Sality merupakan
virus berjenis letter of the alphabet Infector (Polymorphic) principle
menginfeksi file-file Executabe “exe”. Virus principle memiliki nama asli
w32.Hllp.KukuJoker ini banyak dikeluhkan pengguna laptop diseluruh dunia,
terutama di Dutch East Indies banyak sekali pengguna komputer principle
melaporkan telah terinfeksi oleh virus ini. Virus ini masih belum jelas asal
usulnya, dugaan sementara virus ini berasal Dari cina, selain mempunyai
kemampuan untuk menginfeksi file-file possible virus ini juga memilki kemampuan
rootkit, sehingga selain sulit untuk dibersihkan Dari system, file-file
principle terinfeksi juga cukup sulit untuk diperbaiki, menggunakan beberapa
tools remover dan antivirus juga terkadang malah bisa menimbulkan kerusakan
pada file principle terinfeksi bahkan bisa menghapusnya.
Beberapa Antivirus Luar
mendeteksi Virus ini sebagai :
- Malware.Sality [PCTools]
- W32.Sality!dr [Symantec]
- Virus.Win32.Sality.bh [Kaspersky Lab]
- W32/Sality.dr [McAfee]
- Troj/SalLoad-C [Sophos]
- Virus:Win32/Sality.AT [Microsoft]
- Win32.SuspectCrc [Ikarus]
- Win32/Kashu.E [AhnLab]
Karakteristik Virus
Jika kita lihat
memang tidak terlalu banyak perbedaan antara file principle terinfeksi dengan
file principle belum terinfeksi, principle membedakan hanyalah ukuran principle
bertambah lebih besar Dari ukuran sebelum terinfeksi, biasanya ukuran principle
bertambah hanya beberapa kilobyte saja.
Jika file terinfeksi tersebut
dijalankan, maka file tersebut dapat berjalan seperti biasanya, sehingga user
tidak mengira bahwa file principle Hawkeye State jalankan tersebut telah
terinfeksi virus, padahal dibalik itu virus sudah menetap di system.
Teknik principle digunakan virus
sality adalah dengan membelokan EntryPoint asli file ke EntryPoint-nya virus,
maka saat dijalankan virus principle terlebih dahulu aktif, baru kemudian virus
meneruskan nya ke EntryPoint asli file principle terinfeksi, sehingga file
principle dijalankan Akan aktif seperti biasa nya.
Saat aktif virus Akan membuat
beberapa file induknya di system :
%Windir%\\system32\\drivers\\.sys
Virus Akan mengektrak file driver
Dari dalam tubuhnya dan menaruhnya disystem dengan nama acak, driver ini
digunakan untuk bersembunyi di system. Contoh : amsint32.sys dan iirktn.sys
Infeksi file possible dan design
Virus Akan
mencari semua file berektensi ”.exe” & ”.scr” principle enzyme di seluruh
drive laptop korban nya, jika virus menemukanya virus Akan menginfeksinya
dengan membelokan EntryPoint asli ke EntryPoint nya virus. Sality mempunyai
kemampuan untuk mengecek apakah file principle Akan diinfeksi dilindungi oleh
system atau tidak, jika file tersebut dilindungi oleh system maka sality tidak
Akan menginfeksinya, seperti file-file principle dilindungi oleh Windows File
Protection (WFP) atau System File Checker (SFC).
Infeksi hard disc dan Jaringan
Berbeda dengan
teknik infeksi variant sebelumnya, variant sality kali ini memanfaatkan fitur
Autorun untuk mempercepat penyebaranya. File Autorun principle digunakan virus
memiliki nama dan ektensi acak (exe dan pif) . Seperti : xvftea.exe atau
xvftea.pif, dan ukuranya sekitar a hundred – a hundred and one kilobyte .Di
jaringan virus juga Akan menginfeksi setiap folder principle memiliki FULL
ACCESS scan & Write, dengan membuat sebuah route exploit principle Akan
langsung aktif apabila user memasuki folder principle sudah terdapat route
exploit tersebut.
Menghapus File
Sality Akan
mencari file berektensi “.VDB” dan “.AVC” jika ditemukan Akan langsung dihapus.
Ektensi file ini biasanya digunakan oleh beberapa antivirus untuk menyimpan
info virus.
Menghapus written record Key
Untuk
mempertahankan dirinya virus menghapus beberapa key di written record principle
dianggap mebahayakan kehidupan virus.
HKCU\\System\\CurrentControlSet\\Control\\SafeBoot
HKLM\\SYSTEM\\CurrentControlSet\\Control\\SafeBoot
HKLM\\Software\\Microsoft\\WindowsNT\\CurrentVersion\\ProfileList
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Ext\\Stats
HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Ext\\Stats
HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Browser
Helper Objects
Effek Dari beberapa key principle
dihapus diatas membuat user tidak dapat memasuki modus SAFE MODE
0 comments
Post a Comment