Virus
Doomsday adalah virus yang dibuat oleh salah seorang pakar virus
Indonesia dengan tujuan sebagai promosi bukunya yang membahas tentang
pemrograman virus. Disamping itu, tujuan lainnya yaitu untuk menantang
kekuatan antivirus lokal Indonesia untuk membersihkan virus ini sampai
tuntas. Tujuan ini sangat bagus sehingga para tim antivirus lokal bisa
memperbaiki engine dan teknik antivirusnya agar bisa membunuh virus ini.
Apakah Anda setuju dengan adanya buku pemrograman virus? Mudah-mudahan
saja buku tersebut lebih banyak manfaatnya dibanding ruginya, dan
mudah-mudahan juga buku canggih itu tidak dimanfaatkan pembuat virus
lokal untuk membuat virus lokal yang lebih canggih lagi, karena kita
harapkan sebentar lagi virus lokal akan punah
Virus Doomsday ini sangat sulit dihapus dengan cara manual karena
menggunakan hampir semua teknik virus lokal yang pernah ada dan ditambah
lagi dengan teknik-teknik baru yang ditambahkan oleh pembuatnya. Itulah
mengapa pembuatnya memberi nama Doomsday untuk virus ini, karena dia
mengira antivirus lokal tidak akan mampu membasminya. Tapi, Smadav 2009
Rev. 5 mudah saja membunuh virus ini sampai ke akar-akarnya sehingga
komputer yang terinfeksi sebelumnya akan kembali seperti semula
seakan-akan belum pernah terinfeksi virus ini. Pembersihan ini sangat
cepat, tidak lebih dari 15 detik setelah satu kali klik Smadav.
Sebelum membersihkan virus ini dengan Smadav, mari kita bahas dulu apa saja kecanggihan virus ini.
Virus ini dibuat dengan Visual Basic 6
dikompresi dengan UPX dan mempunyai ukuran 65 KB. Jika dilihat di
Process Explorer, disana terlihat ada 5 proses virus yang sedang aktif. 1
proses yang paling atas aktif sebagai Windows Service dan tugasnya
adalah untuk mencegah kita membuka tool system di windows seperti
regedit, msconfig, dll. Sedangkan kumpulan 4 proses yang paling bawah
yang punya tugas utama untuk melakukan penyebaran dan pertahanan di
komputer korban. 4 proses ini saling melindungi satu sama lain, jika
kita membunuh salah satu prosesnya maka proses lain akan kembali
menghidupkan proses yang kita bunuh tadi, jadi kita akan kesulitan jika
membunuhnya secara manual dengan process explorer seperti ini. Walaupun
berhasil, semua proses ini akan kembali aktif kalau kita membuka program
apa saja di komputer kita. Jadi kita harus memperbaiki registry dulu
untuk membersihkannya, tapi registry pun diblok dengan teknik
berlapis-lapis. Jadi, hampir tidak mungkin virus ini bisa diberantas
dengan cara manual karena selain sulitnya membunuh proses di memori,
virus ini juga merusak sangat banyak value registry.
Virus ini akan memblok semua akses ke antivirus lokal (PCMAV, SMADAV,
atau ANSAV), hampir semua antivirus impor, dan program-program lain yang
bisa membahayakan dirinya. Dia mempunyai teknik yang sangat banyak dan
cerdik untuk mengenali dan mencegah program yang membahayakannya. Tapi
dia tidak mampu untuk mengenali Smadav 2009 Rev. 5, sehingga Smadav 2009
Rev. 5 bisa dengan mudah menghancurkannya. Selain memblok program,virus
ini juga akan memblok akses ke situs antivirus. Itu dia lakukan dengan
menulis daftar situs yang diblok ke file hosts windows. Berikut ini
daftar situs yang diblok :
2-spyware.com, 360.cn, 360safe.com, ansav.com,
antirootkit.com, antiviruslab.com, arcabit.com, avast.com, avg.com,
avg-antivirus.net, avira.com, bitdefender.co.uk, bitdefender.com,
bullguard.com, ca.com, cainternetsecurity.net, clamav.net, clamwin.com,
commandondemand.com, comodo.com, crit.org, cwsandbox.org,
cyberdefender.com, drweb.com, drweb-online.com, emsisoft.com,
eradicatespyware.net, eset.com, eset.eu, ewido.net,
fortiguardcenter.com, fortinet.com, f-prot.com, freeantivirushelp.com,
free-av.com, freedom.net, freedrweb.com, freerav.com,
freespywareremoval.info, f-secure.com, grisoft.com,
housecall.trendmicro.com, housecall60.trendmicro.com, iavs.cz,
incodesolutions.com, jayloden.com, jotti.org, kaspersky.com,
lavasoft.com, malwarebytes.org, malwareremoval.com, mcafee.com,
microsoft.com, misec.net, mwti.net, my-etrust.com, nai.com,
networkassociates.com, noadware.net, nod32.com, norman.com,
offensivecomputing.net, old.antivir.ru, onecare.live.com,
online.drweb.com, onlinelinkscan.com, pandasecurity.com,
pandasoftware.com, pchell.com, pctools.com, prevx.com, ravantivirus.com,
resplendence.com, rootkit.com, rootkit.nl, safer-networking.org,
scanner.novirusthanks.org, security.symantec.com, siteadvisor.com, smadav.net,
sophos.com, spyany.com, spybot.info, spychecker.co,
spywareterminator.com, sunbeltsoftware.com, superantispyware.com,
support.f-secure.com, sygate.com, symantec.com, sysinternals.com,
threatexpert.com, threatfire.com, trendmicro.com, us.mcafee.com,
vaksin.com, virologi.info, virscan.org, viruschief.com, virusindonesia.com,
virusscan.jotti.org, virusscanonline.org, virusspy.com, virustotal.com,
windowsecurity.com, windowsupdate.com, winpatrol.com, zonelabs.com
Virus ini menyebar lewat removable disk (Flashdisk) dan jaringan. Dia
akan mencoba membuat file autorun.inf dan doomsday.exe di flashdisk
korban. Dia juga akan mendeteksi kalau folder itu sudah dipasang
smad-lock smadav dan mencoba menghapus smad-lock autorun.inf yang sudah
dibuat smadav. Tapi usahanya gagal, sehingga dia tidak bisa menginfeksi
flashdisk yang sudah dipasangi Smad-Lock. Untuk mendukung penyebarannya,
virus juga akan membuat file folder.htt dan desktop.ini.
Selain itu dia juga akan menginfeksi folder-folder di komputer dan
flashdisk, folder akan diinfeksi tepat setelah kita mengakses folder
tersebut dengan windows explorer. Virus akan membuat file exe dengan
nama yang sama dengan folder, dan folder aslinya akan di-hidden. Tapi
lagi-lagi semua usahanya gagal untuk menginfeksi folder Δ Smad-Lock Δ sehingga
hanya folder yang berada di luar Smad-Lock yang terinfeksi. Dia juga
akan menyebarkan dirinya dengan nama file menggunakan karakter unicode
sehingga akan sulit dideteksi antivirus yang belum mendukung unicode
seperti PCMAV. Smadav 2009 Rev. 5 jadi satu-satunya antivirus lokal yang
mendukung penuh Unicode.
Dari sisi pemrograman, Virus Doomsday sangat baik diproteksi oleh
pembuatnya. Dia tidak akan bisa dijalankan di lingkungan Virtual seperti
VirtualPC, VMWare, VirtualBox, SandBox, Qemu dan Virtual OS sejenisnya.
Dia juga akan mencoba mendeteksi jika ada debugger yang mencoba
men-debugnya. Dia mendeteksinya dengan menggunakan string/teks berikut :
av, reg, asm, assem, autorun, comp,
config, dbg, debug, defend, dmp, dump, guard, hack, ida, lock, olly,
patrol, ripper, rootkit, scan, snoop, timefix, win32. Tidak hanya sampai disitu, virus ini juga di-enkripsi walaupun hanya dengan teknik enkripsi dasar Caesar Cipher
tapi sudah cukup untuk mengecoh heuristik antivirus impor sehingga
virus menjadi lebih sulit untuk dianalisis karena kita harus membuat
kode dekripsinya dahulu.
Pertahanan virus di komputer korban benar-benar kuat. Selain proses
yang saling melindungi, virus juga akan menyebar di banyak tempat di
komputer korban, sehingga akan sulit diberantas secara manual karena
terlalu banyak daerah yang dijadikan tempat sembunyi virus. Virus akan
membuat task schedule sehingga bisa aktif otomatis pada jam-jam
tertentu. Untuk penyembunyian file, virus tidak hanya menggunakan teknik
sembunyi biasa dengan mengeset atribut file menjadi hidden+system, tapi
virus juga menggunakan cara-cara tidak biasa untuk bersembunyi. Virus
akan bersembunyi dalam folder system32 dengan path C:\WINDOWS\system32:ctfmon.exe jadi tidak akan pernah terlihat di dalam folder system32 tersebut, ini dilakukan dengan memanfaatkan teknik ADS (Alternate Data Stream) pada NTFS.
Dan pada teknik satunya lagi virus akan bersembunyi di folder yang nama
foldernya “CON.2012″ dilarang digunakan di windows karena memuat string/teks yang dilarang dipakai sebagai nama file/folder di windows seperti con, aux, nul.
Pertahanan lainnya dilakukan virus dengan memblok firewall dan
safemode. Firewall diblok dengan perintah command “NETSH FIREWALL SET
OPMODE DISABLE”. Dan Safemode diblok dengan menghapus key registry HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\
Mungkin masih ada beberapa lagi kecanggihan Virus Doomsday ini yang
terlewatkan di pembahasan kali ini, tapi intinya semua kecanggihan ini
tidak mampu melawan kekuatan Smadav 2009 Rev. 5 yang menghancurkan virus
ini sampai ke akar-akarnya hanya dalam 1 klik dan menunggu beberapa
detik.
Sekarang mari kita lihat hasil scan Smadav.
Kalau folder pada komputer/flashdisk yang teinfeksi Doomsday diakses
lewat windows explorer maka SmaRTP akan muncul segera memperingatkan
bahwa ada virus dan harus segera dihapus. Ini screenshot-nya :
Setelah membuka Smadav 2009 Rev. 5 pada komputer yang terinfeksi Virus
Doomsday, maka Smadav akan segera memperingatkan bahwa ada virus yang
aktif di komputer sehingga scanning akan otomatis dimulai. Setelah
menunggu beberapa detik, scanning akan selesai dan memperlihatkan hasil
seperti screenshot ini :
Kemudian kita bisa melihat-lihat bahwa banyak sekali file virus yang
terdeteksi dan registry yang rusak. Ini screenshot file virus yang
terdeteksi :
Dan di bawah ini screenshot registry yang terinfeksi, disana terlihat
Smadav mendeteksi 877 value registry yang rusak, ini didapatkan setelah
Smadav melakukan scanning pada lebih dari 2000 value registry :
Kemudian klik saja Fix All dan tunggu beberapa detik lagi sampai
semuanya sudah hilang, lakukan scanning ulang dengan mode full scan
(scanning keseluruhan) pada komputer untuk mendeteksi file-file virus
yang sudah mati yang masih tersisa di komputer.
Sumbar: smadav
Home » jenis virus » Habisi Virus Doomsay
Jumat, 27 Juli 2012
Habisi Virus Doomsay
lainnya dari jenis virus
Ditulis Oleh : annash mobilepc // 07.32
Kategori:
jenis virus
1 komentar:
-Silahkan tinggalkan komentar agar admin dapat berkunjung balik
-Jika anda follow blog ini,maka blog anda akan segera saya follow
-Blog ini DOFOLLOW jadi silahkan gunakan fasilitas name/URL untuk mendapatkan backlink
-Blog ini tidak menggunakan Kode Verifikasi dan Moderasi
-Silahkan Berkomentar Sesuai isi artikel dengan bahasa yang sopan
:)
:(
;)
:D
;;-)
:-/
:x
:P
:-*
=((
:-O
X(
:7
B-)
:-S
#:-S
7:)
:((
:))
:|
/:)
=))
O:-)
:-B
=;
:-c
:)]
~X(
:-h
:-t
8-7
I-)
8-|
L-)
:-a
:-$
[-(
:O)
8-}
2:-P
(:|
=P~
;-;;
#-o
=D7
:-SS
@-)
:^o
:-w
7:P
2):)
X_X
:!!
\m/
:-q
:-bd
^#(^
:ar!
Langganan:
Posting Komentar (Atom)
Hello there! I know this is kinda off topic but I'd figured I'd ask.
BalasHapusWould you be interested in trading links or maybe guest authoring a blog post or
vice-versa? My website goes over a lot of the same topics as yours and I believe we could greatly benefit from each other.
If you happen to be interested feel free to shoot me an e-mail.
I look forward to hearing from you! Awesome blog by the way!
Stop by my page : Check this out