Hehehehehe, sebuah judul yang membingungkan, tapi yah, penulis mendapat ide setelah pagi ini sebelum bekerja, penulis mendapatkan permohonan bantuan untuk memperbaiki PC teman yang menjadi aneh.
Hem, setelah dilihat sepintas, wah kok seperti virus lokal punya nih ciri-cirinya, setiap kali windows booting awal selalu memunculkan error WSCript (ciri dari program yang menggunakan Visual basic script bawaan windows), selain itu dicek fungsi administratif dari windows (task manager, msconfig, regedit, dll) , eh fungsi task managernya kok disabled, n di lihat di msconfig kok ada 3 service running yang mencurigaken, (dekstop, administrator dan update menjurus ke sebuah script VBS)
install NOD32 apdet terbaru, wuah akhirnya kebabat semua tuh virusnya, dan terdeteksi sebagai virus VBS.cantix, tapi eh kok ada virus lain yang terdeteksi juga, woah ternyata struxnet juga ditemukan dan ikut terbabat.
nah itulah kejadian sebenarnya yang dialami penulis pada pagi hari tadi, dan dari situ terlihat perbedaan mencolok dari 2 virus , yang satu lokal, yang satu inter”lokal” alias luar negeri
okay, untuk virus-virus lokal (sebagai contohnya VBS.Cantix) mereka mempunyai ciri :
1. Menggunakan fasilitas Flashdisk, harddisk external (removable disk) dan disket (kalo masih ada, hehehe) , caranya bagaimana ? dengan memanipulasi autorun.inf atau mengkamuflase diri menjadi bentuk folder atau file yang persis dengan file asli di tempat penyimpanan yang bersangkutan, sementara file yang asli disembunyikan ama virusnya.
2. Show off, dari pada menyembunyikan diri sendiri sebisa mungkin, virus lokal malah kebalikannya, mereka suka sekali menunjukkan eksistensi dirinya di PC terkait, hehehe, misal dengan memunculkan halaman HTML berisi puisi putus cinta, atau, sebuah manifestasi diri, atau bahkan iklan ke sebuah websites (ini yang dilakukan VBS.Cantix)
3. Menggunakan bahasa script atau bahasa tingat tinggi biasanya VB families , seperti VBScript, VB, dan sebangsanya
4. Menggunakan kelemahan user itu sendiri yang kadang awam masalah komputer untuk menyebarkan diri (misal dengan iming-iming gambar, folder penting, bentuk ikon seperti word dan lain sebagainya yang membuat user mengaksesnya) atau teknik Social Engineering
oh yah, untuk manual removal virus VBS.Cantix dapat dilihat di halaman ini
sedikit serba serbi VBS.Cantix, dapat dilihat dari tulisan vaksin.com ;
virus yang berasal dari keluarga Visual Basic Script (VBS) ini memanfaatkan file [C:\Windows\System32\WSCript.exe] sebagai file pendukung agar dirinya dapat diaktifkan.
Untuk mengelabuhi pengguna, ia menggunakan rekayasa sosial dengan memanfaatkan nama file yang diplesetkan yakni [dekstop.ini], jika diperhatikan secara sepintas pengguna akan beranggapan bahwa file tersebut bukanlah virus.
Pasalnya seperti kita ketahui bahwa Windows juga akan membuat file serupa tetapi dengan nama yang berbeda yakni [desktop.ini]. Tetapi jika dilihat lebih teliti terdapat perbedaan dalam penamaan file serta ukurannya. Untuk [dekstop.ini] yang merupakan file induk virus akan mempunyai ukuran 16 KB (file akan di enkripsi) sedangkan file [desktop.ini] biasanya mempunyai ukuran 1 KB.
Salah satu sepak terjang virus ini adalah memanfaatkan fitur “autorun” Windows agar dapat aktif secara otomatis, pada saat pengguna masuk ke folder berisi file virus dengan dukungan file autorun.inf, yang telah dibuat oleh virus tersebut.
Virus ini kemudian menyebar dengan cepat melalui jaringan dan akan membuat file duplikat berupa file shortcut dan [autorun.inf] serta file [dekstop.ini] pada folder yang di share full akses. Selain itu, VBS/Cantix juga menyebar cepat dengan memanfaatkan removable disk dengan melakukan aksi yang sama.
Berbeda dengan worm satunya, yang kebetulan juga penulis temukan di komputer teman, namanya stuxnet, merupakan worm buatan luar negeri, ciri dari virus/worm luar biasanya :
1. melakukan exploitasi kelemahan software atau OS
2. Menyembunyikan diri secara rapat dan rapi
3. Teknik serangan yang rumit, dan cara persebaran secara online (via internet atau jaringan)
4. mempunyai tujuan khusus seperti mencuri akun atau melumpuhkan situs atau jaringan tertentu
sebagai contoh worm stuxnet ini , menurut microshit, :
the targets for the Struxnet malware is not the common user, but industrial companies like the ones that use Siemens’ SCADA (supervisory control and data acquisition) software. The majority of the infections by the malware were reported in United States. As per figures, about 58% of the attacks were reported in US followed by 30% in Iran.
malware ini menargetkan pada sasaran khusus yaitu perusahaan yang bergerak pada bidang publik seperti transportasi, kelistrikan, minyak, atau nuklir , yang menggunakan jaringan SCADA SIEMENS
walopun menggunakan metode flashdisk sebagai media penyebaran yang sama dengan virus lokal, tetapi prosesnya lebih rumit dan melibatkan eksploitasi kelemahan windows (dibanding virus lokal yang menggunakan metode autorun).
menurut microsoft :
Struxnet malware was discovered to propagate and transmit to a new machine if the system uses a USB drive used in the infected machine. The malware transmits through the short-cut files in the infected USB drive. Even if you browse through an infected USB drive on Windows Explorer, the malware can infect your machine. Actually, the Struxnet malware has the capability to trick the Windows Operating systems to execute its code without the permission of the user to launch any files. It hijacks the mechanism that is used to show up the icons for .lnk files or the shortcut files. Now, when the infected system tries to render the files on the drive as a series of icons, the Struxnet gets in and thus infects the system.
Struxnet menggunakan metode manipulasi sistem windows, sehingga bisa melakukan eksekusi file malware bahkan walaupun tanpa otoritas administrator, dengan cara membajak mekanisme windows explorer untuk memunculkan ikon di windows, jadi walaupun tanpa dieksekusi oleh pengguna, malware tetap berjalan dengan bantuan sistem, dalam hal ini windows explorer yag merender icon secara otomatis.