Sebelum kita mengotak-atik Windows Registry ada baiknya kalau kita tahu sedikit lebih banyak tentang registry dan apa yang bisa diperoleh dengan merubah registry tersebut.
Apa Itu Registry?
Menurut kamus Microsoft edisi ke 5, registry adalah:
Pusat susunan database yang digunakan oleh Windows 9x keatas untuk menyimpan informasi yang digunakan untuk mengkonfigurasi satu atau lebih pengguna, aplikasi, dan perangkat keras.
Informasi dari registry diakses terus oleh Windows untuk mengetahui profil pengguna, aplikasi yang di install di komputer dan dokumen apa yang bisa dibuat oleh aplikasi tersebut, setting dari folder dan icon, perangkat lunak yang dipasang, dan port yang sedang dipakai.
Registry menggantikan hampir semua .ini file yang digunakan oleh konfigurasi Windows 3.x dan MS-DOS, seperti autoexec.bat dan config.sys. Meskipun registry ini seragam di Windows, tapi tiap versi mempunyai perbedaan sendiri.
Apa yang kita peroleh dengan merubah registry? Yang ketahuan kita tidak akan merubah setting untuk hardware. Jadi kita lebih memusatkan untuk merubah cara kerja aplikasi tertentu atau merubah efek visual atau icon.
Susunan Registry
Registry disusun seperti file folder dan subfolder seperti di Windows Explorer. Bedanya folder ini tidak berisi file tetapi pasangan “kunci-tipe-nilai”, seperti: (kunci)SkypePath (tipe)REG_SZ (nilai)C:\Program Files\Skype\Phone\Skype.exe.
Folder: HKEY_CURRENT_USER
Berisi konfigurasi untuk pengguna yang sedang login. Folder, warna screen, dan setting Control Panel juga disimpan disini. Kunci untuk HKEY_CURRENT_USER sering disingkat “HKCU.”
Folder: HKEY_USERS
Berisi profil semua pengguna yang mempunyai akun di sistem. HKEY_CURRENT_USER adalah bagian dari HKEY_USERS. HKEY_USERS sering disingkat “HKU.”
Folder: HKEY_LOCAL_MACHINE
Berisi konfigurai perangkat lunak dan keras (untuk semua pengguna). Singkat: HKLM.
Folder: HKEY_CLASSES_ROOT
Disingkat HKCR, adalah bagian dari HKEY_LOCAL_MACHINE\Software. Informasi disini digunakan untuk meluncurkan aplikasi yang benar jika anda mengklik file di Windows Explorer. Mulai dengan Windows 2000, informasi ini disimpan baik di HKEY_LOCAL_MACHINE dan juga di HKEY_CURRENT_USER.
HKEY_LOCAL_MACHINE\Software\Classes berisi setting default untuk semua pengguna di lokal komputer. HKEY_CURRENT_USER\Software\Classes berisi setting yang meng-override setting default untuk pengguna yang sedang aktif. HKEY_CLASSES_ROOT menggabung informasi dari kedua sumber ini (HKLM dan HCU).
Untuk merubah setting untuk pengguna yang sedang aktif, perubahan harus melalui HKCU\Software\Classes (bukan HKCR). Untuk merubah setting default harus melalui HKLM\Software\Classes. Jika anda menulis kunci dibawah HKCR, sistem akan menyimpan informasi ini di HKLM\Software\Classes. Jika anda menulis nilai dari kunci dibawah HKCR, dan kunci tersebut sudah ada dibawah HKCU\Software\Classes, sistem akan menyimpan informasi ini disini (daripada di HKLM\Software\Classes).
Folder: HKEY_CURRENT_CONFIG
Berisi informasi tentang profil hardware yang digunakan oleh lokal komputer pada saat start. Singkatan: HKCC.
Wuih. . . sudah punyeng belum? Memang mula-mula semua ini kelihatan terlalu rumit. Tapi kita kan sekarang lagi menjelajahi domain yang baru. Bentar lagi kalian jadi ahli registry. Atau kalau mau jalan singkat coba alternatif.
Persiapan
Sebelum merubah registry, sangat dianjurkan untuk membuat back up. Kesalahan merubah registry bisa mengakibatkan Windows untuk berhenti bekerja atau problem dengan hardware. Belajar mengganti registry yang gampang dulu. Setelah tidak kagok baru mencoba yang lebih canggih.
Untuk mem-backup registry, gunakan Registry Editor lalu ke menu File → Export…
Registry Editor
Registry editor (regedit.exe) sudah ada di Windows. Untuk menjalankan:
1. Klik Start
2. Pilih dan klik Run…
3. Ketik: regedit dan klik OK.
Di aplikasi ini ada dua bagan. Bagan kiri terlihat susunan folder seperti Windows Explorer dan disebelah kanan berisi kunci-tipe-nilai. Di bagan kanan, dengan menggunakan klik-kanan, kita bisa menambah kunci baru, merubah nama kunci, tipe, atau nilai, juga menghapus kunci.
Otak-Atik
Merubah registrasi nama dan organisasi:
Jika salah memasukkan nama registrasi waktu menginstall Windows, kita bisa merubah informasi tersebut, termasuk juga ProductID dan ProductName.
Folder [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
RegisteredOwner (nama pemilik)
RegisteredOrganization (nama organisasi)
Menghindari file yang dihapus masuk ke Recycle Bin:
Setiap kali kita menghapus file, file tersebut akan masuk ke Recycle Bin (tempat sampah). Selama file tadi masih di Recycle Bin, kita bisa mengambil balik (undelete). Ada orang yang sangat konfiden (percaya diri sendiri) bahwa dia tidak memerlukan Recycle Bin, nah trik ini untuk dia. Kunci ini tidak ada sebelumnya, jadi harus dibuat baru dengan klik-kanan (New, DWORD Value).
Folder [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\
Explorer]
Name NoRecycleFiles
Type REG_DWORD (DWORD Value)
Data 1 (tidak masuk Recycle Bin)
Catatan Buat baru, setelah itu harus logoff supaya bisa dicoba. Untuk batal, tinggal hapus kunci ini.
Untuk contoh yang lebih banyak bisa cek: PC Tools Software
Alternatif Lain
Merubah setting untuk Windows tidak hanya dengan mengganti registry. Microsoft mengeluarkan PowerToys untuk mempermudah prosesnya. Salah satu aplikasi dari PowerToys adalah TweakUI untuk mengganti default user interface, termasuk setting untuk mouse, Explorer, taskbar, dll.
Ada kalanya registry berisi kunci yang tidak terpakai peninggalan dari aplikasi yang telah di uninstall atau dari sumber lain. Kunci-kunci yang tidak terpakai ini memakan tempat dan memperlambat sistem. Banyak aplikasi untuk membersihkan registry, salah satunya adalah CCleaner, selain gratis, CCleaner juga mendapat rating yang cukup bagus dari C/Net.
Mengatasi Virus KSPOOL
Akhir-akhir ini ada virus yang sering dijumpai / ditemui oleh para pemakai internet di kota Manokwari terutama dari kalangan mahasiswa hal ini dibuktikan dengan hampir isi flashdisk yang digunakan telah terjangkit semacam virus yang dapat merubah extension dari file-file dokumen. Untuk itu mengatasi virus ini kita dapat menggunakan antivirus [B][I]Ansav beta[/I][/B] yang sudah dapat mengatasi virus (lokal) baru ini yakni kspoold yang merubah file dokumen .DOC dan .XLS menjadi .EXE. Paket ini berdiri sendiri (terpisah) karena menurut [B][I]Ansav beta[/I][/B] karena ada permasalahan deadline sehingga tidak bisa dimasukkan ke dalam [B][I]Ansav beta[/I][/B] . Bagi pengguna warnet Flashlink dapat langsung mendapatkan copy-an antivirus ini secara gratis.
BASMI VIRUS TANPA ANTIVIRUS
Caranya gampang siapin aja :
1. Virusnya (kalo gak punya, bisa minta ama warnet2 terdekat hohoho)
2. Hijack Tool
3. Tidak diperlukan keahlian yang amat sangat.
Ternyata virus-virus local emang memiliki ciri yang sangat khas diantaranya mendisablekan run, regedit, task manager, sama search. Untuk brontok penduplikatan diri hanya berbatas penduplikatan file .EXE tapi kalo Romantic Devils lebih canggih, virus ini selain menduplikatkan diri juga mengirimkan string ke registry seiring penduplikatannya itu, tapi cuman butuh 10 menit buatlinnya hohoho.
Oke langsung saja :
1. Aktifin HijackThis
2. Trus cari :
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies,DisableRegedit=1, langsung klik [Fix checked], ini buat balikin fungsi regedit.
Trus Cari yang sekiranya mencurigakan, contoh bron-spizaetus, empty.pif, bronstab.exe. kalo kangen ccapps, kalo romantic devil sysria dll.
3. Sekarang masuk ke regedit (kita belum ngaktifin run, jadi lewat manual ke windows\regedit), trus cari yang aneh-aneh misal kalo brontok cari
values : bron-spizaetus, tok-cirrhatus, dll. Trus langsung hapus bleh
4. Nah buat balikin fungsi yang di matiin (Run, Search, Folder Options) cari di
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer, trus langsung delete aja, atau ubah stringnya jadi (0). Misalnya
NoRun Reg_dword 0×00000000 (1) di ubah jadi NoRun Reg_dword 0×00000000 (0). Arti dari 1 adalah true dan 0 adalah false itu kata dosen COA gw.
5. Kemudian search *.exe, cari yang ukuran filenya sama dan ikon berbentuk folder tanpa dosa (20 kb, 40 kb, 80kb tergantung variantnya). Trus hapus.
6. Sekarang tinggal nunggu virus baru dan siap basmi.
Cara membasmi virus RontokBro (Brontok)
Bagi yang ingin semi-manual bersihinnya dan pingin tau apa itu Brontok, baca dulu artikel di bawah ini:
Pengenalan Virus Brontok
1. Virus ini menyamar sebagai sub folder master contoh : Folder Lucu maka virus ini akan menyamar sebagai sub folder Lucu.
2. Bedakan folder dengan virus, Jika itu bener folder maka folder tersebut tidak memiliki size, jika itu virus maka folder tersebut memiliki size, terus ada extention misal : Lucu.exe dan mempunyai size yang sama 42 KB pada setiap folder (virus). Jangan sekali2x meng-compile (Doble klik folder tersebut), jika itu di lakukan maka akan masuk ke register dan membuat sistem kerja windows mengalami gangguan.
3. Ciri komputer yang sudah terkena virus
- Di windows explorer menu Tools -> Folder Options tidak muncul.
- Jika menjalankan file/perintah tertentu seperti “cmd” maka komputer akan Restart sendiri
- Tidak bisa masuk ke regedit atau msconfig
Pencegahan awal jangan sharing Folder dan jangan asal double klik folder.!! (sumber: v3 boleh.com)
Rontokbro menyerbu Indonesia
Virus Lokal Kelas Dunia yang memiliki SMTP sendiri
Siapa bilang putra Indonesia tidak mampu bersaing dan berkiprah di dunia ? Lihat Teh Botol Sosro, Gudang Garam, Indomie dan Pacekap yang dimiliki oleh putra Indonesia yang menguasai pasar Indonesia dan mulai merambah pasar dunia. Kalau selama ini virus lokal seperti Kangen, Tabaru (Riyani Jangkaru), Lavist atau Kumis yang asli buatan Indonesia dapat digolongkan sebagai virus “kelas 2″ karena penyebarannya mengandalkan UFD (USB Flash Disk) meminjam istilah yang digunakan Tabloid PC Plus 
dan mayoritas menyebar di Indonesia atau Asia Tenggara. Maka kini para pengguna internet Indonesia dan di belahan dunia lain seperti Amerika, Polandia, Spanyol, Jepang, Vietnam, Belanda, Hungaria, Swedia, Peru, Rusia dan Israel juga kebagian aksi virus baru yang diberi nama W32/Rontokbro@mm, sesuai dengan namanya maka anda tahu bahwa virus ini mampu menyebarkan dirinya dengan mass mailing (email massal) dan memupuskan “tradisi” virus lokal yang mengandalkan UFD sebagai sarana penyebaran utamanya. Banyak hal yang mengejutkan dari Rontokbro ini seperti kemampuan rekayasa sosial yang tinggi dan dapat dikatakan berciri asli Indonesia dan pertama kali digunakan oleh virus lokal seperti memalsukan “icon” dirinya sebagai file tidak berdosa baik sebagai file MS Office ataupun sebagai folder, melakukan bloking akses Registry Editor, melakukan restart komputer jika menemukan kata tertentu pada header browser, selektif dalam mengirim email bervirus (guna menghindari deteksi cepat oleh vendor sekuriti) sampai “mengerjai” Host file komputer lokal sehingga akses ke situs sekutiri tertentu menjadi terblokir.
Mengapa Rontokbro
Tentunya anda bertanya, kok namanya susah amat Rontokbro ? Apa maksudnya mengakibatkan komputernya si Bro Rontok ? . Atau apa alasan lain ? Menurut pengamatan teknisi laboratorium virus Vaksincom, ternyata pembuat virus ini mendapatkan ilham membuat virus ini dari satwa langka Indonesia, Elang Brontok yang memiliki nama latin Spizaetus cirrhatus, selain itu rupanya pembuat virus Rontokbro (yang disinyalir berasal dari salah satu universitas pemerintah di Jawa Barat) juga menyebarkan pesan anti korupsi, anti freesex dan anti pencemaran lingkungan dalam email yang dikirimkannya dengan lampiran kangen.exe. Apakah pembuat virus ini sama dengan pembuat Kangen, atau ia hanya membonceng kepopuleran virus Kangen agar dirinya dapat menyebar dengan baik, yang jelas menurut statistik Vaksincom penyebaran Rontokbro saat ini sudah mengalahkan Kangen.
Detail Email yang mengandung virus Rontokbro
Adapun email yang mengandung virus Rontokbro ini memiliki ciri-ciri sebagai berikut :
From: [Dipalsukan]
Subject: kosong
Message:
BRONTOK.A [ By: HVM**-Jowo*** #** Community ]
– Hentikan kebobrokan di negeri ini –
1. Adili Koruptor, Penyelundup, Tukang Suap, Penjudi, & Bandar NARKOBA
( Send to “NUSAKAMBANGAN”)
2. Stop Free Sex, Absorsi, & Prostitusi
3. Stop (pencemaran laut & sungai), pembakaran hutan & perburuan liar.
4. SAY NO TO DRUGS !!!
– KIAMAT SUDAH DEKAT –
Terinspirasi oleh: Elang Brontok (Spizaetus Cirrhatus) yang hampir punah[ By: HVM**-Jowo*** #** Community–
Attachment:
Kangen.exe
Uniknya, rontokbro akan menghindari pengiriman email ke alamat-alamat dengan domain sebagai berikut :
PLASA
TELKOM
INDO
.CO.ID
.GO.ID
.MIL.ID
.SCH.ID
.NET.ID
.OR.ID
.AC.ID
.WEB.ID
.WAR.NET.ID
ASTAGA
GAUL
BOLEH
EMAILKU
SATU
Apa alasan di balik aksinya ini ? Apakah untuk mengurangi lalulintas email lokal atau pembuatnya merasa cukup “pede” dimana penyebaran lokal diserahkan pada UFD sehingga tidak perlu mengandalkan penyebaran via email karena toh penyebaran via warnet jauh lebih efektif dibandingkan melalui email. Yang jelas Rontokbro yang disebarkan ke domain di luar Indonesia mencatat “prestasi” yang cukup baik (untuk ukuran Indonesia) dan berhasil menyebar kenegara lain. Hebatnya lagi, antivirus top tidak mengenali virus ini dan menurut catatan Vaksincom, versi Rontokbro yang dikenali oleh antivirus hanya versi awal W32/Rontokbro.A@mm dan W32/RontokbroB.@mm saja. Padahal varian Rontokbro yang diterima oleh Vaksincom dan dapat dikenali oleh Norman Virus Control sudah sampai varian ke 7 W32/Rontrokbro.G@mm.
Satu kehebatan lain dari Rontokbro adalah kemampuannya untuk mencari SMTP server guna mengirimkan kopi dirinya dan ia juga menggunakan SMTP engine sendiri untuk mengirimkan dirinya pada semua alamat email yang berhasil dikumpulkannya dari komputer yang terinfeksi.
Komputer restart terus menerus
Bagaimana kita bisa mengetahui bahwa komputer sudah terinfeksi Rontokbro ? Selain melakukan beberapa perubahan pada registri yang mengakibatkan pemblokiran pada akses Registry Editor sehingga anda tidak bisa membuka regedit.exe, Rontokbro juga menyebabkan komputer restart terus menerus. Biang keladinya bukan eksploitasi celah keamanan seperti Sasser, melainkan karena Rontokbro melakukan restart pada komputer setiap kali menemukan aplikasi dengan nama :
..
.@
@.
.ASP
.EXE
.HTM
.JS
.PHP
ADMIN
ADOBE
AHNLAB
ALADDIN
ALERT
ALWIL
ANTIGEN
APACHE
APPLICATION
ARCHIEVE
ASDF
ASSOCIATE
AVAST
AVG
AVIRA
BILLING@
BLACK
BLAH
BLEEP
BUILDER
CANON
CENTER
CILLIN
CISCO
CMD.
CNET
COMMAND
COMMAND PROMPT
CONTOH
CONTROL
CRACK
DARK
DATA
DATABASE
DEMO
DETIK
DEVELOP
DOMAIN
DOWNLOAD
ESAFE
ESAVE
ESCAN
EXAMPLE
FEEDBACK
FIREWALL
FOO@
FUCK
FUJITSU
GATEWAY
GOOGLE
GRISOFT
GROUP
HACK
HAURI
HIDDEN
HP.
IBM.
INFO@
INTEL.
KOMPUTER
LINUX
LOG OFF WINDOWS
LOTUS
MACRO
MALWARE
MASTER
MCAFEE
MICRO
MICROSOFT
MOZILLA
MYSQL
NETSCAPE
NETWORK
NEWS
NOD32
NOKIA
NORMAN
NORTON
NOVELL
NVIDIA
OPERA
OVERTURE
PANDA
PATCH
POSTGRE
PROGRAM
PROLAND
PROMPT
PROTECT
PROXY
RECIPIENT
REGISTRY
RELAY
RESPONSE
ROBOT
SCAN
SCRIPT HOST
SEARCH R
SECURE
SECURITY
SEKUR
SENIOR
SERVER
SERVICE
SHUT DOWN
SIEMENS
SMTP
SOFT
SOME
SOPHOS
SOURCE
SPAM
SPERSKY
SUN.
SUPPORT
SYBARI
SYMANTEC
SYSTEM CONFIGURATION
TEST
TREND
TRUST
UPDATE
UTILITY
VAKSIN
VIRUS
W3.
WINDOWS SECURITY.VBS
WWW
XEROX
XXX
YOUR
ZDNET
ZEND
ZOMBIE
dimana tujuan dari aksi ini adalah jelas untuk memproteksi dirinya supaya tidak mudah dibasmi.
Selain itu Rontokbro juga berusaha menyerang website
0 komentar: