Pada kesempatan kali ini saya akan coba sharing mengenai bagaimana menganalisa sebuah Virus Komputer, karena biasa kita hanya tahu ada virus computer , ada antivirus nya, dan kita hampir semua faham juga cara memproteksi diri dengan antivirus di computer masing masing.
Tetapi mungkin hanya sedikit orang yang faham bagaimana dan cara menganalisa suatu file yang dianggap virus sampai akhirnya ditentukan dengan pasti file tersebut memang di infeksi virus. Untuk itulah artikel ini saya tulis.
Fase Virus
Secara umum hampir semua virus beroperasi dalam 2( dua) fase yaitu Phase Inspection dan Phase Attack. Pada Phase Inspection ini si developer virus akan menentukan kapan akan menginfeksi program dan program apa yang akan di infeksi. Beberapa computer langsung infeksi ketika dicopy, beberapa yang lain menentukan waktunya pada tanggal, jam atau peristiwa tertentu ( trigger). Pada fase kedua ( Phase Attack) virus tersebut bisa jadi akan melakukan penghapusan, me replikasi dirinya sendiri, atau cuma membuat corrupt file sasaran.
Indikasi Virus
Beberapa indikasi dari adanya virus di computer kita adalah :
- File memiliki nama yang berbeda ( baca : aneh).
- File Extensinya berubah.
- Program memerlukan waktu yang lama untuk di load
- Korban tidak bisa membuka beberapa program ( mis anti virus, explorer, sevice manager)
- Program mengalami corrupt dengan tiba tiba dan tidak bisa dijalankan
Metode Virus Menghindari Deteksi
- Beberapa virus melakuan modifikasi last date nya maksudnya adalah dengan tetap mempertahkan pada tanggal tertentu maka tidak keliatan kalau file tersebut ternyata sudah mengalami modifikasi akhir akhir ini, mematikan antivirus biar tidak bisa mendeteksi dirinya ,
- Membuat dirinya stealth caranya adalah dengan mencegat request tertentu ke OS atau dengan membuat bypass ke bagian file yang bersih sehingga seakan akan file tersebut memang bersih,
- Melakukan modfikasi dirinya sendiri setiap menginsfeksi file lainnya sehingga routine dan signature nya selalu berubah ubah,
- Melakukan enskripsi dengan variable keys ini sama seperti layaknya teknik memodifikasi dirinya sendiri hanya virus itu juga mengenkripsi dirinya sendiri dengan code tertentu.
- Menghindari Goat Files, Goat Files adalah satu bagian dari antivirus yang memang di umpankan agar diinfeksi oleh virus untuk kemudian dianalisa oleh antivirus. Kalau Goat Files ini terinfeksi maka jelas integrity checknya pasti beda sama ukuran aslinya. Virus bisa memiliki kemampuan untuk mendeteksi umpan ini sehingga dia tidak akan menginfeksinya.
Analisa Virus
Untuk melakukan analisa ada beberapa hal yang perlu dipersiapkan atau diperhatikan antara lain :
- Kita tahu behavior dari system kita apakah norma atau tidak, misalnya ketika loading suatu aplikasi apakah normal kecepatannya atau agak aneh ( lama).
- Kita tahu aplikasi apa yang terinstall kedalam system kita.
- Kita tahu semua proses yang sedang berjalan didalam system ( salah satunya dengan task manager)
- Kita tahu tipikal load dari system kita ( aktifitas CPU, Hardisk) apakah normal, tinggi, rendah, panas ( suhu)
- Dengan mengenal hal hal diatas paling gak kita bisa melakukan komparasi dengan kondisi yang sebelumnya.
Tool Untuk Analisa Virus
Ada banyak tools analisa virus antara lain :
- HijakThis didevelop oleh TrendMicro
- ESET SysInspector
- Process Explorer ( dibuat oleh SysInternal, diambil alih oleh Microsoft)
- Rootkit Revealer ( dibuat oleh SysInternal, diambil alih oleh Microsoft)
- Svchostviewer
- DriverView
- IDA Pro, W32Dasm, OllyDbg, Syser, Win32 Debugger semua tools ini untuk melakukan analisa terhadap code code virus, mampu melakukan disassembler. Yang paling popular adalah IDA Pro karena selain disassembler dan debugger, bisa melakukan source code analysis, vulnerability research, reverse engineering. Tapi sebagai Informasi saja untuk melakukan hal ini rekan rekan harus tahu bahasa assembly ( itu kenapa tadi ada istilah “disassembler” ).
Ilustrasi IDAPro
Ahh ribet yaa…heheheh minimal rekan rekan ada gambaran, prosesnya kan ya., hmm gini deh..saya sharing tool online analisa tapi memang kita tidak bisa melihat proses decodenya, Cuma ini lebih mudah tinggal upload contoh filenya analisa dilaksankan online dan hasilnya bisa langsung diketahui, silahkan browsing ke https://www.virustotal.com/
Tinggal upload , scan it dan hasilnya :
imple kan ? Semoga bermanfaat. Keep tune di https://edysusanto.com untuk artikel menarik lainnya.
Referensi
Virus & Word – Virus Analysis – Manoj
https://www.hex-rays.com/products/ida/