TIP MENCEGAH JANGKITAN VIRUS PADA

STORAN MUDAH ALIH

By Mahadir ((R) reverse (E) engineering)

THIS ARTICLE IS DISTRIBUTED "AS IS". NO WARRANTY OF ANYTHIS ARTICLE IS DISTRIBUTED "AS IS". NO WARRANTY OF ANYTHIS ARTICLE IS DISTRIBUTED "AS IS". NO WARRANTY OF ANYTHIS ARTICLE IS DISTRIBUTED "AS IS". NO WARRANTY OF ANY

KIND IS EXPRESSED OR IMPLIED. YOU USE AT YOUR OWN RISK.KIND IS EXPRESSED OR IMPLIED. YOU USE AT YOUR OWN RISK.KIND IS EXPRESSED OR IMPLIED. YOU USE AT YOUR OWN RISK.KIND IS EXPRESSED OR IMPLIED. YOU USE AT YOUR OWN RISK.

THE AUTHOR WILL NOT BE LIABLETHE AUTHOR WILL NOT BE LIABLETHE AUTHOR WILL NOT BE LIABLETHE AUTHOR WILL NOT BE LIABLE

FOR DATA LOSS, DAMAGES, LOSS OF PROFITS OR ANY OTHER KIND OF FOR DATA LOSS, DAMAGES, LOSS OF PROFITS OR ANY OTHER KIND OF FOR DATA LOSS, DAMAGES, LOSS OF PROFITS OR ANY OTHER KIND OF FOR DATA LOSS, DAMAGES, LOSS OF PROFITS OR ANY OTHER KIND OF LOSSLOSSLOSSLOSS

WHILE USING OR MISUSING THIS ARTICLEWHILE USING OR MISUSING THIS ARTICLEWHILE USING OR MISUSING THIS ARTICLEWHILE USING OR MISUSING THIS ARTICLE....

Pendahuluan:

Seperti biasa pendahuluan pembuka kata. Assalamualaikum..

sememangnya perkara biasa apabila pendrive dijangkiti virus tetapi

kesannya sekiranya pendrive anda dijangkiti virus mungkin anda

kehilangan data dalam pendrive tersebut. Oleh itu, saya ingin

berkongsi sedikit pengetahuan bagaimana untuk sedaya upaya

mengelak perkara ini berlaku. Baiklah kita berkenalan sebentar apa

itu virus computer?.. Menurut Kaspersky Lab , virus komputer

terbahagi kepada virus, worm, Trojan, Malware, Adware, Pornware,

dan Riskware. Virus dan Worm merupakan program yang berupaya

untuk menyalin dirinya dari computer ke computer lain. Trojan pula

tidak mampu menyalin dirinya tetapi tersebar melalui email, pelayar

ataupun laman web yang telah dijangkiti dengan Trojan tersebut.

Berdasarkan pengalaman saya kalau virus itu jenis “virus” yang tulen

bukan Trojan atau pun worm ia boleh berjangkit (infect) ke dalan file

“EXECUTABLE” malah sesetengahnya mampu berjangkit pada

Document dan batch file. Pada hemat saya penggunaan program

antivirus sahaja tidak lengkap sekiranya kita sendiri tidak

mempunyai pengetahuan tentang virus kerana tidak semua virus

boleh dikesan oleh antivirus. Memandangkan setiap hari ada sahaja

virus baru yang dicipta. Ini kerana terdapat saranan daripada

pakar-pakar pencipta virus seperti Dark Angel yang menulis buku

tentang kaedah pembinaan virus ….. ok tip yang saya nak

kongsikan ini lebih spesifik kepada Worm jenis P2P ataupun nama

lainnya Conficker ataupun Downadup dan saya lebih gemar

panggil recycler serta keluarganya. Ok enjoy dengan kaedah yg

akan digunakan.. terus membaca.. sekian..

Apa itu Recycler

Gambar di atas menunjukkan folder bernama recycler dalam

pendrive. Ini kes pertama baiklah lihat gambar di bawah pula.

Pelik tak gambar recycler nombor 2 ini. Bentuk foldernya macam

Recycle Bin bukan. Sekali pandang memang Nampak macam

recycle Bin pun dan bila anda buka folder ini ia akan membuka

recycle Bin. Tetapi sebenarnya ia hanya folder biasa yang di setkan

dengan Windows Class Identifiers(CLSID). Oh ya sebelum itu, saya

lupa mungkin anda tertanya macam mana nak lihat folder tadi

sebab ia “hidden” atau pun apa tandanya bila worm ini ada dalam

pendrive. Kalau recycler ini ada dalam pendrive anda biasanya

icon pendrive anda berbentuk folder. Cuba buka MY COMPUTER

tengok icon pendrive biasa atau bentuk folder..

Ini gambar normal. Pendrive yang dijangkiti.

Baiklah setelah tentukan anda boleh masuk kedalam pendrive..

tetapi cara yang yang selamat anda masuk melalui address

Agar anda tidak menggerakkan virus tersebut… : )

Ok .. Sekarang proses untuk melihat folder yang hidden ini pula..

pergi pada Tools > Folder Options > View pada ruangan view ini

cari dan tandakan show hidden Files and Folders kemudian scroll ke

bawah sikit dan buangkan (uncheck) pada box hide protected

Operating System Files (Recommended) satu message box warning

akan muncul kemudian anda klik yes sahaja..

Sekarang anda sudah boleh melihat file atau folder yang “attribute”

nya “hidden” dan “system”.. nak tahu attribute itu apa?.. sebentar

lagi kita berkenalan dengan attribute.. tapi saya sarankan anda

menetapakan kembali setting diatas seperti biasa selepas selesai

nanti sebab anda berada dalam mode melihat “system file”

(macam mata sharingan plak ☺) maknanya anda boleh lihat file-file

setting system windows yang kiranya anda padam boleh

mengganggu system computer anda.. hehe.. tapi kelemahan ini

yang di exploit oleh virus untuk bersembunyi.. Ok.. seterusnya kita

akan menggunakan command prompt sebagai alat tambahan.

Tahu ker command prompt? Kalau tak tahu klik pada start menu >

ALL PROGRAMS > Accessories > Command Prompt.. ok dapat..

sekarang saya akan terangkan serba sedikit tentang attribute dan

macam mana nak gunanya.

File Attribute:

Yang saya tahu dalam windows , terdapat 7 attribute untuk file @

folder.. RASHNOT. Tapi saya akan terangkan 3 sahaja untuk di

praktikkan iaitu:

R - Read only (membuatkan file hanya untuk dibaca tak bleh tulis)

S - System (☺)

H - Hidden (file tidak Nampak pada setting biasa)

Kalau anda seorang yang advanced dalam IT tentu anda pernah

set kan file / folder supaya tak Nampak dengan klik pada properties

pada file kemudian klik pada box hidden.

Seperti gambar diatas. Itulah kaedah biasa untuk mengubah

keadaan attribute file tetapi arahan untuk set “ attribute system”

tidak disediakan.. apa guna attribute system ini pada recycler

tadi? Baik macam ini secara strateginya anda perlu membuang

arahan hide protected Operating System Files (Recommended)

seperti tadi dan satu lagi anda tidak boleh membuang hidden

pada folder/file yang di setkan dengan “system”. Maksudnya kena

buang attribute system dulu baru hidden. Arrghh pening la.. ok kita

try pada satu file dan belajar sedikit nak guna command prompt.

Buka command prompt: taipkan cd desktop (arahan untuk tukar

“current Directory” kepada desktop) kemudian pergi pada desktop

anda klik kanan(right click) pilih New > text document. Namakan

sahaja kepada apa-apa yang anda suka disini saya gunakan

mahadir.txt

“mahadir.txt” .. Mahadir tu nama file manakala .txt adalah extension

bagi memudahkan proses pembukaan file. Dalam keadaan setting

biasa anda tidak Nampak extension .txt itu. Untuk melihatnya pergi

pada folder Options > View buangkan tanda(uncheck) pada Hide

extension s for known file type. Sekarang anda sudah boleh

Nampak extension bagi semua jenis file kan. .exe untuk file

executable, .ppt dan pptx untuk Microsoft Power Point dan .txt untuk

notepad dan sebagainya… ok pada cmd (command prompt) itu

taipkan :

attrib +s +h +r Mahadir.txt

Kemudian anda klik kanan pada file tersebut:)

Perhatikan pada box “hidden” ia berwarna grey maknanya anda

tak boleh membuang attribute hidden pada file tersebut. Malah

cuba anda padam file tersebut satu message box muncul

menyatakan file tersebut file system dan bahaya untuk di padam..

(takutnya ☺).. Hakikatnya ia hanya file kosong saja….

Itulah dia attribute system.. untuk memahami read only anda hanya

perlu buka file tersebut tulis apa-apa yang anda fikirkan. dan cuba

save. Pasti akan keluar benda menyibuk dibawah:

Ok.. harap saya dah terangkan dengan jelas apa itu attribute file.. untuk buang

attribute tadi hanya taipkan attrib -s -h -r Mahadir.txt (“-“ bermakna

membuang attribute manakala “+” meletakkan attribute. Untuk

lebih jelas anda boleh menaipkan attrib/? untuk melihat kaedah

menggunakannya dengan lebih jelas.

Penat betul.. berexperimen.. Ok kita berbalik pada folder recycler

tadi jenis kes kedua iaitu apa yang saya cakapkan sebgai CLSID.

Mari kita lihat apa itu CLSID. Pada cmd taipkan path bagi pendrive

anda tadi. Path saya ialah G:

Kemudian buangkan tiga-tiga attribute pada folder recycler tadi.

Kali ini saya percaya anda mampu melakukannya sendiri :). Lihat

perubahan pada folder tersebut:

Sekarang anda boleh masuk kedalam folder tersebut sebab ia bukan recycle bin

tetapi sejenis worm yang bersembunyi.. setting untuk CLSID tersebut ada pada file

desktop.ini dalam folder recycler tersebut.

{645ff040-5081-101b-9f08-00aa002f954e} merupakan pengenalan kepada Recycle Bin

terdapat banyak Indentifier lagi dalam window seperti {20d04fe0-3aea-1069-a2d8-

08002b30309d} untuk My Computer… CLSID ini biasanya digunakan dalam

programming untuk membuka path “special folder”.

Bagi kedua-dua folder recycler ini anda boleh memadamnya tanpa ragu-ragu lagi

kerana pada pandangan saya memang ia virus pun. Tapi saya ingatkan sekiranya

anda jumpa folder recycler dalam pendrive sahaja saya sarankan “delete”, kalau

jumpa dalam hardisk itu adalah setting windows untuk recycle Bin tapi masih boleh di

exploit oleh virus.. Huh … permasalahan biasa ramai yang merungut apabila dah

buang lepas itu ada lagi dalam pendrive.. itu perkara biasa kerana sifat virus mestilah

kena survive.. Oleh itu saya akan beri satu kaedah meyelesaikan recycler ini tanpa ia

masuk ke dalam pendrive anda untuk kali kedua (formula rahsia ker?)..

@echo off

attrib recycler -s -h -r /s /d

rmdir recycler /s /q

echo Mahadir >>recycler

attrib recycler +s +h +r

pause

copy code diatas dan paste kan dalam notepad seperti dibawah.

Kemudian pilih save as Mahadri.bat … perhatikan anda perlu pastikan extension nya

ialah .bat (batch file) nama depan nya terpulang untuk anda letak apa pun.

Save kat dalam pendrive anda kemudian “double click” pada file yang telah anda

save tadi untuk mengerakkannya. Perhatikan dalam pendrive anda ada satu file

bernama recycler !!!ingat itu adalah file bukannya folder lagi!! Senang cerita virus

recycler tu tak akan masuk kedalam pendrive anda lagi.. ☺

Sekarang recycler dah Berjaya anda buang tapi perhatikan terdapat satu lagi

masalah iaitu autorun.inf . kegunaan autorun adalah memastikan virus itu dapat

bergerak secara automatic apabila anda menyambungkan pendrive pada

computer.. jadi caranya mudah saja nak mengelak autorun masuk dalam pendrive

anda… tadi anda lakukan pada folder recycler kan, sekarang anda hanya perlu

padam file autorun.inf tadi dan bina satu folder namakannya autorun.inf.

Anda boleh set kan attribute folder autorun.inf tadi kepada hidden + read only +

system.. ok segalanya selesai sekarang .. pendrive anda sudah bebas daripada virus

recycler.. saya ringkaskan teknik yang saya gunakan:

Kalau file …. >> delete dan letakkan folder

Kalau folder>> delete dan letakkan file

Anda boleh gunakan kaedah ini pada keluarga jenis recycler ini seperti recycler32

dan sebagainya… satu lagi saya ingatkan apply kaedah pada pendrive sahaja

jangan lakukan pada hardisk anda.. selain menggunakan kaedah manual ini anda

juga boleh menggunakan beberapa utility yang pernah saya bina seperti portable

Mahadir protection dan Mahadir Remover…

Akhir kata.. terima kasih kerana sudi membaca artikel saya yang tak seberapa ini..

harap sedikit ilmu yang dikongsi ini dapat membantu anda menyelesaikan masalah

recycler. Oh ya saya tulis artikel ini sebab saya pernah berjanji nak terangkan camne

nak buang recycler.. (so aku dah tunaikan ) … kalau anda seorang yang berminat

dalam mengkaji virus dan penyelesaiannya saya sangat gembira sekiranya anda

dapat berkongsi dengan saya tapi saya cadangkan anda perlukan deep freeze untuk

memastikan computer anda selamat apabila menguji virus dan sedikit kemahiran

dalam programming dan kemampuan untuk menganalisis secara terbalik (reverse

engineering).. , dan juga kemahiran debugging/disassembling.. tapi semua itu sangat

susah,saya masih tak dapat teknik nak disinfect virus..

What EvEr …. I want To stop noW.. Leave your comment about this article 0n myspace

(I know It’s worst)

http://www.myspace.com/shinichi_930210

Or you can send email to me

shinichi_4gboy@yahoo.com

Regards,

(Mahadir Shinz)

20/12/2009

05:46 AM