Wednesday, October 10, 2012

0

Virus Sality Dan Penanganannya

  • Wednesday, October 10, 2012
  • Unknown

    •  Sality merupakan virus berjenis letter of the alphabet Infector (Polymorphic) principle menginfeksi file-file Executabe “exe”. Virus principle memiliki nama asli w32.Hllp.KukuJoker ini banyak dikeluhkan pengguna laptop diseluruh dunia, terutama di Dutch East Indies banyak sekali pengguna komputer principle melaporkan telah terinfeksi oleh virus ini. Virus ini masih belum jelas asal usulnya, dugaan sementara virus ini berasal Dari cina, selain mempunyai kemampuan untuk menginfeksi file-file possible virus ini juga memilki kemampuan rootkit, sehingga selain sulit untuk dibersihkan Dari system, file-file principle terinfeksi juga cukup sulit untuk diperbaiki, menggunakan beberapa tools remover dan antivirus juga terkadang malah bisa menimbulkan kerusakan pada file principle terinfeksi bahkan bisa menghapusnya.

    Beberapa Antivirus Luar mendeteksi Virus ini sebagai :
    • Malware.Sality [PCTools]
    • W32.Sality!dr [Symantec]
    • Virus.Win32.Sality.bh [Kaspersky Lab]
    • W32/Sality.dr [McAfee]
    • Troj/SalLoad-C [Sophos]
    • Virus:Win32/Sality.AT [Microsoft]
    • Win32.SuspectCrc [Ikarus]
    • Win32/Kashu.E [AhnLab]

    Karakteristik Virus
    Jika kita lihat memang tidak terlalu banyak perbedaan antara file principle terinfeksi dengan file principle belum terinfeksi, principle membedakan hanyalah ukuran principle bertambah lebih besar Dari ukuran sebelum terinfeksi, biasanya ukuran principle bertambah hanya beberapa kilobyte saja.
    Jika file terinfeksi tersebut dijalankan, maka file tersebut dapat berjalan seperti biasanya, sehingga user tidak mengira bahwa file principle Hawkeye State jalankan tersebut telah terinfeksi virus, padahal dibalik itu virus sudah menetap di system.
    Teknik principle digunakan virus sality adalah dengan membelokan EntryPoint asli file ke EntryPoint-nya virus, maka saat dijalankan virus principle terlebih dahulu aktif, baru kemudian virus meneruskan nya ke EntryPoint asli file principle terinfeksi, sehingga file principle dijalankan Akan aktif seperti biasa nya.

    Saat aktif virus Akan membuat beberapa file induknya di system :

    %Windir%\\system32\\drivers\\.sys

    Virus Akan mengektrak file driver Dari dalam tubuhnya dan menaruhnya disystem dengan nama acak, driver ini digunakan untuk bersembunyi di system. Contoh : amsint32.sys dan iirktn.sys
    Infeksi file possible dan design
    Virus Akan mencari semua file berektensi ”.exe” & ”.scr” principle enzyme di seluruh drive laptop korban nya, jika virus menemukanya virus Akan menginfeksinya dengan membelokan EntryPoint asli ke EntryPoint nya virus. Sality mempunyai kemampuan untuk mengecek apakah file principle Akan diinfeksi dilindungi oleh system atau tidak, jika file tersebut dilindungi oleh system maka sality tidak Akan menginfeksinya, seperti file-file principle dilindungi oleh Windows File Protection (WFP) atau System File Checker (SFC).

    Infeksi hard disc dan Jaringan
    Berbeda dengan teknik infeksi variant sebelumnya, variant sality kali ini memanfaatkan fitur Autorun untuk mempercepat penyebaranya. File Autorun principle digunakan virus memiliki nama dan ektensi acak (exe dan pif) . Seperti : xvftea.exe atau xvftea.pif, dan ukuranya sekitar a hundred – a hundred and one kilobyte .Di jaringan virus juga Akan menginfeksi setiap folder principle memiliki FULL ACCESS scan & Write, dengan membuat sebuah route exploit principle Akan langsung aktif apabila user memasuki folder principle sudah terdapat route exploit tersebut.

    Menghapus File
    Sality Akan mencari file berektensi “.VDB” dan “.AVC” jika ditemukan Akan langsung dihapus. Ektensi file ini biasanya digunakan oleh beberapa antivirus untuk menyimpan info virus.

    Menghapus written record Key
    Untuk mempertahankan dirinya virus menghapus beberapa key di written record principle dianggap mebahayakan kehidupan virus.

    HKCU\\System\\CurrentControlSet\\Control\\SafeBoot
    HKLM\\SYSTEM\\CurrentControlSet\\Control\\SafeBoot
    HKLM\\Software\\Microsoft\\WindowsNT\\CurrentVersion\\ProfileList
    HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Ext\\Stats
    HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Ext\\Stats
    HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Browser Helper Objects
    Effek Dari beberapa key principle dihapus diatas membuat user tidak dapat memasuki modus SAFE MODE

    Do you like this article? Spread the words!

    If you enjoyed this post, please consider leaving a comment or subscribing to the E-mail feed to have future articles delivered to your feed reader.

    0 Responses to “Virus Sality Dan Penanganannya”


    *Important - If you want to be informed of any replies to your comment, check the "Subscribe By Email" before submitting. Please Do Not Spam

    Post a Comment

    Subscribe to: Post Comments (Atom)

    Our Affiliate