| putrimarzah

17.46 | Label: Software

5 SOFTWARE PERUSAK KOMPUTER

1.INF/Autorun (5,75%)

Virus ini digunakan untuk manjabarkan semua variasi malware dengan menggunakan file autorun.inf sebagai cara untuk menyerang sebuah PC. File ini berisi informasi tentang program-program yang dimaksudkan untuk menjalankan secara otomatis ketika sebuah media bergerak (flash drive dan sejenisnya) masuk dengan membonceng Windows PC Anda.

2. Win32/PSW.OnLineGames (2,54%)

Masih anggota keluarga Trojan yang biasa digunakan untuk serangan phishing dan ditujukan untuk para gamer. Trojan tipe ini masuk dengan keylogging dan terkadang rootkit capabilities dengan mengumpulkan informasi yang berhubungan dengan game online dan credentials para pemain. Trojan jenis ini masih sangat banyak ditemukan, dan para gamer perlu sangat waspada Karena selalu ada orang yang tidak senang, yang akan mencuri data gamer lain. Sehingga penting juga bagi partisipan di MMORPGs (Massively Multi-player Online Role Playing Games) seperti Lineage dan World of Warcraft, demikian juga ‘metaverses’ seperti Second Life, tetap waspada.

3. Penjelasan Tentang Sality

Penjelasan Tentang Virus Sality | Malam kawan.. udah pernah coba kena virus yang satu ini? wkwk
kalo udah selamat yak.. :3

Virus Sality merupakan virus berjenis PE Infector (Polymorphic) yang menginfeksi file-file Executabe “exe”. Virus yang memiliki nama asli w32.Hllp.KukuJoker ini banyak dikeluhkan pengguna computer diseluruh dunia, terutama di indonesia banyak sekali pengguna komputer yang melaporkan telah terinfeksi oleh virus ini.

Virus ini masih belum jelas asal usulnya, dugaan sementara virus ini berasal dari cina, selain mempunyai kemampuan untuk menginfeksi file-file executable virus ini juga memilki kemampuan rootkit, sehingga selain sulit untuk dibersihkan dari system, file-file yang terinfeksi juga cukup sulit untuk diperbaiki, menggunakan beberapa tools remover dan antivirus juga terkadang malah bisa menimbulkan kerusakan pada file yang terinfeksi bahkan bisa menghapusnya.

Beberapa Antivirus Luar mendeteksi Virus ini sebagai :

· Malware.Sality [PCTools]

· W32.Sality!dr [Symantec]

· Virus.Win32.Sality.bh [Kaspersky Lab]

· W32/Sality.dr [McAfee]

· Troj/SalLoad-C [Sophos]

· Virus:Win32/Sality.AT [Microsoft]

· Win32.SuspectCrc [Ikarus]

· Win32/Kashu.E [AhnLab]

Karakteristik Virus
Jika kita lihat memang tidak terlalu banyak perbedaan antara file yang terinfeksi dengan file yang belum terinfeksi, yang membedakan hanyalah ukuran yang bertambah lebih besar dari ukuran sebelum terinfeksi, biasanya ukuran yang bertambah hanya beberapa KB saja. Bisa dilihat perbedaanya dari gambar dibawah ini.

Jika file terinfeksi tersebut dijalankan, maka file tersebut dapat berjalan seperti biasanya, sehingga user tidak mengira bahwa file yang ia jalankan tersebut telah terinfeksi virus, padahal dibalik itu virus sudah menetap di system.
Teknik yang digunakan virus sality adalah dengan membelokan EntryPoint asli file ke EntryPoint-nya virus, maka saat dijalankan virus yang terlebih dahulu aktif, baru kemudian virus meneruskan nya ke EntryPoint asli file yang terinfeksi, sehingga file yang dijalankan akan aktif seperti biasa nya.

Saat aktif virus akan membuat beberapa file induknya di system :

· %Windir%\system32\drivers\<acak>.sys

Virus akan mengektrak file driver dari dalam tubuhnya dan menaruhnya disystem dengan nama acak, driver ini digunakan untuk bersembunyi di system. Contoh : amsint32.sys dan iirktn.sys

· %Windir%\System.ini

[MCIDRV_VER]
DEVICEMB=<random number>

· HKCU\Software\<Acak>

Virus akan menambahkan key baru diregistry dengan nama acak contoh “HKCU\Software\Avcgr”, key yang dibuat ini juga mempunyai rutin-rutin tertentu.

· Mutext

Virus akan membuat mutext pada setiap proses yang berjalan ini digunakan untuk menandakan bahwa thread virus sudah aktif pada setiap proses yang berjalan, mutext yang akan dibuatnya menyerupai nama proses yang di tumpangi nya :
<Nama Proses>M_<PID Proses>_
contoh nya : svchost.exeM_2168_

· Firewall

Pada komputer terinfeksi virus menambahkan rule baru dalam daftar port yang di ijinkan, ini digunakan virus agar firewall windows tidak memblok koneksi yang akan dibuat oleh virus

· Download Komponent virus lainya

Jika komputer korban terhubung dengan koenksi internet, virus akan berusaha mendownload komponen-komponen virus lainya, di beberapa situs yang sudah ditentukan oleh pembuatnya

Infeksi file Executable & Screen Saver
Virus akan mencari semua file berektensi ”.exe” & ”.scr” yang ada di seluruh drive computer korban nya, jika virus menemukanya virus akan menginfeksinya dengan membelokan EntryPoint asli ke EntryPoint nya virus.
Sality mempunyai kemampuan untuk mengecek apakah file yang akan diinfeksi dilindungi oleh system atau tidak, jika file tersebut dilindungi oleh system maka sality tidak akan menginfeksinya, seperti file-file yang dilindungi oleh Windows File Protection (WFP) atau System File Checker (SFC).

Infeksi Removeable Drive & Jaringan
Berbeda dengan teknik infeksi variant sebelumnya, variant sality kali ini memanfaatkan fitur Autorun untuk mempercepat penyebaranya. File Autorun yang digunakan virus memiliki nama dan ektensi acak (exe dan pif) . Seperti : xvftea.exe atau xvftea.pif, dan ukuranya sekitar 100 – 101 KB

Di jaringan virus juga akan menginfeksi setiap folder yang memiliki FULL ACCESS Read & Write, dengan membuat sebuah shortcut exploit yang akan langsung aktif apabila user memasuki folder yang sudah terdapat shortcut exploit tersebut.

Menghapus File
Sality akan mencari file berektensi “.VDB” dan “.AVC” jika ditemukan akan langsung dihapus. Ektensi file ini biasanya digunakan oleh beberapa antivirus untuk menyimpan database virus.

Block Website
Sality akan memblock website atau domain yang mengandung kata seperti :

upload_virus , sality-remov, virusinfo. cureit. drweb. onlinescan. spywareinfo. ewido. virusscan. windowsecurity. spywareguide. bitdefender. pandasoftware. agnmitum. virustotal.sophos. trendmicro. etrust.com symantec. mcafee. f-secure. eset.com, kaspersky. dll

Menghapus Registry Key
Untuk mempertahankan dirinya virus menghapus beberapa key di registry yang dianggap mebahayakan kehidupan virus.

· HKCU\System\CurrentControlSet\Control\SafeBoot

· HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot

· HKLM\Software\Microsoft\WindowsNT\CurrentVersion\ProfileList

· HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\Stats

· HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats

· HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects

Effek dari beberapa key yang dihapus diatas membuat user tidak dapat memasuki modus SAFE MODE

Blue Screen saat mengakses SAFE MODE

Mensetting registry agar tidak menampilkan file yang dihidden

· HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden = 2

Selain itu sality mengunci akses ke Task Manager & Registry Tools

· HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableTaskMgr =dword:00000001

· HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\system\DisableRegistryTools =dword:00000001

4. Conficker

Apa Itu Virus Conficker / Downadup / Kido..???

Sebenarnya apa itu virus Conficker, mengapa sampai - sampai PCMAV membuat edisi khusus untuk virus ini (PCMAV EXPRESS for Conficker). Virus Conficker adalah sejenis worm yang pada awal penyebaranya sekitar awal Oktober 2008 hanya menggandakan diri dan melakukan serangan DOS ( Denial of Servis ) yaitu memenuhi komputer dengan berbagai perintah sehingga menggangu kinerja komputer. Virus yang disinyalir berasal dari China atau Taiwan ini memanfaatkan celah keamanan RPCDcom3 yang ada pada system operasi Windos XP ,Vista dan Windows 7 Beta yang tentunya belum di tambal atau di Patch.

Saat ini Virus Conficker telah menyebar ke lebih dari 10 juta komputer di dunia dan ratusan ribu komputer di Indonesia. Virus Conficker saat ini telah berkembang menjadi virus yang sangat berbahaya, yaitu mampu me’nembak’ password administrator sebuah jaringan sehingga membuat komputer dalam jaringan tersebut seolah menjadi zombie yang dapat di kendalikan oleh si pembuat virus untuk melakukan apa saja termasuk mengirimkan data data penting yang ada dalam komputer tersebut ke si pembuat virus. Karena mampu menguasai sebuah jaringan, maka virus ini menyebar bukan hanya melalui media seperti flashdrive dan internet, tetapi dapat menggandakan diri pada setiap komputer yang terhubung dengan komputer yang terinfeksi. Hal ini membuat kepanikan di hampir seluruh penjuru dunia.

Selain mampu menyebarkan diri, virus ini juga bisa bersembunyi di dalam memori untuk menghindari anti virus. Virus ini juga mampu merusak beberapa software anti virus dan meniru anti virus tersebut untuk lebih menginfeksi komputer.

Virus ini sangatlah rumit dan terbukti menggunakan bahasa pemrongraman canggih yang sangat sulit di pecahkan. Meskipun saat ini sudah ada beberapa anti virus yang mengklaim mampu membersihkan komputer dari virus ini. Tidak menutup kemungkinan virus ini di kembangkan menjadi varian yang lebih rumit lagi.

Ciri komputer / jaringan terserang Conficker

Jika mendadak komputer anda mendapatkan pesan Generic Host Process (GHP) Error dan setelah itu koneksi internet dari komputer tersebut mati, maka kemungkinan besar jaringan komputer anda sudah tercemar oleh Conficker. Penyebabnya bukanlah komputer yang menampilkan pesan GHP error tersebut, melainkan karena (minimal) salah satu komputer di jaringan anda sudah terinfeksi Conficker dan secara otomatis melakukan scanning ke jaringan lokal dan menyebarkan dirinya ke semua komputer yang rentan atau belum di patch MS 06-037 ( Patch pertama untuk virus ini dirilis Microsoft pada tanggal 15 Oktober 2008 )

Jika ada komputer yang berhasil di infeksi, maka Conficker akan melakukan beberapa rutin canggih yang membuat kita terkagum kagum.

1. Melumpuhkan System Restore.

Conficker akan melumpuhkan System Restore dengan cara mereset “Restore Point” guna mencegah korbannya membasmi virus ini dengan mengembalikan Restore Point.

2. Membuat HTTP Server.

Conficker akan membuka port random antara 1024 s/d 10.000 dan menjalankan fungsi sebagai web server (HTTP server) bagi jaringan lokal. Jika ada komputer di jaringan yang memiliki celah keamanan RPC Dcom 3 yang belum di patch, maka ia akan mencoba menyerang dan jka berhasil maka komputer korbannya akan mendownload ke HTTP server yang dibuat tadi untuk mendownload file virus dan menjalankannya. Selain itu, dalam aksinya ini Conficker menyebabkan matinya Internet connection Sharing.

3. Melakukan patch pada komputer korbannya.

Setelah berhasil menginfeksi komputer korbannya, Conficker akan melakukan patching pada komputer korbannya, jangan berterimakasih dulu kepada virus ini. Tujuannya melakukan patch adalah untuk mencegah infeksi ulang yang malahan akan mengakibatkan komputer tidak stabil sehingga tidak bisa mencari korban baru.

4. Download File untuk update dirinya.

Conficker meniru antivirus akan berusaha mendownload file (kemungkinan updatenya di masa depan) ke beberapa website yang telah disiapkan daftarnya (250 domain) dengan tujuan mempersulit vendor antivirus untuk memblok domain-domain update tersebut satu persatu.

Langkah Pencegahan

Jika komputer anda menampilkan pesan adanya virus Conficker secara berulang-ulang meskipun sudah dibersihkan oleh antivirus anda, pertama-tama yakinkan bahwa virus tersebut tidak aktif di komputer anda. Caranya adalah dengan memutuskan hubungan komputer ke jaringan. Jika setelah hubungan ke jaringan diputuskan infeksi virus terhendi, maka artinya sumber virus bukan dari komputer anda melainkan dari “salah satu” komputer di jaringan. Karena itu anda harus mencari sumber penyebar conficker di jaringan sebelum mengkoneksikan komputer anda.

Logikanya, semua komputer yang belum di patch dan terhubung ke jaringan dimana ada satu komputer saja yang terinfeksi virus conficker akan terinfeksi conficker dalam waktu singkat, kecuali komputer-komputer tersebut di lindungi oleh Firewall yang memproteksi port :
UDP Port 135, 137, 138 dan 445.
TCP Port 135, 139, 445 dan 593
Cara terbaik adalah dengan melakukan patch SEMUA komputer yang Operating Sistemnya rentan. Untuk mendapatkan detail patchnya silahkan download kehttp://www.microsoft.com/technet/security/Bulletin/MS08-067.mspx . Jika anda sudah menjadi korban virus ini maka selamat berjuang.

Conficker akan melumpuhkan System Restore dengan cara mereset “Restore Point” guna mencegah korbannya membasmi virus ini dengan mengembalikan Restore Point.

2. Membuat HTTP Server.

Conficker akan membuka port random antara 1024 s/d 10.000 dan menjalankan fungsi sebagai web server (HTTP server) bagi jaringan lokal. Jika ada komputer di jaringan yang memiliki celah keamanan RPC Dcom 3 yang belum di patch, maka ia akan mencoba menyerang dan jka berhasil maka komputer korbannya akan mendownload ke HTTP server yang dibuat tadi untuk mendownload file virus dan menjalankannya. Selain itu, dalam aksinya ini Conficker menyebabkan matinya Internet connection Sharing.

3. Melakukan patch pada komputer korbannya.

Setelah berhasil menginfeksi komputer korbannya, Conficker akan melakukan patching pada komputer korbannya, jangan berterimakasih dulu kepada virus ini. Tujuannya melakukan patch adalah untuk mencegah infeksi ulang yang malahan akan mengakibatkan komputer tidak stabil sehingga tidak bisa mencari korban baru.

4. Download File untuk update dirinya.

Conficker meniru antivirus akan berusaha mendownload file (kemungkinan updatenya di masa depan) ke beberapa website yang telah disiapkan daftarnya (250 domain) dengan tujuan mempersulit vendor antivirus untuk memblok domain-domain update tersebut satu persatu.

5. MALWER

pengertian dan Macam-Macam Malware

Malware merupakan singkatan dari Malicious Software, adalah software yang digunakan atau diprogram untuk menyerang atau merusak sistemkomputer, mengumpulkan informasi sensitif seperti password, atau mendapatkan akses ke sistem komputer pribadi tanpa izin dari pemiliknya.Malware dapat berbentuk kode/skrip, konten aktif, atau software lain. Malware adalah istilah umum yang dipakai oleh pakar komputer untuk mengartikan berbagai macam software atau kode software yang bersifat perusak atau penggangu.

Macam-macam malware mencakup virus komputer, worm (cacing komputer), Trojan Horse,rootkit, spyware (pengintai), adware, keylogger, dan software lainnya yang sifatnya merugikan dan tidak diinginkan.

Virus Komputer, merupakan program komputer yang dapat menggandakan atau menyalin dirinya sendiri dan menyebar dengan cara menyisipkan salinan dirinya ke dalam program atau dokumen lain.Virus komputer dapat merusak (misalnya dengan merusak data pada dokumen), membuat pengguna komputer merasa terganggu, maupun tidak menimbulkan efek sama sekali.
Worm (cacing komputer), bekerja dengan menggandakan dirinya secara sendiri secara terus menerus dalam sistem komputer. Sebuah worm dapat menggandakan dirinya dengan memanfaatkan jaringan (LAN/WAN/Internet) tanpa perlu campur tangan dari user itu sendiri, sehingga Worm membuat space hard disk menjadi penuh dan juga membuat performa komputer lebih lambat akan worm itu. Beberapa worm juga menghabiskan bandwidth yang tersedia.
Trojan Horse, digunakan untuk memperoleh informasi dari target (password, kebiasaan user yang tercatat dalam system log, data, dan lain-lain), dan mengendalikan target (memperoleh hak akses pada target).
Rootkit, Virus yang bekerja menyerupai kerja sistem komputer yang biasa saja.
Adware (software iklan), menginstal dirinya sendiri tanpa sepengetahuan pengguna dan menampilkan iklan-iklan ketika pengguna berselancar di Internet.
Spyware, merupakan turunan dari adware (perangkat lunak beriklan), yang memantau kebiasaan pengguna dalam melakukan penjelajahan Internet untuk mendatangkan "segudang iklan" kepada pengguna. Tetapi, karena perangkat lunak beriklan kurang begitu berbahaya (tidak melakukan pencurian data), spyware melakukannya dan mengirimkan hasil yang ia kumpulkan kepada pembuatnya (perangkat lunak beriklan umumnya hanya mengirimkan data kepada perusahaan marketing).
Keylogger, digunakan untuk merekam ketikan pada keyboard. hasil rekaman ketikan biasanya akan disimpan ke log file. Beberapa perekam ketikan tertentu bahkan dapat mengirimkan hasil rekamannya ke surel tertentu secara berkala. Keylogger dapat digunakan untuk kepentingan yang baik atau bahkan bisa digunakan untuk kepentingan yang jahat. Kepentingan yang baik antara lain untuk memantau produktivitas karyawan, untuk penegakan hukum dan pencarian bukti kejahatan. Kepentingan yang buruk antara lain pencurian data dan password.

Tujuan dibuatnya Malware:

Banyak perangkat lunak awal yang berjangkit (termasuk cacing Internet pertama dan sejumlah virus MS-DOS) ditulis sebagai percobaan atau lelucon nakal (prank) yang biasanya tidak ada maksud berbahaya atau hanya menjengkelkan dan tidak menyebabkan kerusakan parah bagi komputer. Di beberapa kasus, pencipta perangkat lunak tersebut tidak menyadari seberapa dalamnya kerugian yang didapatkan pengguna oleh karena ciptaan mereka. Para pemrogram muda yang belajar mengenai virus dan teknik yang digunakan untuk menulisnya, semata-mata belajar untuk membuktikan kemampuan atau untuk melihat seberapa jauhnya perangkat lunak tersebut dapat menyebar.

Hingga akhir tahun 1999, virus yang tersebar luas seperti virus Melissa tampaknya ditulis hanya sebagai lelucon nakal.Tujuan yang lebih ganas yang berhubung dengan pencontengan dapat ditemukan dalam perangkat lunak yang dirancang untuk mengakibatkan kerusakan atau kehilangan data. Banyak virus DOS, dan cacing komputer Windows ExploreZip, dirancang untuk menghancurkan berkas-berkas dalam cakram keras, atau untuk merusak sistem berkas dengan menulis data yang takberlaku (invalid). Cacing bawaan-jejaring seperti cacing 2001 Code Red atau cacing Ramen, dimasukkan ke dalam kelompokan yang sama. Dirancang untuk menconteng halaman web, cacing komputer ini mungkin kelihatan sama dengan kaitkata coret-moret (graffiti tag), dengan nama samaran pengarang atau kelompok berkait (affinity group) yang bermunculan ke mana pun cacing itu pergi.

Namun, sejak peningkatan akses Internet jalur lebar, perangkat perusak lebih berniat jahat dan semakin dirancang untuk tujuan keuntungan, ada yang sah (periklanan yang dipaksakan) dan ada yang tidak (pidana). Sebagai contoh, sejak tahun 2003, sebagian besar virus dan cacing komputer yang tersebar luas telah dirancang untuk mengambil alih komputer pengguna untuk pembobolan pasar gelap. Komputer berjangkit' (zombie computers) dapat digunakan untuk mengirim surel sampah (e-mail spam), untuk menginduk (host) data selundupan seperti pornografi anak-anak, atau untuk terlibat dalam serangan nafi layanan tersebar (distributed denial-of-service) sebagai bentuk pemerasan.

Kelompokan yang lain mengenai perangkat perusak yang hanya memiliki tujuan keuntungan telah muncul dalam bentuk perangkat pengintai – perangkat lunak yang dirancang untuk memantau penelusuran web pengguna, menampilkan iklan-iklan yang tidak diminta, atau mengalihkan pendapatan pemasaran berkait (affiliate marketing) kepada pencipta perangkat pengintai. Perangkat pengintai tidak menyebar seperti virus dan biasanya terpasang melalui pembobolan 'lubang' keamanan atau termasuk dengan perangkat lunak yang dipasang oleh pengguna seperti aplikasi rekan ke rekan (peer-to-peer).

Sumber referensi: http://rpl4rt.blogspot.com/2013/02/virus-sality.html

http://www.alimasadi.com/2009/04/apa-itu-virus-conficker-downadupkido.html

http://www.transiskom.com/2013/05/pengertian-dan-macam-macam malware.html

http://malwarecuman.blogspot.com/p/tujuan-dibuat-malware.html