Memahami Cara Kerja Virus Dan Malware Serta Pencegahan Terhadap Serangannya | Iksan Komputer

Thursday, July 11, 2019

Memahami Cara Kerja Virus Dan Malware Serta Pencegahan Terhadap Serangannya

Ketika baru saja menghidupkan komputer, muncul kotak pesan berisi curhatan patah hati untuk seorang perempuan. Apa-apaan ini? Komputer Anda mungkin terkena virus, jika mengalami hal tersebut.

Sejak peredaran worm Brontok mulai aktif di masyarakat, tidak sedikit orang yang terkena virus ber-zcow folder itu sering menyebut virus tersebut adalah Brontok. Asumsi ini muncul dikarenakan penampakan dari virus yang menyerang komputer orang tersebut sama dengan Brontok, yaitu mempunyai icon yang sama. Hal ini wajar, mengingat adanya golongan masyarakat yang agak awam terhadap malware, serta dinasti Brontok yang Cukup berhasil mendongkrak popularitas malware di Indonesia. Kesalahpahaman ini pun mulai menjadi sejarah, sejak munculnya informasi-informasi mengenai virus komputer yang beragam di berbagai situs, termasuk Viruslndonesia.com.

Berbagai macam cara dicoba malware untuk mempertahankan eksistensinya di komputer yang telah berhasil diin-feksi. Selain itu, beberapa aksi atau payload dimasukkan ke malware untuk mengungkapkan ekspresi dari si pembuat malware.



Trik Social Engineering

Fenomena umum yang sering dilakukan oleh malware, yaitu membuat dirinya dapat dijalankan oleh pengguna komputer. Mulai dari menggunakan icon folder agar orang mengira icon tersebut adalah folder, menggunakan nama file yang menggoda agar orang tertarik membukanya, sampai memanfaatkan fasilitas yang disediakan oleh Windows.

Icon merupakan ciri khas dari suatu file, folder, dan drive. Icon Internet Explorer identik dengan huruf e kecil berwarna biru. Icon program lain pun umumnya mempunyai icon yang berbeda-beda dengan yang lainnya. Ketika membuat suatu program, programmer dapat mengganti icon program melalui editor yang digunakan sehingga saat proses kompilasi, icon secara otomatis dimasukkan ke suatu bagian pada program tersebut. Jika Anda tidak membuat program, bagaimana mengganti icon dari program? Sebelumnya telah disebutkan kata “suatu bagian”, bagian tersebut adalah resource. Oleh karena itu, untuk mengganti icon pada suatu program dapat diwujudkan dengan cara mengganti resource tersebut. Ada banyak program “icon changer" yang tersedia untuk mengganti icon pada resource program. Teknik mengganti resource inilah yang sering digunakan malware untuk membua: atau menginfeksi file sehingga mempunyai icon yang serupa dengan aslinya. Bagaimana icon dari program asli didapatkan? Icon pada program dapat diekstrak sehingga malware dapat mendapatkan icon tersebut. Anda juga dapat mengeksplorasi resource-resource dari suatu program menggunakan aplikasi open source, seperti XN Resource Editor. ( Baca : Deteksi Virus Menggunakan Engine Heuristik Pada Anti Virus )

Dengan icon palsu, malware menggunakan nama-nama unik untuk mengecoh pengguna komputer. Sebagai contoh program ber-icon mp3 dengan nama file yaitu “shakira waka waka mp3. exe”. Jika konfigurasi Windows tidak menampilkan ekstensi dari tipe file yang dikenali, maka nama file yang terlihat adalah “shakira waka waka .mp3”. Perlu diingat, konfigurasi awal dari Windows, tidak menampilkan ekstensi dari file, yaitu pada Tools I Folder Option I View dan “Hide extensions for known file types” dalam keadaan terpilih. Dengan banyaknya godaan malware menggunakan konsep ini, pengguna komputer pun mengonfigurasi Windows agar menampilkan ekstensi pada setiap file. Sehingga dapat terlihat bahwa ekstensi dari file adalah “.exe”. Pencitraan yang muncul, yaitu program ber-icon mp3 dan berekstensi exe. Orang menyebutnya virus.

Namun, bagaimana jika nama file berupa “shakira waka waka mp3. musiklieurwae.com”. Jika konfigurasi komputer menampilkan ekstensi dari file, maka asumsi yang dicerna otak adalah judul lagu dan situs penyedia lagu. File dibuka dan virus pun beraksi. Sebenarnya, ekstensi file apa saja sih yang perlu diwaspadai? Berikut ekstensi file umum yang serupa dengan ekstensi “.exe”:
  • .bat
  • .scr
  • .com
  • .pif
  • .cmd
  • .Ink
  • .vbs
  • .vbe
  • .hta
Ekstensi-ekstensi file di atas adalah ekstensi dengan format executable atau jenis program. Khusus urutan tiga dari bawah, yaitu ekstensi dengan format script. Jika Anda menemukan file memiliki salah satu dari ekstensi di atas, maka perlu diwaspadai dengan tipu daya virus untuk mengecoh Anda agar menjalankan file tersebut.

Memanfaatkan Registry Windows

Setelah Anda mengubah konfigurasi Folder Option seperti menampilkan ekstensi file, konfigurasi ini disimpan oleh Windows pada file database. Pada Windows XP, Windows Vista, dan Windows 7, file ini disimpan di %SystemRoot%\ System32\Config. %SystemRoot% merupakan lokasi dari folder System32. Untuk memanipulasi registry dapat digunakan program Regedit. Selain itu, ada beberapa cara lain, yaitu dengan memanfaatkan perintah DOS, perintah WMI ataupun perintah API.

Misalnya jika memakai perintah DOS untuk memanipulasi registry, yaitu dengan menggunakan perintah REG. Anda bisa mengetikkan “REG/?” untuk menampilkan cara penggunaan perintah tersebut. Berikut contoh kode membuat registry:

reg add “hkcu\softwareXmicrosoft\in-ternet explorer\main” /v “startpage” /d “http://ivwiv.google.com” /f.

Buka CMD dan ketikkan kode di atas. Efek dari kode tersebut, yaitu ketika membuka Internet Explorer maka alamat awal dari situs yang dibuka yaitu google.com. Banyak malware yang memakai konsep sama dengan kode ini dan tak lupa juga, judul dari jendela Internet Explorer pun dapat diubah juga melalui registry. ( Baca : Cara Menghapus Dan Membersihkan Virus LUCU.C )

Bisa dibilang registry sering digunakan malware untuk menjalankan rutinitasnya. Mulai dari menampilkan pesan saat komputer baru dihidupkan, sampai memblok aplikasi sekuriti seperti Task Manager dan sebagainya.

Auto Startup

Auto startup merupakan istilah yang digunakan untuk menjalankan program saat komputer baru dihidupkan atau selesai booting. Malware pun memakai teknik ini agar tetap aktif, demi melancarkan aksinya. Registry pun dapat dimanfaatkan untuk melakukan auto startup. Berikut cara yang sering dilakukan malware agar aktif di komputer:

• Run

Tepatnya di HKEY_CURRENT_USER\ Software\Microsoft\Windows\Cur-rentVersionVRun atau pun HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run. Perbedaan HKEY_CURRENT_USER dan HKEY_LOCAL_MACHINE, yaitu HKEY_CURRENT_USER merupakan konfigurasi untuk user yang sedang logon, sedangkan HKEY_LOCAL_MA-CHINE merupakan konfigurasi umum untuk seluruh user.

Silakan Anda buka Regedit dan masuk ke lokasi di atas. Pada bagian kanan, merupakan bagian dari daftar-daftar program yang aktif setelah booting. Untuk menambah daftar ini, klik kanan pada key Run, pilih New I String Value. Muncul item dengan nama “New Value #1”. Klik dua kali pada item tersebut dah ubah nilainya menjadi lokasi dari suatu program. Restart komputer dan program tersebut akan aktif setelah booting. Beginilah konsep yang digunakan malware untuk aktif.

• Screensaver

ScreenSaver merupakan program komputer yang digunakan untuk menghindari monitor dari kerusakan akibat penggunaan pixel yang terus menerus. Meski saat ini ScreenSaver sering digunakan untuk bergaya atau pengaman komputer, namun fitur ini pun dimanfaatkan malware agar dapat aktif pada suatu komputer. Dengan mengubah nilai dari key SCRNSAVE.EXE di HKEY_ CURRENT_USER\Control Panel\Desk-top menjadi berisi lokasi malware, maka malware bisa menyamar sebagai ScreenSaver. Cukup unik, bukan?

Payload Malware

Mungkin saja pembuat malware lokal adalah seorang pujangga atau mungkin seorang aktivis. Hal ini mengingat banyaknya payload dari malware yang berupa pesan berisi puisi cinta, bahkan keluh kesal tentang situasi nasional. Rutin yang biasa dilakukan malware, yaitu menampilkan pesan setelah booting. Untuk menampilkan pesan pun ada banyak caranya, salah satunya dapat dengan memanfaatkan registry Windows. Dengan memanfaatkan lokasi di
HKEY_LOCAL_MACHINE\ SOFTWARE\Microsoft\Windows NT\ CurrentVersionYWinlogon
Malware menambah key LegalNoticeCaption dan key LegalNoticeText. LegalNoticeCaption berisi judul dari kotak pesan, sedangkan LegalNoticeCaption merupakan isi dari pesan yang ditampilkan.

Sampai saat ini, bisa dikatakan banyak trik untuk mengubah perilaku Windows, cukup dengan bersinggungan dengan registry.

Memblok Program

Agar tetap eksis, malware mencoba memblok aplikasi securiti agar tidak dapat dideteksi.

•    Image File Execution Options

Coba Anda masuk ke
HKEY_LOCAL_ MACHINE\SOFTWARE\Microsoft\ Windows NT\CurrentVersion\Image
File Execution Options, klik kanan di key Image File Execution Options, dan pilih New I Key. Isi dengan nama Note-pad.exe. Klik kanan pada key Notepad, exe dan pilih New I String Value. Rename item yang baru terbuat dengan nama “Debugger”, dan isi nilai dari item tersebut dengan lokasi program lain, misalnya “C:\Program FilesUnter-netExplorer\Iexplore.exe” (tanpa kutip dua). Jalankan Notepad, dan ternyata yang muncul adalah program Internet Explorer.

Image File Execution Options sering digunakan malware untuk memblok aplikasi antivirus, misalnya dengan membuat nama key berupa PCMAV. exe. Oleh karena itu, dengan mengganti nama file dari aplikasi antivirus dapat mencegah antivirus terblok atau malah dapat menjalankan malware tersebut.

•    Send Message

SendMessage merupakan fungsi API yang dapat digunakan untuk mengirim perintah terhadap suatu window. Sebagai contoh, berikut contoh sederhana menutup program berdasarkan judul window menggunakan VB6:
Dalam keadaan Task Manager sedang aktif, jika menekan tombol, maka Task Manager akan tertutup.

• Policy

Windows menyediakan pengaturan pada setiap user login. Pengaturan ini dapat diatur melalui Local Group Policy Editor atau lebih dikenal dengan nama gpedit.msc. Dikarenakan Windows menyimpan konfigurasi di registry, maka dengan memodifikasi registry, kebijakan atau policy pun dapat diubah. Hal ini dimanfaatkan oleh malware untuk memblok beberapa program agar tidak dapat dijalankan, misalnya Regedit, CMD ataupun Task Manager. Untuk mengizinkan dan memblok Task Manager, berikut lokasinya:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersionXPolicies\System.
Klik kanan pada key System dan pilih New I DWORD (32-bit) Value. Isi dengan nilai 1 untuk memblok Task Manager dan nilai 0 untuk mengizinkan Task Manager.

•    Mematikan Proses

Untuk mematikan suatu proses, malware dapat menggunakan berbagai macam cara. Cara yang paling mudah dengan menggunakan perintah DOS “TASKKILL”.

Berikut contoh perintah untuk mematikan proses Notepad.exe:

Penyebaran

•    Autorun

Seakan-akan kewajiban dari malware produksi lokal, yaitu dengan menyebar melalui removable media alias flash disk. Penyebaran ini diharapkan berjalan lancar, dengan memanfaatkan fitur Windows yang bernama Autorun. Pada Windows XP Anda, masukkan DVD maka Windows akan menampilkan pilihan untuk menjalankan isi dari DVD. Hal ini juga dapat terjadi pada flash disk. Salah pilih, maka malware pun aktif di komputer Anda. Begitu juga saat mengakses drive, dapat memicu malware aktif melalui fitur Autorun. Hal teraman, yaitu dengan mematikan fitur Autorun.

Autorun dapat diblok dengan cara menghapus key Autorun.inf di: HKEY_ LOCAL_MACHINE\SOFTWARE\ MicrosoftYWindows NT\CurrentVersion\IniFileMapping\ atau memberi nilai di key tersebut dengan “@SYS: DoesNotExist”.

• Internet Messenger

Internet Messenger terfavorit mungkin Yahoo! Messenger. Malware pun tidak tinggal diam dalam melebarkan sayapnya dengan menggunakan Yahoo! Messenger. Bagaimana malware menyebar melalui Yahoo! Messenger? Sekitar tiga tahun lalu, Anda mungkin sering mendapatkan pesan berisi link download dengan bahasa Vietnam. Worm tersebut dibuat menggunakan bahasa pemrograman Autolt. Berikut petikan dari source code worm yang menyebar melalui Yahoo! Messenger:
Konsep yang digunakan cukup sederhana, yaitu mencari handle window dari Yahoo! Messenger, mengaktifkan window tersebut, kemudian bermain-main dengan mengirim ketikan ke window yang dituju. Jika Anda dikonfirmasi oleh teman Anda atau melihat aktivitas Yahoo! Messenger yang aneh, dengan mengganti program selain Yahoo! Messenger atau menggunakan layanan berupa web, akan dapat mencegah worm semakin menyebar.

Teknik Bersembunyi

Berbagai macam cara pun dilakukan malware agar tidak dapat diketahui lokasi dari dirinya. Baik dengan mempunyai nama file yang tidak mencurigakan, bahkan sampai membuat proses yang tersembunyi.    .

• Rootkit

Untuk menyembunyikan prosesnya atau dapat juga disebut teknik rootkit, malware dapat mengubah struktur EPROCESS. Setiap proses memiliki EPROCESS masing-masing. Untuk EPROCESS yang normal, silakan lihat pada gambar

5.    Sedangkan EPROCESS yang telah dimodifikasi dapat dilihat pada gambar
EPROCESS yang telah dimodifikasi
Gambar 6. Tampilan EPROCESS yang telah dimodifikasi.
6.    Pada gambar 6 terlihat, EPROCESS di tengah tidak terhubung pada rangkaian atau link list. Oleh karena itu, proses yang memilik EPROCESS tersebut tidak akan terlihat lagi. Untuk mengubah struktur ini, dapat dilakukan dengan mudah di Windows XP. Hal ini dikarenakan masih kendornya beberapa aturan di XP, dibandingkan Vista dan 7.

Selain dengan menyelami EPROCESS, untuk menyembunyikan proses juga dapat dilakukan dengan teknik hooking. Tidak hanya proses saja yang dapat disembunyikan, file atau pun registry juga dapat disembunyikan dengan teknik hooking ini.

Apa itu hooking? Hooking merupakan cara yang dapat memanipulasi cara kerja Windows. Sebagai contoh, ketika Anda menekan tombol End Process pada Task Manager, maka Windows akan memanggil fungsi TerminateProcess untuk mematikan program yang dipilih. Dengan adanya hooking ini, fungsi TerminateProcess dapat diblok atau bahkan diatur untuk memanggil fungsi lainnya. Kesimpulan

Maraknya aksi yang dilakukan malware, khususnya buatan lokal, dapat mengganggu bagi pengguna komputer. Untuk melakukan rutinitasnya, malware banyak memanfaatkan penggunaan dari registry. Oleh karena itu, salah satu cara untuk memperbaiki fitur-fitur Windows yang hilang seperti Task Manager yang ‘tidak bisa dibuka, dengan mengembalikan atau rae-reset nilai registry ke keadaan semula. Tentu saja, sebaiknya dengan membersihkan proses malware terlebih dahulu, baik secara manual ataupun pembersihan dengan menggunakan antivirus yang mempunyai fitur pembersihan terhadap registry juga.

Dengan tulisan ini, semoga Anda tidak lagi bingung memahami cara kerja malware.

Memahami Cara Kerja Virus Dan Malware Serta Pencegahan Terhadap Serangannya Rating: 4.5 Diposkan Oleh: rosari J

0 comments:

Post a Comment