Sality, Virus Komputer Paling Merepotkan di Indonesia

Jakarta - Conficker boleh saja dikatakan sebagai worm nomor satu di Indonesia, namun untuk predikat virus yang paling merepotkan dan paling banyak ditemui di Indonesia layaknya pantas disandang oleh Sality.

Demikian pandangan perusahaan sekuriti Vaksincom menanggapi gelombang serbuan virus yang disinyalir berasal dari Taiwan atau China ini di Tanah Air.

Dijelaskan analis virus dari Vaksincom, Adang Jauhar Taufik, ukuran file yang sudah terinfeksi W32/Sality.AE akan bertambah besar beberapa KB dan masih dapat dijalankan seperti biasa.

Namun, biasanya virus ini akan mencoba untuk memblok program antivirus atau removal tools saat dijalankan serta mencoba untuk memblok task manager atau registry editor Windows.

"Sementara untuk mempermudah dalam proses penyebarannya, selain memanfaatkan file sharing dan default share, virus ini juga akan memanfaatkan media flash disk dengan cara membuat file acak yang mempunyai ekstensi exe/com/scr/pif serta menambahkan file autorun.inf yang memungkinkan virus dapat aktif secara otomatis setiap kali user mengakses flash disk," ujarnya kepada detikINET, Rabu (4/3/2009).

Selain mematikan proses antivirus, lanjut Adang, Sality juga akan berupaya untuk memblok agar user tidak dapat mengakses web dari beberapa antivirus serta akan mencoba untuk mengubah beberapa string registry Windows Firewall.

Tak cuma itu virus ini juga akan menghapus key HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ALG.

ALG atau Application Layer Gateway Service adalah services yang memberikan support untuk plug-in protokol aplikasi dan meng-enable konektivitas jaringan/protokol. Service ini boleh saja dimatikan.

"Dampaknya adalah program seperti MSN Messenger dan Windows Messenger tidak akan berfungsi. Service ini bisa dijalankan, tetapi hanya jika menggunakan firewall, baik firewall bawaan Windows atau firewall lain. Jika tidak komputer yang terinfeksi virus ini akan mengalami celah keamanan yang serius," tukas Adang.

Tujuan Sality

Tujuan utama dari virus ini adalah mencoba untuk menginjeksi program instalasi dan file yang mempunyai ekstensi exe/com/scr yang ada di drive C - Y terutama file hasil instalasi (file yang berada di direktori C:\Program Files ) dan file-file portable (file yang langsung dapat dijalankan tanpa perlu instal).

File yang berhasil diinjeksi biasanya ukurannya akan bertambah sekitar 68-80 KB dari ukuran semula. Program yang telah terinfeksi ini akan tetap dapat dijalankan seperti biasa sehingga user tidak curiga bahwa file tersebut sebenarnya telah diinfeksi oleh W32/Sality.AE.

"Salah satu kecanggihan Sality adalah kemampuannya menginjeksi file tumpangannya sehingga ukuran file bervirus tidak seragam, jelas lebih sulit diidentifikasi dibandingkan virus lain yang menggantikan file yang ada sehingga ukuran filenya akan sama besar," pungkas Adang.

( ash / wsh )

Tetap update informasi di manapun dengan http://m.detik.com dari browser ponsel anda!