Halaman

Minggu, 06 April 2008

STARGATE: BANJIR FILE BER-ICON FOLDER

Virus lokal memang kebanyakan menggunakan icon mirip folder standar Windows. Dan entah kenapa, sampai saat ini masih banyak saja user yang tertipu dengan trik seperti ini. Arief Prabowo

PC MEDIA ANTIVIRUS mengenali virus yang satu ini dengan nama Virus Stargate. Ia merupakan virus lokal yang dibuat menggunakan Visual Basic. Dari segi penampilan dan seperti yang telah disinggung juga di atas, ia masih mempercayakan pada icon mirip folder standar Windows untuk mengelabui calon korbannya. Memiliki ukuran file sebesar 46.592 bytes, dalam kondisi terkompres menggunakan UPX. Dari segi code, ada kemiripan dengan virus Aksika. Mungkinkah ia merupakan versi modifikasi dari virus Aksika?

Induk Virus
Virus yang diyakini telah menyebar di Indonesia ini memang hampir membuat user yang komputernya terinfeksi tak berkutik. Saat kali pertama, seperti biasa, ia akan meng-copy-kan dirinya ke komputer korban. Di antaranya, bertempat di direktori Windows dengan nama st4rg4tE.exe. File 4st4rg4tE.exe, materia.exe, ms-load.exe, dan winlop.scr yang bertempat di direktori System32. Selain itu, file bt.x.exe yang ada di \%windows%\ime.

Auto Run
Untuk dapat aktif otomatis, ia membutuhkan bantuan Registry. Virus ini akan membuat item autorun baru pada registry HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Run\st4rg4tE, HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion \Run\sys%username%, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersi-on\Run\Logon%username%, HKEY_LOCAL_MACH-INE \ SOFTWARE\Microsoft \Windows\ CurrentVersion\Run\System Monitoring. Dan memanipulasi nilai Shell dan UserInit default bawaan Windows yang ada di HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\ CurrentVersion\Winlogon.Agar terlebih dahulu mengarah kepada file induk virus yang sebelumnya telah ia tanamkan pada direktori System32 dengan nama msload.exe dan 4st4rg4tE.exe.

Untuk dapat aktif pada mode safe-mode, virus ini pun membuat/memanipulasi item AlternateShell di registry pada key HKEY_LOCAL_MACHINE\SYSTEM\Current ControlSet\Control\SafeBoot\AlternateShell. Nilai dari item ini diarahkan kepada file induk yang ada di \WINDOWS\st4rg4tE.exe.

Dengan memanfaatkan registry yang menyimpan settingan Just-In-Time Debugging, virus ini mengubah nilai dari setingan tersebut yang diarahkan kepada file induk \WINDOWS\sys-tem32\winlop.scr. Artinya, saat terjadi crash pada suatu aplikasi, maka file virus akan dijalankan.

Shell Extension
Virus ini hampir menginfeksi setiap celah yang ada. Buktinya, setting-an registry yang mengatur masalah shell extension ia infeksi juga. Beberapa extension yang diubah setting-annya adalah exe, lnk, pif, bat, com, inf, vbs, ini, dan reg. Jadi, saat Anda mengklik atau mengeksekusi file dengan extension itu, yang kali pertama dieksekusi oleh Windows adalah virusnya sendiri, lalu oleh sang virus di-redirect atau dialihkan menuju file asli. Tapi sayangnya, sepertinya virus ini terkadang gagal untuk mengalihkan kepada file aslinya. Akibatnya, saat mengek-sekusi suatu program, seolah-olah tidak terjadi apa-apa. Jadi, saat komputer terinfeksi oleh virus ini, hampir kita tidak dapat menjalankan program-program yang ada.

Tidak hanya itu, untuk lebih mempersulit korbannya, ia pun mengubah default icon dari registry terhadap file–file dengan extension txt, jpeg, mpeg, mp3, dll, exe, dan inf. Jadi, semua file dengan extension ini akan ber-icon-kan mirip folder. Semakinsulit membedakannya, bukan?

Type Information dari sebuah directory seharusnya berupa “File Folder”, namun ia mengubahnya menjadi “stargate”. Sementara untuk file.inf dan .exe ia mengubah tipe informationmenjadi “File Folder”.

Blok Antivirus!
Untuk dapat bertahan hidup, tentunya ia harus bertahan membela diri agar tidak dengan mudah dimusnahkan oleh sang user. Maka dari itu, ia menghalau setiap program dengan nama file msconfig.exe, Avguard.exe, Winzip.exe, Winrar.exe, attrib.exe, PCMAV-CLN.exe, PCMAV-RTP.exe, killvb.exe, Zanda.exe, Zlh.exe, Nvccf.exe, Nvcoas.exe, dan masih banyak lagi yang lainnya. Ia melakukannya dengan cara menambahkan nama-nama file tersebut pada registry HKEY_LOCAL_MACHINE\SOFTWARE\ Microsoft\Windows NT\Current Version\Image File Execution Options\ dan HKEY_LOCAL_ MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies \Explorer\DisallowRun\.

Restriction
Itu saja belum cukup. Karena Stargate juga akan melakukan pemblokiran terhadap beberapa fitur Windows yang dirasanya dapat mengancam kelangsungan hidup sang virus. Di antaranya adalah mematikan Command Prompt, meniadakan fungsi Find/Search, mematikan Task Manager, Registry Editor, dan juga System Restore.

Untuk setting-an Folder Options pun ia ubah, yakni dengan menyembunyikan setiap extension dari file yang dikenalnya dan menyembunyikan setiap file dengan attribut hidden dan system.Dan jika sang user memaksa untuk mengubahnya melalui menu Folder Options, dengan sigap sang virus akan men-shutdown komputer-nya.

Duplikat
Tidak membutuhkan waktu lama bagi Stargate untuk beranak-pinak dalam komputer korban. Karena hanya sesaat saja, virus ini sudah memakan banyak space harddisk di komputer korban. Karena ia akan membuat duplikat dari setiap nama folder ataupun beberapa file yang ditemuinya, bahkan hingga ke Start Menu. Akibatnya, komputer akan dibanjiri dengan file ber-icon-kan folder. Virus ini pun akan menguras resource dari processor, hingga operating system ataupun aplikasi yang dijalankan akan terasa lama sekali.

Infeksi Flash Disk
Penyebaran utama virus ini masih mengutamakan media penyimpan data seperti flash disk. Ia akan men-search pada komputer korban drive berupa removable drive, jika ditemukan,maka ia akan meng-copy-kan dirinya ke drive tersebut dengan nama DCIM.exe, serta membuat file autorun.inf agar ia dapat aktif otomatis ketika user mengakses drive tersebut. Selain menggunakan flash disk, ia pun mencoba mencari sharingfolder yang ada di jaringan tempat komputer korban terhubung untuk diinfeksi.

Pesan Virus
Untuk memberitahukan akan kehadirannya, virus ini membuat file pada direktori Windows dengan nama St4rgt.html, lalu ia mengubah nilai dari HKEY_CURRENT _USER\Software\Microsoft\Internet Explorer\Main\Start Page agar menuju ke file tersebut. Ini mengakibatkan, saat user mengakses Internet Explorer, maka halaman pertama yang muncul adalah isi dari file St4rgt.html.

Memberantas Stargate
Entah kenapa masih banyak yang terkecoh antara virus yang menyerupai folder dan folder asli. Sebenarnya, hanya dibutuhkan kejelian untuk membedakannya. Agar lebih mudah, disarankan mode tampilan Windows Explorer Anda menggunakan Details (View -> Details). Dengan model tampilan seperti ini, akan terlihat bahwa file virus yang menyamar sebagai folder akan memiliki ukuran file, sementara untuk folder asli tidak.

Memang, virus ini menghalalkan segala cara untuk melumpuhkan targetnya. Hampir user dibuat tak berkutik karena segala sektor Windows ia serang. Namun, ini bukan berarti tidak ada jalan untuk memberantasnya karena Anda cukup menjalankan PCMAV yang telah disempurnakan ini. Namun sebelumnya, Anda harus me-rename file dari PCMAV misalnya dari PCMAV-CLN.EXE menjadi 123456.EXE. Lalu, klik kanan file PCMAV tersebut dan pilih “Run as...”, dari sini menjalankannya sebagai Current User dan nonaktifkan centangan () pada “Protect my computer and data from unauthorized program activity”. Lakukan scanseperti biasa, dan biarkan PCMAV sendiri yang memberantas virus tersebut hingga tuntas. Selama PCMAV bekerja, disarankan untuk tidak menggunakan komputer Anda terlebih dahulu hingga proses clean selesai agar virus tidak kembali aktif.

Sumber : PC Media

0 komentar:

Posting Komentar