TIP MENCEGAH JANGKITAN VIRUS PADA

STORAN MUDAH ALIH

By Mahadir ((R) reverse (E) engineering)

THIS ARTICLE IS DISTRIBUTED "AS IS". NO WARRANTY OF ANY

KIND IS EXPRESSED OR IMPLIED. YOU USE AT YOUR OWN RISK.

THE AUTHOR WILL NOT BE LIABLE

FOR DATA LOSS, DAMAGES, LOSS OF PROFITS OR ANY OTHER KIND OF LOSS

WHILE USING OR MISUSING THIS ARTICLE.

ARTICLE.
Pendahuluan:

Seperti biasa pendahuluan pembuka kata. Assalamualaikum..

sememangnya perkara biasa apabila pendrive dijangkiti virus tetapi
kesannya sekiranya pendrive anda dijangkiti virus mungkin anda
kehilangan data dalam pendrive tersebut. Oleh itu, saya ingin
berkongsi sedikit pengetahuan bagaimana untuk sedaya upaya
mengelak perkara ini berlaku. Baiklah kita berkenalan sebentar apa
itu virus computer?.. Menurut Kaspersky Lab , virus komputer
terbahagi kepada virus, worm, Trojan, Malware, Adware, Pornware,
dan Riskware. Virus dan Worm merupakan program yang berupaya
untuk menyalin dirinya dari computer ke computer lain. Trojan pula
tidak mampu menyalin dirinya tetapi tersebar melalui email, pelayar
ataupun laman web yang telah dijangkiti dengan Trojan tersebut.
Berdasarkan pengalaman saya kalau virus itu jenis “virus” yang tulen
bukan Trojan atau pun worm ia boleh berjangkit (infect) ke dalan file
“EXECUTABLE” malah sesetengahnya mampu berjangkit pada
Document dan batch file. Pada hemat saya penggunaan program
antivirus sahaja tidak lengkap sekiranya kita sendiri tidak
mempunyai pengetahuan tentang virus kerana tidak semua virus
boleh dikesan oleh antivirus. Memandangkan setiap hari ada sahaja
virus baru yang dicipta. Ini kerana terdapat saranan daripada
pakar-pakar pencipta virus seperti Dark Angel yang menulis buku
tentang kaedah pembinaan virus ….. ok tip yang saya nak
kongsikan ini lebih spesifik kepada Worm jenis P2P ataupun nama
lainnya Conficker ataupun Downadup dan saya lebih gemar
panggil recycler serta keluarganya. Ok enjoy dengan kaedah yg
akan digunakan.. terus membaca.. sekian..
Apa itu Recycler

Gambar di atas menunjukkan folder bernama recycler dalam

pendrive. Ini kes pertama baiklah lihat gambar di bawah pula.

Pelik tak gambar recycler nombor 2 ini. Bentuk foldernya macam

Recycle Bin bukan. Sekali pandang memang Nampak macam
recycle Bin pun dan bila anda buka folder ini ia akan membuka
recycle Bin. Tetapi sebenarnya ia hanya folder biasa yang di setkan
dengan Windows Class Identifiers(CLSID). Oh ya sebelum itu, saya
lupa mungkin anda tertanya macam mana nak lihat folder tadi
sebab ia “hidden” atau pun apa tandanya bila worm ini ada dalam
pendrive. Kalau recycler ini ada dalam pendrive anda biasanya
icon pendrive anda berbentuk folder. Cuba buka MY COMPUTER
tengok icon pendrive biasa atau bentuk folder..

Ini gambar normal. Pendrive yang dijangkiti.

Baiklah setelah tentukan anda boleh masuk kedalam pendrive..

tetapi cara yang yang selamat anda masuk melalui address

Agar anda tidak menggerakkan virus tersebut… : )

Ok .. Sekarang proses untuk melihat folder yang hidden ini pula..
pergi pada Tools > Folder Options > View pada ruangan view ini
cari dan tandakan show hidden Files and Folders kemudian scroll ke
bawah sikit dan buangkan (uncheck) pada box hide protected
Operating System Files (Recommended) satu message box warning
akan muncul kemudian anda klik yes sahaja..
Sekarang anda sudah boleh melihat file atau folder yang “attribute”
nya “hidden” dan “system”.. nak tahu attribute itu apa?.. sebentar
lagi kita berkenalan dengan attribute.. tapi saya sarankan anda
menetapakan kembali setting diatas seperti biasa selepas selesai
nanti sebab anda berada dalam mode melihat “system file”
(macam mata sharingan plak ☺) maknanya anda boleh lihat file-file
setting system windows yang kiranya anda padam boleh
mengganggu system computer anda.. hehe.. tapi kelemahan ini
yang di exploit oleh virus untuk bersembunyi.. Ok.. seterusnya kita
akan menggunakan command prompt sebagai alat tambahan.
Tahu ker command prompt? Kalau tak tahu klik pada start menu >
ALL PROGRAMS > Accessories > Command Prompt.. ok dapat..
sekarang saya akan terangkan serba sedikit tentang attribute dan
macam mana nak gunanya.

File Attribute:

Yang saya tahu dalam windows , terdapat 7 attribute untuk file @

folder.. RASHNOT. Tapi saya akan terangkan 3 sahaja untuk di
praktikkan iaitu:

R - Read only (membuatkan file hanya untuk dibaca tak bleh tulis)

S - System (☺)

H - Hidden (file tidak Nampak pada setting biasa)

Kalau anda seorang yang advanced dalam IT tentu anda pernah

set kan file / folder supaya tak Nampak dengan klik pada properties
pada file kemudian klik pada box hidden.
Seperti gambar diatas. Itulah kaedah biasa untuk mengubah
keadaan attribute file tetapi arahan untuk set “ attribute system”
tidak disediakan.. apa guna attribute system ini pada recycler
tadi? Baik macam ini secara strateginya anda perlu membuang
arahan hide protected Operating System Files (Recommended)
seperti tadi dan satu lagi anda tidak boleh membuang hidden
pada folder/file yang di setkan dengan “system”. Maksudnya kena
buang attribute system dulu baru hidden. Arrghh pening la.. ok kita
try pada satu file dan belajar sedikit nak guna command prompt.

Buka command prompt: taipkan cd desktop (arahan untuk tukar

“current Directory” kepada desktop) kemudian pergi pada desktop
anda klik kanan(right click) pilih New > text document. Namakan
sahaja kepada apa-apa yang anda suka disini saya gunakan
mahadir.txt
“mahadir.txt” .. Mahadir tu nama file manakala .txt adalah extension
bagi memudahkan proses pembukaan file. Dalam keadaan setting
biasa anda tidak Nampak extension .txt itu. Untuk melihatnya pergi
pada folder Options > View buangkan tanda(uncheck) pada Hide
extension s for known file type. Sekarang anda sudah boleh
Nampak extension bagi semua jenis file kan. .exe untuk file
executable, .ppt dan pptx untuk Microsoft Power Point dan .txt untuk
notepad dan sebagainya… ok pada cmd (command prompt) itu
taipkan :

attrib +s +h +r Mahadir.txt

Kemudian anda klik kanan pada file tersebut:)

Perhatikan pada box “hidden” ia berwarna grey maknanya anda
tak boleh membuang attribute hidden pada file tersebut. Malah
cuba anda padam file tersebut satu message box muncul
menyatakan file tersebut file system dan bahaya untuk di padam..
(takutnya ☺).. Hakikatnya ia hanya file kosong saja….

Itulah dia attribute system.. untuk memahami read only anda hanya
perlu buka file tersebut tulis apa-apa yang anda fikirkan. dan cuba
save. Pasti akan keluar benda menyibuk dibawah:

Ok.. harap saya dah terangkan dengan jelas apa itu attribute file.. untuk buang
-s -h -r Mahadir.txt (“-“ bermakna
attribute tadi hanya taipkan attrib
membuang attribute manakala “+” meletakkan attribute. Untuk
lebih jelas anda boleh menaipkan attrib/? untuk melihat kaedah
menggunakannya dengan lebih jelas.
Penat betul.. berexperimen.. Ok kita berbalik pada folder recycler
tadi jenis kes kedua iaitu apa yang saya cakapkan sebgai CLSID.
Mari kita lihat apa itu CLSID. Pada cmd taipkan path bagi pendrive
anda tadi. Path saya ialah G:

Kemudian buangkan tiga-tiga attribute pada folder recycler tadi.

Kali ini saya percaya anda mampu melakukannya sendiri :). Lihat
perubahan pada folder tersebut:

Sekarang anda boleh masuk kedalam folder tersebut sebab ia bukan recycle bin
tetapi sejenis worm yang bersembunyi.. setting untuk CLSID tersebut ada pada file
desktop.ini dalam folder recycler tersebut.
{645ff040-5081-101b-9f08-00aa002f954e} merupakan pengenalan kepada Recycle Bin
terdapat banyak Indentifier lagi dalam window seperti {20d04fe0-3aea-1069-a2d8-
08002b30309d} untuk My Computer… CLSID ini biasanya digunakan dalam
programming untuk membuka path “special folder”.

Bagi kedua-dua folder recycler ini anda boleh memadamnya tanpa ragu-ragu lagi
kerana pada pandangan saya memang ia virus pun. Tapi saya ingatkan sekiranya
anda jumpa folder recycler dalam pendrive sahaja saya sarankan “delete”, kalau
jumpa dalam hardisk itu adalah setting windows untuk recycle Bin tapi masih boleh di
exploit oleh virus.. Huh … permasalahan biasa ramai yang merungut apabila dah
buang lepas itu ada lagi dalam pendrive.. itu perkara biasa kerana sifat virus mestilah
kena survive.. Oleh itu saya akan beri satu kaedah meyelesaikan recycler ini tanpa ia
masuk ke dalam pendrive anda untuk kali kedua (formula rahsia ker?)..

@echo off

attrib recycler -s -h -r /s /d

rmdir recycler /s /q

echo Mahadir >>recycler

attrib recycler +s +h +r

pause

copy code diatas dan paste kan dalam notepad seperti dibawah.
Kemudian pilih save as Mahadri.bat … perhatikan anda perlu pastikan extension nya
ialah .bat (batch file) nama depan nya terpulang untuk anda letak apa pun.

Save kat dalam pendrive anda kemudian “double click” pada file yang telah anda
save tadi untuk mengerakkannya. Perhatikan dalam pendrive anda ada satu file
bernama recycler !!!ingat itu adalah file bukannya folder lagi!! Senang cerita virus
recycler tu tak akan masuk kedalam pendrive anda lagi.. ☺
Sekarang recycler dah Berjaya anda buang tapi perhatikan terdapat satu lagi
masalah iaitu autorun.inf . kegunaan autorun adalah memastikan virus itu dapat
bergerak secara automatic apabila anda menyambungkan pendrive pada
computer.. jadi caranya mudah saja nak mengelak autorun masuk dalam pendrive
anda… tadi anda lakukan pada folder recycler kan, sekarang anda hanya perlu
padam file autorun.inf tadi dan bina satu folder namakannya autorun.inf.

Anda boleh set kan attribute folder autorun.inf tadi kepada hidden + read only +
system.. ok segalanya selesai sekarang .. pendrive anda sudah bebas daripada virus
recycler.. saya ringkaskan teknik yang saya gunakan:

Kalau file …. >> delete dan letakkan folder

Kalau folder>> delete dan letakkan file

Anda boleh gunakan kaedah ini pada keluarga jenis recycler ini seperti recycler32
dan sebagainya… satu lagi saya ingatkan apply kaedah pada pendrive sahaja
jangan lakukan pada hardisk anda.. selain menggunakan kaedah manual ini anda
juga boleh menggunakan beberapa utility yang pernah saya bina seperti portable
Mahadir protection dan Mahadir Remover…
Akhir kata.. terima kasih kerana sudi membaca artikel saya yang tak seberapa ini..
harap sedikit ilmu yang dikongsi ini dapat membantu anda menyelesaikan masalah
recycler. Oh ya saya tulis artikel ini sebab saya pernah berjanji nak terangkan camne
nak buang recycler.. (so aku dah tunaikan ) … kalau anda seorang yang berminat
dalam mengkaji virus dan penyelesaiannya saya sangat gembira sekiranya anda
dapat berkongsi dengan saya tapi saya cadangkan anda perlukan deep freeze untuk
memastikan computer anda selamat apabila menguji virus dan sedikit kemahiran
dalam programming dan kemampuan untuk menganalisis secara terbalik (reverse
engineering).. , dan juga kemahiran debugging/disassembling.. tapi semua itu sangat
susah,saya masih tak dapat teknik nak disinfect virus..

What EvEr …. I want To stop noW.. Leave your comment about this article 0n myspace
(I know It’s worst)

http://www.myspace.com/shinichi_930210

Or you can send email to me

shinichi_4gboy@yahoo.com

Regards,

(Mahadir Shinz)

20/12/2009

05:46 AM