Menipu, masih merupakan cara paling favorit yang dilakukan oleh virus-virus lokal dalam menggaet mangsanya. Tapi, masa sih hare gene masih ketipu sama virus? Ikuti kiat mengenalinya! Arief Prabowo
“WAH,
ada lagu Agnes Monica yang “Matahariku””, sahutDencu. Karena itu lagu
kesenangannya, tanpa ragu ia punlangsung menjalankannya dengan cara
mengklik ganda filetersebut. Namun apa yang terjadi, bukan lagu Agnes
yang iadapatkan, tapi semua file MP3 beserta file video kesayangan
miliknya hilang dalam sekejap. Kok bisa? Itu salah satu tandanya telah
terinfeksi oleh Virgear.
Tipuan Virgear
Virgear
memang virus biasa saja, artinya ia tidak memiliki teknikinfeksi yang
kompleks seperti halnya yang dilakukan virus lama Brontok maupun Maxtrox
yang baru–baru ini menyebar.
Virgear
dibuat menggunakan Visual Basic. Sampai tulisan ini dibuat, terdapat
tiga varian dari Virgear yang kami dapat. Varian pertama yang kami
temukan memiliki ukuran fi le sebesar 16.896
bytes, yang kemungkinan besar di-pack menggunakan UPX dan di-scramble
untuk menyembunyikan identitas dari packer yang digunakan. Yang kedua,
memiliki ukuran fi le sebesar 49.152 bytes, murni tanpa di-pack. Dan yang ketiga, atau Virgear.C, memiliki
ukuran sebesar 19.968, yang juga kemungkinan besar di-pack menggunakan
UPX dan di-scramble seperti halnya varian pertama.
Yang
akan coba dibahas kali ini adalah varian Virgear.A. Walaupun sebenarnya
perbedaan dari setiap varian tidaklah terlalu signifikan, hanya di
nama–nama fi le virus yang digunakan untuk
menyebar. Dan satu hal yang tidak berubah antara varian yang satu dengan
yang lainnya adalah icon yang digunakan. Ia menggunakan icon yang mirip
dengan file .MP3 milik aplikasi WinAmp. Yang dilakukannya ini cukup
banyak menipu para korbannya. Walaupun sebenarnya hal ini tidak perlu
terjadi, jika Anda mampu membedakannya antara file asli dan file virus.
Bersarang di System
Ia
akan meng-copy-kan beberapa file yang merupakan duplikat dari dirinya ke
direktori yang ia beri nama system. Direktori ini terletak di bawah
direktori System32 milik Windows. Pada direktori tersebut akan terdapat
beberapa file dengan nama VirGear.exe, smss.exe, Gazette.exe,
Gazerock.exe, dan Nugen. exe. Direktori system dan kelima file tersebut
ber-attribut hidden dan system, jadi secara setting-an default Windows
tidak akan terlihat oleh kasat mata. Lalu, kelima file itu akan ia jalankan.
Untuk
dapat aktif otomatis, ia membuat beberapa item baru di Registry Run
dengan nama seperti Winamps, Nullsoft, JetAduio, CoolEditV2, dan
AdobeAudition. Nama yang dibuat memang terlihat mirip dengan nama
beberapa aplikasi multimedia. Tentu saja ini bertujuan untuk tidak
membuat user curiga.
Saat
user menjalankan file virus, ia akan mencoba untuk membuka file Clock.avi
yang secara default terletak pada direktoriWindows untuk dijalankan
pada Windows Media Player. Pada rutin virusnya terlihat bahwa fungsi ini
akan diaktifkan apabila virus dijalankan bukan pada direktori induknya,
yakni system.
Matikan UAC
Untuk
melancarkan aksinya ia mengeset registry untuk tidak menampilkan file
hidden dan system, serta menyembunyikan setiap extension yang dikenali
oleh Windows. Selain itu, fungsi windows lainnya seperti System Restore
dan Find/Search juga ia disable. Serta, ia pun mencoba untuk mematikan
UAC (User Account Control) yang ada pada Windows Vista. Walaupun
sebenarnya, virus ini tidak dapat berjalan mulus di Vista pada user
account selain administrator, tentu saja karena terbentur masalah
privilages yang lebih ketat dibandingkan operating system sebelumnya,
terkecuali memang Anda dengan sengaja menjalankan dengan perintah “Run
as administrator”.
Matikan Virus Lain
Untuk
menjadi penguasa tunggal di komputer terinfeksi, ia mencoba untuk
mematikan virus lain dengan memasukkan nama file yang dikenal sebagai
nama file induk virus tersebut pada Registry Image File Execution
Options, seperti kspoold. exe, HokageFile.exe, atau HOKAGE4.exe. Selain
itu, ia pun menambahkan beberapa nama file lain seperti Setup.exe,
In-stall.exe, msiexec.exe, regedit.exe, dan juga nama file antivirus
termasuk PCMAV-CLN.exe dan PCMAV-RTP.exe.
Selain
itu, virus ini juga menghalau user untuk masuk dalam modus safe-mode,
dengan menghapus setingan yang berkaitan ini di Registry.
Timer Penyebaran
Virus
ini memiliki komponen Timer. Salah satunya komponen Timer yang ia
namakan Penyebaran. Timer ini diset untuk memiliki interval sebesar
60000ms. Ia bertugas untuk membuat file induk dan menyebarkan diri ke
setiap drive yang ia temukan, termasuk Remote Drive. Artinya, ia juga
dapat menyerang drive yang di share pada jaringan setempat.
Pada saat menyerang removable drive ataupun remote drive, ia akan menciptakan dua buah fi le
baru dengan nama Autorun.inf dan Winamps.exe dengan attribut hidden dan
system. Selain itu, sebuah direktori baru dengan nama My Music 2008
juga akan diciptakan, pada direktori tersebut akan berisi banyak sekali
file MP3 palsu yang sebenarnya merupakan virus itu sendiri. Nama yang ia
gunakan seperti Agnes_Monica_-_Mataha-riku__Ost._Jelita_.mp3 ,.exe,
Dewiq_feat_Kaka_-_BeTe.mp3,.exe, dan masih banyak lagi yang lainnya. Dan
nama – nama ini yang selalu di-update di setiap varian barunya.
Jika
Anda lebih teliti, terdapat beberapa kejanggalan pada nama file
tersebut. Contohnya pada virus ini, terdapat tanda titik setelah
ekstensi, misalkan “Agnes Monica.mp3.”. Tanda titik tersebut
mengisyaratkan bahwa sebenarnya terdapat extension asli dibelakang
extension tersebut. Secara default Windows, extension asli ini tidak
akan diperlihatkan, apalagi virus ini pun juga mengeset Windows untuk
tidak menampilkan extension asli. Selanjutnya, Anda ubah tampilan
Windows Explorer ke modus Details (View -> Details), di bagian Type
akan terlihat tipedari file tersebut. File MP3 yang asli memiliki Type
contohnya seperti “MPEG Layer 3 Audio File”, “MP3 Format Sound”, atau
sejenisnya. Jika Type nya adalah Application, bisa dipastikan itu adalah
virus. Selain itu, lihat juga tampilan dari fi le
tersebut. Apabila file yang Anda curigai memiliki jumlah spasi yang
sangat banyak terutama di bagian akhir, Anda juga harus waspada, karena
bisa jadi diakhir spasi yang segitu banyak terdapat extension asli virus
yang sebenarnya, misalkan seperti yang dilakukan oleh virus ini
“Dewiq_feat_Kaka_-_BeTe.mp3 [%spasi yang sangat banyak%] ,.exe”.
Terlihat bahwa extension asli file tersebut adalah EXE (executable) dan
bukanlah MP3. Maka dari itu, lebih baik setting-lah Windows Explorer
Anda dengan masuk ke menu Folder Options, lalu memilih “Show hidden files
and folders”, serta menghapus centangan ([1]) pada “Hide extensions for known fi le types” dan “Hide protected operating system fi les (Recommended)”.
Cari dan Hapus!
Beberapa
pembaca mengaku bahwa saat melakukan pembasmian menggunakan PCMAV, ia
menghapus setiap file MP3 yang telah terinfeksi oleh virus ini. Padahal
kenyataan sebenarnya adalah virus ini tidak menginfeksi atau lebih
tepatnya menginjeksi masuk ke dalam file MP3 tersebut. Yang ia lakukan
adalah mencari ke setiap penjuru drive akan keberadaan file MP3, jika ia
menemukannya, maka akan langsung ia hapus dan digantikan dengan file
virus dengan nama yang hampir mirip dengan nama file aslinya. Jadi, file
MP3 Anda yang asli memang benar–benar dihapus oleh virus ini tanpa
ampun. Dan sedihnya lagi, hal ini tidak ia lakukan hanya pada fi le MP3 saja, melainkan juga pada file .3GP, .AVI, .RM, .WMV, .ASF, .MPG, .MPEG, dan .MP4.
Basmi Virgear!
Silakan
gunakan PCMAV yang telah disempurnakan ini. Dan dikarenakan virus ini
dapat memblok PCMAV, Anda diharuskan merename terlebih dahulu file
PCMAV-CLN.EXE sebelum digu-nakan, misalkan menjadi 123456.EXE ataupun
nama lain dengan extension .EXE. Sementara untuk file yang telah
terlanjur dihapus oleh virus ini, segeralah lakukan recovery.