Friday, March 27, 2009

Telanjangi VB dari Sisi Virus Maker (Part III)


Gimana?udah?pasti bakal belum sempurna..karena Part I dan Part II ga akan sempurna tanpa ini, dua postingan sebelumnya adalah pengenalan terhadap bagaimana sebuah virus menginfeksi dan melakukan penggandaan ke sistem..


Sekarang lanjut nyook...


BAB KETIGA


Setting Registry





Kali ini kita akan membahas lebih dalam tentang bagaimana cara virus
menyeting registry. Dan settingan registry seperti apa yang biasa dilakukan virus.
Virus yang berjalan pada system operasi windows tak dapat lepas dari bantuan
registry yang dapat membuat virus tersebut mampu memiliki daya tahan yang sangat
kuat sehingga sulit sekali untuk dimusnahkan. Registry dimanfaatkan virus sebagai
suatu tameng atau benteng pertahanan yang dapat melindunginya dari berbagai
serangan-serangan yang dapat membuat dirinya (virus) musnah dari computer yang
telah terinfeksi.

Misalkan kita telah berhasil mematikan suatu virus dengan menggunakan
program task manager ataupun program sejenisnya tanpa melakukan pembersihan
pada registry. Dimana virus telah memasang suatu kunci pada registry yang akan
mengaktifkan dirinya jika user menjalankan suatu aplikasi, maka sudah bisa pastikan
bahwa virus tersebut akan aktif kembali.

Fungsi untuk menyeting registry yang digunakan oleh virus tidak banyak virus
hanya memerlukan suatu fungsi untuk membuat kunci (Biasanya DWORD dan
STRING) dan menghapus suatu kunci resgitry (Biasanya jarang digunakan).
Code Pembuatan Key DWORD Pada Registry:

Code:




Public Function CreateDwordValue(hKey As REG, Subkey As String, _


strValueName As String, dwordData As Long) As Long


On Error Resume Next


Dim ret As Long


‘Buka Key


RegCreateKey hKey, Subkey, ret


‘Buat Key Dword Value


CreateDwordValue = RegSetValueEx(ret, strValueName, 0, _


REG_DWORD, dwordData, 4)


‘Tutup Key


RegCloseKey ret


End Function




Code Pembuatan Key STRING Pada Registry:


Code:




Public Function CreateStringValue(hKey As REG, Subkey As String, _


RTypeStringValue As TypeStringValue, strValueName As String, _


strData As String) As Long


On Error Resume Next


Dim ret As Long


‘Buka Key


RegCreateKey hKey, Subkey, ret


‘Buat Key String Value


CreateStringValue = RegSetValueEx(ret, strValueName, 0, _


RTypeStringValue, ByVal strData, Len(strData))


‘Tutup Key


RegCloseKey ret


End Function




Code Penghapus Key:


Code:




Public Function DeleteKey(hKey As REG, Subkey As String) As Long


On Error Resume Next


Dim ret As Long


‘Buka Key


RegCreateKey hKey, Subkey, ret


'Hapus key


RegDeleteKey Result, ""


'Tutup handle


RegCloseKey Result


End Function




Macam-macam setingan registry yang dibuat virus:




  • 1. Pada key Run.

  • Key ini digunakan virus agar virus aktif pada saat windows melakukan logon.

  • Contoh:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run

  • Jenis Nilai : String

  • Nama Kunci : Virus

  • Nilai : C:\Windows\Virus.exe

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run

  • Jenis Kunci : String

  • Nama Kunci : Virus

  • Nilai : C:\Windows\Virus.exe

  • Penamaan suatu nama kunci dan nilai dapat anda ganti dan disesuaikan

  • dengan apa yang anda buat

  • 2. Pada Key Explorer.

  • Key ini digunakan virus untuk melindungi dirinya agar tetap tersembunyi. Virus

  • dapat melakukan berbagai manipulasi explorer pada key ini.

  • Contoh:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Poli

  • cies\Explorer\

  • Jenis Nilai : DWORD

  • Nama Kunci : NoFolderOptions

  • Nilai : 1

  • 3. Pada Key System.

  • Key ini juga digunakan virus untuk melindungi dirinya. Dengan key ini virus

  • dapat menonaktifkan TaskManager dan Registry.

  • Contoh:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Poli

  • cies\System\

  • Jenis Nilai : DWORD

  • Nama Kunci : DisableTaskMgr

  • Nilai : 1

  • HKEY_CURRENT_USER\Software\Policies\Microsoft\Wind ows\System\

  • Jenis Nilai: DWORD

  • Nama Kunci: DisableCMD

  • Nilai: 1

  • 4. Pada Key Winlogon.

  • Key ini digunakan virus untuk mengaktifkan dirinya sebelum/sesudah tampilan

  • windows keluar.

  • Contoh:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

  • NT\CurrentVersion\Winlogon

  • Jenis Nilai : String

  • Nama Kunci : Shell

  • Nilai : Explorer.exe "C:\Windows\IExplorer.exe"

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

  • NT\CurrentVersion\Winlogon

  • Jenis Kunci : String

  • Nama Kunci : Userinit

  • Nilai :

  • C:\Windows\System32\userinit.exe,C:\Windows\IExplo rer.exe

  • 5. Pada Key Dekstop.

  • Key ini digunakan virus sebagai sarana penyamaran virus sebagai screen

  • saver sehingga pada screen saver berjalan bukan screen saver yang berjalan

  • tapi melainkan virus yang berjalan.

  • Contoh:

  • HKEY_CURRENT_USER\Control Panel\Desktop\

  • Jenis Kunci : String

  • Nama Kunci : SCRNSAVE.EXE

  • Nilai : C:\Windows\System32\virus.SCR"

  • HKEY_CURRENT_USER\Control Panel\Desktop\

  • Jenis Kunci : String

  • Nama Kunci : ScreenSaverIsSecure

  • Nilai : 0

  • HKEY_CURRENT_USER\Control Panel\Desktop

  • Jenis Kunci : String

  • Nama Kunci : ScreenSaveTimeOut

  • Nilai : 600

  • 6. Pada Key AeDebug.

  • Key ini hampir sama seperti screen saver hanya saja, jika terjadi suatu debug

  • pada windows maka tanpa sadar windows telah menjalankan virus.

  • Contoh:

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

  • NT\CurrentVersion\AeDebug

  • Jenis Kunci : String

  • Nama Kunci : Debugger

  • Nilai : "C:\Windows\System32\Shell.exe"

  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows

  • NT\CurrentVersion\AeDebug

  • Jenis Kunci : String

  • Nama Kunci : Auto

  • Nilai : 1

  • 7. Pada Key Command.

  • Key ini digunakan virus agar virus selalu aktif. Fungsi pengaktifannya jika user

  • menjalankan suatu aplikasi maka yang dijalankan pertama kali adalah virus

  • baru virus tersebut akan menjalankan aplikasi tersebut agar tidak

  • mencurigakan. Dengan key ini virus memegang akses penuh terhadap suatu

  • aplikasi. Virus dapat menjalankan suatu apikasi yang dia jalankan atau pun

  • sebaliknya.

  • Contoh:

  • HKEY_CLASSES_ROOT\exefile\shell\open\command

  • Jenis Kunci : String

  • Nama Kunci :

  • Nilai : "C:\Windows\System32\shell.exe " "%1"%*

  • HKEY_CLASSES_ROOT\lnkfile\shell\open\command

  • Jenis Kunci : String

  • Nama Kunci :

  • Nilai : "C:\Windows\System32\shell.exe " "%1"%*

  • HKEY_CLASSES_ROOT\piffile\shell\open\command

  • Jenis Kunci : String

  • Nama Kunci :

  • Nilai : "C:\Windows\System32\shell.exe " "%1"%*

  • HKEY_CLASSES_ROOT\batfile\shell\open\command

  • Jenis Kunci : String

  • Nama Kunci :

  • Nilai : "C:\Windows\System32\shell.exe " "%1"%*

  • HKEY_CLASSES_ROOT\comfile\shell\open\command

  • Jenis Kunci : String

  • Nama Kunci :

  • Nilai : "C:\Windows\System32\shell.exe " "%1"%*

  • Ket Nama Kunci = Kosong artinya (Default).

  • 8. Pada Key Safe Boot.

  • Key ini digunakan virus agar virus tetap aktif. Pada saat windows berjalan pada

  • mode safe-mode atau pun dos sehingga user tidak akan dapat menghapus

  • virus ini pada mode safe mode.

  • Contoh:

  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot

  • Jenis Kunci : String

  • Nama Kunci : AlternateShell

  • Nilai : C:\Windows\Virus.exe

  • 9. Pada Key exefile.

  • Key ini digunakan virus untuk melakukan manipulasi file agar virus tersebut

  • tetap tersamar sehingga sulit untuk membedahkan mana file yang asli dan

  • mana yang virus.

  • HKEY_CLASSES_ROOT\exefile

  • Jenis Kunci : String

  • Nama Kunci :

  • Nilai : File Folder

  • Nama Kunci = Kosong artinya (Default).

  • 10. Pada Key CabinetState.

  • Key ini digunakan virus sebagai suatu sarana yang dapat membantu

  • penyeberan jika user menggunakan windows explorer. Karena address bar

  • windows explorer akan menampilkan alamat file yang sedang dibuka oleh user

  • dengan lengkap.

  • Contoh:

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Expl

  • orer\CabinetState

  • Jenis Kunci : DWORD

  • Nama Kunci : FullPathAddress

  • Nilai : 1

  • 11. Pada Key Advanced.

  • Key ini digunakan virus untuk menyembunyikan dirinya. Agar settingan

  • windows explorer tetap tidak akan menampilkan file yang dalam keadaan

  • tersembunyi.

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Expl

  • orer\Advanced\

  • Jenis Kunci : DWORD

  • Nama Kunci : HideFileExt

  • Nilai : 1

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Expl

  • orer\Advanced\

  • Jenis Kunci : DWORD

  • Nama Kunci : Hidden

  • Nilai : 0

  • HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Expl

  • orer\Advanced

  • Jenis Kunci : DWORD

  • Nama Kunci : ShowSuperHidden

  • Nilai : 0


Anda dapat bereksplorasi lagi lebih banyak dengan registry agar dapat
membuat suatu benteng keamanan yang sangat bagus sehingga virus tersebut sulit
untuk ditaklukan.


Aduuh...makin rumit ya?tapi justru makin seru..dengan gini, kita jadi tahu apa aja yang biasanya di-lakukan oleh virus ketika beliau masuk ke PC kita.

Related Posts Plugin for WordPress, Blogger...
Diposkan oleh wide024 di 4:22 AM Label: ,

1 komentar:

djonk said...

bro mau tanya ni.... tapi maap sebelumnya klo aku kurang jelas maklum baru belajar hehee... aku udah cari di Registry Editor:
HKEY_CLASSES_ROOT\lnkfile
tapi \shell\open\command nya kok g ketemu ya..?? yang ada cuma CLSID sama shellex aja.
makasih sebelumnya...

October 20, 2010 at 7:53:00 PM GMT+7

Post a Comment

Subscribe to: Post Comments (Atom)