Kiat Membasmi Virus Tanpa Antivirus 4


Tulisan ini adalah sambungan dari tulisan Kiat Membasmi Virus Tanpa Antivirus 3 sebelumnya.

Sampai sini kita telah mengetahui start pointkita, cara kerja dasar virus, dan kemampuan dasarnya. Kini mau saya sampaikan salah satu kemampuan lain virus yang istimewa. Kemampuan ini saya pisahkan dari 2 sebelumnya. Kemampuan ini namanya stealth. Untuk menjelaskan ini, saya memakai metode menjelaskan Windows sekaligus virus. Tulisan ini sekaligus menjawab pembahasan yang dijanjikan dari bab Habis itu apa?dari Kiat Membasmi Virus Tanpa Antivirus 2.

Pada bab Habis itu apa?, saya mengisyaratkan adanya pembahasan virus bisa jalan tanpa klik 2 kali. Memang benar hal seperti ini terjadi. Dan terjadinya ini pasti diakibatkan 2 hal yang tidak terpisah, yakni kemampuan istimewa Windows dan virus. Jadi pembahasannya mencakup 2 hal ini. Bagaimanakah kemampuan istimewa itu?

  1. Windows: fungsi AutoRun.
  2. Virus: file autorun.inf.

Windows AutoRunadalah kemampuan Windows menjalankan apa pun yang dituliskan dalam sebuah file teks bernama autorun.inf. Syaratnya, file tersebut harus ada di lokasi tertinggi (root) dari sebuah media. Kalau flash disk, misalnya G:\autorun.infbukan G:\folder\autorun.inf; isi file-nya adalah perintah yang hanya dipahami oleh Windows. Fungsi ini sebetulnya bermanfaat untuk menjadikan CD kita langsung membuka animasi di dalamnya ketika dimasukkan sehingga tidak perlu diklik 2 kali lagi. Fungsi ini juga bisa digunakan untuk memberikan ikon/gambar pada flash disk sehingga jika dilihat di Windows Explorer, dia akan bergambar. Sayangnya, fungsi ini bisa dimanfaatkan oleh virus untuk menjalankan dirinya sendiri.

autorun.infsebenarnya adalah autorun.txt yang di-rename menjadi autorun.inf. Dan virus memiliki kemampuan menciptakan file ini di root flash disk Anda. Isinya adalah perintah menjalankan .exe yaitu dirinya sendiri yang juga ada di dalam flash disk.

Reka Ulang
Untuk membantu memahami AutoRun ini, saya buatkan imajinasi skenario menularnya virus.

  1. Misalnya ada virus di satu komputer.
  2. Flash disk kita masuk ke situ.
  3. Virus itu mendeteksi adanya flash disk masuk.
  4. Virus itu meng-copy dirinya.exe ke dalam flash disk.
  5. Virus itu membuatkan autorun.inf juga di dalamnya.
  6. Kita masukkan flash disk itu ke komputer yang bersih.
  7. Windows membaca isi autorun.inf-nya.
  8. Karena ada perintah jalankan dirinya.exe, maka Windows nurut saja menjalankan dirinya.exe sebagai ganti klik 2 kali.
  9. Virus mulai masuk ke memori dan menjalankan 4 cara kerja sebelumnya.
  10. Komputer yang bersih jadi tertular virus.

Jadinya ... kemampuan asli Windows dan virus, bekerja sama menyebarkan virus ke semua komputer di dunia. Dengan ini, Windows justru menjamin dan mengamankan virus untuk masuk ke dalam komputer kita. Ini merupakan salah satu celah keamanan. Demi kemudahan, mari sebut celah keamanan ini bunker. Dengan ini, insya Allah lebih mudah untuk dimengerti.



Mana Stealth-nya?
Stealth = siluman. Ini modus serangan tipe sangat sederhana yang menipu jutaan pengguna yang awam. Rapuh sekali kemampuan ini, sebetulnya. Saya pisahkan ini dari pembahasan saya barusan agar urut pembahasannya. Susah memahami stealthtanpa memahami 2 dasar AutoRun dahulu. Karena kita sudah mengerti AutoRun, maka sekarang saya jelaskan tetapi masih pakai metode jelaskan Windows sekaligus virus.

Windows Hiddenadalah kemampuan untuk menyembunyikan (hide) beberapa file yang dianggap milik Windows asli. Sakti sekali. Saking saktinya sampai-sampai berbahaya bagi diri Windows sendiri.
  1. Kemampuan ini menyembunyikan file autorun.inf, Thumbs.db, desktop.ini, folder RECYCLER, folder System Volume Information, beberapa .exe yang dinilai penting menurut Windows, beberapa file .dll, dan file-file lain yang bersifat harus dilindungi oleh Windows. Alhasil pasti Anda tidak akan melihat ada file autorun.inf buatan virus dalam flash disk dan kita akan menjadi pengguna yang gampang tertipu. Mau?
  2. Kemampuan ini menghilangkan secara total semua ekstensi file di seisi komputer. Harusnya ada file bernama winamp.exe menjadi winamp saja. Harusnya ada ceramah.mp3 menjadi ceramah saja. Pengguna hanya mengandalkan gambar ikon file-nya untuk membedakan oh ini mp3, ini video, ini aplikasi, ini folder, dan sebagainya. Dengan ini pula jutaan pengguna tertipu sehingga kemasukan virus. Mau?
  3. Kemampuan ini menjadikan Windows tampak indah, rapi, dan sedap dipandang. Ya karena tidak ada .anu .inu .itu di akhiran setiap file. Lagipula, berkat kemampuan inilah semua shortcut Anda yang di destop itu hanya namanya saja serta tidak berakhiran .LNK karena sesungguhnya semua shortcut Anda itu juga file. Namun kalau indah, rapi, dan sedap dipandang tapi menipu dan banyak virusnya, mau?
Kemampuan asli Windows ini dapat Anda coba dari Windows Exporer > Folder Options > Tab Views. Lihat pada View Hidden Files dan yang berhubungan dengan Attributes.



Windows Attributeadalah kemampuan untuk memberikan tanda/tag kepada semua file dalam Windows agar dibedakan ini milik Windows asli dan ini milik pengguna. Tag yang ada di Windows ada 4 saja:

  1. SYSTEM
  2. HIDDEN
  3. READ-ONLY
  4. ARCHIVE

Mau lihat? Klik kanan file apa saja > Properties. Di situ Anda bisa melihat cawang diberikan untuk atribut apa saja. Yang bisa dilihat lewat klik kanan maksimal hanya 3 atribut selain SYSTEM. Kalau mau lihat atribut ini, Anda mesti pakai Command Prompt yang hitam itu. Mengapa saya tulis ini? Karena dari atribut inilah Windows menentukan mana yang disembunyikan dan mana yang ditampakkan kepada kita. Sampai sini kemampuan-kemampuan Windows yang perlu diketahui.



Virus Stealth adalah sebutan untuk kemampuan yang dibagi 3:
  1. Atribut SYSTEM+HIDDEN yang dipasangkan kepada dirinya sendiri sehingga tidak tampak dan tidak terlihat ekstensinya.
  2. Memberikan ikon yang bukan miliknya untuk dirinya sementara semua ekstensi tersembunyi sehingga si virus tampak tapi tampak persis folder atau file dokumen.
  3. Mengubah pengaturan Folder Options agar semua opsi persembunyian tercawang sehingga semua file berikut ekstensinya disembunyikan oleh Windows (yang ini biasanya ada di virus kelas atas).
Jadi inilah kemampuan stealth dari virus yang sebetulnya sederhana tetapi berhasil menipu jutaan manusia sehingga terkena virus. Sederhananya yaitu ia hanya memanfaatkan kemampuan Windows sendiri. Ini sebenarnya memalukan. Masak maling masuk rumah kita gara-gara kita menaruh kuncinya di depan pintu? Mungkin kita langsung menginstal ulang komputer hanya gara-gara satu masalah ini. Tambah lagi harus repot-repot mem-backup data lalu me-restore lagi. Padahal sebetulnya stealth ini rapuh dan bisa dihindari dengan mudah sekali.

Reka Ulang Lagi
Berikut ini skenario lagi untuk lebih memahami jalannya stealth.
  1. Virus memberikan atribut SYSTEM+HIDDEN kepada dirinya.exe.
  2. Kita masukkan flash disk.
  3. Virus meng-copy dirinya.exe ke dalam flash disk.
  4. Kita masukkan flash disk ke komputer yang bersih.
  5. Folder Options-nya masih tercawang semua sehingga semua tersembunyi.
  6. Kita tidak melihat adanya autorun.inf sehingga tidak bisa menghapusnya saat itu juga.
  7. Windows menjalankan autorun.inf yang tersembunyi sehingga dirinya.exe ikut dijalankan.
  8. Komputer yang bersih terinfeksi.

Sampai di sini kemampuan stealth bisa saya kupas. Akan datang insya Allah pembahasan kelemahan teknik stealth ini sehingga dapat dipatahkan sebelum beraksi (kita semestinya bisa mempermalukannya). Saya kira sekian dulu.

bersambung...

Arsip Blog