seputar virus dan daerah penyerangannya pengertian virus · pdf filedepkominfo times new...
TRANSCRIPT
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
SEPUTAR VIRUS DAN DAERAH PENYERANGANNYA
Untuk dapat melabas virus – virus lokal ini, kita harus
terlebih kenal bahkan dekat dengan yang namanya
virus.
Pengertian Virus
Virus adalah program yang dibuat oleh seorang
programmer dan bersifat merusak. Virus menginfeksi file
dengan ekstensi file tertentu, .exe, .com, .txt, .jpg, dan
lain sebagainya. Jenis – jenis virus bisa dibedakan
menjadi beberapa bagian, yaitu :
a) Virus boot sector
Merupakan virus umum, menggandakan diri
dengan cara menindih bootsector asli pada
sebuah disk, sehingga pada saat booting virus
akan langsung dijalankan ke memori.
1
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
b) Virus file
Menyerang file yang dijalankan oleh suatu
sistem operasi. Biasanya menyerang com atau
exe.
c) Virus direct action
Virus ini akan masuk ke memori untuk
menjalankan file lainnya. Lalu menjalankan
program lain untuk menipu.
d) Multi Partition virus
Merupakan gabungan dari virus boot sector
dan virus file.
e) Polymorphic virus
Virus dirancang untuk mengelabui program AV
yaitu dengan mengubah struktur dirinya
setelah menjalankan perintah
2
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
f) Stealth virus
Mengendalikan instruksi – instruksi level DOS
dengan menguasai tabel interrupt.
g) Macro virus
Ditulis oleh bahasa pemrograman dari suatu
aplikasi, sehingga bersifat platform
independent.
Perbedaan virus dengan program
komputer lainnya
Perbedaan virus dengan program aplikasi komputer
lainnya adalah :
1. Kemampuan mendapatkan informasi penting.
Virus didesain untuk menginfeksi banyak file atau
program. Misalnya, virus akan menulari seluruh file .txt
atau .htt, maka virus tersebut akan mencari informasi
3
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
tentang file-file atau program-program yang ada.
Setelah virus mendapatkan informasi tersebut, maka
akan disimpan di memory atau di suatu file tertentu
yang telah di-set attributnya menjadi hidden
(tersembunyi).
2. Kemampuan untuk memeriksa program atau
file
Ketika meninfeksi sebuah file, virus harus bisa
memeriksa apakah file tersebut telah terinfeksi atau
belum. Biasanya virus akan memeriksa byte yang
dipakai oleh virus tersebut, atau dengan nama lain
penanda. Apabila penanda tersebut telah ada maka virus
tidak akan menginfeksi file tersebut. Tetapi apabila file
tersebut tidak ada penandanya, maka virus akan
menulari file yang sehat itu.
3. Kemampuan menggandakan diri
Kemampuan ini harus (wajib) dimiliki oleh virus, karena
kemampuan ini digunakan untuk perkembang-biakan
4
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
virus tersebut. Biasanya virus akan memasang penanda
dan menyisipkan program untuk memperbanyak virus
tersebut.
4. Kemampuan untuk memanipulasi
Kemampuan ini digunakan untuk memunculkan pesan,
gambar, menghapus file, mencuri data/file, dan lain
sebagainya.
5. Kemampuan untuk menyembunyikan diri dan
data yang dibuat
Seluruh aktifitas yang dilakukan virus haruslah tidak
kelihatan, baik dari user ataupun dari komputer. Hal ini
menjadi keindahan sebuah virus. Biasanya kita bisa
melihat seluruh proses yang ada di komputer
(khususnya yang berbasis Windows) hanya dengan
menekan Ctrl+Alt+Delete, maka akan muncul kotak
yang berisikan proses-proses yang berjalan pada
komputer. Sebuah virus yang bagus adalah yang tidak
tertangkap prosesnya oleh trapping tersebut. Apalagi
jika dapat menghindari deteksi sebuah antivirus.
5
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
Struktur Virus
Virus pada umumnya mempunyai struktur yang
hampir sama, dan dapat dibedakan menjadi beberapa
kode, yaitu :
1. Kode penanda virus
Setiap virus pasti mempunyai identitas masing –
masing. Bisa dibuat dengan karakter atau jumlah byte
tertentu sebagai marker sesuai dengan keinginan si
programmer. Contoh, virus A mempunyai penanda X
dan virus B mempunyai penanda Y, maka virus-virus
itu akan dikenali antivirus sesuai penandanya. Pada
virus hallo.roro.htt penandanya adalah sebuah file
desktop.ini yang mempunyai ukuran 299 byte, atau
pada virus w32.redlof.html mempunyai penanda file
folder.htt yang ada di tiap folder dengan ukuran 13
Kb.
6
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
2. Kode penggandaan virus
Suatu program tidak dapat dikatan virus jika tidak
dapat menggandakan dirinya sendiri. Contoh, virus
hallo.roro.htt menggandakan dirinya dengan memakai
program syssrv.exe. Hasil penggandaan tersebut
disimpan dalam file desktop.ini yang berukuran 299
byte dan hallo.roro.htt. Banyak cara atau jurus untuk
menggandakan diri yang digunakan oleh virus – virus
sekarang.
3. Kode pertahanan dan penyembunyian deteksi
Kode ini diperlukan virus untuk mengecoh antivirus,
bisa dengan meng-encrypt file virus tersebut, me-non-
visiblekan proses pada komputer korban, ataupun
menampilkan pesan pengalihan ketika kita mencoba
menjalankan aplikasi antivirus.
4. Kode pemicu
Setiap virus mempunyai program atau kode untuk
mengaktifkan program utamanya. Program atau kode
7
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
ini bisa dipicu dengan bermacam-macam cara,
contohnya, virus diaktifkan ketika kita mengklik atau
membuka file tertentu dari windows explorer. Atau
dengan memakai nama file yang sedang populer.
Contoh, virus worm anna-kournikova memakai kode
pemicu dengan nama file anna-kournikova.jpg.exe.
dengan nama ini orang akan mengira file tersebut
adalah .jpg (file gambar), padahal file tersebut adalah
file jenis application atau file .exe. Atau virus
w32.hllw.pesin, file pemicunya adalah SysTask.exe
dengan icon MS-Word. Sehingga orang terkecoh dan
mengira bahwa SysTask.exe merupakan file MS-Word.
5. Kode Manipulasi
Kode ini berguna untuk menghapus file, menjalankan
aplikasi tertentu untuk mencuri dan mengirimkan data
ke sebuah email. Batasan manipulasi terserah kepada
pembuatnya, karena hal inilah maka virus
dikategorikan dalam program yang bersifat merusak.
8
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
Dari kode - kode diatas dapat dirangkum menjadi
satu, sehingga menjadi sebuah program yang
bernama virus.
Cara Kerja Virus
Cara kerja sebuah virus diterangkan sebagai
berikut :
1. Setelah program virus diklik oleh user, maka virus
akan menjalankan proses.
2. Kemudian virus menjalankan kode pertahanan diri,
yaitu dengan menyembunyikan proses yang terjadi
di komputer.
3. Lalu, seperti yang diterangkan pada ilustrasi gambar
1.1, virus akan menjalankan kode penggandaan diri
yaitu dengan mencari file berekstensi tertentu (yang
banyak digunakan oleh user komputer), seperti .exe,
.jpg, .doc, dan lain – lain. Misalnya virus
9
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
menemukan file yang bernama sehat.doc,
selanjutnya virus akan memeriksa apakah file
tersebut ada kode penandanya.
Gambar 2. 1 Cara kerja Virus
4. Jika file tersebut tidak ada kode penanda maka virus
akan menginfeksi file yang sehat tersebut, atau
menyisipkan kode virus seperti gambar 1.2
10
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
kemudian virus akan mencari file yang belum
terinfeksi.
Gambar 2. 2 Virus mencari file lain setelah menulari file sehat
5.Jika virus tidak menemukan penanda pada file yang
dicari, maka virus akan mencari file selanjutnya yang
belum terinfeksi.
6.Kemudian virus akan menjalankan kode manipulasi,
entah menghapus data, atau menjalankan kode
penggandaan diri lagi.
7.Setelah kode – kode tersebut dijalankan virus akan
mengerjakan kode pertahanan kembali, yaitu
11
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
dengan cara mengenkrip file virus untuk
menyembunyikan diri dari pendeteksian antivirus.
Serangan Virus ke Sistem Komputer
Yah yang namanya virus ya…sukanya merusak dan
merangsek (masuk dengan paksa…) kayak komik –
komik silat Pedang Mahadewa, Tiger Wong, Tapak
sakti…hush hush hush!Maksudnya yang namanya virus
pasti berusaha untuk masuk ke sistem yang ada di
komputer kita. Gunanya mas? Ya untuk mengunci
sistem, memanipulasi dan mengganti sistem tersebut
agar virus dapat lebih leluasa berkembang biak. Lalu
bagaimana langkahnya kok si virus itu bisa sampai
masuk ke sistem komputer kita?nah untuk menjawab
pertanyaan ini baca paragraf berikut ini.
Biasanya virus menyerang sistem yang ada di
komputer kita yaitu:
12
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
Registry
Registry windows???ada yang belum tahu
yah!!!!!Registry windows adalah suatu database untuk
menyimpan dan mengatur sistem di windows. Untuk
lebih jelasnya BACA BUKUNYA!!!Banyak kok, yang jelas
kalau bermain-main dengan registry sangat asyik sekali,
bisa-bisa anda terhanyut dan tenggelam di dalamnya
(maaf saya mengutip judul dari pak Tri Amperiyanto,
mohon diizinkan pak, terima kasih). OK…kalau ada yang
belum tau coba klik start -> run -> ketik ‘regedit’ (tanpa
tanda petik). Nah akan muncul jendela seperti gambar di
bawah ini :
13
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
Gambar 1: Gambar Registry Edit pada MS Windows
Key Registry
Key Registry dilambangkan dengan . Key Registry
terdiri dari 5 Kunci utama, yaitu:
- HKEY_CLASSES_ROOT atau biasa disingkat
HKCR
- HKEY_CURRENT_USER atau biasa disingkat
HKCU
14
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
- HKEY_LOCAL_MACHINE atau biasa disingkat
HKLM
- HKEY_USERS atau biasa disingkat HKU
- HKEY_CURRENT_CONFIG atau biasa disingkat
HKCC
Gambar 2: Key Registry Di Windows
Di tiap – tiap registry utama terdapat key utama
terdapat key anak yang berguna untuk menyimpan
value.
15
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
Gambar 3: Key Registry HKEY_CURRENT_CONFIG yang mempunyai key anak
Nah dari gambar di atas kita dapat melihat
HKEY_CURRENT_CONFIG mempunyai anak yaitu:
- Key Software
- Key Sytem
Dan Key System mempunyai anak lagi yaitu :
- Current Control Set
Kemudian Key Current Control Set mempunyai anak lagi:
- Key Control
- Key Enum
Dan seterusnya…saya capek euy…ngerti kan…(He-eh
he-eh)…Nah
16
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
Value
Value di sini adalah isi dari key yang ada di registry
windows. Maksudnya??? Begini coba klik anak dari key
utama sampai anda menemukan isi dari key anak yang
paling terakhir pasti ada penampakkan seperti gambar di
bawah ini kan, walaupun beda tulisannya ya gpp, kalau
pada gambar di bawah ini hanyalah contoh dari value :
Gambar 4: Contoh dari value registry
Value terbagi 3 jenis yaitu:
- DWORD dengan jenis angka atau integer
17
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
- STRING dengan jenis karakter (huruf) atau
kalimat
- BINARY dengan jenis angka biner
Sebenarnya ada jenis – jenis lain tetapi jarang dipakai
dalam registry itu sendiri.
Sekarang kita akan coba membahas sedikit tentang
registry di windows tersebut.
Alamat Registry
Registry sendiri mempunyai alamat yang berguna untuk
mengatur konfigurasi pada windows, misalnya:
Alamat registry:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\R
un\
Berguna untuk menjalankan suatu aplikasi secara
otomatis
18
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
Alamat registry:
HKEY_CURRENT_USER
\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Berguna untuk memanipulasi kode explorer
Alamat registry:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows
NT\CurrentVersion\
Berguna untuk memanipulasi drive penginstalan, Lisensi
pada Windows.
Beberapa alamat di registry sangat riskan sekali
jika diubah-ubah, terkadang hal tersebut menjadi
“senjata makan tuan” jika kita tidak berhati – hati dalam
pengubahan registry tersebut.
Registry yang paling sering dijadikan sasaran
virus19
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
Wah wah wah dari bab-nya saja sudah jelas
maksudnya…ini nih alamat registry yang biasa di
exploitasi oleh virus lokal. Paling tidak jika kalian
menemukan virus lokal, sebaiknya cek di alamat registry
ini:
Registry pemicu virus
Registry pemicu ini berguna untuk memicu file virus,
sehingga virus otomatis akan aktif jika windows masuk.
Alamat:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
Di sini neh biasanya virus bercokol, maksudnya di
alamat registry ini biasanya digunakan oleh programmer
virus untuk memicu program virusnya secara otomatis.
Misalnya pada virus kangen alamt registry :
20
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cu
rrentVersion\Run
Di isi oleh string NvsSchd, sehingga penampakkannya
seperti pada gambar di bawah ini:
Gambar 5: Pemicu registry pada virus kangen
Ngerti kan….nah untuk virus lain coba cari sendiri
aza…..okeh!!!!!
-----------------------------PENANGGULANGAN---------------------
Hapus key registry yang mencurigakan di alamat
tersebut, untuk mempermudah penghapusan coba deh
install System Mechanic kemudian klik Optimize dan pilih
Start Up Manager.
-------------------------------------------------------------------------
21
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
Registry penyembunyian Extensi file
Pada alamat registry ini biasanya digunakan untuk
menyembunyikan extensi file. Ngerti??? Kurang jelas
mas…okeh coba liat gambar di bawah ini:
Gambar 6: Extensi file terlihat di Windows Explorer
Nah pada gambar 6 Extensi file masih dapat terlihat.
Yaitu file winword dengan extensi file ICO dan file
wepkeys dengan extensi file txt. Biasanya virus
menyembunyikan extensi file tersebut, agar user tertipu,
seperti yang dilakukan oleh w32.rontokbro atau
w32.kangen, dan virus lainnya. Lalu di mana alamat
registry-nya??? Ya di sini (sambil menunjuk jidat
pembaca..)
22
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
Alamat:
HKCU\Software\Microsoft\Windows\CurrentVersion\Expl
orer\Advanced\
Key : HideFileExt
Value : 1
Jika extensi file disembunyikan, maka penampakkanya
akan seperti pada gambar berikut:
Gambar 7: Extensi file tidak terlihat di Windows Explorer
Extensi file winword dan wepkeys tidak terlihat.
23
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
-----------------------------PENANGGULANGAN---------------------
Jika extensi file tidak terlihat, anda harus menuju ke
alamat registry dan mengubah value registry tersebut
menjadi 0. Atau buka windows explorer kemudian klik
tools->folder option->view-> hilangkan tanda pada
“Hide extension for known file types”.
-------------------------------------------------------------------------
Registry penyembunyian file yang beratribut
hidden
Alamat registry ini berguna untuk menyembunyikan
file yang ber artribut hidden. Jadi untuk
mempertahankan kelangsungan hidupnya, virus
menyembunyikan diri dengan mengeset file beratribut
hidden. Walaupun sebenarnya ada tehnik lain, yaitu
dengan membuat nama file utama virus mirip dengan
nama system file di windows, misalnya :
24
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
- Pada virus brontok menggunakan nama file
svchost, lsass, csrss, dan lain – lain, nama file
tersebut mirip dengan nama file system yang
ada pada windows.
- Pada virus riyani_jangkaru menggunakan nama
file xpshare
- Pada virus kangen nama file virusnya adalah
NvsScd
Nah alamat registry untuk menyembunyikan file yang
beratribut hidden tersebut adalah:
Alamat:
HKCU\Software\Microsoft\Windows\CurrentVersion\Expl
orer\Advanced\
Key : Hidden
Value : 0
Untuk jelasnya, coba lihat gambar berikut ini :
25
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
Gambar 8: File beratribut hidden
File yang beratribut hidden pada windows
explorer ditandai dengan icon yang kabur atau “blaur”
bahasa jawanya. Nah file tersebut dapat disembunyikan
dengan alamat registry di atas tadi. Sehingga pada
windows explorer nanti file msdos.sys tidak akan
terlihat…ngerti kan…nah begitu juga file virus. File virus
tidak akan terlihat karena file tersebut di-set dengan
atribut hidden.
-----------------------------PENANGGULANGAN---------------------
Jika kalian tidak menemukan file virus yang beratribut
hidden, ubah value pada registry tersebut dengan nilai
1.
-------------------------------------------------------------------------
26
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
Registry Pengunci regedit (Registry Edit)
Registry ini berguna untuk mengunci regedit
yang ada di windows. Sehingga bila kita mencoba masuk
ke registry, maka akan timbul pesan sbb :
Gambar 9: Pesan kalau registry edit telah terkunci
Alamat :
HKCU\Software\Microsoft\Windows\CurrentVersion\Polici
es\System\
Key : DisableRegistryTools
Value : 1
-----------------------------PENANGGULANGAN---------------------
27
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
Nah agar regedit dapat dibuka kembali ubah hapus nilai
registry tersebut. LOH MAS KAN KITA GAK BISA
MEMBUKA REGEDIT-NYA, GIMANA KITA BISA MERUBAH
NILAI REGISTRY ITU??? HU… !!! Sabar sodara…sabar…
kalo gak bisa ya buka pake vbscript atau program
pembongkar kunci regedit donk…
-------------------------------------------------------------------------
SYSTEM EDITOR (SYSEDIT)
Selain virus menyerang daerah registry, virus
juga menghajar Sysedit atau sistem editor yang ada di
MS Windows. Mmmmm……System Editor itu apamas???
oke saya jelaskan…System Editor atau yang biasa
disingkat dengan Sysedit adalah file – file tertentu yang
dijalankan ketika komputer masuk ke windows pertama
kali. Ya seperti regedit. Sysedit ini biasanya masih
banyak dipakai di Sistem Operasi Windows lama seperti
win95, Win98, Win 3.1…jadi walaupun memang sudah
lama…tapi secara tidak langsung berpengaruh juga pada
user yang memakai Sistem Operasi Windows XP. Coba
28
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
untuk melihat sysedit klik Start->Run -> Ketik sysedit .
Maka akan muncul seperti pada gambar berikut ini…
Gambar 10: Sysedit (System Editor) pada Windows
Walahhhh…apa ini maksudnya…ntar ntar sabar…dengar
penjelasan saya dulu. Jadi sebenarnya dalam sysedit ini
kita bisa memanipulasi file yang pertama kali dieksekusi
oleh windows ketika windows berjalan di komputer
anda. File – file tersebut adalah :
- Config.sys
Config.sys adalah file yang memuat tentang seluruh
konfigurasi windows dan dijalankan ketika pertama
29
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
kali windows mulai. Letak file ada di drive C:\ dan
mempunyai atribut file system dan hidden.
- Autoexec.bat
Autoexec.bat adalah file yang berisi perintah yang
ada di komputer dan akan dijalankan pertama kali
ketika windows berjalan. Letak file ada di drive C:\
dan mempunyai atribut file system dan hidden. Coba
Untuk membuktikannya, buka file Autoexec.bat ini
kemudian ketik:
Dir c: > c:\coba.txt
Lalu simpan dan restart komputer anda, apa yang
terjadi? Nah coba cek di drive c: di komputer anda,
pasti ada file coba.txt, karena pada perintah di atas
autoexec.bat menjalankan perintah windows yaitu
‘dir’ dan menyimpannya ke file coba.txt di drive c.
Nah coba sekarang buka autoexec.bat lagi kemudian
ketik:
30
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
Format c:
Del c:\windows\*.*
Kemudian restart komputer anda..heheheh..eh
JANGAN – JANGAN…ini berbahaya…soalnya ketika
anda merestart komputer maka ketika pertama kali
menjalankan autoexec.bat, komputer anda akan
dihapus isi file-nya atau di format
abisss….hehehehe…nah virus kadang menulisi file
autoexec.bat atas untuk membuat pusing user.
- Win.ini
Win.ini juga sebuah file yang dieksekusi pertama
kali oleh windows. File ini berisi tentang aplikasi
16 bit yang di-support oleh windows.
- System.ini
31
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
System.ini adalah sebuah file yang berguna
untuk menyimpan data font yang diakses oleh
windows ketika pertama kali.
MSCONFIG
Waduh.. apalagi nih msconfig mas???
huehehehe…sabar dunk saya jelasin lagi yah…
MSCONFIG sebenarnya sebuah aplikasi, nah dari aplikasi
MSCONFIG, seluruh file system editor (sysedit) tadi
dijalankan. Coba sekarang klik Start-> Run -> ketik
msconfig kemudian enter. Maka akan muncul apliaksi
seperti pada gambar berikut :
32
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
Gambar 11: MSCONFIG pada Windows
Nah sekarang coba klik salah satu bar yang ada di
aplikasi MSCONFIG tersebut. Misalnya klik bar
‘SYSTEM.INI’ maka akan muncul gambar seperti di
bawah ini kan:
33
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
Gambar 12: Bar SYSTEM.INI yang ada di MSCONFIG
Nah yang kalian liat itu adalah daftar file yang
dijalankan oleh SYSTEM.INI ketika windows berjalan
pertama kali.
Tapi para virus biasanya menggunakan
MSCONFIG ini untuk menjalankan program virus mereka
secara otomatis, yaitu dengan memanipulasi bar startup.
Misalnya virus hallo.roro.htt memanipulasi startup
dengan memberi cara menulis script di startup:
load = c:\windows\system\syssrv.exe34
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
Maka di aplikasi MSCONFIG pada bar Startup akan
muncul penampakkan seperti pada gambar berikut:
Gambar 13: Virus hallo.roro.htt pada msconfig di bar startup
-----------------------------PENANGGULANGAN---------------------
Hapus saja yang ada di startup file – file yang dicurigai,
jangan takut salah, buntut-buntutnya kalo salah
palingan Cuma nginstall ulang kok :-p buehehehe!
-------------------------------------------------------------------------
DIREKTORI – DIREKTORI YANG SERING
MENJADI INCARAN VIRUS
Incaran?…apaan tuh??emang pacara…hehehehe!…ya
sebenarnya hal sepele tapi perlu sih…kenapa??Soalnya
35
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
kita kudu tau dimana para file induk virus itu bercokol.
KIRA KIRA DIMANA ANAK ANAK????Di direkctory
c:\windows pak guru….iya bener….dapet permen satu…
hush! Jadi memang para file induk virus itu ada di
c:\windows terkadang juga di
c:\windows\system32…terus gimana caranya
membedakan file system windows dengan file virus, apa
harus dihapalin mas????waduh itulah…memang
sebenarnya susah, mo dihapalin terlalu banyak, mo di
gak dihapalin gimana?susah yah…JADI GAK ADA
PENANGGULANGANNYA DUNK…tenang – tenang
mungkin pencegahannya ada. Jadi yang harus anda
lakukan, adalah menampilkan extensi file di windows
explorer. Caranya dah tau kan…ada di atas kok…baca
aja …ok…
-----------------------------PENANGGULANGAN---------------------
36
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
Tampilkan extensi file di dengan cara me-nyetting-nya di
tools->folder options-> view-> hilangkan tanda pada
“Hide extension for known file types”.
-------------------------------------------------------------------------
MENANGGULANGI VIRUS DI PC/DESKTOP
Untuk menanggulangi virus di desktop atau komputer
anda, sebenarnya tidak sesusah yang anda bayangkan.
Kita bisa menggunakan antivirus yang sudah jadi,
ataupun menggunakan tools – tools yang anda,
sehingga anda dapat menanggulangi virus tanpa
antivirus. Karena buku ini untuk pembelajaran, maka
yang dibahas pertama kali adalah menanggulangi virus
tanpa menggunakan antivirus:
MENANGGULANGI VIRUS TANPA MENGGUNAKAN
ANTIVIRUS
37
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
Untuk dapat menanggulangi virus tanpa antivirus,
diperlukan tools atau software, yaitu:
1. JAN / Process Explorer
Mungkin sudah banyak yang mendengar ttg process
explorer. Anda bisa mencarinya di google, banyak
betebaran ..tapi process explorer yang dimaksud di sini
adalah yang sudah di modifikasi. Terkadang tuh virus
bakal mematikan program yang kita jalankan,
misalnya ada virus yang akan mematikan program
kalkulator ketika virus tersebut menginfeksi komputer
kita, maka yang dilakukan virus tersebut mengecek
caption dari program yang aktif, yang terletak di atas
program:
38
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
Gambar 14: Caption pada sebuah program / software
Nah jika virus tersebut menemukan bahwa caption
programnya “Calculator” , maka akan dibunuh
program itu, jika tidak .. maka akan dibiarkan hidup.
Nah maka dari itu process explorer yang telah
dimodifikasi, akan mengacak caption programnya,
sehingga tidak akan mental ketika dihajar virus:
39
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
Gambar 15: Caption pada sebuah program / software
Pada program process explorer ini jika aktif di
komputer anda, maka anda dapat melihat seluuuruh
program yang aktif di komputer anda, termasuk
program virus yang nangkring di komputer anda,
seperti pada gambar di bawah ini (ada program pada
list biru yang aktif, nah..itu adalh program virus):
40
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
Gambar 16: Process Explorer menangkap proses virus
Untuk menon-aktifkan program tersebut, cukup klik
program yang ingin di aktifkan memakai mouse,
kemudian klik kiri sekali, lalu tekan tombol seperti
yang ditunjukkan pada gambar:
41
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
Gambar 17: Membunuh proses virus
Sebelum terbunuh tadi , mungkin sebaiknya anda klik
di program yang ingin anda bunuh tadi untuk melihat
letak file, contohnya seperti gambar berikut:
42
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
Gambar 18: Melihat lokasi file virusDapat dilihat bahwa file virus terletak di D:\Documents
and Settings\Admin\Desktop\tools\ dan perusahaan
yang membuat dapat dilihat di kolom paling ujung
yaitu virologi.info , kolom kolom itu terbagi 5
sebenarnya:
Gambar 19: Kolom pada process Explorer
Keterangan Kolom:
43
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
Kolom 1 : menunjukkan nama proses
Kolom 2 : menunjukkan PID atau Proces ID
Kolom 3 : menunjukkan pemakaian CPU berapa persen
Kolom 4 : Menunjukkan caption atau deskripsi proses
Kolom 5 : Menunjukkan perusahaan yang membuat
aplikasi tersebut
2. Aplikasi “Muncul Semua”
Yang kedua adalah senjata untuk memunculkan
regedit, megaktifkan sub menu Folder Option, dan
memunculkan file – file yang disembunyikan virus.
Gambar aplikasinya sbb:
44
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
Gambar 20: Aplikasi “Muncul Semua”
Keterangan dan fungsi tiap tombol aplikasi “muncul
semua” akan dijelaskan sbb:
- Tombol “Do not show hidden files or folder”
Fungsinya: Menyembunyikan file atau folder yang
beratribut hidden atau sembunyi.
- Tombol “Hide extension for known file types”
Menyembunyikan extensi file, sehingga tidak terlihat.
45
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
- Tombol “Kembali Semua”
Mengembalikan seluruh sistem menjadi settingan
default program “muncul semua”.
- Tombol “Non Aktifkan Folder Option”
Menonaktifkan Menu “folder option” yang ada di
windows explorer.
- Tombol “Aktifkan Folder Option”
Mengaktifkan menu “folder option” yang ada di
windows explorer.
- Tombol “Kunci Regedit”
Mengunci program regedit
- Tombol “Buka Kunci Regedit”
Membuka kuncian program regedit
46
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
LANGKAH MENANGGULANGI VIRUS TANPA
MENGGUNAKAN ANTIVIRUS
Mungkin pembaca akan berpikir, kenapa harus
menangani virus tanpa menggunakan antivirus?
Kenapa harus secara manual?padahal kan sudah ada
antivirus yang otomatis?
Jawabannya buku ini diperuntukkan kepada user atau
kita – kita yang komputernya sering terkena virus.
Virus sekarang bukan hanya memanipulasi file,
memunculkan pesan atau menulari file sehat menjadi
file yang terinfeksi.
Virus sekarang sudah berubah, mereka bahkan dengan
sangat tega membunuh, menonaktifkan bahkan
menghapus file – file system yang digunakan oleh
antivirus. Sehingga antivirus tidak dapat berjalan lagi
di komputer kita.
47
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
Untuk mengatasi hal tersebut, maka dibutuhkan teknik
manual, dimana teknik ini sederhana, tetapi ampuh
untuk mengatasi virus yang ada di komputer kita.
Contoh Kasus
Kita tidak sengaja menemukan sebuah direktori yang
berjudul “kumpulan gambar seronok”.
Gambar 21: Folder Kumpulan Gambar Seronok
Secara naluriah atau bahasa teknisnya “social
engineering”, kita akan segera membuka folder
tersebut, karena sebagian kaum laki – laki biasanya
48
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
tertarik dengan hal – hal yang berbau “sex” , seperti
kumpulan gambar seronok, gambar telanjang dan lain
– lain.
Sedangkan kaum wanita biasanya tertarik dengan hal
yang berbau “romantisme”, seperti surat cinta,
ramalan bintang atau informasi diskon.
Ketika folder tersebut dibuka, ternyata tidak terjadi
proses apa – apa. Bahkan tiba – tiba komputer restart
dengan sendirinya. Saya kira pembaca sering
mengalami gangguan seperti ini.
Sebenarnya apakah “kumpulan gambar seronok” itu
folder atau bukan? Temukan jawabannya di bawah ini
-----------------------PENCEGAHAN--------------------
Mengetahui hal tersebut file atau folder, sebenarnya
gampang.
Cukup memakai fasilitas “View” yang disediakan oleh
windows. Caranya:
49
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
1. Buku windows explorer.
2. Kemudian klik menu View -> Detail
Gambar 22: Fasilitas View
3. Maka tampilan pada windows explorer akan
berubah menjadi seperti ini:
50
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
Gambar 23: View Detail
Bisa dilihat Documents and Settings, escwsa, MIC,
Program Files dan Windows adalah folder , sedangkan
“kumpulan gambar seronok” adalah sebuah file.
Terlihat di situ type-nya Application, sedangkan
Documents and Settings, escwsa, MIC, Program Files
dan Windows type-nya File Folder.
Kemudian petunjuk lainnya adalah, Klik Tools-> Folder
Options , maka akn muncul aplikasi seperti berikut:
51
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
Gambar 24: Folder Options
Lalu klik tab “View” dan jangan beri tanda pada pilihan
“Hide extensions for known file types”
52
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
Gambar 25: Jangan beri tanda pada pilihan Hide extensions
Maka extensi file akan dimunculkan pada windows
explorer, sehingga kita tau mana yang file mana yang
folder.
-------------------------------------------------------------
Gambar 25: Perbedaan antara file dan folder
Anggap saja file yang tadi tidak sengaja ter-klik
sehingga mengaktifkan virus dan menginfeksi sistem di
komputer kita. Lalu bagaimana penanganannya?
53
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
Tanda – tanda komputer anda terinfeksi virus
adalah:
1. Tidak lengkapnya fasilitas pada tombol start, jadi
seharusnya, ketika kita sedang meng-klik tombol
“start”, maka yang muncul seperti pada gambar
berikut:
54
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
Gambar 26: Fasilitas yang ada di tombol “start”
Seperti pada gambar, tombol start yang diklik akan
muncul fasilitas, Control Panel, My Document, My
Computer, Search, Run, Log off dan Shut Down.
Sedangkan jika komputer terkena virus, maka tombol
startnya akan seperti ini:
55
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
Gambar 27: Fasilitas tombol “start” tidak lengkap
Gambar diatas adalah gambar tombol start yagn
terkena virus, yaitu tidak adanya “Control Panel”,
“search” dan “Run”.
2. Jika ditekan tombol ctrl+alt+del , maka komputer
normal akan muncul tasklist, atau daftar process yang
ada di komputer.
Gambar 28: Tasklist pada komputer normal
56
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
Sedangkan pada komputer yang terkena virus, ketika
menekan tombol ctrl+alt+del, maka akan muncul
pesan sbb:
Gambar 29: tasklist yang diblok oleh virus
3. Ketika menekan tombol windows+R , seharusnya
muncul:
Gambar 30: kotak Run
57
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
Tetapi jika terkena virus, maka yang muncul adalah:
Gambar 31: Pesan yang dimunculkan virus ketika mengeblok kotak Run
4. Di windows explorer, seharusnya ada sub menu
folder option:
Gambar 32: Folder Option
Tapi jika terkena virus, maka “Folder Option” tidak
akan muncul
58
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
Gambar 33: Folder Option di blok oleh virus
Langkah – langkah penanganan
Tidak usah khawatir, semua penyakit pasti ada
obatnya, semua virus pasti ada antivirusnya, cukup
ikuti langkah – langkah berikut ini:
1. Siapkan tools yang akan dipakai, yaitu
software JAN process explorer dan software
“Muncul Semua” yang bisa di download di situs
depkominfo.
2. Kemudian aktifkan software JAN Process
Explorer untuk melihat proses virus yang ada
di komputer anda.
59
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
Gambar 34: Jan Process Explorer
Dapat dilihat bahwa virus butoijo telah aktif di
komputer anda.
Gambar 35: Proses Virus yang tertangkap Jan Process Explorer
60
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
Proses virus yang aktif biasanya ada di bawah proses
explorer. Memang untuk pertama kali tidak mudah
menemukannya. Tanda bahwa proses tersebut adalah
proses virus adalah icon – icon yang aneh, seperti icon
folder, jpg atau icon – icon system.
3. Jika sudah ketemu proses tersebut, dekatkan
kursor ke proses tersebut, maka akan
ditunjukkan tempat file yang dieksekusi untuk
proses virus atau dengan kata lain lokasi File
induk virus.
Gambar 36: Tempat atau lokasi file virus
Pada gambar dapat dilihat proses virus bernama
butoijo.exe dan lokasi file virus terletak di:
“C:\WINDOWS\system32\”
61
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
Dengan nama file butoijo.exe
4. Setelah mengetahui lokasi virus, matikan
proses virus tersebut, sehingga file virus dapat
dihapus. Windows tidak akan mengizinkan
sebuah file dihapus ketika file tersebut sedang
aktif atau sedang dipakai oleh suatu proses.
Cara mematikannya cukup klik proses virus
yang akan dimatikan, kemudian klik tanda
merah di bagian atas program Jan Process
Explorer.
Gambar 37: Tombol untuk mematikan proses pada aplikasi Jan process explorer
62
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
Gambar 38: Proses virus telah dimatikan, sehingga tidak muncul di Jan process explorer
5. Setelah proses virus mati, buka windows
explorer, kemudian cari file virus yang tadi
sudah ditunjukkan, jika dalam kasus ini lokasi
virusnya ada di:
“C:\WINDOWS\system32\”
Dengan nama file butoijo.exe
Jika tidak ketemu filenya, aktifkan program “muncul
semua” yang bisa di download di situs depkominfo. File
tersebut tidak ketemu karena disembunyikan oleh salah
satu modul pertahanan virus.
63
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
6. Setelah mengaktifkan program “muncul semua”,
klik tombol “kembali semua”. Maka file virus
yang tersembunyi akan dimunculkan. Dan
registry yang disembunyikan akan diperbaiki.
Gambar 39: File virus yang tersembunyi, dimunculkan oleh program “muncul semua”
Setelah ketemu file induk virus, pindahkan dengan hati –
hati ke suatu direktori tertentu. Kemudian download file
antivirus WAV.exe yang bisa di download di situs
depkominfo.
Fungsi software tersebut adalah untuk menangkap file –
file sisa virus yang dibentuk atau di-generate oleh virus.
64
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
Untuk dapat menangkap file virus tersebut, ikuti langkah
berikut:
MENANGKAP VIRUS MENGGUNAKAN ANTIVIRUS SEDERHANA
Antivirus ini terdiri dari satu program utama.
Program aplikasinya sendiri berukuran 288 kb.
Sedangkan untuk file – file pendukungnya atau bawaan
dari visual basicnya berukuran besar. Untuk jumlah file
yang dideteksi, dalam 30 detik Antivirus ini dapat
mendeteksi kurang lebih 150 Mb.
Cara kerja aplikasi ini adalah ketika pertama kali
menjalankan program, akan muncul menu utama yang
terdiri dari 5 sub menu yaitu :
- Home (Sub menu untuk menampilkan halaman
utama dari program)
- Deteksi Virus (Sub menu untuk mendeteksi
virus)
- Karantina (Submenu untuk melihat file yang
dikarantina)
65
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
- About (Sub menu untuk menampilkan dimana
programmer bisa ditemui)
- Keluar (Untuk keluar dari program Antivirus)
FORM UTAMA
Pada saat program dijalankan maka akan muncul
tampilan menu utama seperti gambar 4.1.
gambar 4.1 Menu Home
Menu ini berisi 5 sub menu yaitu home, deteksi
virus, karantina, hubungi saya dan keluar. Menu utama
ini langsung menampilkan sub menu home yaitu berupa
pesan selamat datang.
66
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
FORM PENDETEKSIAN
Untuk mendeteksi virus, maka kita harus
menampilkan sub menu deteksi, yaitu dengan meng-klik
sub menu deteksi virus pada menu utama. Maka akan
muncul form seperti berikut gambar berikut
gambar 4.2 Sub menu deteksi virus
Pada sub menu proses ini, ketika pertama kali
aktif akan ada penjelasan tentang definisi antivirus yang
diambil dari file signature.db atau database virus. Jika
67
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
tanggal pada header file signature.db tidak sama dengan
tanggal terakhir update-an antivirus, maka tulisannya
akan berwarna merah dan program perlu melakukan
update virus list ke situs yang ditunjuk. Isi dari file
signature.db ada di bawah ini :
(1) 09-02-2004
(2) DD7A0BA8:E:Code Red Virus (Internet Worm)
(3) 1AA1E86F:E:Code Red 2 Virus (Internet Worm)
(4) 25407EB9:E:w32.blackmall.variant.a (worm variant a)
(5) 52634464:E:Trojan Horse (Trojan Horse)
(6) #END#
Baris (1) menunjukkan tanggal dirilisnya file
signature.db. Baris (2) sampai (5) menunjukkan virus list
yang dapat dideteksi oleh aplikasi antivirus ini. Ada
beberapa bagian yang harus dimengerti, sebagai contoh
kita ambil baris ke (2) :
DD7A0BA8:E:Code Red Virus (Internet Worm)
68
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
DD7A0BA8 menunjukkan nilai crc32 dari
sebuah aplikasi atau bisa digunakan sebagai penanda
virus
:E: sebagai pemisah antara nilai
crc32 dan nama virus
Code Red Virus Nama virus
(Internet Worm) Jenis virus
Sedangkan baris ke (6) dengan string #END#
menunjukkan akhir dari file signature.db.
Menu di bawahnya juga menunjukkan apakah
program antivirus akan menjadi tray window (tray
window) atau akan berjalan ketika windows mulai (run
on startup). Kemudian menu yang terletak di bawahnya
menunjukkan jumlah file dan virus yang dideteksi.
MENDETEKSI VIRUS
Untuk mendeteksi, ada beberapa cara. Cara
pertama yaitu dengan memeriksa apakah ada virus
69
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
dalam file, yaitu dengan mengklik tombol “cek dalam
file”. Maka akan muncul form pada gambar 4.3.
gambar 4.3 Sub menu cari dalam file
Cara kedua adalah memeriksa virus yang berada
di direktori, yaitu dengan cara menekan tombol “cek
direktori”, maka akan muncul ilustrasi seperti pada
gambar 4.4.
70
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
gambar 4.4 Sub menu cek direktori
Yang ketiga adalah memeriksa file dengan CRC
(Cyclic Redundancy Chek) yaitu mendeteksi virus sesuai
dengan checksum nya. Ilustrasi ada pada gambar
berikut
71
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
gambar 4.5 Sub menu cek dengan CRC
FORM KARANTINA
Untuk melihat file-file yang diduga sebagai virus
dikarantina atau dipisahkan dan dienkripsi, klik menu
karantina, maka akan tampil form seperti pada gambar
berikut
72
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
gambar 4.6 Menu Karantina
Mengkarantina suatu file juga perlu metode
encrypt, hal ini untuk menghindari pendeteksian file
yang sudah di-encrypt, sehingga antivirus tidak
menganggapnya sebagai virus lagi.
FORM ABOUT
Untuk menghubungi programmer, pada menu utama
dipilih (klik) tombol Hubungi Saya, maka akan muncul
image seperti pada gambar 5.0. Dan untuk keluar dari
program klik menu Keluar.
73
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
gambar 4.7 Menu Hubungi Saya
Implementasi Pendeteksian Virus
Contohnya, file a.txt berukuran 1 byte,
diasumsikan sebagai virus. Tetapi kita belum mengerti
bagaimana agar file a.exe dideteksi antivirus sebagai
virus. Pertama kita harus mengkalkulasikan nilai crc32
menggunakan aplikasi Wedash Anti Virus.
74
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
Pada kotak sebelah kanan terdapat keterangan
nama file : a.txt, ukuran : 1 bytes, checksum :
E8B7BE43. Dari informasi ini kita dapat menuliskan nilai
checksum dari file tersebut ke file signature.db yang
berisi virus-list agar file a.txt dideteksi sebagai virus.
75
Gambar 4.8 Form Penghitung crc32
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
Keterangan lebih detail tentang file signature.db
dapat dilihat pada bab selanjutnya. Sehingga proses
untuk menentukan file tersebut dianggap virus :
76
Gambar 4.9 Isi file signature.db
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
Proses gambar 1.8 dijelaskan sebagai berikut :
i. File a.txt diasumsikan sebagai virus
ii. File a.txt diteliti menggunakan aplikasi Wedash Anti
Virus 2005 untuk diambil checksum nya
menggunakan metode crc32.
iii. Hasil dari checksum file a.txt dimasukkan ke virus-
list yang ada di file signature.db
Sehingga aplikasi antivirus dapat mengenali file a.txt
sebagai virus melewati beberapa proses.
77
File a.txt yang diasumsikan sebagai virus
(1) (2) (3)
Gambar 4.10 Proses menentukan file sebagai virus
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
Prose aplikasi mengenali suatu file sebagai virus :
Proses pendeteksian melalui aplikasi:
a. Aplikasi mendeteksi a.txt meminta informasi ukuran
file dan menghitung checksum crc32.
78
File: a.txtUkuran : 1 byteChecksum : E8B7BE43
(1)
(2)
(4)
(3)
(5)
Gambar 4.11 Proses Pendeteksian Virus lewat aplikasi Wedash Anti Virus 2005
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
b. File memberikan informasi besar file sehingga
aplikasi dapat menghitung checksumnya dengan
metode crc32 dan didapatkan hasilnya E8B7BE43.
c. Aplikasi meminta informasi ke file signature.db
apakah checksum E8B7BE43 yang menjadi penanda
file a.txt ada dalam virus list.
d. Signature.db memberikan informasi tentang
checksum tersebut bahwa a.txt adalah virus.
e. Aplikasi menampilkan alert bahwa a.txt adalah virus.
Jika pada signature.db tidak terdapat checksum
yang dimaksud maka aplikasi akan melanjutkan
pencarian ke file lain.
Proses Update Virus List di file
signatures.db
Untuk meng-update virus-list WAV 2005, dapat dilakukan dengan cara sebagai berikut :
79
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
1. Jalankan WAV 2005, pilih Sub menu Cek
dengan CRC. Maka akan muncul aplikasi
seperti pada gambar di bawah ini :
2. Kemudian pilih file yang dicurigai, misalnya
eksplorasi.exe, lihat nilai cheksumnya.
80
Gambar 4.12 Sub Menu Pendeteksian dengan CRC32
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
3. Buka file signatures.db yang ada di direktori
C:\Program Files\AntiVirus\ atau di direktory
dimana aplikasi virus di-copy-kan. Maka akan
muncul di notepad isi file signatures.db sbb:
81
Gambar 4.14 Isi file signature.db
Gambar 4.13 Proses Pendeteksian Virus CRC32
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
4. Kemudian ketik nilai checksum dari file yang
dicurigai ke file signatures.db yang telah dibuka
dengan aturan penulisan sbb, (nilai cheksum
baru yang diselipkan terletak sebelum
karakter #END#) :
NILAI_CHECKSUM:E:Nama Virus (Jenis Virus)
Contoh :
… potongan kode
A9EB7466:E:w32.riyani_jangkaru.jpg.exe (worm)
25407EB9:E:w32.blackmall.variant.a (worm variant
a)
52634464:E:Trojan Horse (Trojan Horse)
82
Virus list baru yang diselipkan
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
28B3A591:E:w32.rontokbro@mm (internet worm)
#END#
5. Kemudian Klik File -> Save
6. Keluar dari aplikasi antivirus, kemudian masuk
lagi. Dan lakukan Langkah pemeriksaan.
83
Virus list baru yang diselipkan
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
Penanganan Virus pada Jaringan Komputer
Untuk penanganan virus pada jaringan komputer
mungkin sedikit lebih rumit. Karena disarankan untuk
menangani virus pada jaringan, sebaiknya menggunakan
sistem operasi LINUX, bukan WINDOWS, mengapa??
Karena sistem operasi LINUX tidak rentan terhadap
serangan virus. Jadi ketika ada serangan virus yang
terjadi di komputer yang mempunyai sistem operasi
WINDOWS, komputer yang bertugas untuk melakukan
scanning, yang sistem operasinya adalah LINUX tidak
84
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
akan ikut terinfeksi, sebab lain adalah virus WINDOWS
tidak mungkin hidup di lingkungan LINUX. Itu sebabnya
mengapa jika anda ingin mendesain jaringan, sebaiknya
memakai server Linux.
Untuk penanganan virus pada jaringan kita memerlukan
DAZUKO dan CLAMAV.
DAZUKO
DAZUKO adalah antivirus yang atau module antivirus
yang dibangun di lingkungan LINUX. Lebih fleksibel
karena dia memperbolehkan kita meng-compile kernel-
nya sendiri.
Compile kernel DazukoFS
Ada 5 langkah untuk meng-compile DazukoFS:
1. DazukoFS bisa digunakan sebagai modul kernel.
Sekali modul kernel itu menjadi satu dengan kernel
anda, fungsi calling dan sharing juga akan berfungsi
85
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
sama dengan kernel tersebut. Download kernel
dazukoFS di :
http://dazuko.dnsalias.org/wiki/index.php/Downloads
2. Kita ambil contoh kernel tersebut akan di Compile di openSUSE, maka jalankan perintah seperti:
$ patch -p1 < patches/patch-opensuse-11.1
Kemudian compile dengan perintah:
$ make
3. Masukkan DazukoFS. Untuk melakukan ini, anda harus menjadi root, kemudian masukkan perintah:
# /sbin/insmod dazukofs.ko
86
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
Jika tidak ada pesan error, lakukan perintah selanjutnya untuk verifikasi modul sudah masuk secara sempurna:
$ cat /proc/filesystems | grep dazukofs
4. Testing DazukoFS dengan menjalankan perintah:
# mkdir /tmp/testmnt# mount -t dazukofs /tmp/testmnt /tmp/testmnt
$ cd test$ make# env LD_LIBRARY_PATH=lib ./showfiles
Buat file di direktori /tmp/testmnt , hal ini untuk mengetahui apakah file tersebut bisa diakses atau tidak.
Untuk umount cukup ketikkan perintah sbb:
87
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
# umount /tmp/testmnt
5. Install DazukoFS
# make dazukofs_install
Menginstall Dazuko dengan antivirus tertentu
Sebenarnya Dazuko dapat disandingkan dengan
beberapa antivirus seperti AVG, AVIRA, F-Secure,
NOD32, Panda Antivirus dan lain – lain. Tapi di sini kita
hanya mencoba untuk Clamav dan AVG saja.
Menginstall Dazuko dengan antivirus CLAMAV
Instalasi Clamav+Dazuko ini fungsi utamanya adalah
pada on-access scanner, jadi ketika ada orang yang
memasukkan USB atau flashdisk ke client, maka
antivirus dari server akan langsung melakukan scanning.
88
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
Sehingga untuk menginfeksi ke client langsung dapat
dicegah dan diminimalisir. Langkah instalasinya:
1. Install Clamav dan clamav-daemon , dengan perintah:
sudo apt-get install clamav clamav-daemon
2. install dazuko dengan cara mendapatkan source
codenya di dazuko.org , dengan perintah:
wget http://www.dazuko.org/files/dazuko-source_2.0.6-1_all.debsudo dpkg -i dazuko-source_2.0.6-1_all.deb
3. Konfigurasi dazuko, dengan perintah:
sudo apt-get install module-assistantm-a a-i dazuko
4. Setelah anda mendapatkan kernel modul dazuko,
anda tidak dapat langsung menggunakannya, hal
tersebut dikarenakan konflik dengan kernel capability-
89
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
nya. Untuk itu edit file /etc/module untuk membuat
dazuko menjadi PRIOR capability:
sudo gedit /etc/modules
5. Restart komputer anda
6. rebuild clamav anda jika versi tersebut tidak
compatible dengan sistem Linux anda, gunakan
perintah:
sudo apt-get install fakeroot build-essentialsudo apt-get build-dep clamavsudo apt-get source clamav
7. Kemudian jalankan perintah:
cd clamav-0.83/gedit debian/rules
dan ganti kode:
90
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
./configure --host=$(DEB_HOST_GNU_TYPE) --build=$(DEB_BUILD_GNU_TYPE) --prefix=/usr --mandir=\$${prefix}/share/man --infodir=\$${prefix}/share/info --disable-clamav --with-dbdir=/var/lib/clamav/ --sysconfdir=/etc/clamav --enable-milter --with-tcpwrappers --disable-clamuko --with-gnu-ld --with-libcurl --with-dns
Menjadi:
./configure --host=$(DEB_HOST_GNU_TYPE) --build=$(DEB_BUILD_GNU_TYPE) --prefix=/usr --mandir=\$${prefix}/share/man --infodir=\$${prefix}/share/info --disable-clamav --with-dbdir=/var/lib/clamav/ --sysconfdir=/etc/clamav --enable-milter --with-tcpwrappers --with-gnu-ld --with-libcurl --with-dns
Intinya hanya mengubah kode ini saja kok:
"--disable-clamuko"
91
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
8. Rebuild kembali package clamav, dengan perintah:
dpkg-buildpackage -rfakeroot -uc -us
9. kemudian masukkan perintah:
cd ..sudo dpkg -i *.deb
10. edit /etc/clamav/clamd.conf:
sudo gedit /etc/clamav/clamd.conf
Tambahkan kode berikut ini:
ClamukoScanOnAccessClamukoScanOnOpenClamukoScanArchiveClamukoIncludePath /home
Dan ubah ”User clamav” dengan ”User root”
11. Restart clamav-daemon:
92
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
sudo invoke-rc.d clamav-daemon restart
Antivirus Clamav dan Dazuko sudah terinstall di server
anda. Untuk scanning manual gunakan perintah:
Clamscan /home/direktori
Sedangkan untuk on access akan otomatis.
93
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
Menginstall Dazuko dengan antivirus AVG
Untuk menginstall dazuko dengan AVG, ikuti langkah berikut:
1. Download Dazuko module
yang paling baru download di sini saja
http://www.dazuko.org
2. Extract module (X karakter untuk penomoran versi)
# tar xzvf dazuko-X.X.X.tar.gz
3. Masukkan hasil extract tadi ke sebuah direktori
#cd dazuko-X.X.X
4. Jalankan configuration script
# ./configure
5. Jalankan perintah make
# make
94
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
6. Login sebagai root, kemudian jalankan make install
# make install
7. Load Modul Dazuko
# modprobe dazuko
Catatan: Biasanya akan mengupdate dependencies modul
dulu sebelum di-load. Jalankan perintah:
# depmod -a
8. Ubah AVG configuration
Ubah kode berikut:
Default.oad.dazuko.paths.include=
Default.oad.use=avflt
Menjadi:
Default.oad.dazuko.paths.include="|<any path>|"
Default.oad.use=dazuko
95
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
Contoh:
# avgcfgctl -w Default.oad.dazuko.paths.include="|/home|"
# avgcfgctl -w Default.oad.use=dazuko
9. Jalankan AVG
# avgctl --start
96
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
CARA MEMPERBAIKI FILE DOC YANG
TERMANIPULASI KARENA VIRUS (manual)
Proses memperbaikinya gampang, dengan catatan
file virus harus dinonaktifkan dulu, tetapi terkadang
antivirus komersial tidak mau memperbaiki file
yang telah disisipi virus, untuk itu ikuti langkah di
bawah ini:
97
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
1. Donlot HEDIT, cari aja di google dengan kata
kunci HEDIT, Download ... kemudian install.
2. Ubah file yang tadinya berekstensi src menjadi
doc, tetapi dengan nama yang beda, misalnya file
yang terkontaminasi bernama susi.scr maka ubah
namanya menjadi susi1.doc.
3. kemudian buka file yang telah diubah namanya
tersebut dengan HEDIT. maka akan muncul
gambar sebagai berikut:
98
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
Gambar 14: File Yang dibuka dengan HEDIT
4. Blok dari alamat 00000000 sampai 0000B600
atau terletak pada signature awal dan D0 CF 11
E0 A1 B1 1A E1 dan kursor harus terletak di
tanda hitam seperti pada gambar berikut:
99
Depkominfo
Times New RomanPenanganan Virus Komputer pada Desktop dan Jaringan
Gambar 15: Blok Alamat Sesuai Kursor, Perhatikan Kursor
5. Kemudian tekan tombol DEL atau ke klik ke
menu EDIT dan klik DELETE, maka akan
muncul kotak pesan sbb:
Gambar 16: Kotak konfirmasi
10