Selasa, 17 November 2009
Akhir-akhir ini memang bermunculan virus/worm dengan ukuran besar, bahkan hingga bermega-mega. Mungkin dengan maksud agar mempersulit pendeteksian oleh antivirus dengan membuat file virus yang besar, dengan harapan akan di-bypass oleh antivirus. Disamping itu, sebenarnya dengan ukuran yang semakin besar itulah akan menghambat kinerja dan kecepatan sang virus. Mungkin karena sekarang dirasa media-media penyimpanan data ataupun memory bukan suatu barang mahal lagi, jadi ukuran file atau kecepatan bukan lagi halangan.
18 Kb atau lebih tepatnya 18.432 bytes terbilang kecil untuk sebuah virus yang dibuat menggunakan bahasa tingkat tinggi. Yang dalam hal ini, virus dibuat menggunakan Visual Basic yang di-compile menggunakan metode P-Code. Ukuran tersebut juga sudah dalam kondisi di-pack menggunakan UPX, yang jika di-unpack ukurannya menjadi sekitar 80 Kb. Virus ini menggunakan icon mirip document Microsoft Word untuk menipu mangsanya. Selain Hatred, virus ini dikenal juga sebagai Trojan.Autorun, VB, atau Karan. Virus ini memang bukanlah virus keluaran baru, tapi trik-trik yang digunakan cukup banyak dan menariknya ukurannya terbilang kecil.
File Induk Acak
Saat dieksekusi pertama kali, virus ini akan membuat beberapa file induk dibeberapa tempat. Yakni, pada direktori Windows System32 dengan nama file seperti otepad.scr, System.exe, dan System.exe, ketiga file tersebut dalam kondisi attribute hidden. Dan pada direktori Windows, juga terdapat banyak sekali file duplikat virus dengan berbagai macam nama, seperti Air putih.exe, Susu.exe, Darmajaya dot ac dot id maju terus.exe, Empat Sehat Lima Sempurna.exe, Ikan.exe, Kampus – Kos, bolak balik enak juga.exe, Isass.exe, Makan makanan sehat.exe, Nasi.exe, Oncom.exe, Susu.exe, cvchost.exe, Tahu.exe, Tanjung Karang – Rajabasa, pulang pergi cape deh.exe, Telur.exe, Tempe.exe, dan UniLa dot ac dot id is the best.exe. Juga terdapat satu file batch dengan nama Heatred.bat. Nama virus yang ia gunakan memang bermacam-macam, dan dipilih secara acak dari daftar lengkapnya yang terdapat dalam tubuh virus tersebut. Dan untuk menghindari dari user, folder Windows ia beri atribut hidden, begitu pula dengan beberapa file induknya di dalamnya.
Untuk di root drive, ia juga menaruh bebrapa file duplikatnya, dengan nama: cara itu mencari pacar.scr, Jawaban tugas no 46.exe, rahasia.exe, Sepi.exe, dan copy-a dari file msvbvm60.dll. Serta terdapat juga file autorun.inf, dan desktop.ini. Bersamaan dengan itu ia ciptakan juga sebuah folder dengan nama FOUND. Di dalam folder tersebut terdapat file Folder.htt dan Sepi.exe.
Maksud dari file autorun.inf adalah untuk menjalankan secara otomatis file virus ketika user mencoba untuk mengakses drive yang dipasangi oleh file autorun tersebut. Sama kegunaannya dengan file desktop.ini. File desktop.ini akan memanggil file folder.htt yang ada didalam folder FOUND, dan akan menjalankan script yang ada di dalam file folder.htt untuk menjalankan file virus, yakni Sepi.exe. Hal seperti ini sekarang sudah seperti standar operation procedure (SOP) pada virus-virus local yang bermunculan saat ini menggunakan trik autorun seperti ini.
Modifikasi Registry
Untuk dapat aktif otomatis ia membutuhkan registry untuk meregister dirinya agar dikenali oleh Windows dan dapat dijalankan otomatis pada saat memulai Windows. Di HKEY_CURRENT_USER\Software\Microsoft\Windows\Current\Version\Run\,virus ini membuat sebuah item baru dengan nama svchost. Yang diarahkan ke file induknya di \windows\svchost.exe. Awas jangan tertipu, ia menggunakan nama yang sama dengan file executable milik Windows. Di HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\, ia menciptakan item dengan nama Isass, yang diarahkan ke file induknya yang ada di \windows\Isass.exe.
Windows Explorer yang merupakan shell default milik Windows juga ia ubah dengan memberikan parameter berupa nama file virus di akhirannya. Hal tersebut juga dialami oleh registry Userinit. Ini juga menyebabkan virus dapat running otomatis.
Untuk dapat bertahan hidup, ia men-disable beberapa fitur maupun program bawaan Windows. Seperti contohnya Folder Options. Menu Folder Options tidak akan tampak pada Windows Explorer -> Tools. Jikalau pun user berhasil menampilakan kembali Folder Option tersebut, menu didalamnya juga akan ada beberapa yang hilang, yakni menu “Hidden files and folders”, “Hide extension for known file types”, serta “Hide protected operating system files”. Selanjutnya, ia pun men-setting folder options untuk tidak menampilkan file ber-attribut hidden dan system, serta menyembunyikan extension file yang dikenal oleh Windows.
Selain itu, beberapa tools bawaan Windows juga ikut disingkirkan olehnya, seperti fasilitas find/search, run, command prompt, task manager, system restore, dan tak lupa regedit, juga tidak dapat diakses.
Kill Antivirus
Aplikasi yang dianggap mengancam kelangsungan hidupnya, tidak lain adalah antivirus, akan coba ia kacaukan. Saat kita menginstal antivirus, maka antivirus tersebut juga akan menyimpan sebagian konfigurasinya di registry. Maka dari itu, virus ini mencoba mengacaukannya dengan cara menghapus key yang berkaitan dengan antivirus tersebut. Key tersebut, antara lain seperti Sophos, GriSoft, FRISK Software International, Computer Associates, Panda Software, H+BEDV, KasperskyLab, Symantec, McAfee, TrendMicro.
Tidak hanya antivirus saja, tapi juga beberapa aplikasi lain tidak boleh dijalankan. Ia mempunyai data aplikasi terlarang pada tubuhnya, seperti config, folder, option, system, properties, Watson, remov, search, police, group, repair, asmbl, debug, panda, command, prompt, machine, syman, trend, grisoft, create, winamp, wmplayer, mplayerc, jetaudio, quick, dan player. Jadi yang ia lakukan adalah membaca caption setiap aplikasi yang running, apabila terdapat caption yang mengandung salah satu dari string tersebut, dengan segera aplikasi tersebut akan ia close secara paksa.
Menu Scan Virus
Saat menginfeksi flash disk, ia akan membuat beberapa file seperti Sepi.exe, rahasia.exe, Autorun.inf, Desktop.ini, Folder.htt, sebuah folder dengan nama FOUND, serta beberapa nama file lainnya dengan menggunakan nama yang ada pada kumpulan database-nya secara acak. File autorun.inf telah ia rancang agar memudahkan virus tersebut untuk dapat running. Salah satunya adalah dngan memanipulasi autorun.inf, sehingga pada saat user mengklik drive tersebut akan terdapat sebuah menu bar baru lagi dengan nama “Scan virus…”, hati-hati, jika anda mengklik menu tersebut, virus ini akan aktif.
Dan jika menit menunjukkan 0 dan detik juga 0, maka virus ini akan mencoba meng-copy-kan dua buah file dengan nama curhat.exe dan rahasia.exe ke drive A:\.
User Account Baru
Pada komputer terinfeksi, user juga tidak akan bisa melakukan copy-paste, karena apapun yang di-copy, yang muncul adalah teks “Di mana diri mu teman-teman? Berikan aku kasih sayang kalian untuk kelangsungan keberadaan ku! –Need LOVE for my live-“.
(Gambar) Pesan yang akan muncul ketika melakukan Paste.
Terakhir jika tanggal di komputer terinfeksi adalah 5, 10, 15, 20, 25, atau 30, virus ini akan menciptakan sebuah file dengan nama Pesan.rtf. Dan pada tanggal 15, ia akan menjalankan file Hatred.bat yang telah ia buat sebelumnya. File batch ini berisikan instruksi untuk membuat user account baru di Windows anda. User baru tersebut bernama Hatred.
Sumber : PC Media
