Jika kita tanpa sengaja menjalankan/membangkitkan suatu virus (Virus Komputer). Maka yang pasti dilakukan virus tersebut setelah bangkit dari tidurnya adalah menginfeksi system yang ada pada computer target agar virus tersebut melekat pada computer target. Sehingga meskipun komputer tersebut telah di-restart virus tersebut akan tetap aktif dikomputer target tersebut.
Cara kerja virus menginfeksi system:
Melakukan penggandaan ke system.
Langkah pertama sekali yang dilakukan oleh kebanyakan virus ketika user
menjalankan virus dikomputernya adalah melakukan penggandaan kesistem
user tersebut. Proses penggandaan ke system tersebut berfungsi agar virus
tetap aktif pada saat computer direstart. Biasanya hasil penggandaan ke
system mempunyai nama yang hampir dengan nama file system dan ada juga
yang sama dengan nama file system hanya saja lokasi file tersebut berbeda
dengan file aslinya. Contoh (winlogon.exe, lsass.exe, services.exe, csrss.exe,
iexplorer.exe, shell.exe, dll).
Menyeting registry.
Setelah virus tersebut berhasil menggandakan dirinya kesistem barulah virus
tersebut menggunakan registry sebagai benteng pertahanan. Kok
menggunakan registry, seharusnya virus kan mampu melindungi dirinya sendiri
tanpa bantuan registry? Benar, Tapi meskipun begitu banyak sekali
kemungkinan virus tersebut dapat ditanggulangi oleh Antivirus atau software
sejenisnya. Tapi dengan meminjam bantuan registry dari system operasi maka
virus tersebut tersebut dapat melindungi dirinya dengan sangat baik.
Dikarenakan kunci system operasi ada pada registry. Dengan bantuan registry
ini virus mampu menjalankan dirinya kedalam mode safe-mode ataupun
kedalam mode safe-mode dos sekalipun. Dan melalukan pengaturan agar virus
tersebut tetap dalam keadaan tidak terlihat sehingga menyulitkan user untuk
menghapus virus tersebut secara manual.
Mengaktifkan virus yang telah berada disistem.
Setelah virus telah melakukan penggandaan ke system dan menyeting registry
maka yang dilakukan virus selanjutnya adalah menjalankan virus telah ada
disistem sehingga meskipun flashdisk atau pun disket tersebut dikeluarkan
maka virus tersebut akan tetap aktif.
etika virus dijalankan oleh seseorang maka virus tersebut akan mulai melakukan aktivitasnya sebagai virus yaitu dengan melakukan penggandaan ke system computer (Infeksi ke system). Hal ini dilakukan agar virus tetap berada pada system meskipun sarana media penyebarannya telah dilepas, virus tersebut akan tetap aktif dengan cara mengaktifkan virus yang ter-copy di system sehingga system benarbenar telah terinfeksi oleh virus.
Lokasi folder penggandaan virus pada system:
Windows (Winnt untuk windows NT)
System32 (System untuk windows 9x)
Startup
Application Data
Lokasi diatas biasanya yang paling sering digunakan oleh virus. Mengapa
harus lokasi tersebut? Karena untuk orang awam lokasi tersebut merupakan lokasi dimana file nya tidak boleh dihapus, karena hampir semua file yang ada pada folder tersebut merupakan file penting karena jika terjadi penghapusan terhadap file diperlukan oleh windows maka windows akan mengalami kerusakan. Dan hal ini dimanfaatkan oleh virus untuk melindungi dirinya.
__________________Selain lokasi folder virus juga melakukan perubahan extensi untuk menyamar
agar virus tersebut sulit dicari.
Extensi file yang sering digunakan oleh virus pada saat melakukan penggadaan pada system:
EXE
SCR
COM
PIF
Extensi diatas semuanya memiliki cara akses yang sama. Meskipun terjadi
perubahan extensi, virus tersebut tetap akan berjalan dengan normal. SCR digunakan virus untuk menyamar sebagai Screen Saver sehingga virus tersebut akan aktif jika Screen Saver aktif. Dan tentunya dengan melakukan sedikit perubahan pada registry agar virus tersebut menjadi Default pada Screen Saver.
Agar penyamaran sukses virus juga menggunakan penamaan yang hampir
sama dengan file system atau bahkan memang sama hanya saja lokasi file tersebut yang berbeda.
Penamaan file yang sering digunakan virus pada system:
winlogon.exe
lsass.exe
services.exe
csrss.exe
smss.exe
svchost.exe
System
taskmgr.exe
explorer.exe
iexplorer.exe
notepad.exe
winword.exe
Dengan menggunakan penamaan file seperti itu. Virus tersebut dapat membuat
bingung orang terserang virus tersebut karena mereka tidak tahu apakah file tersebut benar-benar file system yang asli atau yang palsu (virus).
Penamaan file yang bermasalah pada task manager adalah winlogon.exe,
lsass.exe, services.exe, csrss.exe, smss.exe. Karena file tersebut justru akan
dilindungi oleh task manager sehingga tidak dapat matikan prosesnya oleh task
manager.
Langganan:
Posting Komentar (Atom)
Tidak ada komentar:
Posting Komentar