Senin, 29 September 2008

Mengenali dan Mengatasi File Virus Di Flashdisk Tanpa Antivirus

Sebagian besar virus dan worm lokal menggunakan flashdisk sebagai alat utama penyebarannya. Dan rupanya penyebaran virus lewat flashdisk sangat efektif. Dengan mengandalkan penyamaran sederhana dan kecerobohan pengguna komputer, virus akan menyebar ke seluruh penjuru dunia. Berbeda dengan virus luar yang hijrah ke Indonesia, rata-rata mereka menyebar dalam jaringan internet. Tapi di indonesia hanya sedikit komputer rumahan yang terhubung ke internet, sementara lebih banyak pengguna komputer yang menggunakan flashdisk (teman saya yang tidak punya komputerpun tak ketinggalan ikut menenteng flashdisk). Bayangkan satu flashdisk itu tiap hari di tancapkan ke beberapa komputer sekaligus. Bila salah satu komputer itu ada yang sudah terinfeksi virus, flashdiskpun pasti sudah terisi oleh file-file virus. Bila pengguna lalai, virus di flashdisk bisa menginfeksi komputer lain. Tak heran virus lokal lebih merajalela di Indonesia.
(oh..ya kata “virus” supaya gampang anggap saja merujuk pada virus atau worm, soalnya kalau terus-terusan nulis “virus dan worm” jadinya malah tidak biuti, buat yang belum tahu perbedaan virus dan worm bisa baca artikel ini)
Sebaiknya juga jangan terlalu mengandalkan antivirus. Karena tidak semua virus bisa di deteksi olehnya. Apalagi kalau itu virus baru dan lebih parah lagi antivirusnya belum di update. Maka kewaspadaan penggunalah yang paling penting. Oleh karena itu saya ingin berbagi pengalaman tentang bagaimana cara mengenali virus yang bersembunyi dalam flashdisk. Dan seperti artikel sebelumnya, tips ini hanya untuk virus yang biasa-biasa saja. Kalau virusnya yang canggih ,lebih jauh lagi pembahasannya.
Di artikel ini ada dua kategori untuk jenis virus, yaitu jenis virus yang menyamar dan yang satu lagi untuk jenis yang autorun. Sengaja saya pisah karena dua tipe penyebaran itu cara mengatasinya sedikit berbeda. Oke...Mulai dari jenis virus yang menyamar....

File Virus Pasti Berektensi Executable
Yang ini pasti, karena virus merupakan file program. Untuk bisa berjalan si virus harus berektensi yang executable, ini syarat mutlak. Pembahasan mengenai apa itu ektensi sudah pernah saya bahas di artikel pertama di blog ini, yaitu yang ini, tinggal di baca saja. Oke..kembali ke executable, maskudnya ektensi executable adalah ektensi untuk file program, bila program itu diklik ganda, maka ia akan dieksekusi/dijalankan oleh windows. Setau saya ada 4 macam ektensi yang executable di windows yaitu *.exe, *.scr, *.pif, dan *.com. Itulah ektensi yang biasanya digunakan oleh file program. Ektensi *.exe paling umum digunakan, kemudian *.scr biasanya adalah ekstensi untuk file screensaver, sementara *.pif dan *.com tidak umum digunakan untuk ektensi file program.
Nah...karena virus merupakan file program, mudah saja mengenali salah satu ciri virus, yaitu mempunyai extensi salah satu dari keempat itu. Tapi, yang paling umum digunakan oleh file virus adalah *.exe dan *.scr. Dan tak usah ngotot menganggap sebuah file *.jpg sebagai virus yang menyamar, karena file itu adalah file gambar, kalau diklik ganda bukannya dieksekusi oleh windows tapi malah di buka oleh software picture viewer. Jadi untuk mengenali file virus yang menyamar, pertama lihat dulu ekstensinya, apakah itu executable atau bukan. Oh..ya pada kondisi default, ekstensi tidak diperlihatkan oleh windows. Untuk bisa melihatnya masuk ke control panel, klik folder option, buka tab view, kemudian hilangkan centang di opsi “hide extensions for known file types”, kemudian klik ‘OK”. Nah coba amati huruf di sebelah kanan tanda “.” (titik), apakah yang tercantum disitu? Bila itu salah satu dari keempat ekstensi executable (perkecualian untuk *.pif) dan berada di lokasi yang mencurigakan, maka coba curiga dulu.

Bericon Mencurigakan
Yang satu ini masih berhubungan dengan subbab di atas. Setelah mengamati ekstensi file dan ternyata berekstensi executable, coba lihat iconnya, apakah iconnya itu mencurigakan. Pada umumnya virus menyamarkan diri dengan bericon seperti folder, file dokumen atau lainnya. Sementara normalnya file program biasa(bukan virus) tidak mungkin berniat menyamar seperti itu. Jadi apabila menemukan file executable yang bericon yang tidak lazim seperti itu, bisa dipastikan itu virus. Misalnya ada sebuah file dengan ekstensi *.exe ternyata iconnya mirip dengan dokumen word, lazimnya dokumen word itu berekstensi *.doc, lha ini ekstensinya *.exe, tak usah ragu lagi itu virus yang menyamar. Begitu pula dengan virus yang bericon folder, normalnya folder itu tidak ada ekstensinya bukan? Kalau ada, berarti itu juga virus.

Ukuran File
Nah di pembahasan kali ini, saya pisah saja antara worm dan virus. Jadi kalau pembahasan diatas kata “virus” bisa berarti worm dan virus, tapi disini kata “virus” ya virus, “worm” ya berarti worm. Mengapa? Soalnya dalam hal ukuran file, keduanya berbeda. Oke...Lanjut
Pada umumnya worm yang menyamar mempunyai ukuran file yang sama—karena filenya sama. Nah ini bisa menjadi petunjuk keberadaan worm, bila ada file mencurigakan dengan jumlah banyak dan berukuran sama dipastikan itu worm.
Sementara virus, cara menyebarnya dengan cara menempel ke file lain. Sehingga ukuran filenya cenderung tidak sama, itu karena ukuran file yang ditempelinya kebanyakan tidak sama. Tidak seperti worm, ukuran file virus tidak bisa dijadikan patokan.
Salah satu persamaan keduanya dalam hal ukuran file adalah umumnya virus dan worm merupakan program berukuran kecil, biasanya tidak lebih dari 100Kb.

Mengatasi?
Sebenarnya untuk mengatasinya akan sangat mudah jika menggunakan antivirus, tinggal scan, menunggu sambil nonton TV, kemudian selesai scan, tekan tombol “clean”. Virus hilang, hati senang. Tapi tidak sesuai judul artikel ini donk, kan ada kata “tanpa antivirus”. Oke ...memang tidak selamanya antivirus bisa diandalkan. Virus selalu selangkah lebih maju daripada antivirusnya. Virus dibuat dulu, baru pembasminya. Kan aneh kalau pembasminya dulu dibuat, baru kemudian virusnya. Tapi menghapus secara manual akan sangat merepotkan, apalagi bila jumlah file virusnya banyak dan lokasinya menyebar-nyebar. Kalau memang antivirusnya ndetect itu virus, ya..scan saja. Mudah, Cepat.
Meski begitu, kadang antivirus tidak bisa mendeteksi virus yang ada di flashdisk, kemungkinan karena memang databasenya belum ada atau virusnya lolos dari pengamatan pembuat antivirusnya, dan celakanya itu sering terjadi. Jadi bila kita nancepin flashdisk, kok antivirus damai-damai saja, jangan lantas langsung merasa aman. Periksa dulu isi flashdisknya secara manual, siapa tahu memang ada virusnya. Bila ternyata ketemu, langsung hapus saja. Dalam pencarian manual seperti itu harus hati-hati, sebab kalau file virusnya sampai diklik ganda, virus akan aktif.
Nah..Kalau untuk mengatasi virus yang menginfeksi file, tidak bisa sembarangan. Kecuali memang file yang diinfeksi tidak begitu penting, virus bisa langsung dihapus begitu saja. Bila yang diinfeksi itu file penting, PCMAV bisa diandalkan selama virus itu ada di databasenya. Sebelumnya, matikan antivirus yang aktif dulu sebelum terlambat, karena kemungkinan antivirus itu akan mengunci file virus. bila itu terjadi, PCMAV tidak bisa mengakses file itu. Kalau PCMAV saja tidak bisa mengatasinya bagaimana? Coba cari di google, software untuk merecovery file yang rusak gara-gara virus, semoga saja ketemu. Oh..ya resminya PCMAV bisa didapatkan di Majalah PCMedia atau PCMild, tapi bila enggan membeli dua media itu, download saja di blognya mas Muji disitu ada link downloadnya.

Virus Autorun
Lha...ini jenis yang penyebarannya paling menakutkan. Dia bisa aktif tanpa ada campur tangan pengguna, pokoknya begitu flashdisk di tancapkan, virus aktif, bahkan sebelum pengguna melihat isi flashdisknya. Virus jenis ini menggunakan file bernama autorun.inf untuk menjalankan dirinya sendiri. Biasanya file itu digunakan oleh CD atau DVD untuk menjalankan isi CD atau DVD tersebut. Dan celakanya file ini dimanfaatkan oleh virus untuk menyebarkan dirinya. Autorun.inf yang digunakan virus berisi script untuk menjalankan file virusnya. Ketika flashdisk ditancapkan, windows pertama kali akan membaca isi dari file dan kemudian menjalankan program yang tercantum dalam file itu, apabila program itu adalah virus, ya sudah...komputer terinfeksi virus tanpa konfirmasi sama sekali. Oke perhatikan contoh script autorun ini yang saya dapat dari CD

[autorun]
open=autorun.exe


Artinya menurut script itu windows akan menjalankan file yang bernama “autorun.exe”, bayangkan bila file “autorun.exe” itu adalah filenya virus. Mengerikan bukan..
Yang lebih mengerikan lagi, banyak pembuat virus yang menggunakan cara ini karena cukup efektif untuk menyebarkan virus dengan cepat dan luas.

Mengatasinya
Untuk mengatasinya ada beberapa cara. Salah satunya dengan mematikan fungsi autorun di windows lewat registry, dengan begitu script autorun.inf tidak dijalankan oleh windows, artinya virus tidak aktif. Pertama buka registry dengan cara klik start->run->ketik “regedit”-> tekan enter.


Ini nih yang namanya registry editor

Kemudian cari value bernama NoDriveTypeAutoRun yang berlokasi di
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
Bila value itu belum ada, tambahkan sendiri dengan cara klik kanan jendela registry yang sebelah kanan, kemudian sorot “new” dan pilih DWORD Value, terakhir beri nama NoDriveTypeAutoRun.
Bila sudah klik ganda value itu, jendela edit DWORD akan terbuka. Untuk mematikan Autorun pada semua drive, isi jendela itu sesuai dengan gambar dibawah ini:


value data:ff, Base:hexadecimal

Bila sudah klik OK, langkah terakhir lakukan hal sama di key ini
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
Nah segera restart komputer.
Mengedit-edit registry seperti ini cukup berbahaya, karena disitulah settingan inti windows ada. Bila terjadi kesalahan ketika mengedit atau menghapus, resikonya tanggung sendiri. So, berhati-hatilah. Tambahan...bila ingin menghidupkan kembali fungsi autorun, isi value data dengan angka 80. Caranya sama dengan yang diatas.
Tapi cara itu juga punya kelemahan. Meskipun virusnya tidak aktif, virus akan tetap berada di dalam flashdisk. Bila pengguna tidak tahu dan kemudian flashdisk yang masih berisi virus di tancapkan dikomputer lain yang fitur autorunnya masih berfungsi, virus pun aktif. Nah...bagaimana caranya supaya bisa tahu ada virusnya?
Ada tool yang namanya Autorun Eater, tool ini akan memperingatkan pengguna bila didalam flashdisk ada file autorun.inf. Tidak hanya itu, dia juga menghapus file itu sebelum windows menjalankannya. Jadi dengan tool ini meski autorun windows masih berfungsi, komputer terbebas dari virus autorun.

Pesan Peringatan Dari Autorun Eater

Catatan: tool ini hanya menghapus file autorun.inf, file program tidak ikut dihapus. Jadi file programnya harus dhapus secara manual, meski begitu kadang program ini lebih berperan daripada antivirus. Autorun Eater bisa didownload disini
Oke...kayaknya sudah terlalu panjang, udahan ah... semoga artikel ini bisa berguna. Amin!!(AHP 26 September 2008 10:25)

8 komentar:

  1. mantep nih artikel
    makasih mas
    http://dibatam.com

    BalasHapus
  2. @anonim:Sama-sama Mas

    BalasHapus
  3. thanks mas atas informasinya..

    bisa mendeteksi program keylogger yang sedang bekarja gak mas?? mohon pencerahanya di email saya. irfan_newhope@yahoo.com thanks

    BalasHapus
  4. bagus neeh..bergagi ilmu
    makasih ya..

    BalasHapus
  5. thanx banget mas..
    berguna bgt infonya...

    BalasHapus
  6. biasa aja mas..............
    ga ada yang menarik........... :)

    BalasHapus

Kirim Komentar