Virus buatan lokal yang akan diperkenalkan kaliini adalah Chasnah. Virus ini diketahui sudah agak lama jugabermasyarakat. Sampai saat ini pun, kiriman sample virus ini masih sajaberdatangan ke meja redaksi. PC Media Antivirus RC18 sudah dapatmengenali sebanyak empat buah variant, dan mungkin masih akan bertambah.

Tiga dari variant Chasnah yang kami miliki memilikiukuran sebesar 80.896 bytes, dan satu variant lainnya memiliki ukuran77.824 bytes. Ia diprogram menggunakan bahasa Visual Basic, dantubuhnya di-compress menggunakan UPX, dan dapat menyebar di lingkungansistem operasi berbasis Windows.

Teknik Infeksi
Saat kalipertama virus dieksekusi, ia akan menanamkan file induk ke beberapadirektori yang akan dijadikan sebagai tempat tinggalnya. Seperti diroot drive tempat system operasi berada biasanya C:, dengan namaUserInit.exe, bitblt.exe, dan ntoskernel.exe.

Pada lokasi Documents and Settings%username%LocalSettingsApplicationData, akan terdapat direktori dengan nama%username%.task. Isi direktori tersebut terdiri dari beberapa fileinduk dengan nama chasnah.exe, csrss.exe, lsass.exe, server.exe,smss.exe dan file msvbvm60.dll, yang tak lain adalah file run-timelibrary milik Visual Basic. Ini dilakukannya agar virus tetap dapatberjalan, meski file msvbvm60.dll yang biasanya terdapat di direktoriSystem32 tidak ada, mungkin sengaja di-rename oleh user. Karena apabilafile tersebut tidak ditemukan oleh sistem operasi, maka virus dan semuaaplikasi yang dibuat menggunakan VB6 tidak akan dapat berjalan.

Pada direktori yang sama juga terdapat kumpulan iconyang dikeluarkan dari dalam tubuhnya, mulai dari icon file WinAmp, PDF,TXT, sampai icon program antivirus. Icon-icon yang telah di-extractdari dalam tubuhnya itu digunakannya, agar ia dapat dengan leluasamengubah icon dirinya sendiri. Selanjutnya, di Documents andSettingsAll UsersApplication Data juga akan terdapat beberapa fileinduk lainnya, dengan nama seperti flash.exe, folder.exe, pdf.exe,txt.exe. File induk yang ada di direktori ini merupakan file induk yangsudah ia ubah icon-nya. File -file ini dijadikan sebagai file sumber,jika nanti ia ingin membuat file duplikat di harddisk ataupun flashdisk. Diketahui memang beberapa virus sudah ada yang melakukan trikini, dan sepertinya Chasnah yang paling banyak kumpulan icon-nya.Cerdiknya lagi, ukuran tubuhnya nya masih relatif kecil. Pada direktoriApplication Data itu juga akan terdapat subdirektori dengan nama,misalnya chasnah.20-6-2007. Tanggal di akhir nama direktori tersebutmerupakan tanggal kali pertama Chasnah menginfeksi komputer Anda.

Dan tak lupa, seperti halnya kebanyakan virus lokal lain yang inginpamer, ia juga memiliki file pesan-pesan dengan nama chasnah.htm, yangdisimpan pada direktori Documents and SettingsAll UsersApplicationData.

Tak ketinggalan, direktori Windows pun ia tempati.Pada direktori ini akan terdapat file induk lainnya, dengan namaalbasya.exe, sca.exe, dan sitta.exe. Serta sebuah file tekschasnah.ini, yang berisi tanggal dan waktu eksekusi virus ini. Agar iadapat aktif otomatis saat start Windows, ia pun akan menaruh beberapaagennya pada direktori StartUp. Biasanya terdiri dari dua buah filedengan nama OfficeLoader.bat dan start.exe.

Terlihat dari penamaan file-file induk di atas, sang programmervirus ini memang sepertinya berusaha sebisa mungkin agar user tidakcuriga.

Setelah file-file induk tersebut berhasilditanamkannya, maka file-file tersebut juga akan ia eksekusi. Jadi padamemory akan terdapat banyak sekali process virus seperti chasnah.exe,execute.exe, bitblt.exe, ntoskernel.exe. Dan kesemua process virustersebut memiliki kemampuan untuk saling menjaga satu sama lain.Artinya jika ada process virus yang tidak aktif, maka ia akanmengeksekusinya lagi.

Mengubah Registry
Selain menaruhfile induk di direktori Start-Up, ia juga menuliskan beberapa item disection Run pada registry, agar ia dapat aktif secara otomatis saatmemulai Windows. Item Run tersebut bisa ditemukan pada keyHKCUSoftwareMicrosoftWindowsCurrentVersionRun dengan nama item MediaAdapter, dan sittachasnahalbasya, yang diarahkan kepada file induk yangtelah ia buat sebelumnya.

Nilai default dari item HKLMSOFTWAREMicrosoftWindowsNTCurrentVersionWinlogonUserinit, yang tadinya menunjuk kepada fileWindowsSystem32userinit.exe, ia alihkan kepada file userinit.exe yangtelah ia buat di root drive tadi. Ini unik, karena file userinit.exetersebut merupakan file hasil ciptaan sang virus sendiri, dan bukanfile userinit.exe bawaan dari Windows. Perlu diketahui bahwa file userinit.exe merupakan file yang sangat krusial bagi Windows yangdibutuhkan untuk inisialisasi pada saat melakukan logon. Dan yangdilakukan oleh file userinit.exe milik virus adalah memanggil fileinduk virus secara otomatis pada saat logon.

Registry item lainnya yang diubah adalahAlternateShell, yang ia alihkan ke file induk virus agar dapat aktifdalam safemode. Selain itu, konfi gurasi registry yang mengatur masalahshell-extension pun ia ubah, terutama pada konfi gurasi untuk filedengan tipe extension file executable, seperti .exe,.com,.scr.Makdsudnya agar ini bisa dijadikan pemicu untuk virus agar dapat aktif.Jadi setiap ada aksi eksekusi, maka terlebih dahulu akan dialihkan kefile induk virus, baru dilanjutkan ke program aslinya. Ini akan lebihmempersulit user untuk dapat membunuh virus tersebut.

Menyebar...
Dengan kemampuannyayang dapat mengubah-ubah icon sesuai keinginannya, ini memberikanpeluang yang besar bagi virus untuk dapat mengelabui sang korban.Contohnya, apabila Anda mencolokan Flash Disk pada komputer terinfeksi,maka pada flash disk tersebut akan terdapat beberapa file baru dengannama – nama yang menggoda user untuk mengkliknya. Contohnya,Install_Deep_Sea_Screensaver.exe, avg72free_435a 20.exe,Install_winamp_full5.25_pro.exe. tentunya dengan icon yang juga sesuaidengan nama file tersebut, agar lebih meyakinkan. Dengan begitu, tidaksedikit pengguna awam yang tertipu oleh virus ini.

Aksi Lainnya
Begitu virusmengetahui bahwa ada yang mencoba untuk membunuh process-nya, maka iaakan menampilkan pesan virus dalam bentuk HTML pada Browser,selanjutnya komputer akan di-logoff. virus ini juga membuat item barupada Schedule Task Windows dengan nama chasnah, yang akan aktif setiaphari pada pukul 20.30. Saat schedule ini di-eksekusi, virus juga akanmenampilkan pesannya kembali.

Beberapa fitur penting Windows juga akan diblokolehnya, Seperti Task Manager, Regedit, Command Prompt, dan lainsebagainya. Karena ia dapat membaca setiap nama file yang dieksekusi,dan juga caption dari program yang sedang berjalan. Apabila ditemukanprogram yang mengancam kelangsungan hidupnya, maka akan langsung iaclose. Ini berlaku juga bagi program antivirus, karena pada tubuhnyapun terdapat banyak sekali string nama-nama program yang ia masukandaftar black list. Beberapa string tersebut seperti PCMAV, VAKSIN,MCAFF, NORMAN, KASPERS, dan masih banyak lagi.

Cara yang cerdik juga digunakan oleh virus ini.Yakni pada rutin untuk mencari dan membunuh process yang ia black list.Karena virus ini menggunakan fungsi internal Windows, yakni WMI(Windows Management Instrumentation). Untuk mencari process tertentu,ia hanya perlu melakukan query. Contoh query yang dilakukan oleh virusadalah “select name from Win32_Process where name = %namaprogram%”,mirip seperti melakukan query pada database. Dari segi programming,cara ini sebenarnya sangat memudahkan kerja sang programmer, karena iatidak perlu lagi membuat rutinnya karena semua sudah disediakan olehWindows.

Pencegahan dan Penanggulangan
Pembasmianvirus ini secara manual memang dirasa cukup kompleks. Maka dari itu, Anda tinggal menggunakan PC Media Antivirus RC18 ini untuk dapatmembersih kan computer terinfeksi secara tuntas, dan akurat 100%. Mulaiedisi ini, pada CD dan DVD PC Media juga disertakan Virus Demo berupavideo berformat Flash dari virus yang dibahas. Virus Demo inimenampilkan aksi virus, apa saja yang ia lakukan, ciri-ciri komputerterinfeksi, dan terakhir melihat kinerja PCMAV saat memberantaskomputer yang terinfeksi.

SILAHKAN DOWNLOAD ANTIVIRUS YANG TERBARU ......

PC Media Antivirus (PCMAV) 1.0 Final Release + Update Build 1 ...
Akhirnya bulan Februari datang juga n PC Media enggak bohong majanjinya yang ... Post Date : Sunday ,24 February 2008 at4:41 pm; Category : ANTIVIRUS ...