Rumah Info | Rumah Semua Informasi

Jika anda membaca baik-baik judul diatas, apakah yang ada di benak anda? Virus lagi ya...?.. Bukan itu saja, coba lihat judulnya lagi.. CONFICKER.??? , nah, ekstensinya adalah random, jadi anda akan susah melihat virus yang bisa autorename. Nah, ada apa dengan virus ini, simak yuk..

Dynamic Link Library (DLL)
Tidak seperti virus kebanyakan yang kita temui bebentuk EXE, tetapi virus ini berekstensi DLL. Sifatnya yang polymorphic membuatnya sulit ditebak dan lagi berukurannya pun beragam, dan kadang juga sedang terenkripsi UPX atau tidak. Berbagai teknologi canggih memang diusung virus ini mulai dari teknik enkripsi, mengeksploitasi celah OS, proteksi file dan edit registry, API Hooking, hingga teknik automatic updatenya. (Hah, Virus juga update toh...???)

Code Injection
Karena bentuknya DLL, untuk dapat aktif pertama, tentunya membutuhkan rundll32.exe. Saat file iu diload ke memory, virus ini akan memeriksa apakah ia dijalankan rundll32.exe dan mencari tahu dimana netsvcs berada. Setelah ditemukan, sebuah alamat di memory akan dialokasikan, untuk kemudian meng-injectkan kodenya disana. Perintah Loadlibrary lalu akan dipanggil yang berguna untuk meload kode jahat virus yang akhirnya bisa aktif di Windows

Virus Protection
Pada Konputer terinfeksi, sebelumnya ia akan memilih tempat tinggal, apakah di System32, Program Files ??? Entahlah. Data induk di hidden dan diberi attribute system agar tidak mudah dilihat dan dihapus. Sebelumnya, Virus ini juga mengedit registry yang biasanya :
1. Mengunci Folder Options
2. Mengunci Registry Editor
3. Memastikan Virus aktif setiap komputer dinyalakan

Sharing Folder
Saat komputer terinfeksi terhubung ke dalam jaringan, virus ini akan mengecek apakah ada sharing ADMIN$ yang masih terbuka, kalau ketemu ia akan mencari tahu siapa pemilik sharing tersebut, jika ketemu. Tentunya virus itu akan melakukan Brute-Force untuk menjebol password sang pemilik. Dalam tubuh virus ini, memang terlihat kumpulan string yang berisi password umum. Saat berhasil masuk, virus ini akan mengkopikan dirinya pada %share%\ADMIN$\System32\%Random.dll%. Dan agar file tersebut dieksekusi, Virus akan membuat job baru di scheduled task secara remote. Job tersebut berisi perintah “rundll32.exe %random.dll% %parameter%. Parameter ini akan diisikan dengan nama fungsi DLL tersebut dan otomatis akan dijalankan sistem.

“Address Not Found”
Untuk Menjaga Kelangsungan Hidupnya, Virus ini dapat menghapus “System restore point” agar user tidak merestore setting yang diubah oleh virus.
Selain itu, setiap user mengunjungi situs antivirus, selalu ditandai dengan “Address Not Found”. Inilah kelebihan dari virus conficker, yaitu API Hookingnya yang dapat menangani masalah DNS.

Kesimpulan :
Melihat pergerakan Virus ini, tentunya digolongkan berbahaya. Karena jika sudah terinfeksi, semua pintu untuk merestore setting sudah ditutup. Dan juga virus ini berpindah jika kita terhubung ke suatu jaringan.