arrrrggghhhhh…. selalu spt ini

Ahh… akhirnya ada aja penyebab diri ini ingin menulis.. tadinya sih pengen membahas fitur inotifynya kernel 2.6 + bikin contoh aplikasinya, tp karena ada kejadian menarik semalam, jadinya pengen bahas yang lain.. apa itu? virus di windows dan pembodohan konsumen oleh konsumen sendiri..

semalam iseng-iseng nemeni adik cari obat di apotek sekitar balikpapan baru, krn ngga ketemu obatnya, akhirnya kami berdua memutuskan untuk “nonton” cd/dvd bajakan yang ada di toko cd/dvd bajakan yg ada di komplek pertokoan BB.Tadinya saya cuma iseng pengen mapir sebentar aja, sekalian liat dvd linux terkhir yg mereka punya, ternyata masih centos dan rhel,..

nah waktu lagi asik liat2 dvd, secara sengaja saya mendengar percakapan antara kokoh (panggilan bahasa cina buat pemilik toko.. hmm bener ngag sih?) pemilik toko dengan seorang bapak pelanggannya yang dipanggil dengan sebutan bos.. karena terdengar seru dan sangat serius (abisnya si kokoh.. ngomongnya setengah teriak dan berwajah sangat serius sekali), saya akhirnya tergoda untuk melakukan dosa kecil, apa itu? menguping… yup akhirnya saya pun tergoda untuk menguping..

dan ternyata pembicaraan serius ini membahas tentang virus. Laptop si bos ternyata terserang virus, entah virus apa tp ketika saya mendengar kalimat “ganas” dan “tak terobati” maka saya akhirnya rada sedikit mendekat, sambil pura2 liat cd/dvd di dekat rak mereka berdiri (entah apa yg saya pegang.. sepertinya dvd windows vista.. dech)

dengan sangat meyakinkan ditambah sedikit “bumbu” oleh anak buah si kokoh (yang juga berbicara sangat meyakinkan..) si bos akhirnya terjerumus pada satu kesimpulan, laptopnya ngga tertolong dan harus di install ulang.. loh kok? yap, si kokoh dan anak buahnya mengatakan virus yang menyerang cukup ganas.. dan tanda-tandanya adalah
1.IE ngga bs kebuka
2.driver system jadi kacau
3.muncul keterangan HEUR pada tipe virus

dan ini membuat si bapak makin yakin … kalau dia harus format tuh laptop(wah kacau nih,,, balikpapan), dan yang membuat makin miris, ketika si bos menanyakan apa bs data2 laptop dibackup, dengan penuh keyakinan si kok menjawab TIDAK, kalo toh bisa dia harus menghubungi kawannya yg hacker, krn semua data udah terinfeksi dan harus di kerjakan dengan cara hacker.. (hmm.. ceker kaleee), dan belum lagi ditambah omongan si anak buah yg dengan semanga 45 bercerita ttg hasil scanning yg dilakukan nya dengan menggunakan beberapa antivirus spt avast,norton,dan bla bla (banyak banget.. sayang ngga pernah denger.. apalagi make)

muka si bos jadi pucat, wah kasihan jadinya, akhirnya terdorong rasa kasihan, hati jadi niat ntar dijegat aja di depan pintu toko, tawarkan solusi mudah,hemat dan cepat.. apalagi kalo bukan menu penguin.

setelah menunggu agak lama, akhirnya si bos keluar dari pintu, buru2 saya kejar, eh malah si bos lari, sambil berlari saya tanyakan, pak kena virus yach, system jadi kacau yach, si bos sambil berlari (dan makin kenceng) ke arah mobilnya hanya menjawab iya.. iya, lalu buru2 tancap gas… busyet.. saya hanya bengong aja di parkiran.. wah lom jodohnya kale yach..

jadi penasaran, akhirnya saya masuk lagi kedalam, tanya ke si kokoh dan anak buahnya, ternyata masalahnya adalah, system windows (yang notabene diatur ama registry) dihantam ama si virus, akibatnya konfigurasi system jadi kacau, ya efeknya banyak, regedit mati, explorer kacau, IE juga iikut2an, mouse juga… (tau sendiri khan windows otak dan syarafnya ada disitu, kalo situnya sakit, bisa jadi gila systemnya).

Hmm.. akhirnya sampai rumah, ngga bisa tidur, jadi pengen buat tulisan ttg masalah ini, sebenarnya awal pengen buat tulisan ttg inotifynya kernel, karena fitur ini begitu mengasyikan… tp karena ini lebih emergency , ya udah kita bahas topik virus ini saja

ok kita lihat masalah utamanya ada pada registry setelah masalah registry beres kita hapus virusnya dan semua file yang terinfeksi.

1.Mengakses registry (file konfigurasi windows) dari Linux
Untuk mengakses file konfigurasi registry windows dari linux sebenarnya ngga terlalu susah, kita dapat melakukannya dengan menggunakan chntpw

saya lebih suka cara ini… karena lebih mengasyikan..

untuk mengakses partisi windows yang telah terinfeksi, kita membutuhkan distribusi linux yang livecd, jika memilih distribusi yang lain pastikan kernel support pembacaan filesystem NTFS

Setelah medapatkan cd linux favorite, jalankan komputer dengan 1st booting ke cd. Setelah masuk, coba untuk melakukan mount ke dalam filesystem windows nya.

Sebelum lanjut lebih jauh, perlu diketahui terlebih dahulu dimana Windows menyimpan semua konfigurasi sistem dan registry nya. File-file yang berhubungan dengan system dan registry disimpan di dalam folder

/windows/system32/config

di dalamnya terdapat beberapa file yang biasa disebut dengan hive, dimana di dalam file-file tersebut tersimpan konfigurasi windows.Berikut adalah daftar hive pada sistem windows

Registry Key Name Hive Filename
HKEY_CURRENT_USER NTuser.dat
HKEY_LOCAL_MACHINE\SAM SAM
HKEY_LOCAL_MACHINE\SECURITY SECURITY
HKEY_LOCAL_MACHINE\SOFTWARE SOFTWARE
HKEY_LOCAL_MACHINE\SYSTEM SYSTEM
HKEY_USERS\DEFAULT DEFAULT

setelah berada di dalam folder ini, jalankan chntpw. Untuk mengetahui perintah dan fitur apa saja yang ada pada chntpw, silakan rujuk pada manual pages nya.Disini kita coba bahas permukaannya saja.Jika kita ingin mengakses alamat registry, sebagai contoh;

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Themes

maka hal yang perlu dilakukan adalah

Perhatikanlah, ada di hive mana alamat registry yang akan diakses, pada contoh diatas, terletak pada SYSTEM (HKEY_LOCAL_MACHINE\SYSTEM), selanjutnya ketik

#chntpw -e SYSTEM

pada prompt berikutnya bisa kita ketikan ? untuk melihat perintah apa saja yang dapat dieksekusi, biasanya perintah yang paling sering digunakan adalah

cd
dir
cat
ed

sekarang ketikan dir, untuk melihat sub direktori key yang ada di dalam hive SYSTEM.berikutnya adalah mengakses konfigurasi CurrentControlSet, karena directori tersebut lebih dari satu, maka kita perlu ketahui direktori subkey mana yang digunakan, untuk mengetahuinya kita dapat melihatnya pada konfigurasi key di dalam direktori Select, untuk itu ketikan perintah

cd Select

selanjutnya masuklah ke subkey Current dan lihatlah berapa nilai yang ada pada subkey tersebut, ditempat saya tertulis 1, baiklah maka kita ketahui bahwa kita akan mengakses CurrenControlSet001 key

cd..
cd CurrentControlSet001

sekarang ketik

dir

yang akan menampilkan semua subkey yang ada di dalamnya.Misal kita ingin merubah key Start, maka yang perlu dilakukan adalah

ed Start

selanjutnya ketikan nilai yang akan diisi pada prompt yang muncul, tekan enter. Dan utnuk memverifikasi nilai, apakah sudah terisi 4 atau tidak gunakan perintah

cat Start

Setelah selesai, ketikan

q

dan pilih y untuk meng apply perubahan.Restart, dan masuk Windows, Lalu bagaimana jika digunakan untuk menghapus virus dari Linux???

baiklah ambil contoh virus Sholat (Walaupun saya senang dengan aplikasi ini (kenapa aplikasi dan bukan virus?? krn dia tidak merusak))

Setelah saya kasih pengantar mengkases dan mengedit registry windows dari Linux, berikut adalah registry key yangberhubungan dengan virus Sholat

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run, windowsapp

HKLM, SYSTEM\CurrentControlSet\Services\4LLI

HKLM, SYSTEM\ControlSet001\Services\4LLI

HKLM, SYSTEM\ControlSet002\Services\4LLI

HKLM, SYSTEM\ControlSet003\Services\4LLI

silahkan di hapus (bagaimana caranya??? baca manualnya), selanjutnya adalah menghapus file-file yang berhubungan dengan virus,

untuk variant a

~ C:\explorer.exe (file ini akan dibuat disetiap drive)

~ C:\WINDOWS\windowsapp.exe

~ C:\Documents and Settings\%user%\My Documents\explorer.exe

~ C:\Windows\Yoosa.a

Ingat, file induk yang digunakan ber-icon windows explorer dengan size 56 Kb.

untuk variant b

~ C:\explorer.exe (file ini akan dibuat disetiap drive)

~ C:\WINDOWS\windowsmp.exe

~ C:\WINDOWS\system32\init.exe (64 KB)

~ C:\WINDOWS\Yoos.b

bagaimana cara mengapusnya??? baca manual rm.

setelah selesai, silahkan masuk ke dalam windows lagi dan perhatikan apa virus masih berjalan, semoga sukses… (fuihh akhirnya selesai juga.. memang Linux is life saver)… selanjutnya bermain dengan modul kernel inotify… pasti mengasyikan

apakah windows bs menyelamatkan Linux spt ini yach????