanya berasal dari direktori
System32.
Mengubah Registry
Virus ini menambahkan beberapa
item startup pada registry agar pada
saat memulai Windows ia dapat
running secara otomatis atau untuk
mengubah setting-an Windows
agar sesuai keinginannya. Informasi
mengenai registry yang diubahnya
tidak akan dapat dengan mudah kita
lihat karena dalam kondisi
terenkripsi.
Yang ia ubah adalah seperti nilai dari
item Userinit, yakni dengan
menambahkan parameter ke file
induk. Pada key HKEY_CURRENT_
USER\Software\Microsoft\Windows
NT\CurrentVersion\Windows\Load
juga akan diubah itemnya agar
mengarah ke file induknya dengan
nama Activex.exe. Pada
HKEY_CURRENT_USER \Software
\Microsoft\ Windows
\CurrentVersion\Run\ akan terdapat
item baru dengan nama present.
Key HKEY_ LOCAL_MACHINE
\SOFTWARE\Microsoft\ Windows
\CurrentVersion\Run\ akan terdapat
item baru juga dengan nama Default
dan %username%, username di sini
merupakan nama user yang sedang
aktif saat itu.
Virus hasil generate dari FFE juga
mengubah shell extension untuk
file .exe, yakni dengan mengubah
type information dari Application
menjadi File Folder. Setting-an folder
Options juga diubah agar tidak
menampilkan extension dan setiap fi
le dengan attribut hidden. Dan agar
dapat aktif pada safe-mode, ia pun
mengubah nilai dari item SafeBoot.
Dengan menggunakan bantuan
registry Image File Execution
Options, virus ini juga
menambahkan item baru pada
section tersebut dengan nama
cmd.exe, msconfi g.exe, regedit.exe,
dan taskmgr.exe. Maksudnya adalah
agar setiap user yang mengakses
program dengan nama file seperti
itu, maka akan di-bypass oleh
Windows dan dialihkan ke file induk
si virus.
Bagaimana Virus Menyebar?
Virus ini dapat menyebar melalui
media penyimpan data seperti flash
disk. Saat Anda mencolokkan flash
disk pada komputer yang terinfeksi,
maka pada flash disk tersebut akan
terdapat beberapa file baru, seperti
explorer.exe, %virusname%.exe,
dan msvbvm60.dll. Juga beberapa
file pendukung seperti desktop.ini,
autorun.inf agar ia dapat running
otomatis pada saat mengakses flash
disk tersebut.
File virus lainnya pun disimpan pada
direktori baru di flash disk tersebut
dengan nama Recycled yang
berisikan file Firus.pif dan Folder.htt.
Kesemua file virus tersebut dalam
kondisi hidden sehingga tidak
terlihat.
Virus Beraksi
Untuk dapat bertahan hidup, virus
ini pun akan mencoba untuk
memblok setiap program yang tidak
ia inginkan seperti tools atau
program antivirus termasuk
PCMAV. Sama seperti halnya data
registry yang diubah, data
mengenai program apa saja yang
diblok olehnya juga terdapat dalam
tubuhnya dalam kondisi terenkripsi.
Jadi, saat virus sudah stay di
memory, ia akan memonitor setiap
program yang diakses oleh user,
yakni dengan membaca nama file
dan juga caption Window. Beberapa
nama file antivirus yang dicoba
untuk dibloknya adalah nav.exe,
avgcc.exe, njeeves.exe, ccapps.exe,
ccapp.exe, kav.exe, nvcoas.exe,
avp32.exe, dan masih banyak lagi
yang lainnya. Termasuk beberapa
program setup atau installer juga
tidak dapat dijalankan pada
komputer terinfeksi.
Pencegahan dan
Penanggulangan
PC Media Antivirus RC19 ini dapat
membersihkan komputer terinfeksi
secara tuntas dan akurat 100%
setiap virus yang dibuat dengan
menggunakan Fast Firus Generator.
Untuk menghindari aksi blok oleh
virus terhadap PCMAV, silakan Anda
rename terlebih dahulu file PCMAV
misalnya PCMAV-CLN.EXE menjadi
MERDEKA.EXE.