Wednesday, 12 March 2008

Virus Di dalam Recycle Bin

Akhir-akhir ini sering kita mendapati beberapa virus-virus komputer yang memanfaatkan desktop.ini untuk memanipulasi Windows Class Identifier suatu folder. Salah satunya adalah MySamurai.B yang memanipulasi folder System32 menjadi Control Panel (Dengan mengubah CLSID-nya menjadi CLSID milik Control Panel). Tapi kali ini saya tidak akan membahas virus ini. Tetapi saya bakal membahas virus yang ngebuat “recycle bin” di dalam removable disk dalam rangka penyebarannya. Untuk apa virus tersebut melakukannya? Dan bagaimana cara suatu virus membuatnya?

Saya ambil contoh malware Gen-Recycled (codename ini dibuat oleh farislab). Malicious Ware ini akan menyebar dengan perantara removable disk. Sebagai penunjang virus akan membuat sebuah file autorun.inf yang isinya seperti ini :

[autorun]
open=.\recycled\info.exe
shell\1=ä¯ÀÀ
shell\1\Command=.\recycled\info.exe
shellexecute=.\recycled\info.exe

Jadi ketika removable disk diakses maka secara otomatis system akan mengekseskusi info.exe yang merupakan file virus yang berada di direktori recycled (jika autorun tidak di-disable). Nah, ini yang unik. Info.exe berada di direktori recycled yang berupa recycle bin! Ketika direktori recycled dibuka maka kita tidak akan menemukan info.exe. Yang kita temukan hanyalah file-file yang ter-delete di komputer (jika ada). Dimanakah sebenarnya info.exe?



Sebenarnya recycled hanyalah folder biasa. Tetapi virus ini akan membuat sebuah file desktop.ini di dalam folder recycled yang isinya :

[.ShellClassInfo]
CLSID={645FF040-5081-101B-9F08-00AA002F954E}

CLSID folder diubah menjadi {645FF040-5081-101B-9F08-00AA002F954E} yang merupakan CLSID milik Recycle Bin. Jadi, hupla! Folder Recycled telah berubah menjadi Recyle Bin.

Nah, untuk menemukan info.exe kita harus membuat folder Recycled menjadi normal kembali. Caranya? Gunakan Command Prompt. Buka CMD-nya.

Ketikkan drive yang akan diakses. Misalnya removable disk yang terinfeksi Gen-Recycled ada di drive E maka ketikkanlah E: lalu enter.

Ketikkan attrib –s –h –r recycled lalu enter. Ini akan membuat direktori recycled akan ber-attribute normal.

Setelah itu ketikkan cd recycled dan enter. Ketikkan lagi attrib –s –h –r /s /d lalu enter.

Nah, yang terakhir ketikkan perintah del desktop.ini. Maka file desktop.ini akan terhapus.



Coba buka removable disk-nya. Ada tidak folder dengan nama recycled? Coba buka recycled. Sim-sala-vir, info.exe ditemukan dan direktori recycled bukan recycle bin lagi.



Tidak hanya Gen-Recycled saja yang memakai teknik ini. Saya malah menemukan banyak sekali virus-virus komputer yang memakai teknik pembuatan Recycle Bin di removable disk. Hal ini dikarenakan teknik ini cukup efektif untuk mengecoh User yang mengerti sistem windows. Agar kalian tidak bingung ketika berhadapan virus macam ini maka gunakanlah teknik yang dibahas disini. (dafis ahmad-Farislab)