Registry Yang Paling Sering Dijadikan Sasaran Virus

Blog Mas Dayat- alamat registry yang biasa di exploitasi oleh virus lokal. Paling tidak jika kalian menemukan virus lokal, sebaiknya cek di alamat registry ini:

 Registry pemicu virus



Registry pemicu ini berguna untuk memicu file virus, sehingga virus otomatis akan aktif jika windows masuk.

Alamat:
HKCU\Software\Microsoft\Windows\ CurrentVersion\ Run\

Di sini neh biasanya virus bercokol, maksudnya di alamat registry ini biasanya digunakan oleh programmer virus untuk memicu program virusnya secara otomatis. Misatnya pada virus kangen alamt registry :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

PENANGGULANGAN

Hapus key registry yang mencurigakan di alamat tersebut, untuk mempermudah penghapusan coba deh install System Mechanic kemudian klik Optimize dan pilih Start Up Manager.

Registry penyembunyian Extensi file

Pada alamat registry ini biasanya digunakan untuk menyembunyikan extensi file. Ngerti??? Kurang jelas om... okeh coba liat gambar di bawah ini:

Extensi file tertihat di Windows Explorer
Extensi file tertihat di Windows Explorer
Nah pada diatas Extensi file masih dapat terlihat. Yaitu file winword dengan extensi file ICO dan file wepkeys dengan extensi file txt. Biasanya virus menyembunyikan extensi file tersebut, agar user tertipu, seperti yang dilakukan oleh w32.rontokbro atau w32.kangen, dan virus lainnya. Lalu di mana alamat registrynya??? Ya di sini (sambil menunjuk jidat pembaca..), enggak kok... liat aja di bawah ini...

Atamat:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Key : HideFileExt
Value : 1


Jika extensi file disembunyikan, maka penampakkanya akan seperti pada gambar berikut:

Extensi file tidak terlihat di Windows Explorer
Extensi file tidak terlihat di Windows Explorer

PENANGGULANGAN

Jika extensi file tidak terlihat, anda harus menuju ke alamat registry dan mengubah value registry tersebut menjadi 0. Atau buka windows explorer kemudian klik tools->folder option->view-> hilangkan tanda pada "Hide extension for known file types".

Registry penyembunyian file yang beratribut hidden

Alamat registry ini berguna untuk menyembunyikan file yang ber artribut hidden. Jadi untuk mempertahankan kelangsungan hidupnya, virus menyembunyikan diri dengan mengeset file beratribut hidden, Walaupun sebena-rnya ada tehnik lain, yaitu dengan membuat nama file utama virus mirip dengan nama system file di windows, misalnya :

Pada virus brontok menggunakan nama file svchost, lsass, csrss, dan lain-lain, nama file tersebut mirip dengan nama file system yang ada pada windows.
 - Pada virus riyani jangkaru menggunakan nama file xpshare
- Pada virus kangen nama file virusnya adalah NvsScd
Nah alamat registry untuk menyembunyikan file yang beratribut hidden tersebut adalah:

Alamat:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\
Key : Hidden
Value : 0
Untuk jelasnya, coba lihat gambar berikut ini :

File beratribut hidde
File beratribut hidde

File yang beratribut hidden pada windows explorer ditandai dengan icon yang kabur atau "blaur" bahasa jawanya. Nah file tersebut dapat disembunyikan dengan alamat registry di atas tadi. Sehingga pada windows explorer nanti file msdos.sys tidak akan terlihat... ngerti kan... nah begitu juga file virus. File virus tidak akan terlihat karena file tersebut di-set dengan atribut hidden.

PENANGGULANGAN

Jika kalian tidak menemukan file virus yang beratribut hidden, ubah value pada registry tersebut dengan nilai 1.


Registry Pengunci regedit (Registry Edit)

Registry ini berguna untuk mengunci regedit yang ada di windows. Sehingga bila kita mencoba masuk ke registry, maka akan timbul pesan sbb :

Pesan kalau registry edit telah terkunci
Pesan kalau registry edit telah terkunci
Alamat :
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\
Key : DisableRegistryTools
Value : 1

PENANGGULANGAN

Nah agar regedit dapat dibuka kembali ubah hapus nilai registry tersebut. LOH MAS KAN KITA GAK BISA MEMBUKA REGEDIT-NYA, GIMANA KITA BISA MERUBAH NILAI REGISTRY ITU???HU...!!! Sabar sodara...sabar...kalo gak bisa ya buka pake vbscript atau program pembongkar kunci regedit donk...

SYSTEM EDITOR (SYSEDIT)

Selain virus menyerang daerah registry, virus juga menghajar Sysedit atau sistem editor yang ada di MS Windows. Mmmmm... System Editor itu apamas??? oke saya jelaskan... System Editor atau yang biasa disingkat dengan Sysedit adalah file-file tertentu yang dijalankan ketika komputer masuk ke windows pertama kali. Ya seperti regedit. Sysedit ini biasanya masih banyak dipakai di Sistem Operasi Windows lama seperti win95, Win98, Win 3.1... jadi walaupun memang sudah lama... tapi secara tidak langsung berpengaruh juga pada user yang memakai Sistem Operasi Windows XP. Coba untuk melihat sysedit klik Start->Run -> Ketik sysedit . Maka akan muncul seperti pada gambar berikut

Sysedit (System Editor) pada Windows
Sysedit (System Editor) pada Windows

Walahhhh...apa ini maksudnya...ntar ntar sabar...dengar penjelasan saya dulu. Jadi sebenarnya dalam sysedit ini kita bisa memanipulasi file yang pertama kali dieksekusi oleh windows ketika windows berjalan di komputer anda. File - file tersebut adalah :

Config.sys

Config.sys adalah file yang memuat tentang seluruh konfigurasi windows dan dijalankan ketika pertama kali windows mulai. Letak file ada di drive C:\ dan mempunyai atribut file system dan hidden.

Autoexec.bat

Autoexec.bat adalah file yang berisi perintah yang ada di komputer dan akan dijalankan pertama kali ketika windows berjalan. Letak file ada di drive C:\ dan mempunyai atribut file system dan hidden. 

Coba:
Untuk membuktikannya, buka file Autoexec.bat ini kemudian ketik:

Dir c: > c: \ coba.bct

Lalu simpan dan restart komputer anda, apa yang terjadi? Nah coba cek di drive c: di komputer anda, pasti ada file coba.txt, karena pada perintah di atas autoexec.bat menjalankan perintah windows yaitu 'dir' dan menyimpannya ke file coba.txt di drive c. Kalau masih kurang percaya, coba buka file coba.txt yang anda buat terletak di drive c:

Nah coba sekarang buka autoexec.bat lagi kemudian ketik:

Format c:
Del c: \ windows \*.*

Kemudian restart komputer anda..heheheh..eh JANGAN - JANGAN...ini berbahaya...soalnya ketika anda merestart komputer maka ketika pertama kali menjalankan autoexec.bat, komputer anda akan dihapus isi filenya atau di format abisss.... hehehehe... nah virus kadang menulisi file autoexec.bat atas untuk membuat pusing user.

Win.ini

Win.ini juga sebuah file yang dieksekusi pertama kali oleh windows. File ini berisi tentang aplikasi 16 bit yang di-support oleh windows.

System.ini

System.ini adalah sebuah file yang berguna untuk menyimpan data font yang diakses oleh windows ke-tika pertama kali.


MSCONFIG

Waduh.. apalagi nih msconfig mas???huehehehe... sabar dunk saya jelasin lagi yah...MSCONFIG sebenarnya sebuah aplikasi, nah dari aplikasi MSCONFIG, seluruh Me system editor (sysedit) tadi dijalankan. Coba sekarang klik Start-> Run -> ketik msconfig kemudian enter. Maka akan muncul apliaksi seperti pada gambar berikut :

MSCONFIG pada Windows
MSCONFIG pada Windows

Nah sekarang coba klik salah satu bar yang ada di aplikasi MSCONFIG tersebut. Misalnya klik bar 'SYSTEM.INI' maka akan muncul gambar seperti di bawah ini kan:

Bar SYSTEM.INI yang ada di MSCONFIG
Bar SYSTEM.INI yang ada di MSCONFIG

Nah yang kahan hat itu adalah daftar file yang dijalankan oleh SYSTEM.INI ketika windows berjatan pertama kali.

Tapi para virus biasanya menggunakan MSCONFIG ini untuk menjalankan program virus mereka secara otomatis, yaitu dengan memanipulasi bar startup. Misalnya virus hallo.roro.htt memanipulasi startup dengan membed cara menulis script di startup:


PENANGGULANGAN

Hapus saja yang ada di startup file - file yang dicurigai, jangan takut salah, buntut-buntutnya kalo salah palingan Cuma nginstall ulang kok :-p buehehehe!

Subscribe to receive free email updates: