Sore gan,[Atas bantuan pengguna Windows pada kasus di atas saya dapat memperoleh sampel virus yang menyerang laptopnya untuk saya jadikan bahan artikel ini dimana saya akan mendemonstrasikan cara melumpuhkannya.]
Jadi gini neh gan ceritanya. barusan ane dapet lapi bekas dari kantor yang baru ane dan kebetulan isinya itu masih ala kadarnya office, Rar dan Adobe aja masih belum ada. terus kemudian ane install2in neh lepi dengan berbagai program yang ane butuhkan untuk keperluan kerjaan. ane install beberapa program diantaranya itu seperti bitvise,remote dekstop dan lain sebagainya. Dari situ ane masih gak curiga kalau lepi ane ternyata memang beda dari lepi yang lainnya. nahh disini ane mau mulai ceritain masalah lapi ane gan, pas ane mau coba searching kata-kata yang berhubungan dengan kata "Virus" ternyata chrome ane close sendiri ane coba berkali-kali dan hasilnya sama aja, ngeclose juga. terus ane coba ketik kata "virus" juga di Internet Explorer dan ternyata hasilnya sama aja, nge close juga. terus ane inisiatif wat download opera dan hasilnya sama, nge Close juga. Lalu ane coba pinjem lepi temen ane dengan mengetikan kata virus dan hasilnya gak apa-apa, ngaak nge close sama sekali. Ane download antivirusnya dah pake lapi temen ane dan ane coba install di lepi dan hasilnya nihil juga. ane udah download berbagai antivirus dan nggak bisa diinstall sama sekali, setiap kali ane instal antivirusnya nge close sendiri. cuma 1 antivirus yang bisa di install di lepi ane, yaitu Smad*v. Mohon apabila rekan2 pernah mengalami hal seperti ini mohon bantuannya untuk mengatasi masalah diatas karena ane sudah muak dengan semua ini.
Satu cara yang dilakukan virus untuk mempertahankan keberadaannya di PC korban adalah dengan memastikan agar program-program yang dapat melumpuhkannya tidak dapat berjalan. Secara periodik virus ini memeriksa setiap proses yang berjalan; bila ada proses yang berasal dari program yang dapat membahayakannya maka proses itu akan dimatikan. Inilah yang saya alami ketika saya mencoba untuk menjalankan Process Explorer pada virtual machine yang saya gunakan untuk menganalisa virus ini.
Teknik yang umumnya digunakan virus untuk mengenali proses yang dapat membahayakannya adalah dengan mengenumerasi judul jendela (window title) dari semua proses yang berjalan. Virus ini memiliki daftar kata-kata yang bilamana kata tersebut ditemukan dalam judul jendela, maka proses yang memiliki jendela tersebut dianggap berbahaya dan akan dimatikan. Kata-kata tersebut diantaranya: virus, malware, process explorer, avast, sysinternals. Kata-kata ini adalah bagian dari judul jendela dari program-program seperti Avast AntiVirus, MalwareBytes dan Sysinternals Process Explorer.
Untuk membuktikan bahwa teknik ini yang digunakan virus tersebut, saya menjalankan program Notepad. Kemudian saya Save As dengan nama file yang mengandung kata yang terdapat dalam daftar kata-kata yang dimiliki virus tersebut (ini virus.txt). Dan benar, virus itu langsung menutup jendela proses Notepad yang saya jalankan tadi. Ini disebabkan karena Notepad menggunakan nama file yang dibukanya sebagai bagian dari judul jendelanya. Hal ini juga yang menjadi penyebab mengapa jendela browser juga di-close oleh virus ini pada saat searching kata "virus" karena judul jendela browser akan mengandung kata "virus" pada saat hasil pencarian ditampilkan.
Virus ini dapat mengenumerasi jendela dengan menggunakan fungsi EnumWindows. Namun fungsi ini mempunyai batasan yang ditentukan oleh sistem, yakni hanya dapat mengenumerasi jendela-jendela yang berada di dalam satu desktop. Yang dimaksud dengan desktop disini adalah bukan folder dari shell Explorer yang berisi shortcuts (yang dapat ditampilkan melalui menu "Show the desktop" pada taskbar), melainkan sebuah objek dari window manager (bagian dari kernel Windows) yang merepresentasikan layar virtual (virtual display).
Untuk menangkal teknik yang digunakan virus ini, saya menggunakan program Desktops dari Sysinternals untuk membuat desktop baru. Dan untuk membuktikan bahwa teknik yang digunakan virus ini tidak bekerja pada desktop lain, saya coba untuk membuka kembali file "ini virus.txt" yang saya buat sebelumnya dalam desktop yang baru saya buat ini. Dan sesuai dengan dugaan saya, virus ini tidak dapat mendeteksi jendela pada desktop lain sehingga Notepad dapat membuka file "ini virus.txt".
Namun saat saya kembali mencoba untuk menjalankan Process Explorer virus ini masih dapat mematikannya. Ini artinya ada teknik lain yang digunakan virus ini untuk mendeteksi proses yang membahayakannya. Teknik lain yang umumnya digunakan oleh virus adalah dengan mengenumerasi nama proses-proses yang berjalan. Nama dari sebuah proses berasal dari nama file program yang memiliki proses tersebut. Dalam hal ini, virus akan mematikan proses yang memiliki nama procexp yang merupakan nama file dari program Process Explorer (procexp.exe). Sehingga untuk menangkal teknik ini saya cukup hanya me-rename nama file Process Explorer sebelum menjalankannya. Dan sekarang virus ini tidak dapat mematikannya. Gambar berikut adalah hasilnya.
Dengan menggunakan pedoman untuk melacak malware secara manual, saya melihat ada tiga proses yang mencurigakan seperti pada gambar di atas. Langkah selanjutnya adalah mematikan proses-proses tersebut. Tapi sebelumnya saya ingin tahu apakah virus ini sudah dikenal oleh situs VirusTotal. Untuk itu saya membuka jendela properties dari salah satu proses yang mencurigakan tadi. Pada tab Image, saya klik tombol Submit untuk meng-upload hash dari file virus tersebut ke server VirusTotal.
Seperti yang terlihat pada gambar di atas, ada 58 dari 61 antivirus pada situs VirusTotal yang dapat mengenali virus ini. Dengan mengklik angka tersebut kita akan diarahkan ke halaman ini pada situs VirusTotal untuk melihat analisis virus ini secara lebih mendetail.
Setelah mengetahui antivirus-antivirus apa saja yang dapat mengenali virus ini, kini saatnya mematikan ketiga proses tersebut. Saya mulai dari proses yang paling atas.
Setelah saya matikan, ternyata proses itu dijalankan lagi oleh salah satu dari 2 proses yang lain. Ini menandakan bahwa ketiga proses ini saling menjaga satu sama lainnya.
Dari gambar di atas terlihat proses yang sebelumnya saya matikan kini menjadi child process dari proses yang lainnya (kotak biru), tidak terpisah seperti pada saat awal. Ini akan memudahkan kita untuk mematikannya nanti. Selanjutnya saya coba untuk mematikan satu proses yang masih terpisah (kotak merah).
Sesuai harapan saya, proses kedua yang saya matikan ini dijalankan lagi oleh proses yang sebelumnya menjalankan proses pertama yang saya matikan, sehingga kedua proses yang saya sudah matikan kini menjadi child process dari satu proses yang belum saya matikan. Pada posisi seperti ini, saya tinggal mengklik kanan proses yang belum saya matikan dan pilih Kill Process Tree agar proses ini dan kedua anak prosesnya dapat dimatikan secara bersama-sama.
Tips
Bila anda menemukan virus yang selalu menjalankan proses-prosesnya secara terpisah, maka untuk mematikan semua prosesnya anda harus men-suspend semua prosesnya terlebih dahulu.
Setelah semua prosesnya dapat dimatikan, maka langkah yang tersisa adalah melakukan pembersihan file system dan registry dari "jejak-jejak" yang ditinggalkan virus ini. Walaupun saya dapat melakukannya secara manual, namun karena virus ini sudah dikenal, saya hanya tinggal mengunduh dan menginstal salah satu antivirus yang direkomendasikan oleh situs VirusTotal untuk melakukan pembersihan.
Semoga tutorial ini bermanfaat buat anda.
[Special thanks buat agan Andank atas sampel virusnya.]
[Special thanks buat agan Andank atas sampel virusnya.]
tks gan :)
BalasHapus