VIRUS TATI : CARA LAIN MEMBUAT VIRUS

VIRUS TATI :

CARA LAIN MEMBUAT VIRUS

Penyebaran virus kian hari maki menggila.Tidak mengeherankan,karena banyak cara yang dilakukan untuk menciptakan virus.Tidak mesti jago-jago amat,hanya dengan sedikit usaha,virus bias tercipta.

 

AutoHotKey

Untuk berbuat kejahatan memang selalu ada jalan.karena saat ini ditemukan virus local pertama yang dibuat menggunakan program AutoHotKey.Apakah itu AutoHotKey?seperti yang dikutip dari situs aslinya ( http://www.autohotkey.com ),AutoHotKey merupakan sebauh program automation,hotkey,dan scripting yang dibuat menggunakan program ini kita dapat mengotomatisasi setiap perkerjaan yang sering kita lakukan sehari-hari.Berbagai hal dapat dilakukan dengan menggunakan program ini,mulai dari otomatisasi penekanan tombol mose atau bahkan menggunakan bahasa c++,ia open source dan diperuntukan bagi operating system berbasis Windows.Dengan menggunakan program ini kita dapat mengotomisasi setiap pekerjaan yang sering kita lakukan sehari-hari.Berbagai hal dapat dilakukan dengan menggunakan program ini,mulai dari otomisasi penekanan tombol keyboard,pergerakan atau penekanan tombol mouse,atau bahkan menggunakan script untuk memperintahkan AutoHotKey mengerjakan suatu perintah.

 

Saat membuat suatu project menggunakan AutoHotKey,file yang dihasilkan akan memiliki extension.ahk.Dan bersamaan dengan paket program.AutoHotKey tersebut,tersedia juga program yang dinamakan Ahk2Exe yang dapat mengonversi file project (.ahk) ke dalam executable.Artinya script yang telah dibuat tadi nantinya bias dijalankan secara langsung dikomputer manapun ,tanpa haru terinstal program AutoHotKey.

 

Virus Hasil AutoHotKey

Semua kemudahan yang telah dipaparkan diatas sepertinya telah dimanfaatkan dan disalahgunakan oleh pembuat virus.Buktinya kini ada satu virus local yang menggunakan cara tersebut memanfaatkan program AutoHotKey.Dikenal dengan nama Virus Tati,begitulah PC Media Antivirus mengenalnya.Saat tulian ini dibuat,belum banyak antivirus yang dapat mengenali virus ini.Dan satu pertayaan yang membuat kami penasaran adalah “ Bagaimana virus ini bias menyebar dengan cepat luas“?.Sebab prlu Anda ketahui si Tati ini menempati urutan pertama virus yang banyak dikirimkan oleh pembaca selama atu bulan terakhir ini.

 

 

 

 

 

Membongkar si Tati

Virus yang ini icon-nya berpenampilan mirip dengan icon folder standar bawaan Windows ini,memiliki ukuran sebesar 202.263 bytes,dalam keadaan terkompresi menggunakan UPX.memang script yang telah dikonversi dari file.ahk ke,exe menggunakan program Ahk2.Exe bawaan AutoHotKey,secara otomatis akan di-compress menggunakan UPX.Program ini pun meiliki fitur untuk memberikan password pada file executable yang maksudnya agar tidak bisa di-decompile kembali menjadi.ahk seperti ini yang akan dilakukan oleh si pembuat virus Tati.karena tentunya dia tidak ingin virusnya dapat dngan mudah untuk dianalisis.

 

Pada situsnya ada sebuah program dengan nama Exe2Ahk.Dari namanya sudah bisa diterka,program ini untuk mengdecompile file script AutoHotKey yang sudah menjadi executable ( exe) agar kembali menjadi script ( ahk).Setelazh dicoba,ternyata benar,program ini meminta password dari executable virus tersebut.Namun denagn meng-craknya,kami dapat denagn mudah mengetahui password-nya dan script asli virus tersebut pun dapat terlihat,Dan dengan hanya mempelajari script yang ada,sangat memudahkana bagi kami untuk mengetahui apa yang diperbuat oleh virus tersebut.

 

Tati di Memory

 

Pada saat kali pertama virus ini menginfeksi,ia akan membuat fil induk pada direktori Windows dengan nama Tati,exe,selanjutnya ia akan langsung memanggil file tersebut,sehingga di memory aka nada process virus dengan Tati,exe selain itu,file Tati,ex akan da juga pada direktori StarUp,default –nya biaany6a treletak di C:\Document and Settings\%username%\StartMenu\Programs\StarUp,atau Anda dapat melihatnya juga pada StarUp di StarUp di StarMenu.untuk selanjutnya,virus akan aktif otomatis saat memulai Windows.

 

Sedikit Modifikasi Registry

 

Tidak seperti virus lainnya yang senang sekali mengutak-atik registry dan atau memberikan restriction di segala penjuru Windows,virus ini cukup cuek karena ia hanya memodifikasikan dua item registry yang menyangkut masalah Windows Explorer atau folder Option.akan memerintahkan Windows Explorer untuk menyembunyikan etension dari setia file.

 

Memantau Hardisk

 

Seperti yang tertulis pada rutin CekHardDisk di script yang telah berhasil dibongkar,saat virus ini aktif di meory,timer yang ada pada viru ini akan memeriksa setiap fixed drive atau hard disk pada komputer terinfeksi dalam periode waktu 600.000 miliseconds atau sama dengan 10 menit.rutin ini nantinya akan membuat tiga file pada drive tersebut dengan nama autorun.inf dengan antribut hidden dengan system,tati,exe dan tai.my.love.txt.

File autorun.inf merupakan file bantuan agar virus ini dapat aktif otomatis pada saat user mengakses drive tersebut.File tati.exe merupakan file induk virus.Dan terakhir,file tai.my.love.txt merupakan file teks yang berisi pean dari pembuat virus.

 

Tuntaskan dengan PCMAV

 

Memang trik social engineering lama dengan menyerupai icon folder dan membuat tiruan dari nama-nama folder yang ada masih menjadi favorit para pembuat virus.dan cukup aneh ,karena virus Tati ini merupakan yang angat sederhana dan jika dibandingkan dengan virus –virus local lainnya di luar sana,ia angat kalem,tidak terlalu aneh-aneh ,namun terbukti tingkat penyebarannya tinggi.Dan lagi,seperti yang telah dikatakan diawal,saat tulisan ini dibuat,dari sekian banyak hanya satu dua antivirus saja yang sudah mengenali virus ini,dan heuristic dari setiap antivirus tersebut pun tidak menunjukkan keanehan apa-apa.Jadi ia makin leluasa menyebar ke mana-mana,Maka dari itu,hentikan penyebarannya dan digunakan PC Media Antivirus RC24 yang telah disempurnakan ini untuk dapat membasmi virus ini.

 

 

SUMBER DARI BUKU :

 

PC MEDIA

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s