Wednesday, May 27, 2009

Kenali Virus Nadia Saphira, Jangan Sampai Merajalela

Kompas - Rabu, 27 Mei 2009
JAKARTA, KOMPAS.com - Meski tak merusak file data dan sistem, virus Nadia Saphira bakal mengganggu karena akan terus menggandakan diri dan menyembunyikan folder-folder yang penting. Jadi, kenali ciri-cirinya kalau-kalau komputer Anda terserang dan jangan sampai terlambat sebelum Nadi Saphira palsu sempat merajalela.

Ciri-ciri dari file virus ini, diantaranya sebagai berikut :
1. Memiliki ukuran file sebesar 17 kb & 69 kb.
2. Mempunyai type file Application.
3. Berekstensi file exe & ini.
4. Memiliki icon folder.
5. Membuat duplikat folder seduai dengan nama folder yang ada dan menyembunyikan folder aslinya.
6. Menghilangkan pilihan "Folder Options".
7. CD Rom tidak bisa digunakan
8. Command Prompt tidak bisa diakses.

Jika virus berhasil menginfeksi, maka ia akan membuat beberapa file virus diantaranya :
1. C:-autorun.inf (pada semua root drive)
2. C:-NadiaSaphira.ini (pada semua root drive)
3. C:-Documents and Settings-All User-Start Menu-Programs-Startup-lan.exe
4. C:-Documents and Settings-%User%-NadiaSaphira.ini
5. C:-WINDOWS-taskmgr.exe
6. C:-WINDOWS-system32-.exe
7. C:-WINDOWS-system32-allsys.exe
8. C:-WINDOWS-system32-misconfig.exe
9. C:-WINDOWS-system32-MS586.sys
10. C:-WINDOWS-system32-System
11. C:-WINDOWS-system32-wtoolsb.exe
12. C:-WINDOWS-system32-dllcache-.exe
13. C:-WINDOWS-system32- dllcache-System
14. Membuat duplikat file virus pada setiap folder yang ada pada removable drive/usb.

Hidden file

Sebagai bentuk pertahanan, virus akan mencoba melakukan usaha blok terhadap beberapa fungsi Windows. Beberapa fungsi Windows yang di blok diantaranya sebagai berikut :
1. Folder Options (dilakukan untuk mencegah akses terhadap file/folder yang disembunyikan)
2. Registry Editor (dilakukan untuk mencegah akses perbaikan registry) (lihat gambar 4)
3. Search/Find (dilakukan untuk mencegah dari pembersihan virus)
4. Command Prompt (dilakukan untuk mencegah dari proses kill virus)

Aktif di Start up

Untuk memastikan agar dapat aktif dengan baik pada saat komputer dijalankan, virus menyisipkan file virus pada startup windows sehingga akan langsung aktif jika komputer dijalankan. Setelah aktif, virus memanggil kedua rekannya (virus pendukung) agar sulit dimatikan.

File virus yang aktif pada startup yaitu :
C:-Documents and Settings-All User-Start Menu-Programs-Startup-lan.exe
File ini yang kemudian memanggil kedua rekannya (virus pendukung) untuk memperkuat existensinya, yaitu :
1. C:-WINDOWS-system32-misconfig.exe
2. C:-WINDOWS-taskmgr.exe

Ubah Registry windows

Agar dapat melakukan blok fungsi "Search" windows, virus akan membuat string registry sebagai berikut :

HKEY_CURRENT_USER-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer
nofind = 1
HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Windows-CurrentVersion-Policies- Explorer
nofind = 1

Agar dapat melakukan blok fungsi "Folder Options" windows, virus akan membuat string registry sebagai berikut:

HKEY_CURRENT_USER-Software-Microsoft-Windows-CurrentVersion-Policies-Explorer
NoFolderOptions = 1

Agar dapat melakukan blok fungsi "Registry Editor" windows, virus akan membuat string registry sebagai berikut :

HKEY_CURRENT_USER-Software-Microsoft-Windows-CurrentVersion-Policies-System
DisableRegistryTools = 1

Agar dapat melakukan blok fungsi "Command Prompt" windows, virus akan membuat string registry sebagai berikut :

HKEY_CURRENT_USER-Software-Microsoft-Command Processor
Autorun =
HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Command Processor
Autorun =

Walaupun Folder Options sudah di blok, tetapi virus mencegah untuk menampilkan file yang tersembunyi. Untuk itu, ia membuat string registry sebagai berikut :

HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Windows-CurrentVersion-Explorer-Advanced-Folder-Hidden-SHOWALL
CheckedValue = 0
DefaultValue = 0

Agar dapat mengelabui user terhadap file virus dan mencoba mengubah type file exe, virus membuat string sebagai berikut :

HKEY_CLASSES_ROOT-exefile
(Default) = File Folder
Info Tip = File Folder
TileInfo = File Folder

Terakhir virus berusaha melakukan blok ekseskusi file "Microsoft Visual Studio Spy Debugging Tools", virus membuat string sebagai berikut :

HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Windows NT-CurrentVersion-Image File Execution Options-msiexec.exe
Debugger =
HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Windows NT-CurrentVersion-Image File Execution Options-sessmgr.exe
Debugger =
HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Windows NT-CurrentVersion-Image File Execution Options-SPYXX.exe
Debugger =

Sumber : Vaksincom