Registri Windows
Agar dapat aktif saat komputer dijalankan, virus akan membuat string registry sebagai berikut :
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
braviax = C:\WINDOWS\system32\braviax.exe
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Windows
AppInit_DLLs = karna.dat
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
braviax = C:\WINDOWS\system32\braviax.exe
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
brastk = brastk.exe
Selain itu, virus membuat string berikut :
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ Image File Executions Options\Explorer.exe
Debugger”=”C:\Program Files\Microsoft Common\wuauclt.exe
Untuk mengubah default web, virus pun membuat string berikut :
- HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\
Search Bar = http://www.google.com/ie
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search
Selain itu, virus pun membuat string pada security windows berikut :
- HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
AntiVirusDisableNotify = 1
FirewallDisableNotify = 1
UpdateDisableNotify = 1
Untuk mempermudah penyebaran, virus pun membuat string :
- HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Explorer\ MountPoints2\{706ab86c-937e-11dd-a04c-000c290bc510}\Shell\AutoRun\Command
(Default) = C:\WINDOWS\system32\RunDLL32.EXEShell32.DLL, ShellExec_RunDLL system.exe
- HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Explorer\ MountPoints2\{706ab86c-937e-11dd-a04c-000c290bc510}\Shell\Explorer\Command
(Default) = %drive%:\system.exe
- HKEY_CURRENT_USER\Software\ Microsoft\Windows\CurrentVersion\Explorer\ MountPoints2\{706ab86c-937e-11dd-a04c-000c290bc510}\Shell\Open\Command
(Default) = %drive%:\system.exe
Menyebarkan diri melalui Flash Disk
Kelihatannya virus ini juga “belajar” dari pembuat virus Indonesia. Sebagai media penyebaran awal, virus mencoba menggunakan media “Flashdisk” ataupun “Disket”, dengan memanfaatkan system autoplay windows agar dirinya dapat aktif secara otomatis setiap kali user akses ke Flashdisk tersebut (lihat gambar 11). File yang di buat yaitu :
- autorun.inf
- system.exe
Gambar 11. File virus infect disket atau flashdisk
Selain itu, ia pun dapat menyebar melalui e-mail (dengan mengirim pesan palsu dengan lampiran), dan media chatting seperti IRC.
0 komentar:
Posting Komentar