VIRUS kernel.sys. Untuk file kernel.sys ini sebenarnya adalah adalah file executable biasa, duplikat dari dirinya. Tak ketinggalan, ia pun menempatkan duplikat dari dirinya lagi di StartUp folder, sehingga saat memulai Windows nanti, virus akan otomatis di-load ke memory.
Setelah file–file induk tadi berhasil dibuat, barulah ia mengeksekusi file-file tersebut, sehingga di memory akan terdapat banyak sekali process virus.
Serbu Registry!
Kini waktunya sang virus untuk menyerang registry. Pertama, ia akan membuat beberapa startup item di registry dengan nama SysTray, Msg, Pengging, dan Service. Tentunya ini dimaksudkan agar sang virus dapat aktif otomatis pada saat memulai Windows, tak lupa ia pun membuat perubahan pada registry yang mengatur masalah safe-mode, karena sang pembuat virus ingin virusnya juga dapat aktif dalam modus safe-mode.
Cara yang dilakukannya agar dapat aktif pada komputer korban juga dilakukannya dengan berbagai cara, di antaranya dengan mengubah setting-an Screen Saver di regis try.
Ini dilakukan agar saat Screen Saver muncul, maka yang dijalankan oleh Windows adalah program virus, bukanlah Screen Saver-nya.
Hal serupa juga dilakukannya pada setting-an Debugger. Jadi, saat suatu aplikasi Pembuat virus sepertinya tidak akan tinggal diam dengan segala kelebihan yang dimiliki oleh registry. Karena, hampir sama sekali tidak ada virus yang tidak memanfaatkan registry sebagai salah satu sarana pembantunya untuk menyebarkan diri. Karena dalam registry ini terkandung banyak sekali informasi ataupun fasilitas yang tidak diketahui oleh orang banyak.
Nah, Virus yang satu ini sepertinya sudah berkenalan dekat dengan registry. Bagaimana tidak, karena hampir setiap sektor di registry ia infeksi. Pengging, begitulah PC Media Antivirus RC14 mengenalinya. Virus yang juga dikenal sebagai Penguin oleh antivirus lain ini memiliki ukuran tubuh sebesar 47.104 bytes. Dibuat menggunakan bahasa Visual Basic lalu di-compress menggunakan PECompact. Virus yang dapat menginfeksi komputer berbasis Windows ini menggunakan icon yang mirip seperti icon Folder standar bawaan Windows.
Dan mengenai registry apa saja yang diubahnya sebenarnya bisa dilihat dengan Serangan Umum Pengging untuk Registry
Registry diketahui sebagai salah satu komponen Windows yang sangat krusial. Banyak yang bisa kita lakukan dengan mengubah registry, dari mulai men-tweaking Windows, membatasi hak akses user, sampai menjalankan aplikasi secara otomatis. Tapi awas, jika kita melakukan kesalahan bisa fatal akibatnya.
Arief Prabowo mudah. Bisa dengan cara meng-unpack sang virus, dan barulah kita lihat tubuh virus menggunakan Hex Editor atau semacamnya.
Jalankan Virus!
Biasanya saat virus kali pertama dieksekusi oleh user, akan menampilkan layar Shutdown, dan membuka tray CD/DVD-ROM Anda, entah apa maksudnya. Ia lalu akan membuat beberapa file induk pada direktori \Documents and Settings\%username%\LocalSettings\Application Data\, dengan menggunakan nama yang menyerupai nama process atau services milik Windows, seperti winlogon.exe, smss.exe, shell.exe, services. exe, lsass.exe, dan csrss.exe.
Namun, ada juga dengan nama lainnya seperti pengging.exe, ini mengingatkan kita pada virus Brontok yang menggunakan teknik penamaan file yang sama seperti ini untuk mengelabui korbannya. Selain pada direktori di atas, ia juga kembali menempatkan beberapa agennya di direktori system Windows dengan nama pengging.scr dan Pesan yang disampaikan oleh virus pada waktu memulai Windows. File virus yang menyerupai folder. Proses virus yang berjalan di memory.
Virus
04/2007 VIRUS 77
crash atau error, maka otomatis Windows akan menjalankan program Virus bukanlah program Debugger. Seperti yang dikatakan di awal, virus ini banyak sekali mengubah-ubah registry. Sang pembuat virus sepertinya memang banyak belajar dari virus-virus yang ada sebelumnya. Beberapa fasilitas Windows yang diubah adalah seperti menghilangkan menu Folder Options dari Windows Explorer dan mengeset type dari Application menjadi File Folder, menghilangkan menu Run, Find/Search, Shutdown, juga Control Panel. Ia pun tidak mengizinkan user untuk menjalankan Command Prompt, Registry, Task Manager, Setting Folders, Setting Taskbar, Display Setttings, System Properties, dan System Restore
Penggunanya pun tidak dapat melakukan klik kanan pada Start Menu ataupun pada Taskbar. Dan masih banyak lagi fasilitas Windows yang ia ubah. Parahnya lagi, ia pun mengubah settingan registry yang mengatur masalah akses file atau shell extension. Yang dilakukannya adalah ia mencoba untuk mengubah registry tersebut agar saat user menjalankan file-file dengan extension tertentu, maka sebelumnya akan dialihkan ke file induk virus, baru dilanjutkan ke file/program yang asli. Ini mengakibatkan seperti tidak adanya ruang bagi user untuk tidak dapat terinfeksi oleh virus ini. Beberapa extension krusial tersebut ialah .exe, .com, .pif, .cmd, .reg, .ini, .lnk, dan lain sebagainya.
Tambah lagi, di registry Pengging juga menambahkan beberapa item untuk Image File Execution Options dan Application Path. Ini dimaksudkan untuk memblok atau mengalihkan beberapa aplikasi pilihannya agar saat user mencoba menjalankan aplikasi tersebut akan dialihkan ke program virus. Aplikasi yang dialihkan tersebut seperti, Notepad.exe, TaskMgr.exe, Regedit.exe, Paint.exe, Setup. exe, Install.exe, dan lain sebagainya.
Sebenarnya ada ciri atau perbedaan yang jelas terlihat apabila komputer kita terserang oleh virus ini. Pengging akan mengganti nama untuk My Computer, My Network Places, My Documents, dan Recycle Bin berturut-turut menjadi Kompi Pengging, Network Pengging, Dokumen Pengging, dan Tonk Pengging. Beberapa virus sebelumnya seperti Babon juga melakukan hal yang sama seperti ini. Dan tentunya ini dapat dilakukannya atas bantuan registry.
Seperti pembuat virus lainnya, ia pun tak ketinggalan untuk memberikan beberapa pesan untuk sang empunya komputer. Pesan ini ditampilkan dalam bentuk message box. Dan ada juga tingkah jahil yang dilakukannya yakni mengubah status jam dari AM/PM menjadi seperti smile icon, yang bisa Anda lihat di pojok kanan bawah layar. Trik ini semua dilakukannya juga dengan mengubah registry.
Metode Penyebaran
Seperti virus lainnya, Pengging akan membuat duplikat dari dirinya yang menyerupai folder itu agar dapat mengelabui sang user. File-file duplikat dari virus juga bisa Anda temui di beberapa tempat. Contohnya, pada root drive system Windows Anda di C:\ akan terdapat file dengan nama “Message From Pengging.exe”. Selain itu, Anda akan menemui juga file dengan nama “%username%Data.exe”.
Virus Pengging ini diketahui dapat menyebar melalui perantara media penyimpan data seperti disket, flash disk, ataupun yang lainnya. Ia pun dapat menyebar pada jaringan yang menggunakan sharing folder sebagai perantara untuk bertukar data. Virus PCMAV RC14 telah dapat mengatasi virus Pengging. Registered Information yang juga ia ubah. ini ada yang menaruh sampelnya ataupun memang dengan sengaja menyebarkannya lewat Internet, apalagi di forum ataupun milis-milis.
Aksi Lainnya
Ia juga mencoba untuk menghalangi user untuk menjalankan aplikasi–aplikasi yang sekiranya dapat mengganggu ketentraman hidupnya dengan cara membaca setiap caption/ nama executable dari program tersebut.
Beberapa caption dari aplikasi yang masuk dalam daftar black list-nya adalah program-program Antivirus, seperti AntiVir PersonalEdition Classic, Norman Generic Fix, Kaspersky Lab, juga ada beberapa nama program atau utility, dan masih banyak lagi yang lainnya.
Folder Windows juga disembunyikan olehnya dengan memberikan attribut hidden. Apabila user memaksa untuk membuka folder/direktori Windows tersebut, maka dengan sigap sang virus akan menutupnya kembali, sehingga kita tidak dapat membukanya. Jika kita mencoba untuk membuka System Properties juga akan dihalang-halangi olehnya, karena fasilitas ini pun telah diblok olehnya. Dan sebenarnya, ia pun telah mengubah status dari registered information milik Windows.
Pembasmian dan Pencegahan
PC Media Antivirus RC14 telah dapat mengatasi virus Pengging. Maka dari itu, gunakanlah selalu PC Media Antivirus yang dapat mengatasi virus secara tuntas dan akurat 100%, agar dapat menghalau setiap virus yang hendak masuk ke komputer Anda.
Dan apabila komputer Anda telah terlanjur terinfeksi oleh virus, silakan untuk melakukan scan komputer Anda secara menyeluruh.
Beberapa menu yang hilang dari menu start Windows. Beberapa komponen Windows yang diubah namanya.
Simbol AM atau PM yang telah diubah.
Sumber :
