Virus Komputer
Definisi Virus Komputer Virus komputer merupakan program komputer yang dapat menggandakan atau menyalin dirinya sendiri dan menyebar dengan cara menyisipkan salinan dirinya ke dalam program atau dokumen lain. Virus komputer dapat dianalogikan dengan virus biologis yang menyebar dengan cara menyisipkan dirinya sendiri ke sel makhluk hidup. Virus komputer dapat merusak (misalnya dengan merusak data pada dokumen), membuat pengguna komputer merasa terganggu, maupun tidak menimbulkan efek sama sekali.
Cara Kerja Virus Komputer
Virus komputer umumnya dapat merusak perangkat lunak komputer dan tidak dapat secara langsung merusak perangkat keras komputer tetapi dapat mengakibatkan kerusakan dengan cara memuat program yang memaksa over process ke perangkat tertentu. Efek negatif virus komputer adalah memperbanyak dirinya sendiri, yang membuat sumber daya pada komputer (seperti penggunaan memori) menjadi berkurang secara signifikan. Hampir 95% virus komputer berbasis sistem operasi Windows. Sisanya menyerang Linux/GNU, Mac, FreeBSD, OS/2 IBM, dan Sun Operating System. Virus yang ganas akan merusak perangkat keras.Jenis-Jenis Virus
Virus komputer adalah sebuah istilah umum untuk menggambarkan segala jenis serangan terhadap komputer. Dikategorikan dari cara kerjanya, virus komputer dapat dikelompokkan ke dalam kategori sebagai berikut:
- Worm - Menduplikatkan dirinya sendiri pada Hard disk. Ini membuat sumber daya komputer (Harddisk) menjadi penuh akan worm itu.
- Trojan - Mengambil data pada komputer yang telah terinfeksi dan mengirimkannya pada pembuat trojan itu sendiri.
- Backdoor - Hampir sama dengan trojan. Namun, Backdoor bisanya menyerupai file yang baik-baik saja. Misalnya game.
- Spyware - Virus yang memantau komputer yang terinfeksi.
- Rogue - merupakan program yang meniru program Anti Virus dan menampilkan aktivitas layaknya antivirus normal, dan memberikan peringatan-peringatan palsu tentang adanya virus. Tujuannya adalah agar pengguna membeli dan mengaktivasi program antivirus palsu itu dan mendatangkan uang bagi pembuat virus rogue tersebut. Juga rogue dapat membuka celah keamanan dalam komputer guna mendatangkan virus lain.
- Rootkit - Virus yang bekerja menyerupai kerja sistem komputer yang biasa saja.
- Polymorphic virus - Virus yang gemar beubah-ubah agar tidak dapat terdeteksi.
- Metamorphic virus - Virus yang mengubah pengkodeannya sendiri agar lebih sulit dideteksi.
- Virus ponsel - Virus yang berjalan di telepon seluler, dan dapat menimbulkan berbagai macam efek, mulai dari merusak telepon seluler, mencuri data-data di dalam telepon seluler, sampai membuat panggilan-panggilan diam-diam dan menghabiskan pulsa pengguna telepon seluler.
Contoh Virus Komputer
W32/Ramnit aka Win32.Siggen.8
Perhatian para pengguna komputer dalam beberapa bulan terakhir ini banyak tersita pada Stuxnet, Sality, Virut dan Shortcut. Termasuk perkembangan virus lokal yang secara tidak langsung menantang kreativitas programmer-programmer untuk memunculkan program antivirus lokal seperti Artav yang digawangi oleh anak SMP :). Perhatian user yang cukup besar terhadap virus lokal jangan sampai mengakibatkan lengah dengan keberadaan virus mancanegara, seperti salah satu virus yang sedang menyebar saat ini. Virus ini termasuk golongan trojan/backdoor, ia akan aktif jika komputer target terkoneksi internet dan salah satu senjata pamungkasnya yang berbahaya dan membuat pusing pengguna komputer adalah melakukan download virus lain. Hebatnya, nama dan jenis virus yang didownload akan berbeda-beda untuk setiap komputer target baik dari nama maupun ukurannya, hal inilah yang menyebabkan banyak program antivirus sekalipun kesulitan untuk melakukan deteksi dan pembersihan. Jika file tersebut berhasil di download, maka secara otomatis akan di aktifkan di komputer dan melakukan serangkaian kode jahat yang sudah ditanam didalam tubuhnya.
Secara umum virus ini cukup merepotkan, ia akan selalu melakukan koneksi ke internet untuk memanggil alamat website yang sudah ditentukan yang akan ditampilkan secara terus menerus sehingga mengakibatkan komputer menjadi lambat pada saat di akses, terlebih virus ini akan menginjeksi file yang mempunyai ekstensi EXE, DLL dan HTM/HTML baik berupa file program maupun file system Windows sehingga diperlukan langkah pembersihan khusus.
Ciri dan gejala
Berikut beberapa ciri dan gejala jika komputer terinfeksi virus W32/Ramnit (Win32.Siggen.8)
- Akan menampilkan aplikasi Internet Explorer yang berisi penawaran atau iklan investasi, game dan program-program promosi (terkadang menampilkan iklan porno) dalam jumlah yang banyak secara terus menerus selama komputer terkoneksi internet sehingga menghabiskan banyak bandwidth untuk iklan yang ditampilkan dan mengakibatkan akses internet menjadi lambat (lihat gambar 1).
 |
 |
Gambar 2, Icon USB Flash yang diubah W32/Ramnit (Win32.Siggen.8 ) |
 |
| Gambar 3, Blok akses USB Flash |
4. Muncul pesan “Compressed (zipped) Folders” pada saat mengakses Flash disk (lihat Gambar 4)
5. Muncul banyak file dengan nama file “Copy of Shortcut to (1).lnk” s/d “Copy of Shortcut to (4).lnk” di USB Flash. (lihat gambar 5)
 |
| Gambar 5, File virus yang di drop oleh virus di USB Flash 6. Salah satu hal yang unik dan membuat virus ini sangat mudah aktif dan sulit dibasmi adalah setiap kali user melakukan klik kanan, selain menampilkan menu klik kanan, secara tidak langsung pengguna komputer juga menjalankan virus ini. Ciri-ciri file induk virus Sebagai informasi, virus ini akan menyebar menggunakan Removable media (USB Flash) dengan memanfaatkan fitur autorun Windows. Agar virus dapat aktif secara otomatis, ia akan membuat file autorun.inf, selain itu ia akan membuat 4 (empat) buah file shortcut dengan nama ”Copy of Shortcut to (1).lnk” s/d “Copy of Shortcut to (4).lnk”. Jika user menjalankan salah satu ke 4 file shortcut tadi maka secara otomatis akan menjalankan file virus yang sudah dipersiapkan di direktori [%USB Flash%:\RECYCLER\%nama_acak%.exe]. Virus ini juga akan menginjeksi file yang mempunyai ekstensi EXE, setiap file EXE yang terinjeksi akan mempunyai ukuran 107 KB lebih besar dari ukuran asalnya. Pada saat menjalankan file EXE yang sudah terinjeksi maka virus akan membuat file duplikat yang di simpan di direktori sama dengan format %nama_file_asal%mgr.exe (contohnya: jika user menjalankan file yang sudah di injeksi dengan nama ”ATF-Cleaner.exe” maka akan muncul file duplikat virus dengan nama ”ATF-Cleanermgr.exe” dengan ukuran 105 kb, file duplikat ini dideteksi sebagai Trojan.Packed.21232.  Gambar7, Contoh file asli (sebelum injeksi), setelah injeksi dan file duplikat virus Pada saat user menjalankan file tersebut, virus akan melakukan sinkronisasi ke beberapa alamat IP yang sudah dipersiapkan untuk mendownload file atau virus lain untuk dijalankan di komputer target. File yang di download akan mempunya nama file dan ukuran yang berbeda-beda, jadi antara komputer target yang satu dengan yang lain akan mempunyai nama file induk yang berbeda-beda. Berikut beberapa contoh file induk Win32.Siggen.8
· %xx%.exe, dimana %xx% adalah acak
Catatan: %xx% dan %yy% ini berbeda-beda, contohnya : Nh0.exe, Nh1.exe, Nh2.exe, Nhz.exe dengan menggunakan icon “Adobe Player Setup” dengan ukuran yang berbeda-beda (lihat gambar 8)  Gambar 8, File induk virus File ini di deteksi oleh Dr.Web anti-virus sebagai Win32.Siggen.8
· %xx%.exe, dimana %xx% adalah acak (terdeteksi sebagai Trojan.Packed.21232)
Catatan: %xx% ini berbeda-beda, contohnya : [Nzazaa.exe dan Nzazab.exe] dengan menggunakan icon “Adobe Player Setup” dengan ukuran yang berbeda-beda (dikenali sebagai Win32.Siggen.8) dan file [Explorermgr.exe] yang merupakan duplikasi file [Explorer.exe] dengan ukuran 105 KB, file ini akan mempunyai icon folder (Trojan.packed.21232) (lihat gambar 9)  Gambar 9, File induk virus
Berupa 3 (tiga) buah file yang digunakan untuk menjalankan file virus yang sudah dipersiapkan sesuai dengan waktu yang telah ditentukan. (lihat gambar 10) Dengan update terbaru Dr.Web antivirus mendeteksi virus ini sebagai Win32.Siggen.8 sedangkan untuk file-file lain dikenali sebagai Trojan.Packed.21232, Trojan.Hotrend.34 atau Trojan.Starter.1602 (lihat gambar 6)  Gambar 6, Hasil deteksi Dr.Web antivirus |
Gambar 10, Task Schedule Win32.Siggen.8
- C:\Windows\System32\ms.dll (Trojan.Starter.1602)
- C:\Windows\System32\dll (Trojan.Hottrend.34)
- C:\Windows\System32\sshnas21.dll (Trojan.Packed.21232)
- C:\Windows\System32\Cheuehyld.dll Trojan.Packed.21232
Setelah ia berhasil menginfeksi komputer, langkah selanjutnya adalah mengifeksi file [C:\Windows\Explorer.exe dan C:\Windows\System32\Winlogon]. Pada saat user menjalankan file [Explorer.exe] maka ia akan membuat file duplikasi yang akan di simpan di direktori sama dengan nama [Explorermgr.exe] dengan ukuran 105 KB. File [Explorermgr.exe] inilah yang nantinya dijadikan sebagai senjata agar dirinya dapat aktif secara otomatis setiap kali user melakukan klik kanan pada file/folder/drive, pada saat melakukan double click USB Flash atau pada saat user menjalankan file [Explorer.exe]. Setelah berhasil menjalankan aksinya, ia akan memanggil file induk lainnya yang ditugaskan untuk aktif di memori, untuk mengelabui user ia kemudian akan memanggil aplikasi [C:\Program files\Internet Explorer\Iexplore.exe]. (lihat gambar 11)
 |
| Gambar 11, proses virus Win32.siggen.8 |
Registri Windows
Untuk memastikan agar dirinya dapat aktif secara otomatis pada saat komputer diaktifkan, ia akan membuat dan merubah beberapa registri berikut:
- HKEY_CURRENT_USER\Software\CE8SIIFGSU
- HKEY_CURRENT_USER\Software\Microsoft\Handle
- HKEY_CURRENT_USER\Software\NtWqIVLZEWZU\%acak%
- HKEY_CURRENT_USER\Software\XML
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SSHNAS
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- CE8SIIFGSU = C:\DOCUME~1\%user%\LOCALS~1\Temp\Nh1.exe
- Microsoft Driver Setup = C:\Windows\ggdrive32.exe
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\\□
Menampilkan website
Komputer yang sudah terinfeksi virus akan selalu melakukan koneksi internet dan memanggil website secara terus menerus dengan isi yang berbeda-beda, koneksi yang dilakukan secara terus menerus ini mengakibatkan komputer menjadi lambat pada saat digunakan. Dalam beberapa kasus virus ini juga menyebabkan “Virtual Memory Minimum Too Low” (lihat gambar 1 di atas dan gambar 12)
 |
| Gambar 12, Virtual memory low |
Injeksi file EXE, DLL dan HTM/HTML
Aksi lain yang akan dilakukan oleh virus ini adalah menginjeksi file yang mempunyai ekstensi EXE, DLL dan HTM/HTML baik file program aplikasi maupun file system Windows. Setiap file yang terinjeksi akan bertambah ukurannya sekitar 107-109 KB.
Pada saat menjalankan file EXE yang sudah terinjeksi maka virus akan membuat file duplikat yang di simpan di direktori sama dengan format %nama file asal%mgr.exe (contohnya: jika user menjalankan file dengan nama ”ATF-Cleaner.exe” maka akan muncul file duplikat virus dengan nama ”ATF-Cleanermgr.exe” dengan ukuran 105 kb. (lihat gambar 7)
Setiap file yang terinfeksi dikenali sebagai Win32.Siggen.8 sedangkan file dupikasi yang dihasilkan dari file yang terinfeksi jika file tersebut dijalankan dikenali sebagai Trojan.Packed.21232
Media penyebaran
Untuk menyebarkan dirinya, ia akan menggunakan USB Flash dengan memanfaatkan fitur autorun Windows dengan membuat beberapa file berikut:
- Autorun.inf
- 4 (empat) buah file shortcut (copy of Shortcut to (1).lnk s.d copy of Shortcut to (4).lnk)
- RECYCLER\%XX%
- %xx%.exe dengan ukuran 105 KB
- %xx%.cpl dengan ukuran 4 KB
Catatan: %xx% adalah folder/file dengan nama acak (lihat gambar 16)
 |
| Gambar 16, File yang dibuat oleh virus |
Jika user menjalankan salah satu file shortcut maka secara otomatis akan menjalankan file virus yang berada di direktori [RECYCLER\%XX% ]
File autorun.inf sendiri berisi script yang akan dijalankan secara otomatis pada saat user akses USB Flash tersebut, script ini berisi perintah untuk menjalankan file yang berada di direktori [RECYCLER\%XX% ] (lihat gambar 17)
 |
Gambar 17, script autorun.inf |
Cara membersihkan W32/Ramnit (Wiin32.Siggen.8)
Seperti yang sudah dijelaskan bahwa virus ini akan menginjeksi file yang mempunyai ekstensi EXE, DLL dan HTM/HTML baik file program maupun file system Windows, oleh karena itu sebaiknya pembersihan dilakukan pada mode DOS. Untuk mempermudah pembersihan silahkan gunakan Windows Mini PE Live CD (silahkan search di Internet). Kemudian download tools Dr.Web CureIt! di alamat berikut dan sebaiknya dilakukan di komputer yang tidak terinfeksi virus. Agar tools Dr.Web CureIt! tidak terinfeksi, sebaiknya di ZIP dan di password.
Silahkan download Dr.Web CureIt! di alamat berikut
1. Agar pembersihan dapat dilakukan ooptimal, sebaiknya scan semua HDD termasuk USB Flash maupun HDD eksternal, hal ini dikarenakan virus ini akaan drop beberapa file di USB Flash atau HDD eksternal.
2. Sebelum melakukan pembersihan sebaiknya blok file duplikat virus dengan menggunakan fitur ”Software Restriction Policies”. Fitur ini hanya ada pada system operasi Windows XP Pro, Vista, 7, Server 2003 dan Server 2008 dengan cara sebagai berikut:
· Klik menu [Start]
· Klik [Run]
· Pada dialog box RUN, ketik SECPOL.MSC kemudian klik tombol [OK]
· Setelah muncul layar ”Local Security Policy”, klik kanan menu [Software Restriction Policies” dan klik ”Create New Policies” atau ”New Software Restriction Policies” jika menggunakan Windows Vista/7
· Kemudian klik kanan pada menu ”Additional Rules”, kemudian pilih ”New Hash Rule...” (lihat gambar 18)
 |
| Gambar 18, blok file virus |
· Kemudian akan muncul layar ”New Hash Rule”. Pada kolom ”File Hash”, klik tombol [Browse] dan tentukan salah satu file duplikasi virus yang mempunyai icon ”Folder” dengan ukuran 105 KB (contoh C:\Windows\Explorermgr.exe) kemudian klik tombol [Open]. Pada kolom ”Security Level”, pilih [Disallowed]. Kemudian klik tombol [OK] (lihat gambar 19)
 |
Gambar 19, menentukan file virus yang akan di blok |
3. Hubungkan USB Flash dan HDD eksternal ke komputer.
