banyak sekali varian. Tidak heran karena
source code-nya memang disediakan bebas di Internet, jadi siapapun dapat dengan
mudah mengubah dan meng-compile source code-nya dan jadilah varian baru.
Berawal dari kemudahan
itulah, banyak virus maker ataupun programer pemula mencoba coba untuk membuat
virus tanpa perlu repot. Paling yang dibutuhkan hanyalah pengetahuan seputar
operating system dan programming.
Namun kemudahan itu
belum seberapa, bila dibandingkan dengan menggunakan program Virus Generator.
Dari namanya saja, kita sudah dapat mengira kegunaan dari program tersebut. Ya,
Virus Generator merupakan program untuk dapat membuat virus secara mudah dan instan.
Bermula dari sampel
sebuah virus yang lumayan banyak dikirimkan oleh pembaca kepada kami. PC Media
Antivirus mengenalnya dengan nama Gen.FFE-Fajar, namun antivirus lain ada juga
yang menyebutnya dengan nama Brontok.D. Dengan penyelidikan sederhana akhirnya
diketahui bahwa virus tersebut dibuat menggunakan Virus Generator.
Fast Firus Engine
Pembuat Generator
tersebut menamakan program buatannya itu dengan nama Fast Firus Engine. Seperti
yang terlihat pada program ataupun situs pembuatnya, ia memberitahukan bahwa program
ini hanya untuk tujuan pembelajaran dan tidak untuk tindakan merusak. Namun
tetap saja, bila program ini sudah jatuh ke tangan yang salah, pasti akan
digunakan untuk pengrusakan.
Virus Generator ini
dibuat menggunakan bahasa Visual Basic dan di-compress menggunakan packer
tELock. Dalam paketnya terdapat dua buah file, yakni Fast Firus Engine.exe dan
data.ex_. Fast Firus Engine. exe merupakan program utama dalam pembuatan virusnya
dan sementara file data.ex_ sebenarnya merupakan badan virus asli yang belum
dimodifikasi.
Saat file Fast Firus
Engine.exe dijalankan, maka pengguna akan dihadapkan pada sebuah interface.
Anda hanya disuruh mengisikan nama virus, nama pembuat, dan pesan-pesannya.
Lalu dengan menekan tombol Generate, maka jadilah virus Anda. Cara kerja dari
Generator tersebut sebenarnya sangat sederhana. Ia hanya menambahkan data yang
Anda masukkan tadi ke bagian akhir file virus asli (data.ex_).
Nantinya informasi tersebut digunakan
oleh virus dalam proses infeksi.
BagaimanaVirusMenginfeksi?
Virus hasil ciptaan FFE
memang terlihat sederhana. Sama seperti Generatornya, ia juga dibuat
menggunakan bahasa Visual Basic yang di-compile dengan metode Native- Code.
Lalu di compress menggunakan tELock agar ukurannya semakin kecil. Virus ini memiliki
ukuran tubuh asli sebesar 55.296 bytes.
Saat virus kali pertama
dieksekusi, ia akan membuat beberapa file induk di beberapa lokasi. Seperti di
direktori \%WINDOWS%\, akan terdapat file dengan nama.exe, Win32 exe,
activex.exe, dan %virusname% (nama virus sesuai yang diisikan oleh sang
pembuatnya pada Generator). Di \%WINDOWS%\ %system32%\ akan terdapat file copy.pif,
_default.pif, dan surif.bin. Selain itu, ia juga mengubah atau membuat file Oeminfo.ini
yang merupakan bagian dari System Properties. Jadi apabila computer Anda
terinfeksi oleh virus hasil generate dari FFE, maka pada System Properties akan
terdapat tulisan Generated by Fast Firus Engine .
Di direktori \%WINDOWS%\%System%\
akan terdapat beberapa file induk lagi yang
menggunakan nama yang sama seperti file
system milik Windows, seperti csrss.exe, winlogon.exe, lsass.exe, smss.exe,
svchost. exe, dan winlogon.exe.
Dan tak lupa, pada root
drive pun akan terdapat file dengan nama baca euy.txt yang
berisikan pesan pesan dari si pembuat
virus. Jadi pada saat membuat virus dengan menggunakan Generator tersebut, maka
pembuatnya akan disuguhkan beberapa kotak input, seperti Author of the virus,
Name of the virus, dan Messages. Nah, isi dari kotak messages ini yang nantinya
ditampilkan pada file baca euy.txt tersebut.
Setelah virus berhasil
meng-copy-kan file induknya ke dalam sistem tersebut, ia akan
menjalankan file induk tadi, sehingga
pada memory akan terdapat beberapa process virus, seperti csrss.exe,
winlogon.exe, lsass. exe, smss.exe, svchost.exe, dan winlogon.exe. Nama process
yang mirip dengan process/services milik Windows tersebut mungkin sengaja untuk
mengecoh user. Untuk membedakannya, Anda dapat melihat path atau lokasi process
tersebut dijalankan. Process virus ini biasanya berjalan di direktori System
sementara process/services milik Windows yang running biasanya berasal dari
direktori System32.
MengubahRegistry
Virus ini menambahkan beberapa item
startup pada registry agar pada saat memulai Windows ia dapat running secara
otomatis atau untuk mengubah setting-an Windows agar sesuai keinginannya.
Informasi mengenai registry yang diubahnya tidak akan dapat dengan mudah kita lihat
karena dalam kondisi terenkripsi. Yang ia ubah adalah seperti nilai dari item
Userinit, yakni dengan menambahkan parameter ke file induk. Pada key
HKEY_CURRENT_ USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load juga
akan diubah itemnya agar mengarah ke file induknya dengan nama Activex.exe.
Pada HKEY_CURRENT_USER \Software\Microsoft\ Windows\CurrentVersion\Run\ akan terdapat
item baru dengan nama present. Key HKEY_ LOCAL_MACHINE\SOFTWARE\Microsoft\
Windows\CurrentVersion\Run\ akan terdapat item baru juga dengan nama Default
dan %username%, username di sini merupakan nama user yang sedang aktif saat
itu. Virus hasil generate dari FFE juga mengubah shell extension untuk file
.exe, yakni dengan mengubah type information dari Application menjadi File
Folder. Setting-an folder Options juga diubah agar tidak menampilkan extension
dan setiap fi le dengan attribut hidden. Dan agar dapat aktif pada safe-mode,
ia pun mengubah nilai dari item
SafeBoot.
Dengan menggunakan bantuan registry
Image File Execution Options, virus ini juga menambahkan item baru pada section
tersebut dengan nama cmd.exe, msconfi g.exe, regedit.exe, dan taskmgr.exe.
Maksudnya adalah agar setiap user yang mengakses program dengan nama file
seperti itu, maka akan di-bypass oleh Windows dan dialihkan ke file induk si
virus.
BagaimanaVirusMenyebar?
Virus ini dapat menyebar melalui media
penyimpan data seperti flash disk. Saat Anda mencolokkan flash disk pada
komputer yang terinfeksi, maka pada flash disk tersebut akan terdapat beberapa
file baru, seperti explorer.exe, %virusname%.exe, dan msvbvm60.dll. Juga
beberapa file pendukung seperti desktop.ini, autorun.inf agar ia dapat running
otomatis pada saat mengakses flash disk tersebut. File virus lainnya pun disimpan
pada direktori baru di flash disk tersebut dengan nama Recycled yang berisikan
file Firus.pif dan Folder.htt. Kesemua file virus tersebut dalam kondisi hidden
sehingga tidak terlihat.
VirusBeraksi
Untuk dapat bertahan hidup, virus ini
pun akan mencoba untuk memblok setiap program yang tidak ia inginkan seperti
tools atau program antivirus termasuk PCMAV. Sama seperti halnya data registry
yang diubah, data mengenai program apa saja yang diblok olehnya juga terdapat
dalam tubuhnya dalam kondisi terenkripsi. Jadi, saat virus sudah stay di
memory, ia akan memonitor setiap program yang diakses oleh user, yakni dengan
membaca nama file dan juga caption Window. Beberapa nama file antivirus yang
dicoba untuk dibloknya adalah nav.exe, avgcc.exe, njeeves.exe, ccapps.exe,
ccapp.exe, kav.exe, nvcoas.exe, avp32.exe, dan masih banyak lagi yang lainnya.
Termasuk beberapa program setup atau installer juga tidak dapat dijalankan pada
komputer terinfeksi.