Wednesday, April 11, 2012

Tehnik Sederhana Analisa Virus

Virus entah local atau impor udah merajalela di dunia ini,kadang kala kita bingung dan dibuat pusiiing tujuh keliling oleh ulah para V-Maker,ada yang kehilangan data,ada yang OS nya hank,dan masih banyak lagi,dan para V-Maker di nun jauh disana pastilah hanya tersenyum dan berkata “kaciaan deh lo..wkwkw”,tapi untungnya setiap perbuatan pasti ada akibatnya,ada virus pasti ada antivirus yang bisa membasminya,tapi kadang orang awam kan hanya asal download AV trus pake tanpa tahu gimana sih para pencipta AV menemukan cara kerja virus dan cara membasminya. Temen-temen ada yang tahu??atau temen-temen bisa nih baca tulisan saya yang butut ini. Ok sebelum menganalisa virus kita siapkan dulu peralatannya…
1.Aplikasi ThinApp ( Download1Download 2 )
2.Virus tentunya
3.Computer (direkomendasikan menggunakan virtual machine,biar data lebih aman gan,plus depfrezee kalau suka pake itu)
Install lalu Jalankan ThinApp di computer anda semua,trus setelah selesai klik “ThinApp Setup Capture”,lalu lakukan scanning,sangat lebih baik bila computer kita dalam kondisi fresh atau belum terinstall aplikasi apapun,kecuali ThinApp tadi..(makanya diawal tadi saya bilang pake virtual machine+depfreeze)



Proses scan nya gak lama kok,paling banter thu 10 detik gak nyampe,lalu jalankan virus yang udah ente semua siapkan tadi (thinApp nya jangan di close lho ya)contoh,disini saya habis download sampel virus di internet,dikasih namanya sih “aqiel” dan saya belum tahu cara kerja ni virus gimana…

Setelah dijalankan,lalau kita kembali ke ThinApp tadi,lalu klik”postscan”,nha disini nih agak lama bisanya scanning nya,soalnya dia harus meng-compare kan hasil scan sebelum virus dijalankan dan sesudah virus dijalankan..


Yup,selesai sudah scanning nya,biasanya sih 3 menit kalau dikomputer saya lho,maklum kompie butut he he he,disini akan muncul nama program yang kita jalankan tadi,pada pilihan “show entry points used for debugging” gak usah di checklist karena kita gak pengen menjalankan file virus tadi berulang-ulang

Pada bagian ini langsung kita next,next,lalu save,soalnya gak ada yang pelu ane jelasin disini,tentunya temen-temen semua dah paham isinya..he he he



Setelah itu kita pilih “open project”,dimana kita akan mulai menganalisa virus tadi,lalu klik cancel dan kita buka project kita tadi…


program Thin App akan menciptakan 3 file txt yang mewakili registry yaitu HKEY_CURRENT_USER.txt,HKEY_LOCAL_MACHINE.txt dan HKEY_USERS.txt dengan bermodalkan file tersebut kita bisa cek satu-persatu perubahan yang ada di registry
contoh yang saya buka di HKEY_LOCAL_MACHINE.txt
isolation_writecopy HKEY_LOCAL_MACHINE\Software\Microsoft\Security Center
Value=AntiVirusDisableNotify
REG_DWORD=#01#00#00#00
Value=FirewallDisableNotify
REG_DWORD=#01#00#00#00
Value=UpdatesDisableNotify
REG_DWORD=#01#00#00#00
Value=AntiVirusOverride
REG_DWORD=#01#00#00#00
Value=FirewallOverride
REG_DWORD=#01#00#00#00
Value=UacDisableNotify
REG_DWORD=#01#00#00#00

isolation_full HKEY_LOCAL_MACHINE\Software\Microsoft\Security Center\Svc
Value=AntiVirusOverride
REG_DWORD=#01#00#00#00
Value=AntiVirusDisableNotify
REG_DWORD=#01#00#00#00
Value=FirewallDisableNotify
REG_DWORD=#01#00#00#00
Value=FirewallOverride
REG_DWORD=#01#00#00#00
Value=UpdatesDisableNotify
REG_DWORD=#01#00#00#00
Value=UacDisableNotify
REG_DWORD=#01#00#00#00
isolation_writecopy HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\policies\system
Value=EnableLUA
REG_DWORD=#00#00#00#00
isolation_writecopy HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
Value=PendingFileRenameOperations
REG_MULTI_SZ~\??\%Temp~0014\VMwareDnD\f6b124d7\#2300#2300#2300
isolation_writecopy HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch
Value=Epoch
REG_DWORD=#18#00#00#00
isolation_writecopy HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile
Value=EnableFirewall
REG_DWORD=#00#00#00#00
Value=DoNotAllowExceptions
REG_DWORD=#00#00#00#00
Value=DisableNotifications
REG_DWORD=#01#00#00#00
isolation_writecopy HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
Value~%Personal%\agdx\aqiel.exe
REG_SZ~%Personal%\agdx\aqiel.exe:*:Enabled:ipsec#2300

kita juga bisa cek satu-persatu folder di project yang kita buka tadi,misalkan kita menemukan file ‘aqiel.exe‘ di folder %System Root% artinya virus tadi sebenarnya hendak menciptakan file ‘aqiel.exe‘ di folder C:\Windows
Nah,dari tehnik diatas kita bisa tahu cara kerja virus tersebut,dan mampu mengatasinya secara manual,jadi gak perlu capek2 nunggu AV update terbaru,Tapi tehnik diatas kadang gak ampuh apabila sang virus mampu mendeteksi keberadaan mesin virtual,dan sang virus mendisable aplikasi ThinApp.Mungkin tehnik dari ane ini cukup basi buat master-master sekalian tapi ane Cuma seorang user yang mencoba berbagi ilmu yang ane miliki,bila ada yang salah dalam tutor ane diatas mohon koreksi dari para suhu sekalian.

0 comments:

Post a Comment