15 Desember 2008

Virus-virus lokal yang menginjeksi dan mengenkripsi data

W32/Agent.EQXC

Virus terakhir dalam gerombolan si berat ini dideteksi Norman sebagai W32/Agent.EQXC. Virus lokal yang sedang mengganas ini lagi-lagi memiliki keunikan tersendiri dan Vaksincom memprediksi virus ini akan termasuk virus yang “panjang umur”.

Mengapa ?

Virus ini tidak seperti virus lain yang aktif dalam proses Windows, baik menyaru sebagai proses Windows atau menamakan dirinya mirip dengan nama proses Windows. Pada virus konvensional yang aktif sebagai proses Windows, kunci utama mematikan virus adalah menemukan proses virus dan mematikannya. Jika proses virus sudah dimatikan, maka virus tidak akan aktif lagi dan proses pembersihan virus akan dapat dilakukan dengan mudah. Tetapi Agent.EQXC tidak aktif sebagai proses Windows dan hanya aktif jika file MS Word yang di injeksinya dibuka, dimana ia akan langsung mencari file MS Word lain dan mengenkripsi file tersebut sedemikian rupa sehingga setiap kali file tersebut dibuka, proses virus juga langsung berjalan. Jika anda ingin membasmi virus ini, sama saja dengan menghapus file berharga anda.

Beberapa program antivirus dapat mendeteksi virus ini tetapi yang menjadi masalah adalah karena virus menyatu dengan file MS Word, maka seluruh file MS Word yang telah terinfeksi akan langsung di delete atau di karantina oleh antivirus dan sampai saat ini tidak ada satupun antivirus yang mampu memisahkan file yang terinfeksi dari virus karena rupanya file MS Word asli juga ikut di enkripsi dan key enkripsi tersebut sampai saat ini masih belum berhasil dipecahkan.

Zulanick

Terdeteksi oleh Norman dengan nama W32/Delf.ZFA dan dibuat menggunakan Delphi ini ternyata memiliki payload (bom waktu) dimana pada saat yang terlah ditentukan semua file yang ditemuinya akan dipermak dan dirubah menjadi
ekstensi.BMP (Bitmap). Kabar baiknya, pembuat virus ini tidak sejahat pembuat virus Kamasutra dan masih menyisakan peluang bagi korbannya untuk mengembalikan data yang telah dirubah itu.

Kespo

Kalau Rontokbro merupakan pionir virus lokal Indonesia, maka Kespo virus yang menjadi pionir enkripsi data komputer korbannya. Kespo termasuk dalam jajaran virus elit dan dibuat menggunakan bahasa Delphi. Ia memiliki ciri khas mengenkripsi header file sekaligus menginfeksi file MS Office (MS Word dan Excel) dan database seperti MDF, DBF dan LDF (Visual Foxpro dan MS SQL). Varian awal Kespo berhasil menginfeksi file MS Office tetapi gagal menginfeksi file database. Tetapi celakanya, pembuat Kespo ini belajar dari kesalahannya dan mengeluarkan varian baru yang berhasil mengenkrip dan menginjeksi file-file database sehingga membuat korbannya kelimpungan. Tahap awal Kespo “hanya” berhasil menginjeksi database DBF dan dengan bersusah payah berhasil di recovery dengan teknik recovery DBF, tetapi varian berikutnya yang kembali berhasil menginjeksi file MS SQL tidak memberikan banyak pilihan recovery karena rumitnya struktur MS SQL sendiri sehingga satu-satunya cara untuk mengembalikan database yang terenkripsi adalah dengan input ulang semua data. Secara teori, jika kunci enkripsi Kespo berhasil diketahui, database yang terenkripsi mungkin dapat dikembalikan tetapi metode enkripsi Kespo sampai saat ini tidak diketahui. Karena itu para administrator database harus selalu berhati-hati dan melakukan backup atas databasenya dengan baik dan benar.

Gultung

Gultung / Tunggul Kawung adalah virus yang mempunyai karakteristik seperti Kespo, tetapi aksinya terhadap file MS Word dan Excel lebih ganas dibandingkan Kespo.

Virus ini juga mampu menggunakan rekayasa sosial yang canggih. Seperti apa rekayasa sosial yang digunakan oleh virus ini? Virus ini mempunyai aksi yang lebih jahat dibandingkan Kespo, yakni dengan mengganti / replace dokumen yang terinfeksi untuk kemudian mengganti dengan file virus tersebut plus kode jahatnya. Dengan cara ini kemungkinan kecil dokumen yang sudah terinfeksi dapat diselamatkan. File yang sudah terinfeksi tersebut akan mempunyai icon Folder atau kamera (tergantung dari variannya) dengan ekstensi EXE. Lalu dalam rangka mengelabui korbannya lebih jauh lagi, virus ini juga akan membuat file duplikat lainnya dengan ukuran file yang sama seperti file duplikat yang mempunyai ekstensi EXE tetapi dengan icon MS Word dengan attribut HIDDEN (disembunyikan) dan mempunyai ekstensi DOC dan type file “Microsoft Word Documents”. User yang berhasil mengakses hidden file palsu tersebut beranggapan bahwa file mereka masih ada. Jika file file tersebut dibuka maka akan muncul pesan error seolah-olah file tersebut rusak, jika diteliti lebih jauh ternyata file hidden tersebut TETAP file virus dan jika kita ganti ekstensinya maka icon yang menyertai virus tersebut akan berubah menjadi Folder atau kamera yang jika dijalankan maka akan mengaktifkan virus tersebut.

Related Posts [Artikel Terkait]



posting by jideblack

Comments :

6 komentar to “Virus-virus lokal yang menginjeksi dan mengenkripsi data”

Pemburu Pertamax... hehehe

Hafiz mengatakan...
on 

Hmmmm... gituh yak...

Solusinya... Pake Linux aja huehehehe gak bakal pusing ama virus :D

nice post :)

btw, salam kenal...

thom mengatakan...
on 

Puyeeenng broo,....lagian sapa siih yang pada obarlan virus,...

brigadista mengatakan...
on 

Kirim eksekusi mati ke nusakambangan aja tu virus.. Kalo virus penyerang ms-office & excel kira-kira kita musnahkan normal.dot masih bertahan eg ya ??

Belajar Internet mengatakan...
on 

gik...gik...gik...gik kata pembuat virus, gua tenarrrrr

Anonim mengatakan...
on 

lumayan tuh bwt tmbh2 wa2san tentang pervirusan :D

Absensi Sidik Jari mengatakan...
on 

Posting Komentar

 
| Info Teknologi | Music | Informatika | Blogger Tips | SEO Blogger Indonesia Counter Powered by  RedCounter

Info teknologi free download download mp3 info tips rach-man facebook tutorial free lyrik 3gp lokal avi forum no free sex haram sekolah smu gratis uang kaya optimasi video indonesia lokal gadis cantik murah musik new perawan search update teknik SEO Adsense blog indonesia jide palangkaraya komputer hardware jaringan bali virgin anti virus