Wednesday, July 1, 2009
Virus Doomsday adalah virus yang dibuat oleh salah seorang pakar virus Indonesia dengan tujuan sebagai promosi bukunya yang membahas tentang pemrograman virus. Disamping itu, tujuan lainnya yaitu untuk menantang kekuatan antivirus lokal Indonesia untuk membersihkan virus ini sampai tuntas. Tujuan ini sangat bagus sehingga para tim antivirus lokal bisa memperbaiki engine dan teknik antivirusnya agar bisa membunuh virus ini. Apakah Anda setuju dengan adanya buku pemrograman virus? Mudah-mudahan saja buku tersebut lebih banyak manfaatnya dibanding ruginya, dan mudah-mudahan juga buku canggih itu tidak dimanfaatkan pembuat virus lokal untuk membuat virus lokal yang lebih canggih lagi, karena kita harapkan sebentar lagi virus lokal akan punah :D
Virus Doomsday ini sangat sulit dihapus dengan cara manual karena menggunakan hampir semua teknik virus lokal yang pernah ada dan ditambah lagi dengan teknik-teknik baru yang ditambahkan oleh pembuatnya. Itulah mengapa pembuatnya memberi nama Doomsday untuk virus ini, karena dia mengira antivirus lokal tidak akan mampu membasminya. Tapi, Smadav 2009 Rev. 5 mudah saja membunuh virus ini sampai ke akar-akarnya sehingga komputer yang terinfeksi sebelumnya akan kembali seperti semula seakan-akan belum pernah terinfeksi virus ini. Pembersihan ini sangat cepat, tidak lebih dari 15 detik setelah satu kali klik Smadav.
Sebelum membersihkan virus ini dengan Smadav, mari kita bahas dulu apa saja kecanggihan virus ini.
Virus ini dibuat dengan Visual Basic 6 dikompresi dengan UPX dan mempunyai ukuran 65 KB. Jika dilihat di Process Explorer, disana terlihat ada 5 proses virus yang sedang aktif. 1 proses yang paling atas aktif sebagai Windows Service dan tugasnya adalah untuk mencegah kita membuka tool system di windows seperti regedit, msconfig, dll. Sedangkan kumpulan 4 proses yang paling bawah yang punya tugas utama untuk melakukan penyebaran dan pertahanan di komputer korban. 4 proses ini saling melindungi satu sama lain, jika kita membunuh salah satu prosesnya maka proses lain akan kembali menghidupkan proses yang kita bunuh tadi, jadi kita akan kesulitan jika membunuhnya secara manual dengan process explorer seperti ini. Walaupun berhasil, semua proses ini akan kembali aktif kalau kita membuka program apa saja di komputer kita. Jadi kita harus memperbaiki registry dulu untuk membersihkannya, tapi registry pun diblok dengan teknik berlapis-lapis. Jadi, hampir tidak mungkin virus ini bisa diberantas dengan cara manual karena selain sulitnya membunuh proses di memori, virus ini juga merusak sangat banyak value registry.
Virus ini akan memblok semua akses ke antivirus lokal (PCMAV, SMADAV, atau ANSAV), hampir semua antivirus impor, dan program-program lain yang bisa membahayakan dirinya. Dia mempunyai teknik yang sangat banyak dan cerdik untuk mengenali dan mencegah program yang membahayakannya. Tapi dia tidak mampu untuk mengenali Smadav 2009 Rev. 5, sehingga Smadav 2009 Rev. 5 bisa dengan mudah menghancurkannya. Selain memblok program,virus ini juga akan memblok akses ke situs antivirus. Itu dia lakukan dengan menulis daftar situs yang diblok ke file hosts windows. Berikut ini daftar situs yang diblok :
2-spyware.com, 360.cn, 360safe.com, ansav.com, antirootkit.com, antiviruslab.com, arcabit.com, avast.com, avg.com, avg-antivirus.net, avira.com, bitdefender.co.uk, bitdefender.com, bullguard.com, ca.com, cainternetsecurity.net, clamav.net, clamwin.com, commandondemand.com, comodo.com, crit.org, cwsandbox.org, cyberdefender.com, drweb.com, drweb-online.com, emsisoft.com, eradicatespyware.net, eset.com, eset.eu, ewido.net, fortiguardcenter.com, fortinet.com, f-prot.com, freeantivirushelp.com, free-av.com, freedom.net, freedrweb.com, freerav.com, freespywareremoval.info, f-secure.com, grisoft.com, housecall.trendmicro.com, housecall60.trendmicro.com, iavs.cz, incodesolutions.com, jayloden.com, jotti.org, kaspersky.com, lavasoft.com, malwarebytes.org, malwareremoval.com, mcafee.com, microsoft.com, misec.net, mwti.net, my-etrust.com, nai.com, networkassociates.com, noadware.net, nod32.com, norman.com, offensivecomputing.net, old.antivir.ru, onecare.live.com, online.drweb.com, onlinelinkscan.com, pandasecurity.com, pandasoftware.com, pchell.com, pctools.com, prevx.com, ravantivirus.com, resplendence.com, rootkit.com, rootkit.nl, safer-networking.org, scanner.novirusthanks.org, security.symantec.com, siteadvisor.com, smadav.net, sophos.com, spyany.com, spybot.info, spychecker.co, spywareterminator.com, sunbeltsoftware.com, superantispyware.com, support.f-secure.com, sygate.com, symantec.com, sysinternals.com, threatexpert.com, threatfire.com, trendmicro.com, us.mcafee.com, vaksin.com, virologi.info, virscan.org, viruschief.com, virusindonesia.com, virusscan.jotti.org, virusscanonline.org, virusspy.com, virustotal.com, windowsecurity.com, windowsupdate.com, winpatrol.com, zonelabs.com
Virus ini menyebar lewat removable disk (Flashdisk) dan jaringan. Dia akan mencoba membuat file autorun.inf dan doomsday.exe di flashdisk korban. Dia juga akan mendeteksi kalau folder itu sudah dipasang smad-lock smadav dan mencoba menghapus smad-lock autorun.inf yang sudah dibuat smadav. Tapi usahanya gagal, sehingga dia tidak bisa menginfeksi flashdisk yang sudah dipasangi Smad-Lock. Untuk mendukung penyebarannya, virus juga akan membuat file folder.htt dan desktop.ini. Selain itu dia juga akan menginfeksi folder-folder di komputer dan flashdisk, folder akan diinfeksi tepat setelah kita mengakses folder tersebut dengan windows explorer. Virus akan membuat file exe dengan nama yang sama dengan folder, dan folder aslinya akan di-hidden. Tapi lagi-lagi semua usahanya gagal untuk menginfeksi folder Δ Smad-Lock Δ sehingga hanya folder yang berada di luar Smad-Lock yang terinfeksi. Dia juga akan menyebarkan dirinya dengan nama file menggunakan karakter unicode sehingga akan sulit dideteksi antivirus yang belum mendukung unicode seperti PCMAV. Smadav 2009 Rev. 5 jadi satu-satunya antivirus lokal yang mendukung penuh Unicode.
Dari sisi pemrograman, Virus Doomsday sangat baik diproteksi oleh pembuatnya. Dia tidak akan bisa dijalankan di lingkungan Virtual seperti VirtualPC, VMWare, VirtualBox, SandBox, Qemu dan Virtual OS sejenisnya. Dia juga akan mencoba mendeteksi jika ada debugger yang mencoba men-debugnya. Dia mendeteksinya dengan menggunakan string/teks berikut : av, reg, asm, assem, autorun, comp, config, dbg, debug, defend, dmp, dump, guard, hack, ida, lock, olly, patrol, ripper, rootkit, scan, snoop, timefix, win32. Tidak hanya sampai disitu, virus ini juga di-enkripsi walaupun hanya dengan teknik enkripsi dasar Caesar Cipher tapi sudah cukup untuk mengecoh heuristik antivirus impor sehingga virus menjadi lebih sulit untuk dianalisis karena kita harus membuat kode dekripsinya dahulu.
Pertahanan virus di komputer korban benar-benar kuat. Selain proses yang saling melindungi, virus juga akan menyebar di banyak tempat di komputer korban, sehingga akan sulit diberantas secara manual karena terlalu banyak daerah yang dijadikan tempat sembunyi virus. Virus akan membuat task schedule sehingga bisa aktif otomatis pada jam-jam tertentu. Untuk penyembunyian file, virus tidak hanya menggunakan teknik sembunyi biasa dengan mengeset atribut file menjadi hidden+system, tapi virus juga menggunakan cara-cara tidak biasa untuk bersembunyi. Virus akan bersembunyi dalam folder system32 dengan path C:\WINDOWS\system32:ctfmon.exe jadi tidak akan pernah terlihat di dalam folder system32 tersebut, ini dilakukan dengan memanfaatkan teknik ADS (Alternate Data Stream) pada NTFS. Dan pada teknik satunya lagi virus akan bersembunyi di folder yang nama foldernya "CON.2012" dilarang digunakan di windows karena memuat string/teks yang dilarang dipakai sebagai nama file/folder di windows seperti con, aux, nul. Pertahanan lainnya dilakukan virus dengan memblok firewall dan safemode. Firewall diblok dengan perintah command "NETSH FIREWALL SET OPMODE DISABLE". Dan Safemode diblok dengan menghapus key registry HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\
Mungkin masih ada beberapa lagi kecanggihan Virus Doomsday ini yang terlewatkan di pembahasan kali ini, tapi intinya semua kecanggihan ini tidak mampu melawan kekuatan Smadav 2009 Rev. 5 yang menghancurkan virus ini sampai ke akar-akarnya hanya dalam 1 klik dan menunggu beberapa detik.
Sekarang mari kita lihat hasil scan Smadav.
Kalau folder pada komputer/flashdisk yang teinfeksi Doomsday diakses lewat windows explorer maka SmaRTP akan muncul segera memperingatkan bahwa ada virus dan harus segera dihapus. Ini screenshot-nya :
Setelah membuka Smadav 2009 Rev. 5 pada komputer yang terinfeksi Virus Doomsday, maka Smadav akan segera memperingatkan bahwa ada virus yang aktif di komputer sehingga scanning akan otomatis dimulai. Setelah menunggu beberapa detik, scanning akan selesai dan memperlihatkan hasil seperti screenshot ini :
Kemudian kita bisa melihat-lihat bahwa banyak sekali file virus yang terdeteksi dan registry yang rusak. Ini screenshot file virus yang terdeteksi :
Dan di bawah ini screenshot registry yang terinfeksi, disana terlihat Smadav mendeteksi 877 value registry yang rusak, ini didapatkan setelah Smadav melakukan scanning pada lebih dari 2000 value registry :
Kemudian klik saja Fix All dan tunggu beberapa detik lagi sampai semuanya sudah hilang, lakukan scanning ulang dengan mode full scan (scanning keseluruhan) pada komputer untuk mendeteksi file-file virus yang sudah mati yang masih tersisa di komputer.
sumber: www.nafarin.com
No comments:
Post a Comment