Beberapa Contoh Dasar Virus Komputer

Berikut adalah beberapa contoh virus komputer yang termasuk file infector dan ditulis dengan menggunakan bahasa pemrograman tingkat rendah assembly.

• Virus Mini-44

Virus Mini-44 [4] merupakan virus file infector sederhana yang menyerang file-file dengan ekstensi .COM pada direktori tempatnya berada. Virus ini memiliki ukuran sekitar 44 bytes setelah di-compile, dan ditulis dengan bahasa assembly untuk pada prosesor x86. Virus mini-44 jenis overwriting virus sehingga program yang terinfeksi akan mengalami kerusakan karena bagian awal dari program tersebut digantikan oleh virus ini. Pada dasarnya virus ini menggunakan perintah INT (interrupt service routine) yang merupakan fungsi interrupt DOS untuk melakukan pencarian file target, proses pembukaan dan penutupan file target, serta proses penyalinan virus ke dalam file target. Listing selengkapnya yang disertai penjelasan singkat disertakan di dalam bagian lampiran.
Secara umum, virus mini44 beroperasi dengan langkah-langkah sebagai berikut:

1. Virus atau program lain yang telah terinfeksi dieksekusi oleh DOS.
2. Virus memulai eksekusi pada offset 100H dalam segment yang diberikan oleh DOS.
3. Virus melakukan pencarian file-file berekstensi .COM pada direktori yang samadengan menggunakan wildcard “*.COM”.
4. Setiap kalo virus menemukan file target, virus akan menyalin dirinya dari awal file tersebut.
5. Setelah selesai, virus berhenti dan menyerahkan kontrol kembali kepada DOS

Percobaan virus mini-44

Gambar di atas merupakan hasil dari percobaan dengan virus mini-44 yang menyerang sebuah program HOST.COM yang berfungsi menampilkan pesan “This is the host file to be infected !” (seluruh program di-compile menggunakan Turbo Assembler 5). Tampak bahwa setelah program virus mini-44 dijalankan maka program host akan mengalami kerusakan, di mana pesan di atas tidak lagi ditampilkan ketika program host dieksekusi. Dapat dilihat pula karena virus mini-44 merupakan overwriting virus, maka ukuran program host setelah terinfeksi virus tidak berubah.

• Virus TIMID

Virus TIMID seperti halnya virus mini-44 merupakan virus yang menyerang program dengan ekstensi .COM, namun virus TIMID merupakan appending virus seperti yang ditunjukkan oleh gambar berikut.


Virus TIMID [4]

Secara umum, virus TIMID bekerja dengan langkah-langkah sebagai berikut:

1. Virus atau program lain yang telah terinfeksi dieksekusi, dan kode virus dieksekusi terlebih dahulu.
2. Virus mencari file .COM yang sesuai untuk dijadikan target.
3. Jika file yang sesuai untuk dijadikan telah ditemukan, maka virus akan meng-copy kodenya sendiri pada akhir dari file target.
4. Kemudian virus akan membaca beberapa byte pertama dari file target ke dalam memori untuk kemudian akan dituliskan sebagai data khusus di dalam kode virus tersebut (yang akan diperlukan virus ketika dieksekusi).
5. Selanjutnya virus akan menuliskan instruksi jump pada awal target file yang akan memberikan kontrol kepada kode virus ketika file dieksekusi kemudian.
6. Lalu virus akan menuliskan kembali beberapa byte pertama dari file target (yang sebelumnya ditulis ke dalam memori) pada offset 100H.
7. Terakhir, virus akan melakukan jump menuju alamat dengan offset 100H dan program target akan dieksekusi.
   

Virus TIMID merupakan jenis virus appending yang akan membubuhkan dirinya pada akhir bagian dari file yang diserang. Hal ini tentu saja akan menyebabkan ukuran file akan membesar. Untuk itu dalam pencarian file target diperlukan sebuah mekanisme yang dapat mencegah terjadinya penyerangan terhadap file yang sama secara berulang-ulang. Jika ini terjadi tentu saja akan berakibat buruk karena file yang diserang akan semakin bertambah besar secara terus menerus dan dapat menimbulkan kecurigaan dari pengguna.



Mekanisme pencarian file target virus TIMID

Gambar di atas menunjukan mekanisme pencarian file target yang dilakukan virus TIMID untuk mencegah terjadinya penyerangan yang berulang-ulang terhadap file yang sama Cara yang digunakan virus TIMID dalam adalah sebagai berikut: setiap kali virus telah
menjangkiti file, maka virus akan mengganti beberapa byte paling awal dari file tersebut dengan byte-byte khusus yang kecil kemungkinannya ditemukan pada program lain (dalam hal virus ini virus TIMID akan menuliskan ‘E9 56 49’ hex atau instruksi near jmp ‘VI’). Sehingga ketika virus menemukan sebuah ‘calon’ file target lainnya, virus akan terlebh dahulu memeriksa bagian awal dari file tersebut. Apabila pada awal file tersebut ditemukan byte-byte khusus tersebut, maka virus akan menyimpulkan bahwa file tersebut telah terinfeksi sebelumnya dan akan mencari file lain untuk diserang.



Percobaan dengan virus TIMID

Gambar di atas hasil percobaan dengan virus TIMID. Dalam listing virus TIMID di lampiran, dapat dilihat bahwa terdapat routine yang akan menampilkan nama file target setiap kali proses infeksi dilakukan. Pada gambar terlihat bahwa dalam direktori yang akftif terdapat 3 buah file .COM yang dapat dijadikan target, yaitu: HOST.COM, HOST2.COM, dan HOST3.COM. Dapat dilihat pada gambar di atas bahwa setelah file-file .COM di atas terinfeksi maka ukuran file-file tersebut berubah (membesar), karena virus telah menyalinkan dirinya ke dalam file-file tersebut. Namun dapat dilihat pula bahwa fungsi dari file-file tersebut masih bekerja dengan baik.

Read More