Beberapa waktu yang lalu saya membaca tentang virus huhuhaa. Satu yang menjadi pertanyaan saya apa sih virus huhuhaha, untungnya saya menemukan penjelasan tentang virus ini dari artikel yang berada di kompas tekno
Menurut artikel atau info yang saya baca, virus ini menyerang windows vista. Virus ini menyerang system User Account Control (UAC). Untuk sekedar info Windows vista diklaim lebih aman dari windows xp, namun kenyataan system informasi ini ternyata juga tidak aman dari virus ini.
Oke kembali ketopik utama, Kenapa virus ini menyerang UAC??. Sebelum menjawab pertanyaan nya akan saya jelaskan apa itu system User Account Control (UAC), merupakan system yang berfungsi mencegah program yang tak diingikan berjalan secara otomatis. dengan menyerang system UAC maka program-program yang tak ingin dijalankan oleh user, dapat berjalan secara otomatis, terjawab sudah pertanyaan diatas.
Bagaimana ciri file virus ini
Jika virus berhasil menginfeksi, ia akan membuat beberapa file virus diantaranya :
• autorun.inf (pada semua root drive)
• huhuhaha.vbs (pada semua root drive)
• C:-WINDOWS-system32-XpWin.vbs
Virus juga akan mengcopy file "autorun.inf" dan "huhuhaha.vbs" pada setiap usb (flash/drive) yang ditancapkan/dicolokkan pada komputer yang terinfeksi. Semua file virus tersebut memiliki atribut file RHSA (Read, Hidden, System, Archive), sehingga tidak terlihat jika user tidak memunculkan menu hidden. (Lihat Gambar 2)
Gejala/Efek Virus
Jika sudah terinfeksi virus huhuhaha, akan menimbulkan gejala/efek berikut :
• Memunculkan text virus pada menu "Run". (Lihat Gambar 3)
• Menonaktifkan system restore. Hal ini dilakukan agar user tidak dapat mengembalikan setingan system windows kembali seperti sebelum terinfeksi virus ini.
• Menambah header text virus pada Internet Explorer. (Lihat Gambar 4)
• Disable fungsi UAC (User Account Control) Windows Vista. (Lihat Gambar 5)
• Merubah nama registrasi computer dengan text virus. (Lihat Gambar 6)
• Menonaktifkan fungsi "safe mode" dan membuat "blue screen" windows. Saat user berusaha masuk melalui fitur safe mode, maka akan muncul blue screen. (Lihat Gambar 7)
• Mematikan fungsi Security Center Windows. Fitur ini digunakan untuk memastikan kondisi komputer dari 3 aspek keamanan yaitu Automatic Updates, Firewall dan Software Antivirus.
Metode Penyebaran
Sama seperti virus lokal lainnya, virus huhuhaha masih menggunakan media USB (flash/drive) sebagai penyebarannya. Virus akan membuat file "autorun.inf" dan "huhuhaha.vbs" pada setiap usb (flash/drive) yang ditancapkan/dicolokkan pada komputer yang terinfeksi. Kedua file tersebut akan aktif secara otomatis dengan hanya mengkases usb (drive/flash) tersebut.
Modifikasi Registry
Agar dapat aktif saat komputer dijalankan, virus membuat string berikut :
• HKEY_LOCAL_MACHINE-SOFTWARE -Microsoft-Windows-CurrentVersion-Run
Ageia = C:-WINDOWS-system32-XpWin.vbs
• HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Windows-CurrentVersion-Run
Systemdir = C:-WINDOWS-huhuhaha.vbs
Agar dapat muncul pada menu Run, virus membuat string berikut :
• HKEY_CURRENT_USER-Software-Microsoft-Windows-CurrentVersion-RunMRU
a = huhuhaha
Walau tidak men-disable fungsi windows seperti task manager, folder options, regedit, dll, virus men-disable system restore dengan membuat string berikut :
• HKEY_LOCAL_MACHINE-SOFTWARE- Microsoft-Windows NT-CurrentVersion-SystemRestore
DisableSR = 1
Serta men-disable fungsi UAC (User Account Control) dengan membuat string berikut :
• HKEY_LOCAL_MACHINE-SOFTWARE- Microsoft-Windows-CurrentVersion-Policies-System
EnableLUA = 0x00000000
Selain itu, virus menambah caption text pada Internet Explorer dengan membuat string berikut :
• HKEY_CURRENT_USER-Software-Microsoft-Internet Explorer-Main
Window Title = huhuhaha
Kemudian, virus juga merubah registrasi komputerdengan membuat string berikut :
• HKEY_LOCAL_MACHINE-SOFTWARE- Microsoft-Windows NT-CurrentVersion
RegisteredOrganization = huhuhaha
RegisteredOwner = huhuhaha
Agar dapat muncul text virus saat login windows, virus membuat string berikut :
• HKEY_LOCAL_MACHINE-SOFTWARE- Microsoft-Windows NT-CurrentVersion
LegalNoticeCaption = huhuhaha virus
LegalNoticeText = huhuhaha
Untuk men-disable fungsi safe mode, virus men-"delete" string berikut :
• HKEY_LOCAL_MACHINE-SYSTEM-ControlSet001-Control-SafeBoot, AlternateShell
• HKEY_LOCAL_MACHINE-SYSTEM-ControlSet002-Control-SafeBoot, AlternateShell
• HKEY_LOCAL_MACHINE-SYSTEM-ControlSet003-Control-SafeBoot, AlternateShell
• HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet-Control-SafeBoot, AlternateShell
Serta men-"delete" key berikut :
• HKEY_LOCAL_MACHINE-SYSTEM- CurrentControlSet-Control-SafeBoot-Minimal
• HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet-Control-SafeBoot-Network
Terakhir, virus berusaha mematikan fungsi Security Center dengan membuat string berikut :
• HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Security Center
AntivirusDisableNotify = 1
FirewallDisableNotify = 1
UpdatesDisableNotify = 1
Sumber: Vaksincom dan Kompas tekno
Subscribe to:
Post Comments (Atom)
0 comments:
Post a Comment