Laporan PSG di PT. PETROKIMIA GRESIK Bab Vi Pen Gen Alan Virus Dan Jenis Jenis Virus

Laporan Praktek Kerja Industri di Biro Tekinfo PT. Petrokimia Gresik Tahun 2009

BAB VI

PENGENALAN VIRUS DAN JENIS - JENIS VIRUS

6.1 ASAL MULA VIRUS

Saat ini, pastilah kita semua selaku pengguna jasa komputer dan jaringan

(Internet) sudah sangat sering mendengar istilah ‘virus’ yang terkadang

meresahkan kita.

6.1.1 Dibawah ini beberapa tahapan pertama kali ditemukannya virus antara

lain:

6.1.1.1 Pada tahun 1949, John Von Neuman, menggungkapkan" teori

self altering automata " yang merupakan hasil riset dari para

ahli matematika.

6.1.1.2 Pada tahun 1960, lab BELL (AT&T), para ahli di lab BELL

(AT&T) mencoba-coba teori yang diungkapkan oleh john v

neuman. Para ahli tersebut membuat program yang dapat

memperbanyak dirinya dan dapat menghancurkan program

buatan lawan. Program yang mampu bertahan dan

menghancurkan semua program lain, dianggap sebagai

pemenangnya.

6.1.1.3 Dan pada tahun 1980, program tersebut yang akhirnya

dikenal dengan nama "virus" ini berhasil menyebar diluar

lingkungan laboratorium, dan mulai beredar di dunia cyber.

6.2 PENGERTIAN VIRUS

Pertama kali istilah “virus” digunakan oleh Fred Cohen pada tahun

1984 di Amerika Serikat. Virus komputer dinamakan “Virus” karena

memiliki beberapa persamaan mendasar dengan virus pada istilah

kedokteran (biological viruses). Tetapi memiliki perbedaan yang mendasar

dengan program-program lainnya, yaitu virus dibuat untuk menulari

program-program lainnya, mengubah, memanipulasinya bahkan sampai

merusaknya. Virus adalah program kecil yg kerjanya bisa merusak files dan

SMK Negeri 4 Bojonegoro 53


system komputer. Apabila program virus tidak diklik / tidak dibuka dia tidak

bekerja, tetap diam saja dan idak dapat merusak.

Program virus dibawa oleh EMAIL VIRUS sebagai lampiran email,

EMAIL VIRUS dikirim memakai nama siapa saja, yg diperoleh dari To dan

CC. Sasaran virus adalah menelusuri address-book dan mailbox user dimana

saja, sehingga virus seolah-olah dikirim oleh orang yg saling kenal (unsur

adu domba).

6.3 CIRI-CIRI PROGRAM VIRUS

6.3.1 Ciri- ciri virus antara lain:

6.3.1.1 Berukuran kecil, < 100KB, dan punya extensi : *.scr *.clp *.pif

*.bat *.exe *.com *.txt *.doc Dan terkadang file tsb dibungkus

dgn file *.zip. Juga terkadang memakai nama tipuan, misalnya

dgn nama file HotMovie.mpeg.scr. Sesungguhnya ia adalah file

virusberextensi.scr

contoh: Beethoven's_Symphony_No.XP2002.Zip.scr

6.3.1.2 Selain berukuran kecil, dapat dikenali juga dari subyeknya

(aneh2) a.l sbb: Weah ^_^ :)) Hokki=) Hi :) ello!=)) Hello -:))

Hey, dude, it's me ^_^ Re your text access Mpeg Re: Text

message Re:Msg reply Re: Is that your document? Beethoven's

ymphony No"Jika anda menerima email dgn subyek seperti itu,

langsung dihapus saja, tak perlu dibuka. Ada yang perlu dicatat

disini, virus hanya akan menulari apabila program pemicu atau

program yang telah terinfeksi tadi dieksekusi, disinilah

perbedaannya dengan "worm".

6.4 KRITERIA VIRUS

6.4.1 Suatu program yang disebut virus baru dapat dikatakan adalah benar-

benar virus apabila minimal memiliki 5 kriteria :

1. Kemampuan suatu virus untuk mendapatkan informasi

2. Kemampuannya untuk memeriksa suatu program

3. Kemampuannya untuk menggandakan diri dan menularkan



4. Kemampuannya melakukan manipulasi

5. Kemampuannya untuk menyembunyikan diri.

6.5 JENIS – JENIS VIRUS

6.5.1 Virus Makro

Virus ini ditulis dengan bahasa pemrograman dari suatu aplikasi bukan

dengan bahasa pemrograman dari suatu Operating System. Jika pada

komputer mac dapat menjalankan aplikasi word maka virus ini bekerja pada

komputer bersistem operasi Mac.contoh virus:

- variant W97M, misal W97M.Panther anjang 1234 bytes, kanmenginfeksi

NORMAL.DOT dan menginfeksi dokumen apabila dibuka.

- WM.Twno.A;TW panjang 41984 bytes, akan menginfeksi Dokumen

Ms.Word yang menggunakan bahasa makro, biasanya berekstensi *.DOT

dan *.DOC.

6.5.2.Virus File/Program

Virus ini menginfeksi file file yang dapat dieksekusi langsung dari

sistem operasi,baik itu file application (*.EXE), maupun *.COm

biasanya juga hasil infeksi dari virus ini dapat diketahui dengan

berubahnya ukuran file yang diserangnya.

6.6 BEBERAPA CARA PENYEBARAN VIRUS

Virus untuk dapat menyebar ke komputer satu ke komputer lain pasti

membutuhkan suatu media, diantaranya:

6.6.1 Disket, media storage R/W

Media penyimpanan eksternal dapat menjadi tempat menetap ataupun

sebagai media penyebarannya. Media yang bisa melakukan operasi R/W

(read dan Write) sangat memungkinkan untuk ditumpangi virus dan

dijadikan sebagai media penyebaran. Untuk itu selalu scan disket ataupun

USB sebelum dibuka.



6.6.2 Jaringan ( LAN, WAN,dsb)

Hubungan antara beberapa computer secara langsung sangat

memungkinkan suatu virus ikut berpindah saat terjadi

pertukaran/pengeksekusian file/program yang mengandung virus.

6.6.3 WWW (internet)

6.6.4 Software yang Freeware, Shareware atau bahkan Bajakan

6.6.5 Attachment pada Email, transferring file

Penyebaran virus akhir-akhir ini menggunakan email attachment

dikarenakan semua pemakai jasa internet menggunakan email untuk

berkomunikasi.

6.7 Beberapa Jenis Dari Virus dan Cara Penanggulangannya.

6.7.1 Virus Fujack

Viking adalah sosok virus mancanegara yang sangat ditakuti

administrator jaringan karena sekali berhasil menginfeksi satu komputer

dalam jaringan akan langsung menyebar dan melumpuhkan seluruh

komputer yang terhubung ke intranet, bahkan dalam banyak kasus

mampu menembus pertahanan komputer dengan antivirus yang

terupdate sekalipun karena kemampuannya polymorphic di dukung oleh

kemampuan mengupdate dirinya melalui internet dengan sangat cepat

sehingga dapat mengelabui antivirus yang telah mendeteksinya.

Ditambah dengan ciri khas infeksinya dengan menginjeksi file

executable dan mengeksploitasi celah keamanan IPC $ dalam rangka

menyebarkan dirinya ke komputer lain di jaringan membuatnya tidak

tertahankan sekali berhasil menginfeksi satu saja komputer di jaringan,

dalam waktu singkat seluruh komputer di jaringan akan berhasil

dikuasainya. Apakah ini sudah cukup ? Ada satu metode infeksi yang

belum dimiliki Viking, penyebaran via external drive yang marak

digunakan oleh virus Indonesia sehingga secara tidak langsung

penyebaran Viking kurang efektif pada komputer-komputer yang tidak

terhubung ke intranet / internet. Tetapi pembuat virus juga manusia,

mereka belajar dari pengalaman masa lalu sehingga ia mengeluarkan

virus baru dengan kemampuan tambahan menyebar melalui external



drive (UFD (USB Flash Drive), External HDD, Memory Card dan

lainnya)). Ibarat kata Gita Gutawa, inilah salah satu virus yang masuk

kategori Sempurna. Virus yang dikenal dengan nama W32/Fujack ini

karena “bibitnya” adalah pembuat Viking, maka virus ini

tidak kalah sakti dengan Viking. Dengan beberapa kesamaan seperti

kemampuan polymorphic dan update diri ke internet, eksploitasi celah

keamanan dan kemampuan penyebaran di jaringan yang sangat efektif.

Bedanya, Fujack tidak mengeksploitasi celah keamanan IPC $

(kemungkinan karena IPC $ ini sangat efektif jika korbannya adalah

Windows 2000 dan penggunanya sekarang makin berkurang), sebagai

“gantinya” virus baru ini dibekali dengan kemampuan

melakukan dictionary attack pada account administrator dan folder yang

di password dimana hampir dapat dipastikan default password setting

windows dan password lemah akan dapat ditembus oleh virus ini. Selain

itu, apakah karena di “ilhami” oleh virus lokal buatan

Indonesia, virus baru dengan nama Fujack ini juga memiliki kemampuan

penyebaran melalui External Disk dan hebatnya ia akan menambahkan

Autorun.inf pada external drive yang akan menjalankan virus yang

dikopikan pada drive tersebut. Gamesetup.exe Jika mendadak komputer

anda memiliki file dengan nama gamesetup.exe pada folder Startup,

maka anda harus ekstra hati-hati karena artinya Fujack

sudah mampir ke komputer anda. (lihat gambar 1) Gambar 1, Fujack

datang dalam file dengan nama GameSetup.exe Dan bila anda terhubung

ke jaringan, maka pekerjaan rumah besar menanti anda. Mengapa ?

Seperti virus Viking, Fujack memiliki keahlian dalam menginfeksi

jaringan. Dalam menjalankan aksinya menyebar ke jaringan, jangankan

folder sharing yang tidak dilengkapi password (yang secara de facto

memang sering di temukan di jaringan-jaringan intranet UKM, bahasa

kerennya SME = Small and Medium Enterprise), folder yang dilengkapi

dengan password sekalipun berhasil dimasuki oleh Fujack dengan

dictionary attack yang mencapai 100 password yang paling sering

digunakan oleh administrator seperti, pw123, mypass123, asdf, qwerty,



login, 12345678, abc123, administrator dan mypc. Jadi jika anda

administrator jaringan yang tidak melengkapi pertahanan dengan

password yang baik dan semua settingan masih default bisa dipastikan

Fujack akan dengan mudah menginfeksi komputer / jaringan intranet

anda. Mematikan software sekuriti dan system tools windows Salah satu

payload Fujack yang patut dikhawatirkan adalah ulahnya “balas

dendam” mematikan beberapa program sekuriti seperti AVP,

McAfee dan Symantec.

Payload ini berbahaya karena dengan lumpuhnya program

antivirus berarti komputer tidak memiliki pertahanan terhadap virus

apapun sehingga secara tidak langsung Fujack membukakan pintu bagi

semua virus ITW (In The Wild) sekalipun sebelumnya sudah terdeteksi

oleh program antivirus tersebut. Tetapi karena antivirus sudah

dilumpuhkan Fujack maka virus lain dengan leluasa akan dapat

menginfeksi komputer. Celakanya, jika virus yang masuk bersifat

merusak data seperti Kamasutra atau Kespo. Adapun system tools

windows yang dilumpuhkan oleh Fujack adalah Task Manager dan

Registry Editor. Menyebar melalui website dan mengupdate dirinya

Fujack memiliki kemampuan menyebar melalui website di internet.

Caranya adalah menginfeksi file html dan kemudian memasukkan link

yang mengandung virus tersebut ke dalam html. Bahkan ada varian

Fujack yang tampil sebagai file .gif yang memanfaatkan Iframe untuk

membawa korbannya ke website yang mengandung virus. Salah satu

rahasia kehebatan Fujack adalah kemampuannya mengupdate dirinya

melalui internet. Hal ini dilakukan melalui website

http://www.ac86.cn/88 tetapi saat ini link update tersebut sudah tidak

aktif lagi, namun dengan mudah pembuat Fujack mengeluarkan varian

baru dengan link update baru. Dari sini dapat kita lihat bahwa pembuat

Fujack meniru vendor antivirus yang mengandalkan update untuk

mendeteksi dan membasmi varian virus baru. Menyebar melalui external

media dan membuat file autorun. Berbeda dengan virus mancanegara

lain yang mengandalkan penyebaran melalui internet, email dan intranet.



Fujack memiliki satu payload tambahan yang mirip dengan virus lokal.

Apakah di ilhami oleh virus Indonesia, hanya pembuat Fujack yang tahu.

Payload tambahan yang menjadi “lagu wajib” bagi virus

lokal Indonesia adalah kemampuan menyebar melalui External Drive

seperti UFD, external harddrive dan memory card dimana Fujack akan

mengkopikan dirinya sebagai file “setup.exe”. Tetapi file

“setup.exe” saja tidak cukup karena tidak dapat berjalan

secara otomatis setiap kali External Drive di akses / dihubungkan ke

komputer, karena itu virus ini juga akan membuat file

“autorun.inf” yang otomatis akan dijalankan setiap kali

External Drive dihubungkan ke komputer atau folder mengandung virus

diakes oleh komputer. File “autorun.inf” sendiri nantinya

akan menjalankan file virus “setup.exe” guna menginfeksi

komputer korbannya. Fitur autorun ini pada awalnya sebenarnya

merupakan fitur yang banyak diaplikasikan pada CD Rom / DVD Rom

dimana setiap kali kita memasukkan CD/ DVD fitur ini akan secara

otomatis menjalankan menu pada CD / DVD. Tetapi ibarat pistol,

ditangan orang yang salah akan digunakan untuk tujuan yang negatif /

merusak. Bagaimana cara efektif mengatasi Fujack Ada beberapa

tindakan pencegahan yang perlu anda lakukan untuk mencegah Fujack

menginfeksi komputer anda. Pertama tentunya anda harus menerapkan

password yang baik dan benar pada username dan folder sharing di

seluruh jaringan. Meskipun kelihatannya sepele tetapi dalam

pelaksanaannya banyak administrator jaringan yang menghadapi kendala

dalam hal ini, hambatan utama adalah kendala dari pengguna komputer

yang mau mudah dan tidak mau pusing merubah kebiasaan kerja,

walaupun salah. Kedua, walaupun klise tetapi tetap penting adalah instal

antivirus yang sudah mampu mendeteksi virus Fujack. Menurut catatan

penulis, hampir semua antivirus termasuk Norman sudah mampu

mendeteksi Fujack (lihat gambar 2). Gambar 2, Norman Virus Control

mendeteksi Fujack Yang menjadi masalah adalah Fujack mampu

mengupdate dirinya dengan cepat sehingga sangat sulit di deteksi oleh



antivirus sehingga anda membutuhkan cara ketiga yang merupakan

sumbangan dari teknisi Vaksincom khusus untuk pembaca Chip dan

tidak anda temui saat ini di internet atau di vendor antivirus lain :).

Caranya adalah denga mengelabui Fujack bahwa komputer anda telah

terinfeksi. Seperti kita ketahui, untuk mencegah proses looping sehingga

menyebabkan crash Fujack akan mengecek keberadaan dirinya di

komputer calon korbannya. File yang di cek adalah spoclsv.exe (yang

merupakan file proses virus), jika file ini ditemukan maka ia akan

berhenti menginfeksi komputer dan komputer anda akan aman dari

infeksi Fujack, sekalipun tanpa perlindungan antivirus. Tetapi ingat,

metode ini efektif untuk menghadapi semua varian Fujack yang

menyebar sampai hari ini dan tidak tertutup kemungkinan varian baru

yang mampu mengatasi pengelabuan ini. Sekuriti adalah proses,

nantinya pasti akan ditemukan lagi cara lain yang efektif mengelabui

varian Fujack baru (jika ada). Untuk sementara pembuatan file palsu

spoclsv.exe mampu menghentikan penyebarannya di jaringan.

6.7.2 Virus Rontokbro

Dari sekian banyak virus lokal yang ada hanya 3 virus yang

berhasil membumi yaitu rontokbro, kangen dan fawn. Tetapi dari 3 jenis

virus tersebut hanya rontokbro yang mampu memberikan kerugian

psikologi yang cukup besar dibandingkan dengan virus lokal yang lain.

Kini para pengguna internet Indonesia dan di belahan dunia lain

juga kebagian aksi virus baru yang diberi nama W32/Rontokbro@mm,

virus ini mampu menyebarkan dirinya dengan mass mailing (email

massal) dan memupuskan "tradisi" virus lokal yang mengandalkan UFD

sebagai sarana penyebaran utamanya.

Virus yang mulai menyebar pada tanggal 13 Oktober 2005 ini

kemampuan rekayasa sosial yang tinggi dan dapat dikatakan berciri asli

Indonesia dan virus lokal seperti memalsukan "icon" dirinya sebagai file

tidak berdosa baik sebagai file MS Office ataupun sebagai folder,



menyembunyikan folder options, melakukan restart komputer jika

menemukan kata tertentu pada header browser.

6.7.2.1 Asal mula nama Rontokbro

Menurut pengamatan teknisi laboratorium virus

Vaksincom, ternyata pembuat virus ini mendapatkan ilham

membuat virus ini dari satwa langka Indonesia, Elang Brontok

yang memiliki nama latin Spizaetus cirrhatus, selain itu rupanya

pembuat virus Rontokbro berasal dari salah satu universitas

pemerintah di Jawa Barat. Gara-gara Rontokbro ini juga

Vaksincom jadi mau tidak mau mencari sedikit informasi tentang

Elang Brontok ”Lightmorph” yang ternyata merupakan satwa

burung khas Indonesia.

6.7.2.2 Ciri-ciri Komputer yang Terinfeksi Rontokbro Antara lain :

1. File yang terinfeksi Rontokbro.N mempunyai ukuran

sebesar 42kb dengan icon folder tetapi dengan extension

EXE.

2. Rontokbro juga akan melakukan perubahan pada file C:\

AUTOEXEC.BAT dengan menambahkan baris perintah

”PAUSE" Agar Rontokbro dapat aktif begitu komputer

dinyalakan, ia akan membuat registry beberapa registry key.

3. Disable Registry editor

Virus ini juga akan menonaktifkan program yang dimungkinkan

dapat mempersingkat keberadaan mereka" diantaranya fungsi

registry editor dengan menambahkan sebuah registry key.

4. Menyembunyikan Folder Option

Virus ini akan menghilangkan [folder options] pada menu [tools]

pada [Windows explorer], sehingga user tidak akan bisa

menampilkan setiap file yang disembunyikan (hidden) oleh virus

tersebut, dengan menambahkan string value :. NoFolderOptions"

=dword:00000001 pada registry key HKEY_CURRENT_USER\



Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

Rontokbrojuga akan membuat task schedule pada windows

dimana schedule ini akan dijalankan setiap jam 5.08 PM, dengan

menjalankan file yang berada didirektori: C:\Documents and

Settings\%Users%\Templates

5. Restart Komputer Otomatis

Salah satu kelebih yang dimiliki oleh rontokbro adalah dapat

menyebabkan komputer restart, Rontokbro akan merestart

komputer jika anda berusaha menjalankan suatu program tertentu

dan menjalankan software pengganti Task manager seperti

pocket killbox bahkan HijackThis dan salah satu kelebihan lain

yang dimiliki adalah kemampuannya untuk merestart komputer

walaupun dalam mode "safe mode", oleh karena itu dibutuhkan

trik untuk menangani masalah tersebut.

6. Rontokbro akan mengambil alamat email pada semua file

yang mengandung ext.

- .asp - .html - .doc

- .cfm - .php - .eml

- .csv - .txt - .wab

6.8.1.5 Cara Membersihkan Rontokbro Sebagai Berikut :

Anda dapat melakukan langkah berikut:

a. Restart komputer dan masuk dalam mode "safe mode with

command prompt", dengan cara menekan tombol [F8] ketika

komputer restart.

b. Setelah masuk mode "Command Prompt" tekan tombol

[CTRL] + [ALT] +[Del] secara bersamaan, kemudian pilih [Task

Manager], setelah layar Task Manager muncul, klik menu [File]

pilih [New Task (Run..), kemudian ketik [explorer] pada jendela

[create new task file] setelah itu klik enter.



c. Kemudian akan muncul layar desktop (layaknya masuk ke

mode "safemode")

d. Aktifkan kembali fungsi registry editor dan hapus string yang

dibuat oleh virus, tulis script seperti yang ada pada langka [3],

kemudian simpan menjadi nama file "repair.inf", setelah itu

jalankan file tersebut dengan cara: klik kanan file [repair.inf]

kemudian pilih [install]

e. Hapus option [Smss], [Empty] dan [Sempalong] pada

msconfig ditabulasi [startup)

f. Agar "Folder option" pada windows explorer dapat muncul,

restart kembali komputer dan lakukan seperti langkah pada point

(a dan b)

g. Setelah komputer masuk ke mode "safe mode" tampilkan

semua file yang disembuyikan (lakukan perubahan ini pada

"folder option", selanjunya ikuti petunjuk pembersihan rontokbro

seperti yang ada pda point (6-9)

h. Restart komputer dan masuk kembali ke mode "safe mode"

jangan ke posisi "normal" karena file induk dari virus ini masih

ada (eksplorasi.exe dan sempalong.exe)

i. Tampilkan file yang disembunyikan, lakukan perubahan ini

pada [folder Option]

j. Hapus file yang dibuat oleh rontokbro

- C:\Windows dengan, nama file eksplorasi.exe (hidden)

- C:\windows\shellnew, dengan nama sempalong.exe(hidden)

- C:\WINDOWS\system32, dengan nama %username"s

Setting.scr (hidden)

7. Edit kembali file autoexec.bat di direktori C:\ dan hapus baris

perintah [pause].

8. Hapus scheduled tasks yang dibuat oleh rontokbro (klik

[Start], [Settings], [Control Panel], kemudian klik 2 kali menu

[scheduled tasks].



9. Hapus file yang dibuat oleh virus, untuk lebih cepatnya

gunakan fasilitas [search]

- Klik [Start]

- Klik [Search], kemudian klik [For Files or Folders]

- Kemudian pilih [All files or Folders]

- Klik option [What size is it ?]

- Kemudian pilih option [Specify Size (in Kb)]

- Pada kombo Box, pilih [At most] kemdian isi ukuran file

dengan angka [43], setelah itu klik [Search]

- Setelah proses pencarian selesai, sortir berdasarkan ukuran

(size), kemudian hapus file yang mempunyai ukuran 42 kb,

jangan sampai terjadi kesalahan dalam penghapusan file karena

ada beberapa file windows yang mempunyai ukuran 42 kb, cari

file yang icon folder dengan extension. EXE,

l. Untuk pembersihan lebih cepat sebaiknya anda gunakan

antivirus yang sudah dapat mengenali rontokbro.N

6.7.3 Virus Borax

W32/Rabox di Indonesia menyebar sejak awal April 2006.

Rupanya boraks tidak hanya tersedia di dunia nyata, di dunia mayapun

boraks kini sudah ada dan beredar bebas yang mengakibatkan masalah

serius bagi komputer terinfeksi.

Dengan up-date terbaru Norman sudah berhasil mengenali virus ini

dengan nama W32.Rabox (lihat gambar 1). Rabox mempunyai beberapa

aksi seperti disable registry editor, task manager, membuat file duplikat

dan lain-lain walaupun metode yang digunakan berbeda.

Sama seperti virus Codex, Rabox juga menyampaikan pesan

"kemanusiaan" ?? hal ini bisa dilihat dimana ia akan membuat file

dengan nama about.html didirektori [C:\Documents and Settings\suport\

My Documents].

Rabox akan menyamarkan icon yang menyertai file yang telah

terifeksi yakni dengan menggunakan icon “folder” tetapi jika

diperhatikan file ini sebenarnya berupa file aplikasi dengan ekstensi .exe,



dengan ukuran file bervariasi. Jika file tersebut dijalankan maka akan

muncul pesan error seolah-olah file tersebut sedang di digunakan (lihat

gambar 3) :

Gambar 3, Pesan error palsu yang ditampilkan oleh Rabox

Setelah itu ia akan membuat beberapa file yang akan berusaha dijalankan

pertama kali setiap kali komputer dinyalakan, seperti:

C:\Documents and Settings\%users%\My Documents\Dlhost.exe

C:\Windows\lodctr32.exe

C:\Windows\system32\note.exe

Rabox sedikit berbeda dengan antivirus lokal lainnya dimana Rabox

tidak akan membuat string pada RUN pada registry sehingga jika komputer yang

telah terinfeksi di restart, Rabox tidak akan aktif kecuali jika user mencoba

menjalankan kembali file yang telah terinfeksi. dan ia dapat kembali aktif yaitu

dengan cara merubah link program “notepad” pada registry tools agar

menjalankan file yang telah terinfeksi Rabox yakni "note.exe" yang ada

didirektori C:\Windows\system32, sehingga jika user menjalankan file text [.txt]

secara tidak langsung akan mengaktifkan virus ini.

Disable Fungsi Windows

Rabox juga mencoba untuk mematikan beberapa fungsi windows, seperti

- Registry Editor

- Task Manager

- Disable Run

- Disable Search



Perhatikan gambar 4 dibawah ini :

Gambar 4, Rabox menghilangkan menu “Search” dan “Run”

Rabox akan mencoba untuk disable Task Manager, jika user mencoba

untuk menjalankan Task Manager maka tidak akan muncul pessan error yang

menyatakan bahwa Task Manager telah di Disable tetapi Rabox akan mematikan

tampilan layar monitor, jika hal ini terjadi tekan tombol yang ada di keyboard

untuk mengembalikan ke posisi normal akan tetapi layar Task Manager tetap tidak

dapat di buka, sehiggga untuk mematikan proses ini anda harus menggunakan

tools pengganti seperti Process Explorer.

Disable System Security

Rabox akan mencoba untuk disable system security termasuk firewall

dan antivirus dengan cara mematikan services “real time monitor “ serta

mencegah agar antivirus untuk melakukan up-date.

Walaupun Rabox tidak sampai menyembunyikan “Folder Option” tetapi

Rabox akan tetap melakukan beberapa setting pada “Folder Option” seperti

terlihat pada gambar 5 di bawah ini:



Gambar 5, Rabox mengubah beberapa setting pada folder options

Merubah type file dari setiap file aplikasi

Rabox akan merubah tipe dari setiap file yang mempunyai ekstensi .exe

yakni dari “application” menjadi “File Folder” trik ini digunakan agar user

kesulitan untuk membedakan mana “file folder asli” dan mana “file yang sudah

terinfeksi Rabox” karena sama-sama mempunyai tipe “File Folder”, untuk

melakukan hal itu Rabox akan merubah string.

Perhatikan gambar 6 di bawah ini

Gambar 6, Type file yang di ubah Rabox

Rabox akan merubah registry Owner dan registry Organisasi dengan

nama Boraks (lihat gambar 7).


File induk Rabox

Type file yang diubah Rabox


Gambar 7, Rabox merubah nama registrasi Windows dengan nama .BoRaX

Media penyebaran

Rabox akan menyebar melalui Disket/UFD (USB Flash Disk) dengan

membuat file dengan nama “Folder Settings.exe” disamping itu ia juga akan

membuat file disetiap folder dan sub folder yang mempunyai nama yang sama

dengan folder atau sub folder tersebut.

Bagaimana untuk mengatasi Rabox ?

1. Matikan hubungan komputer dengan jaringan intranet maupun

internet.

2. Jika menggunakan Windows ME/XP, matikan system restore untuk

sementara selama proses pembersihan

3. Sebaiknya lakukan pembersihan melalui “safe mode”



4. Membersihkan virus ini relatif lebih mudah, karena ia tidak membuat

string pada key RUN pada registry editor, sehingga jika komputer

tersebut di restart maka virus ini tidak aktif, kecuali jika anda

menjalankan file yang sudah terinfeksi virus atau menjalankan file

TXT, untuk memastikan apakah proses dari virus ini masih aktif di

memeori anda dapat menggunakan tools Process Explorer, jalankan

tools tersebut dan perhatikan apakah ada proses dengan nama

lodctr32.exe dan dlhost.exe [dengan icon folder], jika ada sebaiknya

anda matikan terlebih dahulu, perhatikan gambar 9 berikut:



Gambar 9, M atikan proses Rabox dengan Process Explorer

Jika proses tersebut tidak ditemukan, anda dapat melanjutkan ke langkah

pembersihan berikutnya.

5. Hapus registry key yang diubah oleh Rabox. Tulis script di bawah ini pada

program notepad, kemudian simpan sebagai (save as) “repair.inf” dan

jalankan file tersebut dengan cara:

- Klik kanan “repair.inf”

- Pilih [install]

6. Hapus file induk yang telah di buat oleh Rabox, sebelum menghapus file

tersebut pastikan anda telah menampilkan semua file yang disembunyikan,

setelah itu hapus file berikut:



Gambar 10, Kembalikan semua setting pada "folder options" yang

dirubah oleh Rabox

7. Hapus file duplikat yang telah dibuat oleh Rabox, dengan ciri-ciri

- Ukuran bervariasi [tergantung varian Rabox]

- Type file “appplication”

- Menggunakan icon Folder

Perhatikan gambar 11 di bawah ini

Gambar 11, File duplikat yang dibuat oleh Rabox

8. Untuk mencegah infeksi ulang, sebaiknya gunakan antivirus yang

sudah dapat mengenali virus ini dengan baik. (AJT)

6.8 Cara Mudah Proteksi komputer anda dari virus tanpa program

Antivirus & Firewall


File yang dibuat oleh Rabox [Hiden]


Virus selalu lebih baru dari antivirus, kalau proteksi dengan program

firewall & Antivirus RTS? (Real Time System), bisa juga. Tapi komputer

akan berjalan lebih lambat, karena program tersebut residen di memory dan

memakan system resource. Solusi yang aman, cepat dan praktis untuk

mencegah kerusakan system, file dan data anda tanpa menggunakn antivirus

dan firewall alias manual

1. Trojan adalah sebuah program yang ber-ekstension EXE dan ketika program

tersebut dijalankan, dia akan merubah registry windows. Kalau virus itu

residen di memori dia akan merubah file yang biasanya ber-ekstension EXE

atau COM dan kadang-kadang file tersebut menjadi rusak. Kalau worm adalah

program kecil yang berupa script yang bisa menempel di mana saja, bahkan di

html file (file website).

Program antivirus menggabungkan semua worm dan trojan dalam

kategori VIRUS, contoh: w32/sober. Intinya virus bisa berupa trojan/worm

dan sebaliknya, apalagi kalau file tersebut telah ter-infeksi, otomatis akan

menjadi file trojan/worm.

2. Penyebaran virus pada umumnya memanfaatkan teknologi internet untuk

menyebar luas. Cara masuknya bisa melalui E-mail (attachment), mirc,

messenger (kirim/download file), download dari situs dan memanfaatkan

kelemahan dari sistem browser kita.

6.9.1.1 cara mengatasi virus, antara lain:

1. Jangan membuka atau menerima file yang di dapat dari email, mirc

dan messenger kalau tidak dikenali pengirimnya.

2. Kalau anda browser ke situs yang tidak anda kenal, matikan

program java, java script, fitur install auto atau install on demand

supaya program yang berisi virus tidak masuk ke komputer anda.

3. Scan dahulu CD, DVD, USB drive, dll dengan antivirus.

Tips di atas mungkin akan mencegah masuknya virus ke

komputer anda, namun tidak menjamin 100%. Untuk mengatasi

supaya komputer anda aman dari virus, berikut ini adalah caranya:



1. Anda harus punya cadangan penyimpanan data atau file system untuk

backup system & data karena itu sangat diperlukan. Cara backup

pada winXp dan winme dengan create restore point dahulu di

program> accesories> system tools> system restore, win98 bisa

pakai Microsoft Backup dengan membackup folder windows

semuanya. Untuk data, Winxp dan winme harus menggunakan

Microsoft Backup.

Untuk win98 satu-satunya cara hanya memakai program system

schedule windows atau program lainnya yang berfungsi sebagai

otomatis backup, ketika komputer lagi dile.

2. Untuk mencegah virus merusak file system kita yang biasanya

berakhiran EXE, sebelumnya Anda harus melakukan cara no.1 dan

Anda juga harus mempunyai dasar Windows untuk melakukan ini

agar tidak bingung dan kesulitan untuk memahaminya. Caranya

adalah:

Rubahlah attribut dari file EXE anda menjadi READ ONLY.

Caranya gunakan SEARCH dari windows anda, kemudian cari

semua program yang ber-ektenstion EXE (search key-nya *.exe) di

folder windows. Setelah itu blok semua program yang tampil (atau

tekan ctrl+a) klik kanan pilih properties. Setelah itu pilih READ-

ONLY di bagian bawah kotak pilihan atributes. Hal ini mencegah

virus untuk merubah atau merusak file-file tersebut. Anda bisa

tambahkan pilihan HIDDEN di sebelah kanan dari READ ONLY.

Dengan kedua pilihan tersebut virus-virus pada umumnya tidak akan

dapat menginfeksi file tersebut. Satu hal yang penting, kalau anda

ingin melakukan penghapusan atau perubahaan ataupun anda sering

meng-update file yang ber-ekstensi EXE tersebut, anda harus ingat

untuk membuka proteksi read-only atau hidden tersebut. Kalau tidak

file tersebut tidak akan bisa dihapus atau diupdate, dan akan muncul

pesan error.

6.9 Cara Mencegah Penyebaran Virus



1. Selalu lakukan Scan terhadap disket yang masuk ke dalam PC Anda.

2. Scan juga CD yang masuk kedalam CD drive Anda.

3. Lakukan scan terhadap harddisk Anda, tiap kali Anda akan mulai

bekerja.

4. Proteksi disket Anda, jika Anda memasukkannya ke dalam PC orang

lain.

5. Jangan sembarangan men-download attachment.

6. Selektif dalam membuka e-mail.

7. Memasang dan selalu meng-update program antivirus pada komputer

Anda.

8. Selalu mengikuti perkembangan berita terbaru tentang virus.

9. Kenali semua jenis file yang akan dijalankan.

10. Biasakan untuk menampilkan extensi file, hal ini dimaksudkan untuk

mengetahui jenis filesebelum dijalankan.

11. Installasi anti virus yang mempunyai dukungan support lokal dan up-

date otomatis.


Laporan PSG di PT. PETROKIMIA GRESIK Bab Vi Pen Gen Alan Virus Dan Jenis Jenis Virus

Documents

Transcript of Laporan PSG di PT. PETROKIMIA GRESIK Bab Vi Pen Gen Alan Virus Dan Jenis Jenis Virus