Kamis, 12 Maret 2009

PERKEMBANGAN VIRUS DI INDONESIA

Perkembangan Virus Lokal di Indonesia

Tidak seperti team sepakbola yang tidak mampu berbicara banyak di level regional dan terkadang atlit sepakbola malah memperlihatkan bakat lain di lapangan sepakbola seperti bakat taekwondo (menendangi wasit) dan bakat boxing (meninju lawan mainnya). Maka virus lokal di Indonesia sudah mampu menjadi tuan di rumah sendiri dan berbicara cukup nyaring di negara-negara lain. Jika sebelum tahun 2005, kiprah virus lokal masih “nyaris tak terdengar” dan tahun 2006 merupakan tahun virus lokal Indonesia merajai penyebaran virus di tanah air. Maka tahun 2007 trend tersebut makin menjadi-jadi. Sampai bulan April 2007, virus yang di”impor” oleh Indonesia adalah Viking / Looked.PE yang berasal dari Cina dan dibuat untuk mencuri data game online dan beberapa virus yang menyebar melalui email. Tetapi secara umum, masalah virus utama yang dihadapi oleh komunitas pengguna komputer di tanah air adalah virus lokal. Kreativitas pembuat virus lokal sangat tinggi, walaupun senjatanya terbatas dan hanya mampu melakukan pemrograman dengan Visual Basic, namun 1001 akal digunakan untuk menutupi kelemahan Visual Basic ini dan beberapa aksi baru dan orisinal dikeluarkan seperti membuat virus otomatis berjalan setiap kali pengguna komputer mencolokkan Flash Disk pada komputernya. Beberapa virus lain melakukan aksi yang sangat merepotkan dengan mengunci komputer selalu pada menu logon (sekalipun username dan password yang benar sudah dimasukkan) sehingga pembersihan hanya dapat dilakukan menggunakan Mini PE atau melepaskan harddisk korban menjadi slave pada komputer lain. Satu hal yang cukup berbahaya dan patus diwaspadai adalah aksi virus mengubah host file pada komputer korbannya yang jika disalahgunakan dan digabungkan dengan pembuatan website palsu akan mampu menembus pengamanan pada internet banking, sekalipun yang menggunakan T-FA (Two Factor Authentication) atau yang di Indonesia dikenal dengan nama pengamanan Token / kalkulator PIN.



MSVBVM60.DLL

Vaksincom banyak sekali mendapatkan permintaan solusi virus lokal dari Asia Tenggara (Malaysia, Filipina), Eropa (Perancis, Inggris) dan Amerika karena penyebaran virus Indonesia ternyata sudah sampai ke mancanegara dan antivirus dan team supportnya tidak mampu mengatasi aksi yang dilakukan oleh virus lokal yang terkadang membingungkan sekalipun untuk pengguna komputer yang cukup mahir. Pada umumnya virus lokal masih dibuat menggunakan bahasa pemrograman “sejuta umat” Visual Basic dengan beberapa ciri khas dan kelemahan sehingga “relatif” lebih mudah dibasmi jika kita mampu mengakses file utama yang diperlukan untuk menjalankan Visual Basic...... MSVBVM60.DLL. Tetapi, keterbatasan ini tidak menjadikan virus lokal yang dibuat kehilangan gregetnya karena beberapa pembuat virus menyadari kelemahan bahasa Visual Basic ini dan ibarat Rambo yang hanya dibekali dengan pisau belati dan panah dapat mengalahkan musuhnya yang menggunakan senjata api dan helikopter tempur. Pembuat virus dengan Visual Basic ini berusaha mengatasi kelemahan yang ada dengan melakukan backup atas file MSVBVM60.DLL pada direktori lain dan akan melakukan otomatis loading jika MSVBVM60.DLL dihapus. Beberapa programmer yang menguasai bahasa pemrograman lain menggunakan kelemahan ini untuk menyerang virus “saingannya” yang dibuat dengan Visual Basic dengan menghapus file MSVBVM60.DLL dalam aksinya dan menulis virusnya dalam bahasa seperti C++. Ibarat orang Jawa yang selalu berpikiran positif, masih “untung” belum ada programmer Java atau assembly yang “turun gunung” ikut membuat virus mengingat Bahasa Java merupakan bahasa universal yang dapat dijalankan multi platform dan Assembly adalah bahasa dewanya komputer namum sangat sulit dikuasai, tidak seperti Visual Basic yang terkadang proses membuat virus hanya membutuhkan copy and paste coding yang sudah ada dan kompilasi (compile) berkali-kali agar sulit di deteksi program antivirus. Karena kelemahannya yang tergantung pada MSVBVM60.DLL ini, cepat atau lambat cara efektif untuk mengatasi virus yang dibuat dalam bahasa Visual Basic ini akan ditemukan sehingga mayoritas virus lokal yang ditulis menggunakan Visual Basic ini akan mampu diatasi dengan sekali sapu tanpa perlu mengandalkan deteksi sekalipun.



Lagu Wajib

Beberapa aksi “wajib” yang dilakukan virus lokal adalah memalsukan icon virus (application) menjadi icon lain, jika di tahun 2006 icon favorit yang dipalsukan adalah icon MS Word, maka di tahun 2007 terjadi pergeseran dimana icon favorit yang paling sering dipalsukan adalah icon folder. Lebih canggih lagi, virus dengan icon folder yang jika diperhatikan dengan teliti file typenya “application” pada generasi berikutnya ikut sempurnakan menjadi “file folder”.

Beberapa virus yang cukup merepotkan seperti dikemukakan diatas, melakukan aksi dengan mengunci komputer pada menu logon sehingga sekalipun pengguna komputer sudah memasukkan Username dan Password yang benar, komputer tetap akan menolak untuk logon dan tetap meminta username dan password. Celakanya, hal ini tetap terjadi sekalipun komputer di start dalam Safemode atau Safemode with Command Prompt. Untuk memperbaiki masalah ini, cukup repot karena harus mengakses harddisk dari luar OS dan alternatifnya hanya melepaskan harddisk dan menjadikan sebagai slave di komputer lain, atau menggunakan aplikasi independen seperti NTFS for Dos, Bart PE atau Mini PE.

Aksi lain yang menjadi “lagu wajib” virus lokal adalah blok aplikasi maintenance windows yang biasa digunakan untuk menganalisa aktivitas virus seperti blok pada aplikasi Task Manager, Regedit, MSConfig, Command Prompt, Folder Options, System Restore, Notepad, Shutdown, Run, Find, MSI Installer dan Klik kanan mouse. Fitur yang paling sering di aktifkan adalah Folder Options, dimana komputer korban virus akan di set untuk “Do not show hidden files and folders” (selalu menyembunyikan file dan folder hidden, biasanya file sistem) dan karena virus ini memberikan atribut sistem pada filenya sehingga akan ikut disembunyikan (tidak tampak pada Windows Explorer), selain itu fitur “Hide extentions for known type” dan “Hide protected operating system files” juga diaktifkan untuk menyempurnakan penyamarannya.

Selain itu aplikasi sekuriti seperti firewall windows, antivirus favorit dan tools utility independen seperti Process Explorer, I Know Process juga ikut menjadi program favorit yang diblok oleh virus.



Beberapa virus lokal yang paling ganas di kuartal pertama tahun 2007 dan ciri-cirinya

v Babon, 49 KB, mengubah properties dan AM/PM pada jam menjadi tulisan Babon.

v Aksika (4k51k4), 45 KB, membuat backup MSVBVM60.DLL. disable System Restore, aktif di normal mode, Safemode dan Safemode with Command Prompt

v Coolface, 78 KB, virus Bangka yang ditulis dalam bahasa C++ dan berusaha membasmi semua virus Visual Basic dengan menghapus file MSVBVM60.DLL

v KillAV, 22 KB, menyembunyikan semua file MS word dan mengganti dengan dirinya.

v Pendekar Blank, 34 KB, menyembunyikan folder C:\Windows\System32 dan membuat file duplikat sesuai dengan nama folder yang disembunyikan [system32.exe], membackup MSVBVM60.dll di C:\WINDOWS\system32\dllChache, manipulasi file .com dan .txt sehingga setiap kali dijalankan akan menjalankan virus

v Pacaran, 59 KB, mengubah icon file “non virus” di komputer korban menjadi folder dan file type application sehingga dikira virus oleh pengguna komputer dan dihapus (MP3, txt, reg file, jpeg, inf dan exe), membackup dirinya dengan selalu menjaga keberadaan MSVBVM60.dll, manipulasi Host file, menyembunyikan drive dan folder, merubah Type file “File Folder”, MP3, JPEG menjadi W32.Pacaran

v Blue Fantasy, 40 KB, otomatis menginfeksi dari Flash Disk, menyembunyikan folder dan menggantikan dengan file virus duplikat dengan icon folder.


http://vaksin.com/2007/0507/evaluasi1.htm

1 komentar: