Hati-hati, Virus Huhuhaha Bikin Rentan Windows Vista

Windows Vista yang diklaim jauh lebih aman dari Windows XP ternyata menjadi tak berarti saat diserang virus ini. Virus Huhuhaha yang saat ini sedang marak menyebar di Indonesia berhasil menembus salah satu gerbang keamanan Windows Vista sehingga rentan serangan masuk.

Target serangan virus ini adalah UAC (User Account Control), salah satu fitur yang digunakan untuk mencegah program tidak diinginkan berjalan secara otomatis tanpa persetujuan pengguna komputer. Dengan melumpuhkan fungsi ini, komputer tak lagi meminta persetujuan untuk melakukan perintah. Virus ini menyebar melalui USB (Flash maupun Drive) dan dilaporkan telah menyerang sejumlah instansi Pemerintah, BUMN, Perusahaan Swasta, Instansi Pendidikan, serta warnet-warnet di Indonesia. Pembuat virus VBS (visual basic script) ini menamainya virus "HUHUHAHA". Namun, Norman Security Suite mendeteksi varian virus tersebut sebagai VBS/Autorun.AO. Ciri File Virus Virus Huhuhaha dibuat dengan menggunakan bahasa pemrograman VBScript. File virus berukuran 6 kb, dan agar dapat menyebar secara otomatis ia akan membuat file pendamping yaitu "autorun.inf" yang berisi script untuk menjalankan file virus. Jika virus berhasil menginfeksi, ia akan membuat beberapa file virus diantaranya : • autorun.inf (pada semua root drive) • huhuhaha.vbs (pada semua root drive) • C:-WINDOWS-system32-XpWin.vbs Virus juga akan mengcopy file "autorun.inf" dan "huhuhaha.vbs" pada setiap usb (flash/drive) yang ditancapkan/dicolokkan pada komputer yang terinfeksi. Semua file virus tersebut memiliki atribut file RHSA (Read, Hidden, System, Archive), sehingga tidak terlihat jika user tidak memunculkan menu hidden. Gejala/Efek Virus Jika sudah terinfeksi virus huhuhaha, akan menimbulkan gejala/efek berikut : • Memunculkan text virus pada menu "Run". • Menonaktifkan system restore. Hal ini dilakukan agar user tidak dapat mengembalikan setingan system windows kembali seperti sebelum terinfeksi virus ini. • Menambah header text virus pada Internet Explorer. • Disable fungsi UAC (User Account Control) Windows Vista. • Merubah nama registrasi computer dengan text virus. • Menonaktifkan fungsi "safe mode" dan membuat "blue screen" windows. Saat user berusaha masuk melalui fitur safe mode, maka akan muncul blue screen. • Mematikan fungsi Security Center Windows. Fitur ini digunakan untuk memastikan kondisi komputer dari 3 aspek keamanan yaitu Automatic Updates, Firewall dan Software Antivirus. Metode Penyebaran Sama seperti virus lokal lainnya, virus huhuhaha masih menggunakan media USB (flash/drive) sebagai penyebarannya. Virus akan membuat file "autorun.inf" dan "huhuhaha.vbs" pada setiap usb (flash/drive) yang ditancapkan/dicolokkan pada komputer yang terinfeksi. Kedua file tersebut akan aktif secara otomatis dengan hanya mengkases usb (drive/flash) tersebut. Modifikasi Registry Agar dapat aktif saat komputer dijalankan, virus membuat string berikut : • HKEY_LOCAL_MACHINE-SOFTWARE -Microsoft-Windows-CurrentVersion-Run Ageia = C:-WINDOWS-system32-XpWin.vbs • HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Windows-CurrentVersion-Run Systemdir = C:-WINDOWS-huhuhaha.vbs Agar dapat muncul pada menu Run, virus membuat string berikut : • HKEY_CURRENT_USER-Software-Microsoft-Windows-CurrentVersion-RunMRU a = huhuhaha Walau tidak men-disable fungsi windows seperti task manager, folder options, regedit, dll, virus men-disable system restore dengan membuat string berikut : • HKEY_LOCAL_MACHINE-SOFTWARE- Microsoft-Windows NT-CurrentVersion-SystemRestore DisableSR = 1 Serta men-disable fungsi UAC (User Account Control) dengan membuat string berikut : • HKEY_LOCAL_MACHINE-SOFTWARE- Microsoft-Windows-CurrentVersion-Policies-System EnableLUA = 0x00000000 Selain itu, virus menambah caption text pada Internet Explorer dengan membuat string berikut : • HKEY_CURRENT_USER-Software-Microsoft-Internet Explorer-Main Window Title = huhuhaha Kemudian, virus juga merubah registrasi komputerdengan membuat string berikut : • HKEY_LOCAL_MACHINE-SOFTWARE- Microsoft-Windows NT-CurrentVersion RegisteredOrganization = huhuhaha RegisteredOwner = huhuhaha Agar dapat muncul text virus saat login windows, virus membuat string berikut : • HKEY_LOCAL_MACHINE-SOFTWARE- Microsoft-Windows NT-CurrentVersion LegalNoticeCaption = huhuhaha virus LegalNoticeText = huhuhaha Untuk men-disable fungsi safe mode, virus men-"delete" string berikut : • HKEY_LOCAL_MACHINE-SYSTEM-ControlSet001-Control-SafeBoot, AlternateShell • HKEY_LOCAL_MACHINE-SYSTEM-ControlSet002-Control-SafeBoot, AlternateShell • HKEY_LOCAL_MACHINE-SYSTEM-ControlSet003-Control-SafeBoot, AlternateShell • HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet-Control-SafeBoot, AlternateShell Serta men-"delete" key berikut : • HKEY_LOCAL_MACHINE-SYSTEM- CurrentControlSet-Control-SafeBoot-Minimal • HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet-Control-SafeBoot-Network Terakhir, virus berusaha mematikan fungsi Security Center dengan membuat string berikut : • HKEY_LOCAL_MACHINE-SOFTWARE-Microsoft-Security Center AntivirusDisableNotify = 1 FirewallDisableNotify = 1 UpdatesDisableNotify = 1 [Vaksincom]