Cara virus melumpuhkan komputer korban

Biasanya, virus akan menyerang daerah yang sama walaupun beberapa jenis virus tertentu akan menyerang daerah-daerah lain yang dianggap perlu. Beriku ini beberapa teknik favorit yang sering dilakukan oleh virus lokal maupun mancanegara dalam melumpuhkan komputer korbannya.

  1. Memblokir fungsi windows.
    Dengan tujuan mempersulit proses pembersihan, virus akan berusaha melakukan pemblokiran terdapat beberapa fungsi windows, seperti: menonaktifkan (disable) registry editor, menonaktifkan msconfig, menonaktifkan task manager, menonaktifkan system restore, menonaktifkan menu klik kanan, menonaktifkan menu run, menonaktifkan control panel, menonaktifkan folder options, dan masih banyak lagi.
  2. Memblokir software security.
    Selain melakukan pemblokiran terhadap fungsi windows, virus juga akan berupaya memblokir beberapa software security seperti firewall dan antivirus. Caranya adalah dengan mematikan proses, mengubah registry, ataupun menghapus file tertentu pada aplikasi antivirus. Akibatnya program antivirus tersebut menjadi tidak dapat menjalankan fungsinya dengan baik. Agar hal ini tidak terjadi, pasanglah software antivirus yang memiliki kemampuan untuk memproteksi dirinya sendiri (selfprotect) dari upaya virus yang berusaha mematikan atau mengacaukan antivirus
  3. Memblokir perangkat security.
    Untuk mempermudah proses pembersihan, kita dapat menggunakan tools security seperti killbox, process explorer, hijackthis, atau security task manager untuk mematikan proses virus yang aktif di memoru. Tetapi kebanyakan virus akan menghentikan/mematikan setiap tools yang berhubungan dengan security.
  4. Memanipulasi registry.
    Registry merupakan suatu kumpulan databse untuk menyimpan dan mengatur sistem windows. Semua fungsi windows tersimpan didalam database registry. Kita dapat mengubah, menambah atau menghapus suatu key atau string pada registry tersebut. Namun berhati-hatilah, karena kesalahan yang kita lakukan dapat mempengaruhi sistem komputer.

Berikut ini adalah lokasi registry yang paling banyak diserang virus:

  • Registry pemicu virus supaya aktif otomatis.
    Sudah menjadi SOP, supaya virus dapat aktif secara otomatis setiap kali komputer dihidupkan.
    Biasanya virus akan membuat string lebih dari satu lokasi dengan tujuan untuk membackup jika salah satu proses virus tersebut dimatikan. Lokasi favoritnya adalah:
HKEY_Local_Machine\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_Current_User\Software\Microsoft\Windows\CurrentVersion\Run

  • Registry untuk memblokir login windows.
    Banyak virus lokal yang memanfaatkan celah string untuk memblokir user sehingga tidak dapat melakukan login windows. Caranya adalah dengan mengubah value pada string Userinit ke lokasi virus disimpan.

HKEY_Local_Machine\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon

  • Registry untuk memblokir fungsi windows.
    Virus juga mengincar fungsi windows seperti windows explorer, task manager dengan tujuan untuk memanipulasi suatu file/program ketika dijalankan. Caranya dengan mengalihkan debugger ke file lain yang diinginkan.
  • Registry untuk memanipulasi internet explorer.
    Virus juga mengincar registry yang mengatur alamat awal internet explorer saat dijalankan. Alamat ini bisa berupa alamat link atau file html yang disimpan pada folder tertentu.
  • Registry untuk memblokir akses file aplikasi.
    Biasanya virus akan memanfaatkan file dengan ekstensi yang biasa dijalankan oleh pengguna seperti file dengan ekstensi .com .bat .pif .lnk .scr .inf .exe. Jika pengguna menjalankan file tersebut, secara tidak langsung dia juga akan mengaktifkan virus tersebut.
  • Registry untuk mengubah tipe file application menjadi tipe lain.
    Agar suati file tidak terlihat sebagai virus, worm akan mengubah file tersebut dengan tujuan untuk mengelabui pengguna.
  • Registry untuk menyembunyikan file dan ekstensi file.
    Biasanya virus akan mencoba untuk menyembunyikan file induk yang sudah dibuat dengan tujuan agar tidak mudah dihapus serta menyembunyikan ekstensi file tersebut untuk mempersulit pengguna membedakan antara file asli dan virus.

Beberapa file yang banyak diserang virus.

Dokumen microsoft office, gambar, dan file yang dikompresi (zip/rar) adalah beberapa file yang biasanya akan diserang oleh virus (mulai dari disembunyikan bahkan dihapus). Agar data kita khususnya file microsoft office tidak diserang virus, gunakan format RTF (Rich Text Format), dan yang terpenting adalah selalu membackup data.

Lokasi penyimpanan file induk virus.

Untuk menjaga eksistensinya, virus akan membuat file induk yang akan dijalankan secara otomatis setiap kali komputer dihidupkan. Nama file yang digunakan pada umumnya memiliki nama yang sama dengan nama file sistem windows, seperti Lsass.exe, Winlogon.exe, Services.exe atau Smss.exe.
Tujuannya untuk mengelabui pengguna sehingga file tersebut tidak akan dihapus oleh pengguna.

Comments

Post a Comment

Popular posts from this blog

SharePoint itu APA Sih....??!

karena aku salah satu orang yang lumayan aktif di technology Microsoft kan, ngerjain ASP .Net dan sebagainya tapi selalu penasaran sama yang namanya Sharepoint karena aku belon pernah ngerjain project Sharepoint sekalipun dan aku selalu bingung Sharepoint itu sebenernya apa dan kapan kita bisa pakai Sharepoint gitu. Apa project yang tepat buat makai Sharepoint sebagai platform andalan. Itu pertanyaan yg sering aku dengar??!
Baca selengkapnya »

Penyempurnaan DBCC CHECKDB di SQL Server 2008

DBCC digunakan untuk mengetahui database corruption lebih dini, yang pada umumnya terjadi karena masalah I/O. Pada saat DBCC CHECKDB diexecute, pertama-tama dia akan mengecek apakah ada corrupt pada databasenya. Kalau ada corrupt, dia akan mengecek ulang dari awal dengan lebih detail untuk mengetahui lokasi bagian yang corrupt tersebut (DEEP DIVE). Sayangnya, process ini akan memakan resource yang cukup banyak dengan waktu yang relatif lama. Di SQL Server 2005 SP 2, apabila terjadi DEEP DIVE, DBCC akan menghasilkan error output:
Baca selengkapnya »