SEORANG pembuat virus dapat menciptakan virus jenis VB-Script hanya dengan bermodalkan Notepad. Bisa membuatnya dari nol ataupun memodifikasi dari virus yang sudah ada. Namun masih ada cara yang lebih mudah lagi, yakni menggunakan program virus generator. Jika dahulu, ada programer dari Argentina dengan nick name [K]alamar, pembuat VBSWG (VBS Worm Generator) yang sangat terkenal, kini ada pembuat virus lokal yang juga ingin mengikuti jejaknya dengan membuat Generator virus berjenis VBScript ini.
Vir.VBS Generator
Pembuat Virus Generator tersebut menamakannya sebagai Vir.VBS Generator, PCMAV mengenalnya sebagai Gen.VirVBS. Dibuat menggunakan Visual Basic. Ukuran dari program tersebut cukup kecil, sekitar 64.512 bytes dalam keadaan terkompresi menggunakan UPX. Generator ini mengklaim dirinya dapat menghasilkan virus yang memiliki beberapa kemampuan, mulai dari teknik stealth, encryption, time-bomb, hingga polymorphic.
Virus generator ini memiliki user interface yang terbilang simpel. Pengguna akan disuguhkan beberapa opsi atau pengaturan. Mulai dari pengaturan nama virus, nama file induk virus, lokasi penyebaran, penyamaran, dan juga pertahanan. Hanya cukup memilih opsi yang diinginkan dengan cara mencentangnya ([1]), lalu menekan tombol Create, tak lama kemudian virus baru akan tercipta. Ya, hanya semudah itu membuatnya.
Lokasi Penyebaran
Seperti yang tertulis pada program tersebut, ia memiliki beberapa lokasi penyebaran, di antaranya adalah Flash Disk, Drive, Folder Root, Folder II (Up), Folder III (Up), My Documents, Nethood, Windows, dan Recent Folder. Tapi tetap, ia memiliki file induk utama yang akan ia tempatkan pada direktori Application Data (X:\Documents and Settings\%username%\Application Data) dan Favorites (X:\Documents and Settings\ %username%\Favorites) dengan nama file yang telah diset oleh pembuatnya sebelumnya. Lalu membuat item Run baru di Registry HKCU\Software\Microsoft\Windows\Current Ver-sion\Run\%NamaFileInduk% agar dapat aktif otomatis pada saat kali pertama memulai Windows.
· Flash Disk. Ia akan membuat dua buah file, yakni autorun. Inf dan satu file induk yang namanya mengikuti apa yang telah diset sebelumnya oleh pembuatnya. Ini gunanya untuk menyebarkan diri saat user mengakses drive tersebut.
· Drive. Pada tubuh virus tersebut, ia memiliki procedure “SerangDrive(Lokasi)”, yakni sang virus akan mencoba menyerang beberapa drive mulai dari drive C hingga G. Jika drive tersebut terdapat di komputer Anda dan dapat ditulisi, ia akan membuat kopian atas dirinya pada drive tersebut.
· Folder Root, Folder II (Up), Folder III (Up). Maksudnya, virus ini akan meng-copy-kan dirinya ke root folder, subfolder satu tingkat di bawahnya, dan sub-folder dua tingkat di bawahnya.
· My Documents, Nethood, Windows. Virus ini memerintahkan untuk menyerang direktori My Documents, Nethood, dan Windows. Juga dengan menggunakan nama file yang telah diset sebelumnya.
· Recent Folder. Ini akan menyerang folder Recent atau folder yang berisi shortcut yang mengarah kepada dokumen yang terakhir dibuka. Yang dilakukan virus ini, ia akan membuat shortcut atas dirinya pada folder Recent, jadi saat Anda membuka menu Documents (Start > Documents) akan terdapat shortcut yang mengarah kepada file virus.
Duplikat File
Pembuat virus dapat menentukan extension file mana saja yang akan diserang, di antaranya doc, xls, ppt, rtf, rar, zip, mp3, pdf, jpg, gif, bmp, docx, xlsx, dan pptx. Apabila ditemukan file dengan extension yang dipilihnya itu, maka virus itu akan membuat duplikat dengan nama yang sama dengan file yang ditemukannya itu hanya saja ia memiliki extension .vbs. Dan file aslinya, akan diberi attribut hidden dan system sehingga tidak terlihat pada explorer.
Stealth
Ia pun dapat menyamarkan diri dengan menggunakan icon dari dokumen lain. Pada program Virus Generator ini terdapat opsi “Penyamaran icon VBS” dengan pilihan extension, antara lain doc, xls, ppt, rar, zip, rtf, mp3, jpg, gif, dan bmp.
Misalkan extension yang dipilih adalah doc, maka nantinya saat komputer terinfeksi oleh virus ini, icon dari setiap file .vbs akan berubah menjadi icon seperti dokumen Microsoft Word (doc). Cara yang dilakukannya tentu saja dengan bantuan Registry, yakni dengan mengambil nilai dari DefaultIcon untuk extension doc yang seterusnya ia pakai untuk DefaultIcon untuk extension vbs. Tidak hanya itu, ia juga mencontek Type Information dari extension doc, jadi pada Explorer, setiap file vbs, Type Information nya akan terbaca sebagaimana file doc, yakni Microsoft Word Document bukan lagi sebagai VBScript Script File. Apalagi untuk menambah penyamarannya ia pun membuat sebuah value baru lagi dengan nama NeverShowExt pada extension vbs. Ini membuat explorer tidak akan menampikan extension dari setiap file vbs. Tentu ini akan semakin mempersulit user dalam membedakan antara virus dan dokumen asli.
Restriction
Demi mempertahankan kelangsungan hidup virus hasil buatannya, Generator ini memiliki opsi untuk memblokir program atau fitur Windows yang dikehendaki, seperti Task Manager, Registry Editor, MsConfig, Command Prompt, dan Attrib. Jadi, misalkan user menjalankan program Task Manger (taskman.exe),
Windows malah akan menjalankan Notepad yang berisi bahasa binary yang merupakan isi dari file taskman.exe.
Selain itu, akses terhadap menu Find/Search dan Folder Options akan dihilangkan. Tapi sebelumnya, ia akan mengeset Folder Options untuk tidak menampilkan file dengan attribut hidden dan system, dan tidak menampilkan extension yang dikenal Windows. Dan terdapat pula opsi “Disable Merge Reg”, “Disable Install Inf”, dan “Disable Edit Vbs”. Maksudnya, user tidak akan bias melakukan Merge pada file Registry (.reg), tidak bisa melakukan Install pada file .inf, dan tidak bisa melakukan edit terhadap file.vbs. Karena bila user melakukannya, virus ini akan me-logoff komputer dengan memanggil file logoff.exe milik Windows.
Polymorphic
Pembuat generator ini lebih tepatnya menamakannya sebagai “Polimorfi g CRC”. Dari penulisannya saja sudah salah, tapi apakah rutinnya juga salah? Perlu diketahui sebelumnya, bahwa jika rutin virus ini dibuka, pada bagian atas source code atau tubuh virus akan terdapat string “Rem Sega3971486091”. Kata Sega di sini merupakan nama virus, dan ini akan tergantung pada apa nama virus yang dibuat saat itu, sementara angka numerik di belakangnya merupakan bilangan acak. Dan yang dilakukan virus ini untuk ber-polymorphic adalah dengan cara menggenerate ulang nilai random yang nantinya akan menggantikan nilai random yang sudah ada sebelumnya di awal badan virus itu.
Encryption
Untuk mempersulit pendeteksian, Vir.VBS Generator ini memiliki kemampuan untuk mengenkripsi virus buatannya. Untuk mendekripnya pun cukup menggunakan rutin decryptor yang ada pada tubuhnya. Enkripsi yang digunakan adalah sandi geser atau Caesar Cipher yang digunakannya ditambah dengan teknik reverse atau membalik kata/kalimatnya. Misalkan string “WScript.Shell” akan menjadi “mmfi T/uqjsdTX”.
Time-Bomb
Pembuatnya dapat mengeset tanggal dari bom waktu. Apabila tanggal sesuai, virus tersebut akan membuat item Run baru di Registry yang memanggil perintah logoff dan shutdown yang dijalankan saat memulai Windows. Jadi, user akan sulit untuk login pada tanggal tersebut. Selain itu, ia pun akan mencoba membaca folder Recent untuk menghapus file–file yang baru saja Anda buka. Jadi, berhati–hatilah.
from :pcmedia.com.id
Senin, 16 Juni 2008
Virus XFly
[6/6/2008] X-FLY: GANTI ICON .EXE Ia menyebarkan diri ke segala penjuru drive di komputer korban, memanipulasi registry, berganti icon, bahkan menghilangkan data. Arief Prabowo
VIRUS LOKAL ini dikenali oleh PC Media Antivirus 1.2 sebagai XFly. Dan sama seperti kebanyakan virus lokal lainnya, ia dibuat menggunakan Visual Basic. Memiliki ukuran tubuh sebesar 143.360 bytes tanpa di-compress, dengan icon yang bisa berubah-ubah.
Sebar File Induk
Kali pertama virus dijalankan, yang ia lakukan adalah membuat file induk pada drive C dan D (jika ada), tepatnya ia akan membuat folder baru pada drive C:\soulfly dan D:\soulfly serta menaruh beberapa file induknya pada folder tersebut. Selain itu, ia juga menempatkan beberapa file induk execu table lainnya pada root drive C dengan nama yang tak lazim, yakni MSNTLR.DYS, MSFLC.FYS, MSDLF.HHS, PSK.fly, dan satu lagi bernama fadly_keren.ocx. Sementara pada direktori Windows dan System32, selain terdapat file induk lainnya, ia pun mengextract icon yang disimpan pada section Resource di tubuhnya ke direktori System32 tersebut, serta membuat lagi file dengan nama mediaplayer.exe dan rj.html pada folder startup Windows. Ia pun tak lupa membuat back-up terhadap file MSVBVM60. DLL pada direktori C:\WINDOWS\System dengan nama MSVBVM60.DLL dan rambe.dat.
Setelah file induk berhasil disebar, tugas selanjutnya adalah memanggil beberapa file induk tersebut, jadi memory pun akan dipenuhi dengan process dari sang virus. Ini sangat membuat kerja processor bertambah berat dan akan sangat terasa saat menjalankan beberapa aplikasi secara bersamaan. Setidaknya pada memory akan terdapat process virus dengan nama RCSS. EXE, r4m83.exe, isass.exe, realplay.exe, MSNTLR.DYS, MSFLC. FYS, MSDLF.HHS, dan PSK.fly.
Banyak AutoRun
Yang dilakukan oleh virus ini untuk dapat running otomatis saat memulai Windows memang cukup berlebihan, ia membuat lebih dari 20 item Run baru di registry. Yang pertama, ia akan memanipulasi nilai Userinit yang ada pada key HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\ menjadi “C:\WINDOWS\system32\userinit.exe, C:\windows\system32\RCSS.exe”. Windows akan menganggap string C:\windows\system32\RCSS.exe, yang merupakan salah satu file induk virus ini sebagai parameter, yang akhirnya akan dieksekusi juga oleh Windows. HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell dan HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System juga mengalami hal yang sama, nilainya diubah menjadi C:\WINDOWS\system32\RCSS.exe. Selebihnya ia membuat beberapa itum run lainnya pada key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run dan HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.Beberapa extension pun ia ubah default open-nya agar mengarah kepada file induk di c:\WINDOWS\r4m83.exe. Extension yang ia ubah tersebut adalah .LNK, .PIF, .BAT, dan .COM.
Tidak hanya normal mode, SafeMode pun ia infeksi dengan cara mengubah nilai AlternateShell yang ada pada key HKLM\SYSTEM\ControlSet001\Control\SafeBoot\, HKLM\SYSTEM\ControlSet002\Control\SafeBoot\,dan HKLM\SYSTEM\CurrentCon-trolSet\Control\SafeBoot\, yang diarahkan kepada file induk yang sama seperti di atas, yakni C:\WINDOWS\system32\RCSS.exe. Ini akan berakibat aktifnya sang virus walaupun dalam modus SafeMode.
Restriksi Registry
Dengan masih menggunakan bantuan Registry, ia mengeset beberapa restriction untuk menunjang kelangsungan hidupnya. Dengan cara menambahkan beberapa item baru seperti NoFolderOptions, NoFind, NoRun, DisableTaskMgr, dan DisableCMD pada key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\, yang tak lain maksudnya adalah untuk tidak memperbolehkan user untuk mengakses menu Folder Options, Search/Find, Run, Task Manager, dan Command Prompt. Serta untuk Folder Options, ia set untuk tidak menampilkan file dengan attribut hidden dan system, serta menyembunyikan extension dari setiap file yang dikenal. Selain itu, ia pun men-disable System Restore milik Windows.
Register Extension Baru
Seperti dikatakan di awal, virus XFly ini menciptakan file exe-cutable dengan nama yang tak lazim, namun bisa dieksekusi. Seperti contohnya, MSNTLR.DYS atau MSFLC.FYS. Jadi, apabila ada file misalnya dengan extension berupa .DYS, dan user menjalankan dengan mengklik dua kali pada explorer, Windows akan menjalankannya selayaknya file executable (.EXE). Bagaimana ia melakukannya? Sebelumnya ia telah meregister extension baru yang telah ia tentukan seperti .DYS,.FYS, .HHS, dan .FLY pada registry HKEY_CLASSES_ROOT dan mengesetnya sedemikian rupa agar dikenali layaknya file executable.
Menyamar Berganti Icon
Agar selalu dapat mengelabui korbannya, virus ini memiliki kemampuan untuk mengubah resource icon dirinya. Seperti yang kita ketahui, normalnya sebuah file executable memiliki section resource. Dalam section resource ini bisa terdiri atas berbagai macam data. Salah satunya adalah icon. Secara teknis, jika executable virus ini dibedah, pada section resource akan terdapat resource dengan nama OCX. Resource OCX ini berisi kumpulan icon yang akan digunakannya nanti. Virus ini akan mengextract icon yang ada pada resource OCX pada direktori System32 dengan nama avg.ico, word.ico, rmb5.ico, mp3.ico, jpg.ico, dan folder.ico. Dari namanya, pasti Anda sudah bisa mengira tampilan icon tersebut seperti apa. Dan yang dilakukan oleh virus ini adalah mengubah resource icon pada beberapa file executable induknya menggunakan icon yang baru yang telah ia extract sebelumnya.
Berkembang Biak
Media yang banyak dipakai oleh virus-virus di Indonesia untuk menyebar adalah flash disk. Jika terinfeksi virus ini, pada flashdisk akan terdapat file baru dengan nama New Folder. exe tentunya dengan icon mirip folder dan sebuah file dengan nama autorun.inf. Bukan hanya itu, ia juga memiliki kemampuan untuk menyebar melalui jaringan dengan mencari sharing older yang aktif yang memiliki akses write agar virus ini dapat mengkopikan dirinya ke sharing folder tersebut. Biasanya untuk menarik perhatian user, virus ini akan membuat file dengan nama berbau pornografi .
Menghapus File
Saat user mencolokan flash disk, virus ini dengan segera akan mencari file dengan extension .MPG, .WMV, .AVI, .JPG, .SCR, ZIP, dan .RAR. Apabila ditemukan, maka ia akan menghapus file tersebut dan menggantikannya dengan file virus dengan nama yang hampir sama.
Blacklist Aplikasi
Segala cara dikerahkan untuk dapat selalu bertahan hidup. Komponen Timer yang ada pada tubuhnya, secara simultan akan membaca caption dan atau window class dari setiap apikasi yang running, apabila ditemukan aplikasi yang masuk dafar blacklist-nya, ia akan segera menampilkan layar hitam berisi pesan dari si pembuat virus, dan selama layar hitam ini muncul, sang user tidak akan bisa berbuat apa–apa. Beberapa string yang ada dalam daftar black list-nya, antara lain PROCESS, SETUP, RESOURCE HACKER, HEX WORKSHOP, HIJACKTHIS, KILLBOX, dan masih banyak lagi yang lainnya.
Pesan Virus
Pada komputer terinfeksi, caption dari Internet Explorer, akan berubah menjadi “..:: x-fly ::..”, dengan default page yang mengarah pada file “C:\Documents and Settings\All Users\Start Menu\Programs\Startup\rj.html” yang merupakan file pesan virus. File ini pun akan dijalankan otomatis pada saat memulai Windows karena berada pada folder StartUp.
Selain itu, sebuah file pesan virus dengan nama x-fly.html pun akan terlihat jelas pada Desktop, tepatnya berada pada C:\Documents and Settings\All Users\Desktop\x-fly.html. Dan setiap waktu menunjukkan pukul 12:30, 16:00, atau 20:00, virus ini juga akan menampilkan layar hitam yang berisi pesan darii pembuat virus
VIRUS LOKAL ini dikenali oleh PC Media Antivirus 1.2 sebagai XFly. Dan sama seperti kebanyakan virus lokal lainnya, ia dibuat menggunakan Visual Basic. Memiliki ukuran tubuh sebesar 143.360 bytes tanpa di-compress, dengan icon yang bisa berubah-ubah.
Sebar File Induk
Kali pertama virus dijalankan, yang ia lakukan adalah membuat file induk pada drive C dan D (jika ada), tepatnya ia akan membuat folder baru pada drive C:\soulfly dan D:\soulfly serta menaruh beberapa file induknya pada folder tersebut. Selain itu, ia juga menempatkan beberapa file induk execu table lainnya pada root drive C dengan nama yang tak lazim, yakni MSNTLR.DYS, MSFLC.FYS, MSDLF.HHS, PSK.fly, dan satu lagi bernama fadly_keren.ocx. Sementara pada direktori Windows dan System32, selain terdapat file induk lainnya, ia pun mengextract icon yang disimpan pada section Resource di tubuhnya ke direktori System32 tersebut, serta membuat lagi file dengan nama mediaplayer.exe dan rj.html pada folder startup Windows. Ia pun tak lupa membuat back-up terhadap file MSVBVM60. DLL pada direktori C:\WINDOWS\System dengan nama MSVBVM60.DLL dan rambe.dat.
Setelah file induk berhasil disebar, tugas selanjutnya adalah memanggil beberapa file induk tersebut, jadi memory pun akan dipenuhi dengan process dari sang virus. Ini sangat membuat kerja processor bertambah berat dan akan sangat terasa saat menjalankan beberapa aplikasi secara bersamaan. Setidaknya pada memory akan terdapat process virus dengan nama RCSS. EXE, r4m83.exe, isass.exe, realplay.exe, MSNTLR.DYS, MSFLC. FYS, MSDLF.HHS, dan PSK.fly.
Banyak AutoRun
Yang dilakukan oleh virus ini untuk dapat running otomatis saat memulai Windows memang cukup berlebihan, ia membuat lebih dari 20 item Run baru di registry. Yang pertama, ia akan memanipulasi nilai Userinit yang ada pada key HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\ menjadi “C:\WINDOWS\system32\userinit.exe, C:\windows\system32\RCSS.exe”. Windows akan menganggap string C:\windows\system32\RCSS.exe, yang merupakan salah satu file induk virus ini sebagai parameter, yang akhirnya akan dieksekusi juga oleh Windows. HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell dan HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System juga mengalami hal yang sama, nilainya diubah menjadi C:\WINDOWS\system32\RCSS.exe. Selebihnya ia membuat beberapa itum run lainnya pada key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run dan HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.Beberapa extension pun ia ubah default open-nya agar mengarah kepada file induk di c:\WINDOWS\r4m83.exe. Extension yang ia ubah tersebut adalah .LNK, .PIF, .BAT, dan .COM.
Tidak hanya normal mode, SafeMode pun ia infeksi dengan cara mengubah nilai AlternateShell yang ada pada key HKLM\SYSTEM\ControlSet001\Control\SafeBoot\, HKLM\SYSTEM\ControlSet002\Control\SafeBoot\,dan HKLM\SYSTEM\CurrentCon-trolSet\Control\SafeBoot\, yang diarahkan kepada file induk yang sama seperti di atas, yakni C:\WINDOWS\system32\RCSS.exe. Ini akan berakibat aktifnya sang virus walaupun dalam modus SafeMode.
Restriksi Registry
Dengan masih menggunakan bantuan Registry, ia mengeset beberapa restriction untuk menunjang kelangsungan hidupnya. Dengan cara menambahkan beberapa item baru seperti NoFolderOptions, NoFind, NoRun, DisableTaskMgr, dan DisableCMD pada key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\, yang tak lain maksudnya adalah untuk tidak memperbolehkan user untuk mengakses menu Folder Options, Search/Find, Run, Task Manager, dan Command Prompt. Serta untuk Folder Options, ia set untuk tidak menampilkan file dengan attribut hidden dan system, serta menyembunyikan extension dari setiap file yang dikenal. Selain itu, ia pun men-disable System Restore milik Windows.
Register Extension Baru
Seperti dikatakan di awal, virus XFly ini menciptakan file exe-cutable dengan nama yang tak lazim, namun bisa dieksekusi. Seperti contohnya, MSNTLR.DYS atau MSFLC.FYS. Jadi, apabila ada file misalnya dengan extension berupa .DYS, dan user menjalankan dengan mengklik dua kali pada explorer, Windows akan menjalankannya selayaknya file executable (.EXE). Bagaimana ia melakukannya? Sebelumnya ia telah meregister extension baru yang telah ia tentukan seperti .DYS,.FYS, .HHS, dan .FLY pada registry HKEY_CLASSES_ROOT dan mengesetnya sedemikian rupa agar dikenali layaknya file executable.
Menyamar Berganti Icon
Agar selalu dapat mengelabui korbannya, virus ini memiliki kemampuan untuk mengubah resource icon dirinya. Seperti yang kita ketahui, normalnya sebuah file executable memiliki section resource. Dalam section resource ini bisa terdiri atas berbagai macam data. Salah satunya adalah icon. Secara teknis, jika executable virus ini dibedah, pada section resource akan terdapat resource dengan nama OCX. Resource OCX ini berisi kumpulan icon yang akan digunakannya nanti. Virus ini akan mengextract icon yang ada pada resource OCX pada direktori System32 dengan nama avg.ico, word.ico, rmb5.ico, mp3.ico, jpg.ico, dan folder.ico. Dari namanya, pasti Anda sudah bisa mengira tampilan icon tersebut seperti apa. Dan yang dilakukan oleh virus ini adalah mengubah resource icon pada beberapa file executable induknya menggunakan icon yang baru yang telah ia extract sebelumnya.
Berkembang Biak
Media yang banyak dipakai oleh virus-virus di Indonesia untuk menyebar adalah flash disk. Jika terinfeksi virus ini, pada flashdisk akan terdapat file baru dengan nama New Folder. exe tentunya dengan icon mirip folder dan sebuah file dengan nama autorun.inf. Bukan hanya itu, ia juga memiliki kemampuan untuk menyebar melalui jaringan dengan mencari sharing older yang aktif yang memiliki akses write agar virus ini dapat mengkopikan dirinya ke sharing folder tersebut. Biasanya untuk menarik perhatian user, virus ini akan membuat file dengan nama berbau pornografi .
Menghapus File
Saat user mencolokan flash disk, virus ini dengan segera akan mencari file dengan extension .MPG, .WMV, .AVI, .JPG, .SCR, ZIP, dan .RAR. Apabila ditemukan, maka ia akan menghapus file tersebut dan menggantikannya dengan file virus dengan nama yang hampir sama.
Blacklist Aplikasi
Segala cara dikerahkan untuk dapat selalu bertahan hidup. Komponen Timer yang ada pada tubuhnya, secara simultan akan membaca caption dan atau window class dari setiap apikasi yang running, apabila ditemukan aplikasi yang masuk dafar blacklist-nya, ia akan segera menampilkan layar hitam berisi pesan dari si pembuat virus, dan selama layar hitam ini muncul, sang user tidak akan bisa berbuat apa–apa. Beberapa string yang ada dalam daftar black list-nya, antara lain PROCESS, SETUP, RESOURCE HACKER, HEX WORKSHOP, HIJACKTHIS, KILLBOX, dan masih banyak lagi yang lainnya.
Pesan Virus
Pada komputer terinfeksi, caption dari Internet Explorer, akan berubah menjadi “..:: x-fly ::..”, dengan default page yang mengarah pada file “C:\Documents and Settings\All Users\Start Menu\Programs\Startup\rj.html” yang merupakan file pesan virus. File ini pun akan dijalankan otomatis pada saat memulai Windows karena berada pada folder StartUp.
Selain itu, sebuah file pesan virus dengan nama x-fly.html pun akan terlihat jelas pada Desktop, tepatnya berada pada C:\Documents and Settings\All Users\Desktop\x-fly.html. Dan setiap waktu menunjukkan pukul 12:30, 16:00, atau 20:00, virus ini juga akan menampilkan layar hitam yang berisi pesan darii pembuat virus
Macam-macam Virus Komputer
Virus Bagle.BCVirus Bagle BC ini termasuk salah satu jenis virus yang berbahaya dan telah masuk peringkat atas jenis virus yang paling cepat mempengaruhi komputer kita. Beberapa jam sejak keluarnya virus ini, sudah terdapat 2 buah varian Bagle ( Bagle BD dan BE )yang menyebar melalui e-mail, jaringan komputer dan aplikasi P2P. Virus ini menyebar melalui e-mail dengan berbagai subyek berbeda. Menurut suatu penelitian dari Panda Software virus Bagle BC ini menyusup ke dalam e-mail dengan subyek antara lain : Re:, Re:Hello, Re:Hi, Re:Thank you, Re:Thanks. Attachment-nya juga bermacam-macam, antara lain : .com, .cpl, .exe, .scr. Virus Bagle BC juga mampu untuk menghentikan kerja program-program antivirus.Backdoor AlnicaVirus yang juga berbahaya ini merupakan salah satu tipe virus Trojan Horse. Merupakan salah satu virus backdoor yang jika berhasil menginfeksi komputer akan mampu melakukan akses dari jarak jauh dan mengambil segala informasi yang diinginkan oleh si penyerang. Sistem operasi yang diserang oleh virus tersebut antara lain : Windows 200, Windows 95, Windows 98, Windows Me, Windows NT dan Windows XP. Virus ini berukuran sebesar 57.856 byte.Trojan di LinuxPara pengguna linux Red Hat diharapkan untuk berhati-hati terhadap PATCH yang dikirm melalui e-mail dengan alamat "security@redhat.com" karena itu sebenarnya bukannya patch security tetapi virus Trojan yang bisa mengacaukan sistem keamanan. E-mail peringatan dari Red Hat biasanya selalu dikirim dari alamat "secalert@redhat.com" dan ditandatangani secara digital. Virus ini juga pernah menyerang sistem keamanan Windows tahun 2003 dengan subyek menawarkan solusi keamanan.
Cara Masuk Komputer lain lewat dos
Untuk Windows XPCara Pertama Masuk ke Start Lalu Search, lalu pilih computers or people lalu pilih A computer on the Network lalu langsung klik search maka akan segera muncul computer-komputer yang terkoneksi dalam jaringan.
Untuk Windows 95/98/Me/2000 (kalau anda menemukan open port 135 di OS ini) Cara Pertama Masuk ke Start Lalu Search Lalu For Files or Folders lalu pada menu Search for other item pilihlah computers, lalu akan muncul Search for computer, maka langsung klik Search Now maka nama-nama computer akan muncul(Alternatif cara yang cepat dapat mengklik My Network Place / Network Neighboure saja)
Setelah kamu dapetin sasaran computer yang mau di masukin / diremote maka kamu langsung aja kamu jalankan program Internet ManiacDownload IManiac……
Masuklah ke Host Lookup lalu ketikkan nama computer / hostname lalu klik resolve, disini anda akan mendapat alamat ip computer tersebut. Dengan nomor ip ini maka anda sudah mengetahui sasaran computer yang akan di masuki.
Setelah itu selesai maka kita tinggalkan program Internet Maniac, kita akan berlanjut dengan program KaHT, program ini akan didetect sebagai Trojan oleh antivirus, tapi abaikan saja, jangan di hapus / di karantina kalau terdetect, kalau perlu del aja antivirusnya, satu lagi, program KaHT bekerja dalam MS-DOS Mode jadi disini kemampuan anda menggunakan DOS sangat penting, tanpa kemampuan DOS maka anda tidak akan bisa banyak berbuat.
Cara masuk DOS ModeUntuk Windows XP :Masuklah ke Start, All programs, Accessories lalu Command PromptUntuk Windows 95/98/Me/NT/2000Masuklah ke Start, Programs, Accessories lalu MS-DOS Prompt
Setelah berhasil masuk DOS maka masuklah di directory program KaHT, masa seh bisa lupa tadi program diextract dimana, hehe, (Misal tadi di extract di C:\KaHT) maka ketikkan “CD\KaHT” dan seterusnya.
Jika sudah, ini saatnya…
Ketikkan “KaHT sebelum_no_ip_komputer_sasaran no_ip_komputer_sasaran.kalau bingung bisa begini : “KaHT Ip1 ip2″ip1 : ip awal yang discanip2 : ip terahkir yang discan
Misalnya tadi ip-nya 192.168.0.1 setelah di detect pakek Internet Maniac tadi itu lho. Maka ketikkan saja “KaHT 192.168.0.0 192.168.0.1” lalu enter aja Nah disini nanti program akan bekerja otomatis. Setelah selesai menscan jika nanti port 135 ternyata dalam keadaan open maka anda akan otomatis di computer tujuan / sasaran, untuk lebih persisnya anda akan berada di “c:\windows\system” milik komputer tujuan / sasaran setelah pen-scan-an selesai. Anda bisa bebas di computer sasaran, mau edit atau di delete pun bisa, hehe
Nah kalo udah begini kita bisa berkreasi :
Pingin biaya warnet kita lebih murah ?gampang masuk aja di billing server, ketik Time, ganti aja waktunya, tapi jangan banyak-banyak apalagi minus nanti ketahuan ama operator warnetnya, hehe.
Memata-matai anak yang sedang chatting pakek MiRC di satu warnet / kampus / kantor / lainnya, cari program MiRC yang digunakan dalam computer tersebut, biasanya seh di C:\Program Files\MiRC, buka file MiRC.INI, lalu Log IRC di On kan saja dan kalo mau lihat isi chattingan teman kita itu cukup lewat “/logs” maksudnya kalau tadi di C:\program Files\MiRC program MiRCnya maka cukup masuk aja di C:\Program Files\MiRC\Logs nanti disitu ada file-file log hasil chattingan dia walaupun dia sedang online tetep aja terekam, hehe, kalo mau mastiin dia makek nick apa, gampang banget bisa jalanin aja MiRCnya atau periksa di MiRC.INI, gampangkan.
Apalagi nih, Bikin computer itu rusak, lebih baik jangan, tapi sebenere bisa lho, delete aja file-file systemnya, hehe.
Diatas cuman kreasi dikit aja, kamu bisa aja memanfaatkannya jauh lebih bermanfaat dari pada diatas
Tujuan dari tutorial ini untuk anda yang sering menggunakan komputer dengan Windows 2000 dan XP dijaringan agar lebih waspada terhadap berbagai tindakan usil dari pihak-pihak yang tidak bertanggung jawab..
Untuk Windows 95/98/Me/2000 (kalau anda menemukan open port 135 di OS ini) Cara Pertama Masuk ke Start Lalu Search Lalu For Files or Folders lalu pada menu Search for other item pilihlah computers, lalu akan muncul Search for computer, maka langsung klik Search Now maka nama-nama computer akan muncul(Alternatif cara yang cepat dapat mengklik My Network Place / Network Neighboure saja)
Setelah kamu dapetin sasaran computer yang mau di masukin / diremote maka kamu langsung aja kamu jalankan program Internet ManiacDownload IManiac……
Masuklah ke Host Lookup lalu ketikkan nama computer / hostname lalu klik resolve, disini anda akan mendapat alamat ip computer tersebut. Dengan nomor ip ini maka anda sudah mengetahui sasaran computer yang akan di masuki.
Setelah itu selesai maka kita tinggalkan program Internet Maniac, kita akan berlanjut dengan program KaHT, program ini akan didetect sebagai Trojan oleh antivirus, tapi abaikan saja, jangan di hapus / di karantina kalau terdetect, kalau perlu del aja antivirusnya, satu lagi, program KaHT bekerja dalam MS-DOS Mode jadi disini kemampuan anda menggunakan DOS sangat penting, tanpa kemampuan DOS maka anda tidak akan bisa banyak berbuat.
Cara masuk DOS ModeUntuk Windows XP :Masuklah ke Start, All programs, Accessories lalu Command PromptUntuk Windows 95/98/Me/NT/2000Masuklah ke Start, Programs, Accessories lalu MS-DOS Prompt
Setelah berhasil masuk DOS maka masuklah di directory program KaHT, masa seh bisa lupa tadi program diextract dimana, hehe, (Misal tadi di extract di C:\KaHT) maka ketikkan “CD\KaHT” dan seterusnya.
Jika sudah, ini saatnya…
Ketikkan “KaHT sebelum_no_ip_komputer_sasaran no_ip_komputer_sasaran.kalau bingung bisa begini : “KaHT Ip1 ip2″ip1 : ip awal yang discanip2 : ip terahkir yang discan
Misalnya tadi ip-nya 192.168.0.1 setelah di detect pakek Internet Maniac tadi itu lho. Maka ketikkan saja “KaHT 192.168.0.0 192.168.0.1” lalu enter aja Nah disini nanti program akan bekerja otomatis. Setelah selesai menscan jika nanti port 135 ternyata dalam keadaan open maka anda akan otomatis di computer tujuan / sasaran, untuk lebih persisnya anda akan berada di “c:\windows\system” milik komputer tujuan / sasaran setelah pen-scan-an selesai. Anda bisa bebas di computer sasaran, mau edit atau di delete pun bisa, hehe
Nah kalo udah begini kita bisa berkreasi :
Pingin biaya warnet kita lebih murah ?gampang masuk aja di billing server, ketik Time, ganti aja waktunya, tapi jangan banyak-banyak apalagi minus nanti ketahuan ama operator warnetnya, hehe.
Memata-matai anak yang sedang chatting pakek MiRC di satu warnet / kampus / kantor / lainnya, cari program MiRC yang digunakan dalam computer tersebut, biasanya seh di C:\Program Files\MiRC, buka file MiRC.INI, lalu Log IRC di On kan saja dan kalo mau lihat isi chattingan teman kita itu cukup lewat “/logs” maksudnya kalau tadi di C:\program Files\MiRC program MiRCnya maka cukup masuk aja di C:\Program Files\MiRC\Logs nanti disitu ada file-file log hasil chattingan dia walaupun dia sedang online tetep aja terekam, hehe, kalo mau mastiin dia makek nick apa, gampang banget bisa jalanin aja MiRCnya atau periksa di MiRC.INI, gampangkan.
Apalagi nih, Bikin computer itu rusak, lebih baik jangan, tapi sebenere bisa lho, delete aja file-file systemnya, hehe.
Diatas cuman kreasi dikit aja, kamu bisa aja memanfaatkannya jauh lebih bermanfaat dari pada diatas
Tujuan dari tutorial ini untuk anda yang sering menggunakan komputer dengan Windows 2000 dan XP dijaringan agar lebih waspada terhadap berbagai tindakan usil dari pihak-pihak yang tidak bertanggung jawab..
Cara masuk Dos ketika booting
Hanya menjelaskan bahwa di Windows XP (dan Vista, dan 2000, dan NT) sudah tidak ada DOS nya. Yang ada DOS nya hanya sampai Windows 98se saja. Untuk Windows yang didasarkan pada NT Technologies (WinNT, 2000, XP, dst), ada pilihan "Safe Mode with Command Prompt" dimana ini sama saja seperti masuk 'Command Line' (menjalankan cmd.exe dari Run...), tapi ini tidak sama dengan DOS.Kalau kombinasi keyboard untuk mengeluarkan pilihan menu, selain F8, bisa mencoba tombol Ctrl, yaitu dengan cara menahan tombol Ctrl selama proses Booting dari awal sampai keluar menunya. Kalau dalam proses Booting ternyata keluar Logo Windows nya, artinya tombol -tombol tersebut tidak berfungsi. Coba periksa kabel-kabel, atau Reset komputer anda kembali dan coba lagi.
Setiap komputer cara masuk dos nya berbeda-bda. Untuk mengetahuinya kita harus memperhatikan tulisan di bios yaitu bacaan pertama kali komputer dihidupkan. Biasanya sering menekan tombol F2 atau F1 atau del (Dibawah angka 3 sebelah kanan) atau menekan delete.
6 bulan lalu
Setiap komputer cara masuk dos nya berbeda-bda. Untuk mengetahuinya kita harus memperhatikan tulisan di bios yaitu bacaan pertama kali komputer dihidupkan. Biasanya sering menekan tombol F2 atau F1 atau del (Dibawah angka 3 sebelah kanan) atau menekan delete.
6 bulan lalu
Langganan:
Postingan (Atom)