Pertempuran pembuat virus dengan antivirus ini ibarat Tom and Jerry, setiap kali pembuat virus mengeluarkan satu varian baru, pembuat antivirus mengeluarkan cara membasmi virus tersebut dan cara mencegahnya dan sebaliknya setiap kali pembuat antivirus mengeluarkan cara untuk menghambat penyebaran virus, pembuat virus selalu menemukan cara lain untuk menyebarkannya. Hal ini juga terjadi pada penyebaran virus lokal yang karena mayoritas dibuat menggunakan Visual Basic (VB), maka banyak pengguna komputer yang menonaktifkan MSVBVM60.dll yang merupakan file yang dibutuhkan oleh semua program VB (termasuk virus) untuk dapat aktif di komputer. Tetapi lihat virus yang satu ini, sekalipun anda sudah mendhapus MSVBVM60.dll dari komputer anda dan secara teori virus VB tidak akan mampu menginfeksi komputer anda, virus ini memiliki backup MSVBVM60.dll yang ditempatkan di direktori lain sehingga tetap dapat menginfeksi komputer anda.
Ciri umum yang dapat dikenali dari virus ini adalah munculnya file duplikat disetiap folder/subfolder yang terdapat file MS.Word dengan ukuran file 68 KB dan agar penyamarannya berhasil ia akan merubah type file dari file duplikat tersebut dari "application" menjadi "Microsoft Word Document" sehingga user mengira bahwa file tersebut adalah file MS.Word sehingga tanpa curiga user akan membuka file tersebut yang tentunya akan mengaktifkan virus, sedangkan file tersebut tidak akan dapat dibuka (karena disembunyikan) sehingga user akan mengira bahwa file tersebut telah rusak.
File msvbvm60.dll yang dijalankan dari direktori C:\Windows\System32\LoLOxz\ di atas dimaksudkan sebagai backup untuk mengantisipasi kalau komputer korbannya memblok MSVBVM60.dll (MSVBVM60 = Microsoft Visual Basic Virtual Machine versi 6.0) yang merupakan syarat mutlak untuk menjalankan aplikasi Visual Basic di OS Microsoft (termasuk virus). Jadi sekalipun komputer korban berusaha mencegah infeksi virus VB dengan memblok msvbvm60.dll dari direktori C:\Windows\System32, virus ini tetap akan bisa aktif karena memiliki backup msvbvm60.dll.
Untuk memastikan agar file virus dijalankakn secara otomatis, FreE_MiNe akan membuat string pada registry berikut :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
- shell = explorer.exe C:\WINDOWS\system32\LoLOxz\smss.exe
- system = C:\WINDOWS\system32\LoLOxz\smss.exe
- userinit = userinit,C:\WINDOWS\system32\LoLOxz\smss.exe
Untuk mengelabui user, pada waktu yang telah ditentukan FreE_MiNe ini akan menghapus string C:\WINDOWS\system32\LoLOxz\smss.exe untuk kemudian akan membuatnya lagi sehingga user beranggapan bahwa virus ini tidak akan membuat string pada registry tersebut.
0 komentar:
Post a Comment