Mempelajari Kegiatan VIRUS

Artikel ini ditulis hanya sebagai pemahaman global, artinya, pada kondisi dan teknik tertentu seorang pembuat virus bisa saja membuat scenario lain dengan menempatkan key khusus di Registry.
HKEY_CLASSES_ROOT
HKEY_CLASSES_ROOT\exefile
HKEY_CLASSES_ROOT\\scrfile
HKEY_CLASSES_ROOT\txtfile
HKEY_CLASSES_ROOT\batfile
HKEY_CLASSES_ROOT\jpegfile

Dll sesuai type ekstensi file.
Ruang ini merupakan tempat manipulasi untuk type suatu file. Misalnya :
Ada suatu virus yang menggunakan icon Microsoft Word dan berekstensi .exe .
Setiap ekstensi .exe akan menampilkan Type Application ketika di Windows Explorer dilihat dengan View-Details
Untuk membohongi user, maka pembuat virus akan mengganti teks Application pada key value Default yang ada di HKEY_CLASSES_ROOT\exefile dengan Microsoft Word Document . Sehingga, walaupun berekstensi .exe , type file akan menampilkan Microsoft Word Document
HKEY_CURRENT_USER
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\RunService
“Ruang ini merupakan salah satu tempat eksekusi file induk virus. Sebenarnya termasuk bodoh jika pembuat virus meletakkan perintah eksekusi file induknya di ruang ini. Karena sudah terlalu umum.”
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\Explorer
“Ini merupakan ruang untuk menyembunyikan fasilitas user dalam melakukan konfigurasi kompurternya. Virus akan mencantumkan key value type DWORD bernilai “ 1” (berarti aktif) sebagai berikut :
NoFolderOptions = Menyembunyikan Folder Options
NoSetFolder = Menyembunyikan Control Panel
NoControlPanel = Menyembunyikan Control Panel
NoDesktop = Mendisable Properties Di Desktop
NoFind = Mendisable Search
NoRun = Menyembunyikan Run
NoSaveSettings = Disable Save Setting ketika Shutdown/Restart
NoSetTaskbar = Disable Taskbar and StartMenu
NoUserNameInStartMenu = Menghilangkan Username pada Start Menu
NoClose = Mendisable Tombol Close Pada setiap Aplikasi
StartMenuLogOff = Menghilangkan Tampilan LogOff di tombol Start
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Policies\System
DisabelCMD = Nonaktifkan Command Prompt (DOS)
DisableTaskmgr = Nonaktifkan Task Manager
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\Current Version\Winlogon
Adanya penambahn pada nilai Shell yang seharusnya hanya tertulis Explorer.exe
HKEY_LOCAL_MACHINE
Key-key berikut isinya sama dengan yang ada di HKEY_CURRENT_USER :
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\Run
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\Current Version\RunService
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Policies\Explorer
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Policies\System
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Winlogon
“Adanya penambahan atau penggantian pada nilai userinit yang seharusnya hanya tertulis C:\Windows\System32\userinit.exe .
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\Current Version\Image File Execution Options
“Ini merupakan tempat pengalihan target dari suatu program. Misalnya, ketika anda membuka regedit tiba-tiba muncul Notepad (seperti yang dilakukan Virus W32/Lightmoon ).
Terjadinya sabotase regedit ini dikarenakan ada penambahan key bernama regedit.exe dengan key value Debugger dan value C:\Windows\Notepad.exe ”
Ini bisa dicoba untuk program-program lain yang mau dialihkan targetnya, yang penting anda harus tahu file pemicu dari program tersebut. Misalnya, file pemicu dari program Microsoft Word adalah Winword.exe . Nah, tinggalkan tambahkan key dengan nama tersebut, kemudian berilah key value berjenis String bernama Debugger dan isi nilainya dengan C:\Program Files\Winamp\Winamp.exe .
Sehingga, setiap kali membuka Microsoft Word, yang muncul justru program Winamp .
HKEY_LOCAL_MACHINE\System\ControlSet001\Control\SafeBoot
HKEY_LOCAL_MACHINE\System\ControlSet002\Control\SafeBoot
HKEY_LOCAL_MACHINE\System\ControlSet003\Control\SafeBoot
HKEY_LOCAL_MACHINE\System\ControlSet004\Control\SafeBoot
HKEY_LOCAL_MACHINE\System\ControlSet005\Control\SafeBoot
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot
Normalnya key value AlternateShell akan selalu terisi cmd.exe .
Ini biasa digunakan untuk mengalihkan target Safe Mode With Command Prompt Windows.
Singkatnya : Windows 2000, NT, XP dan seterusny akan menjadikan cmd.exe sebagai target ketika memasuki ruang Safe Mode With Command Prompt. Nah, demi abadinya umur virus, akhirnya pembuat virus akan mengalihkan targetnya ke cmd-brontok.exe (ini contoh yang dilakukan oleh virus Brontok). Sehingga dengan begitu, virus akan tetap berjalan walaupun masuk Safe Mode .