kali ini membahas tentang Virus Generator. Artikel ini dipublikasikan
hanya untuk edukasi saja. Mohon isinya jangan disalahgunakan.!
Masih ingat dengan virus Aksika? Virus “open source” yang satu itu memang
memiliki banyak sekali varian. Tidak heran karena source code-nya memang
disediakan bebas di Internet, jadi siapapun dapat dengan mudah mengubah dan
meng-compile source code-nya dan jadilah varian baru.
Berawal dari kemudahan itulah, banyak virus maker ataupun programer pemula
mencoba–coba untuk membuat virus tanpa perlu repot. Paling yang dibutuhkan
hanyalah pengetahuan seputar operating system dan programming.
Namun kemudahan itu belum seberapa, bila dibandingkan dengan menggunakan
program Virus Generator. Dari namanya saja, kita sudah dapat mengira kegunaan
dari program tersebut. Ya, Virus Generator merupakan program untuk dapat
membuat virus secara mudah dan instan.
Bermula dari sampel sebuah virus yang lumayan banyak dikirimkan oleh pembaca
kepada kami. PC Media Antivirus mengenalnya dengan nama Gen.FFE-Fajar, namun
antivirus lain ada juga yang menyebutnya dengan nama Brontok.D. Dengan
penyelidikan sederhana akhirnya diketahui bahwa virus tersebut dibuat
menggunakan Virus Generator.
Fast Firus Engine (FFE)
Pembuat Generator tersebut menamakan program buatannya itu dengan nama Fast
Firus Engine. Seperti yang terlihat pada program ataupun situs pembuatnya, ia
memberitahukan bahwa program ini hanya untuk tujuan pembelajaran dan tidak
untuk tindakan merusak. Namun tetap saja, bila program ini sudah jatuh ke
tangan yang salah, pasti akan digunakan untuk pengrusakan.
Virus Generator ini dibuat menggunakan bahasa Visual Basic dan di-compress
menggunakan packer tELock. Dalam paketnya terdapat dua buah file, yakni Fast
Firus Engine.exe dan data.ex_. Fast Firus Engine. exe merupakan program utama
dalam pembuatan virusnya dan sementara file data.ex_ sebenarnya merupakan badan
virus asli yang belum di modifikasi.
Saat file Fast Firus Engine.exe dijalankan, maka pengguna akan dihadapkan pada
sebuah interface. Anda hanya disuruh mengisikan nama virus, nama pembuat, dan
pesan-pesannya. Lalu dengan menekan tombol Generate, maka jadilah virus Anda.
Cara kerja dari Generator tersebut sebenarnya sangat sederhana. Ia hanya
menambahkan data yang Anda masukkan tadi ke bagian akhir file virus asli
(data.ex_). Nantinya informasi tersebut digunakan oleh virus dalam proses
infeksi.
Bagaimana Virus Menginfeksi?
Virus hasil ciptaan FFE memang terlihat sederhana. Sama seperti Generatornya,
ia juga dibuat menggunakan bahasa Visual Basic yang di-compile dengan metode
Native- Code. Lalu di compress menggunakan tELock agar ukurannya semakin kecil.
Virus ini memiliki ukuran tubuh asli sebesar 55.296 bytes.
Saat virus kali pertama dieksekusi, ia akan membuat beberapa file induk di
beberapa lokasi. Seperti di direktori \%WINDOWS%\, akan terdapat file dengan
nama.exe, Win32 exe, activex.exe, dan %virusname% (nama virus sesuai yang
diisikan oleh sang pembuatnya pada Generator). Di \%WINDOWS%\ %system32%\ akan
terdapat file copy.pif, _default.pif, dan surif.bin. Selain itu, ia juga
mengubah atau membuat file Oeminfo.ini yang merupakan bagian dari System
Properties. Jadi apabila komputer Anda terinfeksi oleh virus hasil generate
dari FFE, maka pada System Properties akan terdapat tulisan “Generated by Fast
Firus Engine”.
Di direktori \%WINDOWS%\%System%\ akan terdapat beberapa file induk lagi yang
menggunakan nama yang sama seperti file system milik Windows, seperti
csrss.exe, winlogon.exe, lsass.exe, smss.exe, svchost. exe, dan winlogon.exe.
Dan tak lupa, pada root drive pun akan terdapat file dengan nama “baca euy.txt”
yang berisikan pesan–pesan dari si pembuat virus. Jadi pada saat membuat virus
dengan menggunakan Generator tersebut, maka pembuatnya akan disuguhkan beberapa
kotak input, seperti Author of the virus, Name of the virus, dan Messages. Nah,
isi dari kotak messages ini yang nantinya ditampilkan pada file “baca euy.txt”
tersebut.
Setelah virus berhasil meng-copy-kan file induknya ke dalam sistem tersebut, ia
akan menjalankan file induk tadi, sehingga pada memory akan terdapat beberapa
process virus, seperti csrss.exe, winlogon.exe, lsass. exe, smss.exe,
svchost.exe, dan winlogon.exe. Nama process yang mirip dengan process/services
milik Windows tersebut mungkin sengaja untuk mengecoh user. Untuk
membedakannya, Anda dapat melihat path atau lokasi process tersebut dijalankan.
Process virus ini biasanya berjalan di direktori System sementara
process/services milik Windows yang running biasanya berasal dari direktori
System32.
Mengubah Registry
Virus ini menambahkan beberapa item startup pada registry agar pada saat
memulai Windows ia dapat running secara otomatis atau untuk mengubah setting-an
Windows agar sesuai keinginannya. Informasi mengenai registry yang diubahnya
tidak akan dapat dengan mudah kita lihat karena dalam kondisi terenkripsi.
Yang ia ubah adalah seperti nilai dari item Userinit, yakni dengan menambahkan
parameter ke file induk. Pada key HKEY_CURRENT_USER\Software\Microsoft\Windows
NT\ CurrentVersion\Windows\Load juga akan diubah itemnya agar mengarah ke file
induknya dengan nama Activex.exe. Pada HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\Run\ akan terdapat item baru dengan nama present. Key
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ akan terdapat
item baru juga dengan nama Default dan %username%, username di sini merupakan
nama user yang sedang aktif saat itu.
Virus hasil generate dari FFE juga mengubah shell extension untuk file .exe,
yakni dengan mengubah type information dari Application menjadi File Folder.
Setting-an folder Options juga diubah agar tidak menampilkan extension dan
setiap fi le dengan attribut hidden. Dan agar dapat aktif pada safe-mode, ia
pun mengubah nilai dari item SafeBoot.
Dengan menggunakan bantuan registry Image File Execution Options, virus ini
juga menambahkan item baru pada section tersebut dengan nama cmd.exe, msconfi
g.exe, regedit.exe, dan taskmgr.exe. Maksudnya adalah agar setiap user yang
mengakses program dengan nama file seperti itu, maka akan di-bypass oleh
Windows dan dialihkan ke file induk si virus.
Bagaimana Virus Menyebar?
Virus ini dapat menyebar melalui media penyimpan data seperti flash disk. Saat
Anda mencolokkan flash disk pada komputer yang terinfeksi, maka pada
flash disk tersebut akan terdapat beberapa file baru, seperti explorer.exe,
%virusname%.exe, dan msvbvm60.dll. Juga beberapa file pendukung seperti
desktop.ini, autorun.inf agar ia dapat running otomatis pada saat mengakses
flash disk tersebut.
File virus lainnya pun disimpan pada direktori baru di flash disk tersebut
dengan nama Recycled yang berisikan file Firus.pif dan Folder.htt. Kesemua file
virus tersebut dalam kondisi hidden sehingga tidak terlihat.
Cara Virus Beraksi
Untuk dapat bertahan hidup, virus ini pun akan mencoba untuk memblok setiap
program yang tidak ia inginkan seperti tools atau program antivirus termasuk
PCMAV. Sama seperti halnya data registry yang diubah, data mengenai program apa
saja yang diblok olehnya juga terdapat dalam tubuhnya dalam kondisi
terenkripsi.
Jadi, saat virus sudah stay di memory, ia akan memonitor setiap program yang
diakses oleh user, yakni dengan membaca nama file dan juga caption Window.
Beberapa nama file antivirus yang dicoba untuk dibloknya adalah nav.exe,
avgcc.exe, njeeves.exe, ccapps.exe, ccapp.exe, kav.exe, nvcoas.exe, avp32.exe,
dan masih banyak lagi yang lainnya. Termasuk beberapa program setup atau
installer juga tidak dapat dijalankan pada komputer terinfeksi.
Pencegahan dan Penanggulangan
PC Media Antivirus RC19 ini dapat membersihkan komputer terinfeksi secara
tuntas dan akurat 100% setiap virus yang dibuat dengan menggunakan Fast Firus
Generator. Untuk menghindari aksi blok oleh virus terhadap PCMAV, silakan Anda
rename terlebih dahulu file PCMAV misalnya PCMAV-CLN.EXE menjadi MERDEKA.EXE.
.jpg)
