SEPUTAR VIRUS DAN DAERAH PENYERANGANNYA Pengertian Virus · PDF fileDepkominfo Times New...

Depkominfo

Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan

SEPUTAR VIRUS DAN DAERAH PENYERANGANNYA

Untuk dapat melabas virus – virus lokal ini, kita harus

terlebih kenal bahkan dekat dengan yang namanya

virus.

Pengertian Virus

Virus adalah program yang dibuat oleh seorang

programmer dan bersifat merusak. Virus menginfeksi file

dengan ekstensi file tertentu, .exe, .com, .txt, .jpg, dan

lain sebagainya. Jenis – jenis virus bisa dibedakan

menjadi beberapa bagian, yaitu :

a) Virus boot sector

Merupakan virus umum, menggandakan diri

dengan cara menindih bootsector asli pada

sebuah disk, sehingga pada saat booting virus

akan langsung dijalankan ke memori.

1

Depkominfo


b) Virus file

Menyerang file yang dijalankan oleh suatu

sistem operasi. Biasanya menyerang com atau

exe.

c) Virus direct action

Virus ini akan masuk ke memori untuk

menjalankan file lainnya. Lalu menjalankan

program lain untuk menipu.

d) Multi Partition virus

Merupakan gabungan dari virus boot sector

dan virus file.

e) Polymorphic virus

Virus dirancang untuk mengelabui program AV

yaitu dengan mengubah struktur dirinya

setelah menjalankan perintah

2

Depkominfo


f) Stealth virus

Mengendalikan instruksi – instruksi level DOS

dengan menguasai tabel interrupt.

g) Macro virus

Ditulis oleh bahasa pemrograman dari suatu

aplikasi, sehingga bersifat platform

independent.

Perbedaan virus dengan program

komputer lainnya

Perbedaan virus dengan program aplikasi komputer

lainnya adalah :

1. Kemampuan mendapatkan informasi penting.

Virus didesain untuk menginfeksi banyak file atau

program. Misalnya, virus akan menulari seluruh file .txt

atau .htt, maka virus tersebut akan mencari informasi

3

Depkominfo


tentang file-file atau program-program yang ada.

Setelah virus mendapatkan informasi tersebut, maka

akan disimpan di memory atau di suatu file tertentu

yang telah di-set attributnya menjadi hidden

(tersembunyi).

2. Kemampuan untuk memeriksa program atau

file

Ketika meninfeksi sebuah file, virus harus bisa

memeriksa apakah file tersebut telah terinfeksi atau

belum. Biasanya virus akan memeriksa byte yang

dipakai oleh virus tersebut, atau dengan nama lain

penanda. Apabila penanda tersebut telah ada maka virus

tidak akan menginfeksi file tersebut. Tetapi apabila file

tersebut tidak ada penandanya, maka virus akan

menulari file yang sehat itu.

3. Kemampuan menggandakan diri

Kemampuan ini harus (wajib) dimiliki oleh virus, karena

kemampuan ini digunakan untuk perkembang-biakan

4

Depkominfo


virus tersebut. Biasanya virus akan memasang penanda

dan menyisipkan program untuk memperbanyak virus

tersebut.

4. Kemampuan untuk memanipulasi

Kemampuan ini digunakan untuk memunculkan pesan,

gambar, menghapus file, mencuri data/file, dan lain

sebagainya.

5. Kemampuan untuk menyembunyikan diri dan

data yang dibuat

Seluruh aktifitas yang dilakukan virus haruslah tidak

kelihatan, baik dari user ataupun dari komputer. Hal ini

menjadi keindahan sebuah virus. Biasanya kita bisa

melihat seluruh proses yang ada di komputer

(khususnya yang berbasis Windows) hanya dengan

menekan Ctrl+Alt+Delete, maka akan muncul kotak

yang berisikan proses-proses yang berjalan pada

komputer. Sebuah virus yang bagus adalah yang tidak

tertangkap prosesnya oleh trapping tersebut. Apalagi

jika dapat menghindari deteksi sebuah antivirus.

5

Depkominfo


Struktur Virus

Virus pada umumnya mempunyai struktur yang

hampir sama, dan dapat dibedakan menjadi beberapa

kode, yaitu :

1. Kode penanda virus

Setiap virus pasti mempunyai identitas masing –

masing. Bisa dibuat dengan karakter atau jumlah byte

tertentu sebagai marker sesuai dengan keinginan si

programmer. Contoh, virus A mempunyai penanda X

dan virus B mempunyai penanda Y, maka virus-virus

itu akan dikenali antivirus sesuai penandanya. Pada

virus hallo.roro.htt penandanya adalah sebuah file

desktop.ini yang mempunyai ukuran 299 byte, atau

pada virus w32.redlof.html mempunyai penanda file

folder.htt yang ada di tiap folder dengan ukuran 13

Kb.

6

Depkominfo


2. Kode penggandaan virus

Suatu program tidak dapat dikatan virus jika tidak

dapat menggandakan dirinya sendiri. Contoh, virus

hallo.roro.htt menggandakan dirinya dengan memakai

program syssrv.exe. Hasil penggandaan tersebut

disimpan dalam file desktop.ini yang berukuran 299

byte dan hallo.roro.htt. Banyak cara atau jurus untuk

menggandakan diri yang digunakan oleh virus – virus

sekarang.

3. Kode pertahanan dan penyembunyian deteksi

Kode ini diperlukan virus untuk mengecoh antivirus,

bisa dengan meng-encrypt file virus tersebut, me-non-

visiblekan proses pada komputer korban, ataupun

menampilkan pesan pengalihan ketika kita mencoba

menjalankan aplikasi antivirus.

4. Kode pemicu

Setiap virus mempunyai program atau kode untuk

mengaktifkan program utamanya. Program atau kode

7

Depkominfo


ini bisa dipicu dengan bermacam-macam cara,

contohnya, virus diaktifkan ketika kita mengklik atau

membuka file tertentu dari windows explorer. Atau

dengan memakai nama file yang sedang populer.

Contoh, virus worm anna-kournikova memakai kode

pemicu dengan nama file anna-kournikova.jpg.exe.

dengan nama ini orang akan mengira file tersebut

adalah .jpg (file gambar), padahal file tersebut adalah

file jenis application atau file .exe. Atau virus

w32.hllw.pesin, file pemicunya adalah SysTask.exe

dengan icon MS-Word. Sehingga orang terkecoh dan

mengira bahwa SysTask.exe merupakan file MS-Word.

5. Kode Manipulasi

Kode ini berguna untuk menghapus file, menjalankan

aplikasi tertentu untuk mencuri dan mengirimkan data

ke sebuah email. Batasan manipulasi terserah kepada

pembuatnya, karena hal inilah maka virus

dikategorikan dalam program yang bersifat merusak.

8

Depkominfo


Dari kode - kode diatas dapat dirangkum menjadi

satu, sehingga menjadi sebuah program yang

bernama virus.

Cara Kerja Virus

Cara kerja sebuah virus diterangkan sebagai

berikut :

1. Setelah program virus diklik oleh user, maka virus

akan menjalankan proses.

2. Kemudian virus menjalankan kode pertahanan diri,

yaitu dengan menyembunyikan proses yang terjadi

di komputer.

3. Lalu, seperti yang diterangkan pada ilustrasi gambar

1.1, virus akan menjalankan kode penggandaan diri

yaitu dengan mencari file berekstensi tertentu (yang

banyak digunakan oleh user komputer), seperti .exe,

.jpg, .doc, dan lain – lain. Misalnya virus

9

Depkominfo


menemukan file yang bernama sehat.doc,

selanjutnya virus akan memeriksa apakah file

tersebut ada kode penandanya.

Gambar 2. 1 Cara kerja Virus

4. Jika file tersebut tidak ada kode penanda maka virus

akan menginfeksi file yang sehat tersebut, atau

menyisipkan kode virus seperti gambar 1.2

10

Depkominfo


kemudian virus akan mencari file yang belum

terinfeksi.

Gambar 2. 2 Virus mencari file lain setelah menulari file sehat

5.Jika virus tidak menemukan penanda pada file yang

dicari, maka virus akan mencari file selanjutnya yang

belum terinfeksi.

6.Kemudian virus akan menjalankan kode manipulasi,

entah menghapus data, atau menjalankan kode

penggandaan diri lagi.

7.Setelah kode – kode tersebut dijalankan virus akan

mengerjakan kode pertahanan kembali, yaitu

11

Depkominfo


dengan cara mengenkrip file virus untuk

menyembunyikan diri dari pendeteksian antivirus.

Serangan Virus ke Sistem Komputer

Yah yang namanya virus ya…sukanya merusak dan

merangsek (masuk dengan paksa…) kayak komik –

komik silat Pedang Mahadewa, Tiger Wong, Tapak

sakti…hush hush hush!Maksudnya yang namanya virus

pasti berusaha untuk masuk ke sistem yang ada di

komputer kita. Gunanya mas? Ya untuk mengunci

sistem, memanipulasi dan mengganti sistem tersebut

agar virus dapat lebih leluasa berkembang biak. Lalu

bagaimana langkahnya kok si virus itu bisa sampai

masuk ke sistem komputer kita?nah untuk menjawab

pertanyaan ini baca paragraf berikut ini.

Biasanya virus menyerang sistem yang ada di

komputer kita yaitu:

12

Depkominfo


Registry

Registry windows???ada yang belum tahu

yah!!!!!Registry windows adalah suatu database untuk

menyimpan dan mengatur sistem di windows. Untuk

lebih jelasnya BACA BUKUNYA!!!Banyak kok, yang jelas

kalau bermain-main dengan registry sangat asyik sekali,

bisa-bisa anda terhanyut dan tenggelam di dalamnya

(maaf saya mengutip judul dari pak Tri Amperiyanto,

mohon diizinkan pak, terima kasih). OK…kalau ada yang

belum tau coba klik start -> run -> ketik ‘regedit’ (tanpa

tanda petik). Nah akan muncul jendela seperti gambar di

bawah ini :

13

Depkominfo


Gambar 1: Gambar Registry Edit pada MS Windows

Key Registry

Key Registry dilambangkan dengan . Key Registry

terdiri dari 5 Kunci utama, yaitu:

- HKEY_CLASSES_ROOT atau biasa disingkat

HKCR

- HKEY_CURRENT_USER atau biasa disingkat

HKCU

14

Depkominfo


- HKEY_LOCAL_MACHINE atau biasa disingkat

HKLM

- HKEY_USERS atau biasa disingkat HKU

- HKEY_CURRENT_CONFIG atau biasa disingkat

HKCC

Gambar 2: Key Registry Di Windows

Di tiap – tiap registry utama terdapat key utama

terdapat key anak yang berguna untuk menyimpan

value.

15

Depkominfo


Gambar 3: Key Registry HKEY_CURRENT_CONFIG yang mempunyai key anak

Nah dari gambar di atas kita dapat melihat

HKEY_CURRENT_CONFIG mempunyai anak yaitu:

- Key Software

- Key Sytem

Dan Key System mempunyai anak lagi yaitu :

- Current Control Set

Kemudian Key Current Control Set mempunyai anak lagi:

- Key Control

- Key Enum

Dan seterusnya…saya capek euy…ngerti kan…(He-eh

he-eh)…Nah

16

Depkominfo


Value

Value di sini adalah isi dari key yang ada di registry

windows. Maksudnya??? Begini coba klik anak dari key

utama sampai anda menemukan isi dari key anak yang

paling terakhir pasti ada penampakkan seperti gambar di

bawah ini kan, walaupun beda tulisannya ya gpp, kalau

pada gambar di bawah ini hanyalah contoh dari value :

Gambar 4: Contoh dari value registry

Value terbagi 3 jenis yaitu:

- DWORD dengan jenis angka atau integer

17

Depkominfo


- STRING dengan jenis karakter (huruf) atau

kalimat

- BINARY dengan jenis angka biner

Sebenarnya ada jenis – jenis lain tetapi jarang dipakai

dalam registry itu sendiri.

Sekarang kita akan coba membahas sedikit tentang

registry di windows tersebut.

Alamat Registry

Registry sendiri mempunyai alamat yang berguna untuk

mengatur konfigurasi pada windows, misalnya:

Alamat registry:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\R

un\

Berguna untuk menjalankan suatu aplikasi secara

otomatis

18

Depkominfo


Alamat registry:

HKEY_CURRENT_USER

\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\

Berguna untuk memanipulasi kode explorer

Alamat registry:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows

NT\CurrentVersion\

Berguna untuk memanipulasi drive penginstalan, Lisensi

pada Windows.

Beberapa alamat di registry sangat riskan sekali

jika diubah-ubah, terkadang hal tersebut menjadi

“senjata makan tuan” jika kita tidak berhati – hati dalam

pengubahan registry tersebut.

Registry yang paling sering dijadikan sasaran

virus19

Depkominfo


Wah wah wah dari bab-nya saja sudah jelas

maksudnya…ini nih alamat registry yang biasa di

exploitasi oleh virus lokal. Paling tidak jika kalian

menemukan virus lokal, sebaiknya cek di alamat registry

ini:

Registry pemicu virus

Registry pemicu ini berguna untuk memicu file virus,

sehingga virus otomatis akan aktif jika windows masuk.

Alamat:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\

Di sini neh biasanya virus bercokol, maksudnya di

alamat registry ini biasanya digunakan oleh programmer

virus untuk memicu program virusnya secara otomatis.

Misalnya pada virus kangen alamt registry :

20

Depkominfo


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cu

rrentVersion\Run

Di isi oleh string NvsSchd, sehingga penampakkannya

seperti pada gambar di bawah ini:

Gambar 5: Pemicu registry pada virus kangen

Ngerti kan….nah untuk virus lain coba cari sendiri

aza…..okeh!!!!!

-----------------------------PENANGGULANGAN---------------------

Hapus key registry yang mencurigakan di alamat

tersebut, untuk mempermudah penghapusan coba deh

install System Mechanic kemudian klik Optimize dan pilih

Start Up Manager.

-------------------------------------------------------------------------

21

Depkominfo


Registry penyembunyian Extensi file

Pada alamat registry ini biasanya digunakan untuk

menyembunyikan extensi file. Ngerti??? Kurang jelas

mas…okeh coba liat gambar di bawah ini:

Gambar 6: Extensi file terlihat di Windows Explorer

Nah pada gambar 6 Extensi file masih dapat terlihat.

Yaitu file winword dengan extensi file ICO dan file

wepkeys dengan extensi file txt. Biasanya virus

menyembunyikan extensi file tersebut, agar user tertipu,

seperti yang dilakukan oleh w32.rontokbro atau

w32.kangen, dan virus lainnya. Lalu di mana alamat

registry-nya??? Ya di sini (sambil menunjuk jidat

pembaca..)

22

Depkominfo


Alamat:

HKCU\Software\Microsoft\Windows\CurrentVersion\Expl

orer\Advanced\

Key : HideFileExt

Value : 1

Jika extensi file disembunyikan, maka penampakkanya

akan seperti pada gambar berikut:

Gambar 7: Extensi file tidak terlihat di Windows Explorer

Extensi file winword dan wepkeys tidak terlihat.

23

Depkominfo


-----------------------------PENANGGULANGAN---------------------

Jika extensi file tidak terlihat, anda harus menuju ke

alamat registry dan mengubah value registry tersebut

menjadi 0. Atau buka windows explorer kemudian klik

tools->folder option->view-> hilangkan tanda pada

“Hide extension for known file types”.

-------------------------------------------------------------------------

Registry penyembunyian file yang beratribut

hidden

Alamat registry ini berguna untuk menyembunyikan

file yang ber artribut hidden. Jadi untuk

mempertahankan kelangsungan hidupnya, virus

menyembunyikan diri dengan mengeset file beratribut

hidden. Walaupun sebenarnya ada tehnik lain, yaitu

dengan membuat nama file utama virus mirip dengan

nama system file di windows, misalnya :

24

Depkominfo


- Pada virus brontok menggunakan nama file

svchost, lsass, csrss, dan lain – lain, nama file

tersebut mirip dengan nama file system yang

ada pada windows.

- Pada virus riyani_jangkaru menggunakan nama

file xpshare

- Pada virus kangen nama file virusnya adalah

NvsScd

Nah alamat registry untuk menyembunyikan file yang

beratribut hidden tersebut adalah:

Alamat:

HKCU\Software\Microsoft\Windows\CurrentVersion\Expl

orer\Advanced\

Key : Hidden

Value : 0

Untuk jelasnya, coba lihat gambar berikut ini :

25

Depkominfo


Gambar 8: File beratribut hidden

File yang beratribut hidden pada windows

explorer ditandai dengan icon yang kabur atau “blaur”

bahasa jawanya. Nah file tersebut dapat disembunyikan

dengan alamat registry di atas tadi. Sehingga pada

windows explorer nanti file msdos.sys tidak akan

terlihat…ngerti kan…nah begitu juga file virus. File virus

tidak akan terlihat karena file tersebut di-set dengan

atribut hidden.

-----------------------------PENANGGULANGAN---------------------

Jika kalian tidak menemukan file virus yang beratribut

hidden, ubah value pada registry tersebut dengan nilai

1.

-------------------------------------------------------------------------

26

Depkominfo


Registry Pengunci regedit (Registry Edit)

Registry ini berguna untuk mengunci regedit

yang ada di windows. Sehingga bila kita mencoba masuk

ke registry, maka akan timbul pesan sbb :

Gambar 9: Pesan kalau registry edit telah terkunci

Alamat :

HKCU\Software\Microsoft\Windows\CurrentVersion\Polici

es\System\

Key : DisableRegistryTools

Value : 1

-----------------------------PENANGGULANGAN---------------------

27

Depkominfo


Nah agar regedit dapat dibuka kembali ubah hapus nilai

registry tersebut. LOH MAS KAN KITA GAK BISA

MEMBUKA REGEDIT-NYA, GIMANA KITA BISA MERUBAH

NILAI REGISTRY ITU??? HU… !!! Sabar sodara…sabar…

kalo gak bisa ya buka pake vbscript atau program

pembongkar kunci regedit donk…

-------------------------------------------------------------------------

SYSTEM EDITOR (SYSEDIT)

Selain virus menyerang daerah registry, virus

juga menghajar Sysedit atau sistem editor yang ada di

MS Windows. Mmmmm……System Editor itu apamas???

oke saya jelaskan…System Editor atau yang biasa

disingkat dengan Sysedit adalah file – file tertentu yang

dijalankan ketika komputer masuk ke windows pertama

kali. Ya seperti regedit. Sysedit ini biasanya masih

banyak dipakai di Sistem Operasi Windows lama seperti

win95, Win98, Win 3.1…jadi walaupun memang sudah

lama…tapi secara tidak langsung berpengaruh juga pada

user yang memakai Sistem Operasi Windows XP. Coba

28

Depkominfo


untuk melihat sysedit klik Start->Run -> Ketik sysedit .

Maka akan muncul seperti pada gambar berikut ini…

Gambar 10: Sysedit (System Editor) pada Windows

Walahhhh…apa ini maksudnya…ntar ntar sabar…dengar

penjelasan saya dulu. Jadi sebenarnya dalam sysedit ini

kita bisa memanipulasi file yang pertama kali dieksekusi

oleh windows ketika windows berjalan di komputer

anda. File – file tersebut adalah :

- Config.sys

Config.sys adalah file yang memuat tentang seluruh

konfigurasi windows dan dijalankan ketika pertama

29

Depkominfo


kali windows mulai. Letak file ada di drive C:\ dan

mempunyai atribut file system dan hidden.

- Autoexec.bat

Autoexec.bat adalah file yang berisi perintah yang

ada di komputer dan akan dijalankan pertama kali

ketika windows berjalan. Letak file ada di drive C:\

dan mempunyai atribut file system dan hidden. Coba

Untuk membuktikannya, buka file Autoexec.bat ini

kemudian ketik:

Dir c: > c:\coba.txt

Lalu simpan dan restart komputer anda, apa yang

terjadi? Nah coba cek di drive c: di komputer anda,

pasti ada file coba.txt, karena pada perintah di atas

autoexec.bat menjalankan perintah windows yaitu

‘dir’ dan menyimpannya ke file coba.txt di drive c.

Nah coba sekarang buka autoexec.bat lagi kemudian

ketik:

30

Depkominfo


Format c:

Del c:\windows\*.*

Kemudian restart komputer anda..heheheh..eh

JANGAN – JANGAN…ini berbahaya…soalnya ketika

anda merestart komputer maka ketika pertama kali

menjalankan autoexec.bat, komputer anda akan

dihapus isi file-nya atau di format

abisss….hehehehe…nah virus kadang menulisi file

autoexec.bat atas untuk membuat pusing user.

- Win.ini

Win.ini juga sebuah file yang dieksekusi pertama

kali oleh windows. File ini berisi tentang aplikasi

16 bit yang di-support oleh windows.

- System.ini

31

Depkominfo


System.ini adalah sebuah file yang berguna

untuk menyimpan data font yang diakses oleh

windows ketika pertama kali.

MSCONFIG

Waduh.. apalagi nih msconfig mas???

huehehehe…sabar dunk saya jelasin lagi yah…

MSCONFIG sebenarnya sebuah aplikasi, nah dari aplikasi

MSCONFIG, seluruh file system editor (sysedit) tadi

dijalankan. Coba sekarang klik Start-> Run -> ketik

msconfig kemudian enter. Maka akan muncul apliaksi

seperti pada gambar berikut :

32

Depkominfo


Gambar 11: MSCONFIG pada Windows

Nah sekarang coba klik salah satu bar yang ada di

aplikasi MSCONFIG tersebut. Misalnya klik bar

‘SYSTEM.INI’ maka akan muncul gambar seperti di

bawah ini kan:

33

Depkominfo


Gambar 12: Bar SYSTEM.INI yang ada di MSCONFIG

Nah yang kalian liat itu adalah daftar file yang

dijalankan oleh SYSTEM.INI ketika windows berjalan

pertama kali.

Tapi para virus biasanya menggunakan

MSCONFIG ini untuk menjalankan program virus mereka

secara otomatis, yaitu dengan memanipulasi bar startup.

Misalnya virus hallo.roro.htt memanipulasi startup

dengan memberi cara menulis script di startup:

load = c:\windows\system\syssrv.exe34

Depkominfo


Maka di aplikasi MSCONFIG pada bar Startup akan

muncul penampakkan seperti pada gambar berikut:

Gambar 13: Virus hallo.roro.htt pada msconfig di bar startup

-----------------------------PENANGGULANGAN---------------------

Hapus saja yang ada di startup file – file yang dicurigai,

jangan takut salah, buntut-buntutnya kalo salah

palingan Cuma nginstall ulang kok :-p buehehehe!

-------------------------------------------------------------------------

DIREKTORI – DIREKTORI YANG SERING

MENJADI INCARAN VIRUS

Incaran?…apaan tuh??emang pacara…hehehehe!…ya

sebenarnya hal sepele tapi perlu sih…kenapa??Soalnya

35

Depkominfo


kita kudu tau dimana para file induk virus itu bercokol.

KIRA KIRA DIMANA ANAK ANAK????Di direkctory

c:\windows pak guru….iya bener….dapet permen satu…

hush! Jadi memang para file induk virus itu ada di

c:\windows terkadang juga di

c:\windows\system32…terus gimana caranya

membedakan file system windows dengan file virus, apa

harus dihapalin mas????waduh itulah…memang

sebenarnya susah, mo dihapalin terlalu banyak, mo di

gak dihapalin gimana?susah yah…JADI GAK ADA

PENANGGULANGANNYA DUNK…tenang – tenang

mungkin pencegahannya ada. Jadi yang harus anda

lakukan, adalah menampilkan extensi file di windows

explorer. Caranya dah tau kan…ada di atas kok…baca

aja …ok…

-----------------------------PENANGGULANGAN---------------------

36

Depkominfo


Tampilkan extensi file di dengan cara me-nyetting-nya di

tools->folder options-> view-> hilangkan tanda pada

“Hide extension for known file types”.

-------------------------------------------------------------------------

MENANGGULANGI VIRUS DI PC/DESKTOP

Untuk menanggulangi virus di desktop atau komputer

anda, sebenarnya tidak sesusah yang anda bayangkan.

Kita bisa menggunakan antivirus yang sudah jadi,

ataupun menggunakan tools – tools yang anda,

sehingga anda dapat menanggulangi virus tanpa

antivirus. Karena buku ini untuk pembelajaran, maka

yang dibahas pertama kali adalah menanggulangi virus

tanpa menggunakan antivirus:

MENANGGULANGI VIRUS TANPA MENGGUNAKAN

ANTIVIRUS

37

Depkominfo


Untuk dapat menanggulangi virus tanpa antivirus,

diperlukan tools atau software, yaitu:

1. JAN / Process Explorer

Mungkin sudah banyak yang mendengar ttg process

explorer. Anda bisa mencarinya di google, banyak

betebaran ..tapi process explorer yang dimaksud di sini

adalah yang sudah di modifikasi. Terkadang tuh virus

bakal mematikan program yang kita jalankan,

misalnya ada virus yang akan mematikan program

kalkulator ketika virus tersebut menginfeksi komputer

kita, maka yang dilakukan virus tersebut mengecek

caption dari program yang aktif, yang terletak di atas

program:

38

Depkominfo


Gambar 14: Caption pada sebuah program / software

Nah jika virus tersebut menemukan bahwa caption

programnya “Calculator” , maka akan dibunuh

program itu, jika tidak .. maka akan dibiarkan hidup.

Nah maka dari itu process explorer yang telah

dimodifikasi, akan mengacak caption programnya,

sehingga tidak akan mental ketika dihajar virus:

39

Depkominfo


Gambar 15: Caption pada sebuah program / software

Pada program process explorer ini jika aktif di

komputer anda, maka anda dapat melihat seluuuruh

program yang aktif di komputer anda, termasuk

program virus yang nangkring di komputer anda,

seperti pada gambar di bawah ini (ada program pada

list biru yang aktif, nah..itu adalh program virus):

40

Depkominfo


Gambar 16: Process Explorer menangkap proses virus

Untuk menon-aktifkan program tersebut, cukup klik

program yang ingin di aktifkan memakai mouse,

kemudian klik kiri sekali, lalu tekan tombol seperti

yang ditunjukkan pada gambar:

41

Depkominfo


Gambar 17: Membunuh proses virus

Sebelum terbunuh tadi , mungkin sebaiknya anda klik

di program yang ingin anda bunuh tadi untuk melihat

letak file, contohnya seperti gambar berikut:

42

Depkominfo


Gambar 18: Melihat lokasi file virusDapat dilihat bahwa file virus terletak di D:\Documents

and Settings\Admin\Desktop\tools\ dan perusahaan

yang membuat dapat dilihat di kolom paling ujung

yaitu virologi.info , kolom kolom itu terbagi 5

sebenarnya:

Gambar 19: Kolom pada process Explorer

Keterangan Kolom:

43

Depkominfo


Kolom 1 : menunjukkan nama proses

Kolom 2 : menunjukkan PID atau Proces ID

Kolom 3 : menunjukkan pemakaian CPU berapa persen

Kolom 4 : Menunjukkan caption atau deskripsi proses

Kolom 5 : Menunjukkan perusahaan yang membuat

aplikasi tersebut

2. Aplikasi “Muncul Semua”

Yang kedua adalah senjata untuk memunculkan

regedit, megaktifkan sub menu Folder Option, dan

memunculkan file – file yang disembunyikan virus.

Gambar aplikasinya sbb:

44

Depkominfo


Gambar 20: Aplikasi “Muncul Semua”

Keterangan dan fungsi tiap tombol aplikasi “muncul

semua” akan dijelaskan sbb:

- Tombol “Do not show hidden files or folder”

Fungsinya: Menyembunyikan file atau folder yang

beratribut hidden atau sembunyi.

- Tombol “Hide extension for known file types”

Menyembunyikan extensi file, sehingga tidak terlihat.

45

Depkominfo


- Tombol “Kembali Semua”

Mengembalikan seluruh sistem menjadi settingan

default program “muncul semua”.

- Tombol “Non Aktifkan Folder Option”

Menonaktifkan Menu “folder option” yang ada di

windows explorer.

- Tombol “Aktifkan Folder Option”

Mengaktifkan menu “folder option” yang ada di

windows explorer.

- Tombol “Kunci Regedit”

Mengunci program regedit

- Tombol “Buka Kunci Regedit”

Membuka kuncian program regedit

46

Depkominfo


LANGKAH MENANGGULANGI VIRUS TANPA

MENGGUNAKAN ANTIVIRUS

Mungkin pembaca akan berpikir, kenapa harus

menangani virus tanpa menggunakan antivirus?

Kenapa harus secara manual?padahal kan sudah ada

antivirus yang otomatis?

Jawabannya buku ini diperuntukkan kepada user atau

kita – kita yang komputernya sering terkena virus.

Virus sekarang bukan hanya memanipulasi file,

memunculkan pesan atau menulari file sehat menjadi

file yang terinfeksi.

Virus sekarang sudah berubah, mereka bahkan dengan

sangat tega membunuh, menonaktifkan bahkan

menghapus file – file system yang digunakan oleh

antivirus. Sehingga antivirus tidak dapat berjalan lagi

di komputer kita.

47

Depkominfo


Untuk mengatasi hal tersebut, maka dibutuhkan teknik

manual, dimana teknik ini sederhana, tetapi ampuh

untuk mengatasi virus yang ada di komputer kita.

Contoh Kasus

Kita tidak sengaja menemukan sebuah direktori yang

berjudul “kumpulan gambar seronok”.

Gambar 21: Folder Kumpulan Gambar Seronok

Secara naluriah atau bahasa teknisnya “social

engineering”, kita akan segera membuka folder

tersebut, karena sebagian kaum laki – laki biasanya

48

Depkominfo


tertarik dengan hal – hal yang berbau “sex” , seperti

kumpulan gambar seronok, gambar telanjang dan lain

– lain.

Sedangkan kaum wanita biasanya tertarik dengan hal

yang berbau “romantisme”, seperti surat cinta,

ramalan bintang atau informasi diskon.

Ketika folder tersebut dibuka, ternyata tidak terjadi

proses apa – apa. Bahkan tiba – tiba komputer restart

dengan sendirinya. Saya kira pembaca sering

mengalami gangguan seperti ini.

Sebenarnya apakah “kumpulan gambar seronok” itu

folder atau bukan? Temukan jawabannya di bawah ini

-----------------------PENCEGAHAN--------------------

Mengetahui hal tersebut file atau folder, sebenarnya

gampang.

Cukup memakai fasilitas “View” yang disediakan oleh

windows. Caranya:

49

Depkominfo


1. Buku windows explorer.

2. Kemudian klik menu View -> Detail

Gambar 22: Fasilitas View

3. Maka tampilan pada windows explorer akan

berubah menjadi seperti ini:

50

Depkominfo


Gambar 23: View Detail

Bisa dilihat Documents and Settings, escwsa, MIC,

Program Files dan Windows adalah folder , sedangkan

“kumpulan gambar seronok” adalah sebuah file.

Terlihat di situ type-nya Application, sedangkan

Documents and Settings, escwsa, MIC, Program Files

dan Windows type-nya File Folder.

Kemudian petunjuk lainnya adalah, Klik Tools-> Folder

Options , maka akn muncul aplikasi seperti berikut:

51

Depkominfo


Gambar 24: Folder Options

Lalu klik tab “View” dan jangan beri tanda pada pilihan

“Hide extensions for known file types”

52

Depkominfo


Gambar 25: Jangan beri tanda pada pilihan Hide extensions

Maka extensi file akan dimunculkan pada windows

explorer, sehingga kita tau mana yang file mana yang

folder.

-------------------------------------------------------------

Gambar 25: Perbedaan antara file dan folder

Anggap saja file yang tadi tidak sengaja ter-klik

sehingga mengaktifkan virus dan menginfeksi sistem di

komputer kita. Lalu bagaimana penanganannya?

53

Depkominfo


Tanda – tanda komputer anda terinfeksi virus

adalah:

1. Tidak lengkapnya fasilitas pada tombol start, jadi

seharusnya, ketika kita sedang meng-klik tombol

“start”, maka yang muncul seperti pada gambar

berikut:

54

Depkominfo


Gambar 26: Fasilitas yang ada di tombol “start”

Seperti pada gambar, tombol start yang diklik akan

muncul fasilitas, Control Panel, My Document, My

Computer, Search, Run, Log off dan Shut Down.

Sedangkan jika komputer terkena virus, maka tombol

startnya akan seperti ini:

55

Depkominfo


Gambar 27: Fasilitas tombol “start” tidak lengkap

Gambar diatas adalah gambar tombol start yagn

terkena virus, yaitu tidak adanya “Control Panel”,

“search” dan “Run”.

2. Jika ditekan tombol ctrl+alt+del , maka komputer

normal akan muncul tasklist, atau daftar process yang

ada di komputer.

Gambar 28: Tasklist pada komputer normal

56

Depkominfo


Sedangkan pada komputer yang terkena virus, ketika

menekan tombol ctrl+alt+del, maka akan muncul

pesan sbb:

Gambar 29: tasklist yang diblok oleh virus

3. Ketika menekan tombol windows+R , seharusnya

muncul:

Gambar 30: kotak Run

57

Depkominfo


Tetapi jika terkena virus, maka yang muncul adalah:

Gambar 31: Pesan yang dimunculkan virus ketika mengeblok kotak Run

4. Di windows explorer, seharusnya ada sub menu

folder option:

Gambar 32: Folder Option

Tapi jika terkena virus, maka “Folder Option” tidak

akan muncul

58

Depkominfo


Gambar 33: Folder Option di blok oleh virus

Langkah – langkah penanganan

Tidak usah khawatir, semua penyakit pasti ada

obatnya, semua virus pasti ada antivirusnya, cukup

ikuti langkah – langkah berikut ini:

1. Siapkan tools yang akan dipakai, yaitu

software JAN process explorer dan software

“Muncul Semua” yang bisa di download di situs

depkominfo.

2. Kemudian aktifkan software JAN Process

Explorer untuk melihat proses virus yang ada

di komputer anda.

59

Depkominfo


Gambar 34: Jan Process Explorer

Dapat dilihat bahwa virus butoijo telah aktif di

komputer anda.

Gambar 35: Proses Virus yang tertangkap Jan Process Explorer

60

Depkominfo


Proses virus yang aktif biasanya ada di bawah proses

explorer. Memang untuk pertama kali tidak mudah

menemukannya. Tanda bahwa proses tersebut adalah

proses virus adalah icon – icon yang aneh, seperti icon

folder, jpg atau icon – icon system.

3. Jika sudah ketemu proses tersebut, dekatkan

kursor ke proses tersebut, maka akan

ditunjukkan tempat file yang dieksekusi untuk

proses virus atau dengan kata lain lokasi File

induk virus.

Gambar 36: Tempat atau lokasi file virus

Pada gambar dapat dilihat proses virus bernama

butoijo.exe dan lokasi file virus terletak di:

“C:\WINDOWS\system32\”

61

Depkominfo


Dengan nama file butoijo.exe

4. Setelah mengetahui lokasi virus, matikan

proses virus tersebut, sehingga file virus dapat

dihapus. Windows tidak akan mengizinkan

sebuah file dihapus ketika file tersebut sedang

aktif atau sedang dipakai oleh suatu proses.

Cara mematikannya cukup klik proses virus

yang akan dimatikan, kemudian klik tanda

merah di bagian atas program Jan Process

Explorer.

Gambar 37: Tombol untuk mematikan proses pada aplikasi Jan process explorer

62

Depkominfo


Gambar 38: Proses virus telah dimatikan, sehingga tidak muncul di Jan process explorer

5. Setelah proses virus mati, buka windows

explorer, kemudian cari file virus yang tadi

sudah ditunjukkan, jika dalam kasus ini lokasi

virusnya ada di:

“C:\WINDOWS\system32\”

Dengan nama file butoijo.exe

Jika tidak ketemu filenya, aktifkan program “muncul

semua” yang bisa di download di situs depkominfo. File

tersebut tidak ketemu karena disembunyikan oleh salah

satu modul pertahanan virus.

63

Depkominfo


6. Setelah mengaktifkan program “muncul semua”,

klik tombol “kembali semua”. Maka file virus

yang tersembunyi akan dimunculkan. Dan

registry yang disembunyikan akan diperbaiki.

Gambar 39: File virus yang tersembunyi, dimunculkan oleh program “muncul semua”

Setelah ketemu file induk virus, pindahkan dengan hati –

hati ke suatu direktori tertentu. Kemudian download file

antivirus WAV.exe yang bisa di download di situs

depkominfo.

Fungsi software tersebut adalah untuk menangkap file –

file sisa virus yang dibentuk atau di-generate oleh virus.

64

Depkominfo


Untuk dapat menangkap file virus tersebut, ikuti langkah

berikut:

MENANGKAP VIRUS MENGGUNAKAN ANTIVIRUS SEDERHANA

Antivirus ini terdiri dari satu program utama.

Program aplikasinya sendiri berukuran 288 kb.

Sedangkan untuk file – file pendukungnya atau bawaan

dari visual basicnya berukuran besar. Untuk jumlah file

yang dideteksi, dalam 30 detik Antivirus ini dapat

mendeteksi kurang lebih 150 Mb.

Cara kerja aplikasi ini adalah ketika pertama kali

menjalankan program, akan muncul menu utama yang

terdiri dari 5 sub menu yaitu :

- Home (Sub menu untuk menampilkan halaman

utama dari program)

- Deteksi Virus (Sub menu untuk mendeteksi

virus)

- Karantina (Submenu untuk melihat file yang

dikarantina)

65

Depkominfo


- About (Sub menu untuk menampilkan dimana

programmer bisa ditemui)

- Keluar (Untuk keluar dari program Antivirus)

FORM UTAMA

Pada saat program dijalankan maka akan muncul

tampilan menu utama seperti gambar 4.1.

gambar 4.1 Menu Home

Menu ini berisi 5 sub menu yaitu home, deteksi

virus, karantina, hubungi saya dan keluar. Menu utama

ini langsung menampilkan sub menu home yaitu berupa

pesan selamat datang.

66

Depkominfo


FORM PENDETEKSIAN

Untuk mendeteksi virus, maka kita harus

menampilkan sub menu deteksi, yaitu dengan meng-klik

sub menu deteksi virus pada menu utama. Maka akan

muncul form seperti berikut gambar berikut

gambar 4.2 Sub menu deteksi virus

Pada sub menu proses ini, ketika pertama kali

aktif akan ada penjelasan tentang definisi antivirus yang

diambil dari file signature.db atau database virus. Jika

67

Depkominfo


tanggal pada header file signature.db tidak sama dengan

tanggal terakhir update-an antivirus, maka tulisannya

akan berwarna merah dan program perlu melakukan

update virus list ke situs yang ditunjuk. Isi dari file

signature.db ada di bawah ini :

(1) 09-02-2004

(2) DD7A0BA8:E:Code Red Virus (Internet Worm)

(3) 1AA1E86F:E:Code Red 2 Virus (Internet Worm)

(4) 25407EB9:E:w32.blackmall.variant.a (worm variant a)

(5) 52634464:E:Trojan Horse (Trojan Horse)

(6) #END#

Baris (1) menunjukkan tanggal dirilisnya file

signature.db. Baris (2) sampai (5) menunjukkan virus list

yang dapat dideteksi oleh aplikasi antivirus ini. Ada

beberapa bagian yang harus dimengerti, sebagai contoh

kita ambil baris ke (2) :

DD7A0BA8:E:Code Red Virus (Internet Worm)

68

Depkominfo


DD7A0BA8 menunjukkan nilai crc32 dari

sebuah aplikasi atau bisa digunakan sebagai penanda

virus

:E: sebagai pemisah antara nilai

crc32 dan nama virus

Code Red Virus Nama virus

(Internet Worm) Jenis virus

Sedangkan baris ke (6) dengan string #END#

menunjukkan akhir dari file signature.db.

Menu di bawahnya juga menunjukkan apakah

program antivirus akan menjadi tray window (tray

window) atau akan berjalan ketika windows mulai (run

on startup). Kemudian menu yang terletak di bawahnya

menunjukkan jumlah file dan virus yang dideteksi.

MENDETEKSI VIRUS

Untuk mendeteksi, ada beberapa cara. Cara

pertama yaitu dengan memeriksa apakah ada virus

69

Depkominfo


dalam file, yaitu dengan mengklik tombol “cek dalam

file”. Maka akan muncul form pada gambar 4.3.

gambar 4.3 Sub menu cari dalam file

Cara kedua adalah memeriksa virus yang berada

di direktori, yaitu dengan cara menekan tombol “cek

direktori”, maka akan muncul ilustrasi seperti pada

gambar 4.4.

70

Depkominfo


gambar 4.4 Sub menu cek direktori

Yang ketiga adalah memeriksa file dengan CRC

(Cyclic Redundancy Chek) yaitu mendeteksi virus sesuai

dengan checksum nya. Ilustrasi ada pada gambar

berikut

71

Depkominfo


gambar 4.5 Sub menu cek dengan CRC

FORM KARANTINA

Untuk melihat file-file yang diduga sebagai virus

dikarantina atau dipisahkan dan dienkripsi, klik menu

karantina, maka akan tampil form seperti pada gambar

berikut

72

Depkominfo


gambar 4.6 Menu Karantina

Mengkarantina suatu file juga perlu metode

encrypt, hal ini untuk menghindari pendeteksian file

yang sudah di-encrypt, sehingga antivirus tidak

menganggapnya sebagai virus lagi.

FORM ABOUT

Untuk menghubungi programmer, pada menu utama

dipilih (klik) tombol Hubungi Saya, maka akan muncul

image seperti pada gambar 5.0. Dan untuk keluar dari

program klik menu Keluar.

73

Depkominfo


gambar 4.7 Menu Hubungi Saya

Implementasi Pendeteksian Virus

Contohnya, file a.txt berukuran 1 byte,

diasumsikan sebagai virus. Tetapi kita belum mengerti

bagaimana agar file a.exe dideteksi antivirus sebagai

virus. Pertama kita harus mengkalkulasikan nilai crc32

menggunakan aplikasi Wedash Anti Virus.

74

Depkominfo


Pada kotak sebelah kanan terdapat keterangan

nama file : a.txt, ukuran : 1 bytes, checksum :

E8B7BE43. Dari informasi ini kita dapat menuliskan nilai

checksum dari file tersebut ke file signature.db yang

berisi virus-list agar file a.txt dideteksi sebagai virus.

75

Gambar 4.8 Form Penghitung crc32

Depkominfo


Keterangan lebih detail tentang file signature.db

dapat dilihat pada bab selanjutnya. Sehingga proses

untuk menentukan file tersebut dianggap virus :

76

Gambar 4.9 Isi file signature.db

Depkominfo


Proses gambar 1.8 dijelaskan sebagai berikut :

i. File a.txt diasumsikan sebagai virus

ii. File a.txt diteliti menggunakan aplikasi Wedash Anti

Virus 2005 untuk diambil checksum nya

menggunakan metode crc32.

iii. Hasil dari checksum file a.txt dimasukkan ke virus-

list yang ada di file signature.db

Sehingga aplikasi antivirus dapat mengenali file a.txt

sebagai virus melewati beberapa proses.

77

File a.txt yang diasumsikan sebagai virus

(1) (2) (3)

Gambar 4.10 Proses menentukan file sebagai virus

Depkominfo


Prose aplikasi mengenali suatu file sebagai virus :

Proses pendeteksian melalui aplikasi:

a. Aplikasi mendeteksi a.txt meminta informasi ukuran

file dan menghitung checksum crc32.

78

File: a.txtUkuran : 1 byteChecksum : E8B7BE43

(1)

(2)

(4)

(3)

(5)

Gambar 4.11 Proses Pendeteksian Virus lewat aplikasi Wedash Anti Virus 2005

Depkominfo


b. File memberikan informasi besar file sehingga

aplikasi dapat menghitung checksumnya dengan

metode crc32 dan didapatkan hasilnya E8B7BE43.

c. Aplikasi meminta informasi ke file signature.db

apakah checksum E8B7BE43 yang menjadi penanda

file a.txt ada dalam virus list.

d. Signature.db memberikan informasi tentang

checksum tersebut bahwa a.txt adalah virus.

e. Aplikasi menampilkan alert bahwa a.txt adalah virus.

Jika pada signature.db tidak terdapat checksum

yang dimaksud maka aplikasi akan melanjutkan

pencarian ke file lain.

Proses Update Virus List di file

signatures.db

Untuk meng-update virus-list WAV 2005, dapat dilakukan dengan cara sebagai berikut :

79

Depkominfo


1. Jalankan WAV 2005, pilih Sub menu Cek

dengan CRC. Maka akan muncul aplikasi

seperti pada gambar di bawah ini :

2. Kemudian pilih file yang dicurigai, misalnya

eksplorasi.exe, lihat nilai cheksumnya.

80

Gambar 4.12 Sub Menu Pendeteksian dengan CRC32

Depkominfo


3. Buka file signatures.db yang ada di direktori

C:\Program Files\AntiVirus\ atau di direktory

dimana aplikasi virus di-copy-kan. Maka akan

muncul di notepad isi file signatures.db sbb:

81

Gambar 4.14 Isi file signature.db

Gambar 4.13 Proses Pendeteksian Virus CRC32

Depkominfo


4. Kemudian ketik nilai checksum dari file yang

dicurigai ke file signatures.db yang telah dibuka

dengan aturan penulisan sbb, (nilai cheksum

baru yang diselipkan terletak sebelum

karakter #END#) :

NILAI_CHECKSUM:E:Nama Virus (Jenis Virus)

Contoh :

… potongan kode

A9EB7466:E:w32.riyani_jangkaru.jpg.exe (worm)

25407EB9:E:w32.blackmall.variant.a (worm variant

a)

52634464:E:Trojan Horse (Trojan Horse)

82

Virus list baru yang diselipkan

Depkominfo


28B3A591:E:w32.rontokbro@mm (internet worm)

#END#

5. Kemudian Klik File -> Save

6. Keluar dari aplikasi antivirus, kemudian masuk

lagi. Dan lakukan Langkah pemeriksaan.

83

Virus list baru yang diselipkan

Depkominfo


Penanganan Virus pada Jaringan Komputer

Untuk penanganan virus pada jaringan komputer

mungkin sedikit lebih rumit. Karena disarankan untuk

menangani virus pada jaringan, sebaiknya menggunakan

sistem operasi LINUX, bukan WINDOWS, mengapa??

Karena sistem operasi LINUX tidak rentan terhadap

serangan virus. Jadi ketika ada serangan virus yang

terjadi di komputer yang mempunyai sistem operasi

WINDOWS, komputer yang bertugas untuk melakukan

scanning, yang sistem operasinya adalah LINUX tidak

84

Depkominfo


akan ikut terinfeksi, sebab lain adalah virus WINDOWS

tidak mungkin hidup di lingkungan LINUX. Itu sebabnya

mengapa jika anda ingin mendesain jaringan, sebaiknya

memakai server Linux.

Untuk penanganan virus pada jaringan kita memerlukan

DAZUKO dan CLAMAV.

DAZUKO

DAZUKO adalah antivirus yang atau module antivirus

yang dibangun di lingkungan LINUX. Lebih fleksibel

karena dia memperbolehkan kita meng-compile kernel-

nya sendiri.

Compile kernel DazukoFS

Ada 5 langkah untuk meng-compile DazukoFS:

1. DazukoFS bisa digunakan sebagai modul kernel.

Sekali modul kernel itu menjadi satu dengan kernel

anda, fungsi calling dan sharing juga akan berfungsi

85

Depkominfo


sama dengan kernel tersebut. Download kernel

dazukoFS di :

http://dazuko.dnsalias.org/wiki/index.php/Downloads

2. Kita ambil contoh kernel tersebut akan di Compile di openSUSE, maka jalankan perintah seperti:

$ patch -p1 < patches/patch-opensuse-11.1

Kemudian compile dengan perintah:

$ make

3. Masukkan DazukoFS. Untuk melakukan ini, anda harus menjadi root, kemudian masukkan perintah:

# /sbin/insmod dazukofs.ko

86

http://dazuko.dnsalias.org/wiki/index.php/Downloads

Depkominfo


Jika tidak ada pesan error, lakukan perintah selanjutnya untuk verifikasi modul sudah masuk secara sempurna:

$ cat /proc/filesystems | grep dazukofs

4. Testing DazukoFS dengan menjalankan perintah:

# mkdir /tmp/testmnt# mount -t dazukofs /tmp/testmnt /tmp/testmnt

$ cd test$ make# env LD_LIBRARY_PATH=lib ./showfiles

Buat file di direktori /tmp/testmnt , hal ini untuk mengetahui apakah file tersebut bisa diakses atau tidak.

Untuk umount cukup ketikkan perintah sbb:

87

Depkominfo


# umount /tmp/testmnt

5. Install DazukoFS

# make dazukofs_install

Menginstall Dazuko dengan antivirus tertentu

Sebenarnya Dazuko dapat disandingkan dengan

beberapa antivirus seperti AVG, AVIRA, F-Secure,

NOD32, Panda Antivirus dan lain – lain. Tapi di sini kita

hanya mencoba untuk Clamav dan AVG saja.

Menginstall Dazuko dengan antivirus CLAMAV

Instalasi Clamav+Dazuko ini fungsi utamanya adalah

pada on-access scanner, jadi ketika ada orang yang

memasukkan USB atau flashdisk ke client, maka

antivirus dari server akan langsung melakukan scanning.

88

Depkominfo


Sehingga untuk menginfeksi ke client langsung dapat

dicegah dan diminimalisir. Langkah instalasinya:

1. Install Clamav dan clamav-daemon , dengan perintah:

sudo apt-get install clamav clamav-daemon

2. install dazuko dengan cara mendapatkan source

codenya di dazuko.org , dengan perintah:

wget http://www.dazuko.org/files/dazuko-source_2.0.6-1_all.debsudo dpkg -i dazuko-source_2.0.6-1_all.deb

3. Konfigurasi dazuko, dengan perintah:

sudo apt-get install module-assistantm-a a-i dazuko

4. Setelah anda mendapatkan kernel modul dazuko,

anda tidak dapat langsung menggunakannya, hal

tersebut dikarenakan konflik dengan kernel capability-

89

Depkominfo


nya. Untuk itu edit file /etc/module untuk membuat

dazuko menjadi PRIOR capability:

sudo gedit /etc/modules

5. Restart komputer anda

6. rebuild clamav anda jika versi tersebut tidak

compatible dengan sistem Linux anda, gunakan

perintah:

sudo apt-get install fakeroot build-essentialsudo apt-get build-dep clamavsudo apt-get source clamav

7. Kemudian jalankan perintah:

cd clamav-0.83/gedit debian/rules

dan ganti kode:

90

Depkominfo


./configure --host=$(DEB_HOST_GNU_TYPE) --build=$(DEB_BUILD_GNU_TYPE) --prefix=/usr --mandir=\$${prefix}/share/man --infodir=\$${prefix}/share/info --disable-clamav --with-dbdir=/var/lib/clamav/ --sysconfdir=/etc/clamav --enable-milter --with-tcpwrappers --disable-clamuko --with-gnu-ld --with-libcurl --with-dns

Menjadi:

./configure --host=$(DEB_HOST_GNU_TYPE) --build=$(DEB_BUILD_GNU_TYPE) --prefix=/usr --mandir=\$${prefix}/share/man --infodir=\$${prefix}/share/info --disable-clamav --with-dbdir=/var/lib/clamav/ --sysconfdir=/etc/clamav --enable-milter --with-tcpwrappers --with-gnu-ld --with-libcurl --with-dns

Intinya hanya mengubah kode ini saja kok:

"--disable-clamuko"

91

Depkominfo


8. Rebuild kembali package clamav, dengan perintah:

dpkg-buildpackage -rfakeroot -uc -us

9. kemudian masukkan perintah:

cd ..sudo dpkg -i *.deb

10. edit /etc/clamav/clamd.conf:

sudo gedit /etc/clamav/clamd.conf

Tambahkan kode berikut ini:

ClamukoScanOnAccessClamukoScanOnOpenClamukoScanArchiveClamukoIncludePath /home

Dan ubah ”User clamav” dengan ”User root”

11. Restart clamav-daemon:

92

Depkominfo


sudo invoke-rc.d clamav-daemon restart

Antivirus Clamav dan Dazuko sudah terinstall di server

anda. Untuk scanning manual gunakan perintah:

Clamscan /home/direktori

Sedangkan untuk on access akan otomatis.

93

Depkominfo


Menginstall Dazuko dengan antivirus AVG

Untuk menginstall dazuko dengan AVG, ikuti langkah berikut:

1. Download Dazuko module

yang paling baru download di sini saja

http://www.dazuko.org

2. Extract module (X karakter untuk penomoran versi)

# tar xzvf dazuko-X.X.X.tar.gz

3. Masukkan hasil extract tadi ke sebuah direktori

#cd dazuko-X.X.X

4. Jalankan configuration script

# ./configure

5. Jalankan perintah make

# make

94

http://www.dazuko.org/

Depkominfo


6. Login sebagai root, kemudian jalankan make install

# make install

7. Load Modul Dazuko

# modprobe dazuko

Catatan: Biasanya akan mengupdate dependencies modul

dulu sebelum di-load. Jalankan perintah:

# depmod -a

8. Ubah AVG configuration

Ubah kode berikut:

Default.oad.dazuko.paths.include=

Default.oad.use=avflt

Menjadi:

Default.oad.dazuko.paths.include="|<any path>|"

Default.oad.use=dazuko

95

Depkominfo


Contoh:

# avgcfgctl -w Default.oad.dazuko.paths.include="|/home|"

# avgcfgctl -w Default.oad.use=dazuko

9. Jalankan AVG

# avgctl --start

96

Depkominfo


CARA MEMPERBAIKI FILE DOC YANG

TERMANIPULASI KARENA VIRUS (manual)

Proses memperbaikinya gampang, dengan catatan

file virus harus dinonaktifkan dulu, tetapi terkadang

antivirus komersial tidak mau memperbaiki file

yang telah disisipi virus, untuk itu ikuti langkah di

bawah ini:

97

Depkominfo


1. Donlot HEDIT, cari aja di google dengan kata

kunci HEDIT, Download ... kemudian install.

2. Ubah file yang tadinya berekstensi src menjadi

doc, tetapi dengan nama yang beda, misalnya file

yang terkontaminasi bernama susi.scr maka ubah

namanya menjadi susi1.doc.

3. kemudian buka file yang telah diubah namanya

tersebut dengan HEDIT. maka akan muncul

gambar sebagai berikut:

98

Depkominfo


Gambar 14: File Yang dibuka dengan HEDIT

4. Blok dari alamat 00000000 sampai 0000B600

atau terletak pada signature awal dan D0 CF 11

E0 A1 B1 1A E1 dan kursor harus terletak di

tanda hitam seperti pada gambar berikut:

99

Depkominfo


Gambar 15: Blok Alamat Sesuai Kursor, Perhatikan Kursor

5. Kemudian tekan tombol DEL atau ke klik ke

menu EDIT dan klik DELETE, maka akan

muncul kotak pesan sbb:

Gambar 16: Kotak konfirmasi

10

Depkominfo


6. Klik Yes aja, Kemudian tekan tombol ALT + S

untuk meyimpan hasil kerjaan kita.

7. Buka aja file doc yang sudah diedit tadi...bisa

kan...semoga hal ini dapat menyelamatkan data

kerjaan dan skripsi anda...

10

SEPUTAR VIRUS DAN DAERAH PENYERANGANNYA Pengertian Virus · PDF fileDepkominfo Times New...

Documents

Transcript of SEPUTAR VIRUS DAN DAERAH PENYERANGANNYA Pengertian Virus · PDF fileDepkominfo Times New...