Mengenal lebih dekat AUTORUN.INF

November 4, 2008

Mungkin sebagian besar kita sudah mengetahui apa itu Autorun.inf, tetapi saya yakin masih banyak juga yang belum tahu atau masih kurang tepat memahami tentang file autorun.inf ini. Hal ini terbukti masih sering kita dengan orang bertanya tentang virus Autorun.Inf, bagaimana cara menghapusnya dan lain-lainnya.
Kali ini akan dibahas sedikit lebih dalam mengenai Autorun.inf, semoga yang sudah tahu semakin tahu dan yang belum tahu mulai sedikit paham tentang autorun.inf, baik struktur yang ada didalamnya, manfaat, bahaya dan cara mematikan autorun.inf.
Autorun atau autoplay merupakan fasilitas di sistem operasi yang berfungsi menjalankan file secara otomatis ketika media seperti CD-ROM, DVD-ROM, Flash disk dan lainnya di masukkan/pasang di komputer. Sehingga ketika berbagai media tersebut dimasukkan, tanpa kita menjalankan apapun, ada program yang akan otomatis berjalan sendiri. Fitur ini biasa dimanfaatkan dalam CD Driver yang disertakan ketika membeli motherboard / VGA. Tetapi saat ini tidak dipungkiri malah dimanfaatkan sebagai media penyebar virus, terutama melalui flashdisk. Apalagi dengan penggunaan flashdisk yang sudah seperti jamur di musim hujan..
Sedangkan file Autorun.inf sendiri merupakan file yang berisi instruksi tertentu, tentang apa yang otomatis dijalankan ketika media seperti flashdisk/CD dimasukkan ke komputer. Instruksi ini dapat berupa perintah untuk menjalankan file exe.
STRUKTUR AUTORUN.INF
Autorun.inf hanya berupa text file biasa dan bisa dibuka dengan text editor seperti notepad. Ada baris-baris kode yang umum dijumpai didalamnya. Sebenarnya ada beberapa bagian (Key) yang bisa ditulis di autorun, yaitu [Autorun], [Content], [ExclusiveContentPaths], [IgnoreContentPaths], dan [DeviceInstall]. Disini hanya akan dibahas beberapa struktur [Autorun] saja, karena memang ini yang sering kita lihat ( selengkapnya bisa di baca disini )
Open
Perintah ini akan otomatis menjalankan file exe yang ada. Misalnya sebagai berikut
Open=setup.exe ( akan menjalankan file setup.exe yang berada satu direktory dengan autorun /root direktory)
Open=virus\inivirus.exe (akan menjalankan file inivius.exe yang ada di folder virus)
action
Untuk menampilkan nama/pesan ketika muncul Autoplay dialog.
shellexecute
Hampir sama dengan perintah Open, tetapi bisa juga untuk selain file exe, termasuk link website dan bisa ditambah dengan parameter sesudah nama file.
icon
Untuk memberi icon di media yang dipakai (yang berisi autorun.inf). Bisa menggunakan file .ico, .exe .dll maupun .bmp. Contohnya :
icon=MyProg.exe,1
icon=myicon.ico
label
untuk memberi label (nama) pada media yang digunakan (nama drive CD-ROM atau flashdisk yang berisi autorun.inf tersebut.
label=Flashdisk Hebat

shell
Untuk menampilkan menu ketika klik kanan drive yang bersangkutan. Misalnya contoh berikut :
shell\menu baru=buka file contoh
shell\menu-baru\command=notepad “file-contoh.txt”
shell=menu baru
dengan kode diatas, maka ketika kita klik kanan drive-nya akan muncul menu “buka file contoh”. jika baris pertama dihilangkan maka menunya “menu baru”. dan ketika menu tersebut di klik akan dijalankan notepad dengan membuka file “file-contoh.txt”. Jadi ketika baris kode tersebut saling berhubungan. Jika baris 1 da 3 sama-sama digunakan maka baris 3 akan diabaikan.
Selanjutnya ketika fasilitas Autorun di hilangkan / di non aktifkan, maka program di open dan shellexecute tidak akan berjalan secara otomatis. Tetapi label, icon dan menu klik kanan tetap akan tampil. Agar lebih aman, maka kita bisa me-nonaktifkan fasilitas Autorun ini. bagaimana caranya ? Berikut penjelasannya :
Berbagai cara Me-nonaktifkan fasilitas Autorun di Windows
·    Menekan dan menahan tombol Shift ketika kita memasang/memasukkan Flashdisk/CD-ROM ( tidak berjalan di windows Vista).
·    Me-nonaktifkan melalui Registry
·    Memanfaatkan fasilitas gpedit.msc
Me-nonaktifkan Autorun melalui Registry
1.    Buka Registry Editor, Start Menu > Run, ketikkan Regedit
2.    Buka Key berikut : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
3.    Jika ada Key NoDriveTypeAutoRun, maka double klik dan isi nilainya dengan salah satu nilai berikut :

Decimal    Hexadecimal    Efek yang dihasilkan
181     b5     Autorun tidak berjalan sama ekali untuk semua media
149    95    Autorun hanya aktif untuk CD-ROM / DVD-ROM
177    b1     Autorun hanya aktif untuk flash drive (flashdisk dan sejenisnya)
145    91    Autorun aktif untuk semua media
4.    Jika Key NoDriveTypeAutoRun tidak ada maka buak dengan cara klik kanan, pilih New > Binary Value. Kemudian beri nama NoDriveTypeAutoRun, dan isi nilainya ( double klik) dengan nilai diatas.
5.    Langkah diatas hanya berefek di User yang bersangkutan. Agar berefek di semua pengguna komputer, lakukan hal yang sama untuk Key : HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\
Jika masih menggunakan Win 9x/ME maka caranya sedikit berbeda. Selengkapnya bisa dibaca artikel disini. Lebih jauh tentang caranya bisa dibaca juga artikel berikut : Mencegah virus menular melalui Flashdisk
Memanfaatkan fasilitas gpedit.msc
Ini bisa dilakukan untuk pengguna Windows 2000, Server 2003 dan Windows XP Professional, langkah-langkahnya sebagai berikut :
1.    Dari Start Menu > Run, ketikkan gpedit.msc lalu klik OK.
2.    Pilih Computer Configuration > Administrative Template dan klik System
3.    Di panel Settings, klik kanan Turn off Autoplay dan klik Properties ( di windows 2000, namanya Disable Autoplay)
4.    Klik Enabled kemudian pilih All drives di box Turn off Autoplay untuk mematikan fasilitas autorun di semua drive.
5.    Klik OK, dan tutup window dialog tersebut.
6.    Restart Komputer.
Untuk Pengguna Windows Vista, caranya sebagai berikut :
1.    Dari Start Menu ketikkan Gpedit.msc di box Start Search lalu tekan enter ( mungkin akan di tampilkan perintah untuk memasukkan password administrator)
2.    Di bagian Computer Configuration pilih Administrative Templates lalu pilih lagi Windows Components klik Autoplay Policies
3.    Di panel Details, double klik Turn off Autoplay
4.    Klik Enabled dan pilih All drives di box Turn off Autoplay untuk me-nonaktifkan Autorun di semua drive.
5.    Restart Komputer.
Jika cara diatas tidak berhasil menon aktfkan autorun, maka kemungkinan perlu download update sesuai dengan versi windows yang digunakan. Detailnya sebagai berikut :
·    Windows XP SP2 dan SP3 (KB950582)
·    Windows Server 2003 Itanium-based Systems (KB950582)
·    Windows Server 2003 x64 Edition (KB950582)
·    Windows Server 2003 (KB950582)
·    Windows XP x64 Edition (KB950582)
·    Windows 2000 (KB950582)

Advertisements

Tips mendeteksi keberadaan Virus

November 2, 2008

Tips ini mungkin bermanfaat, terutama disaat komputer kita atau teman kita kok tiba-tiba “aneh”. Ada beberapa indikasi yang mungkin bisa dijadikan dasar untuk memperkirakan apakah komputer kita terinfeksi virus ( Untuk Sistem Operasi Windows ), diantaranya :
·    Komputer mulai berjalan sangat lambat, ini juga bisa terjadi karena banyaknya program yang kita install dan berjalan di background
·    Munculnya file-file aneh di folder tertentu. Misalnya file yang bernama sama dengan file dokumen atau nama folder
·    Komputer sering restart atau mati sendiri sewaktu-waktu atau kita membuka program khusus seperti Task Manager, anti virus dan lainnya
·    Adanya logo tertentu jika kita klik kanan My Computer > Properties
·    Hilangnya beberapa opsi di komputer atau program tidak bisa berjalan, seperti tidak bisa membuka Folder Options atau menunya hilang, tidak bisa menjalankan Registry Editor, Membuka kotak Run, Command Prompt dan lainnya
·    Program Anti virus dan sejenisnya tidak bisa berjalan
·    Terkadang muncul pesan-pesan aneh seperti puisi dan sejenisnya

Jika komputer anda mengalami beberapa indikasi diatas, berikut tips untuk mencari lokasi virus yang kemungkinan menyerang komputer kita.

Sebelumnya ada tools/program yang diperlukan, yaitu Autoruns yang merupakan merupakan bagian dari tools SysinternalsSuit Selengkapnya juga bisa dilihat disini atau bisa juga dibaca Artikel ini, tentang cara memperolehnya.

Untuk melakukan pengecekan, pertama-tama silahkan dibuka program Autoruns
, kemudian pilih tab Logon. Daftar yang ditampilkan merupakan file-file atau program yang berjalan bersama Windows ketika kita mengaktifkan komputer. Jika ada file-file yang aneh atau tidak penting maka bisa di non aktifkan, dengan menghilangkan tanda check. Tetapi hati-hati, jangan salah menonaktifkan program, karena bisa berakibat Windows tidak berhasil hidup. Berikut beberapa daftar yang merupakan program atau aplikasi yang dimiliki Windows dan sebaiknya tetap dibiarkan, jangan dihilangkan tanda checknya :
·    rdpclip, merupakan aplikasi utama yang menangani masalah Copy File. Menyediakan fungsi bagi Terminal Services server yang mengijinkan copy dan paste antara server dan client. Program is important penting untuk kestabilan dan keamanan komputer, jadi biarkan saja
·    userinit, merupakan kunci proses di sistem operasi Windows. Pada proses boot-up aplikasi ini mengatur urutan start up yang diperlukan, seperti Koneksi jaringan, dan Windows Shell. Program ini sangat penting, jangan dimatikan
·    explorer, merupakan program manager atau Windows Explorer. Aplikasi ini mengatur Tampilan Windows, Start Menu, taskbar, DEsktop dan File Manager. Jika dimatikan maka tampilan/antarmuka windows tidak akan muncul.
·    ctfmon, merupakan proses aplikasi yang dimiliki Microsoft Office, mengatur masalah Alternative User Input Text Input Processor (TIP) dan Microsoft Office XP Language Bar. Program ini tidak harus jalan, tetapi sebaiknya tidak dimatikan.

Ketiga file pertama merupakan aplikasi yang biasanya senantiasa ada di sistem operasi windows ( kecuali windows 9x / ME, yang mungkin hanya userinit dan explorer), dan seharusnya dibiarkan saja, sedang aplikasi keempat muncul jika terdapat aplikasi Microsoft Office di sistem. Dan penting diperhatikan bahwa dua aplikasi pertama diatas ( rdpclip dan userinit ) lokasinya ( kolom Image Path ) ada di C:\Windows\sistem32, aplikasi explorer ada di folder C:\Windows, sedang ctfmon ada di folder C:\Windows\sistem32, dengan asumsi kita install Sistem operasi di Drive C:. Selain keempat file diatas, bisa dicermati lokasi filenya dikolom Image Path, Apakah file tersebut merupakan anti virus, anti spyware, Sound manager, tools untuk printer dan sebagainya. Jika ada aplikasi yang lokasinya di tempat aneh atau di windows system, tetapi kita tidak mengenalinya atau tidak pernah menginstall aplikasi tersebut, bisa jadi merupakan virus.

Ada beberapa hal ketika kita mencermati daftar yang ada dalam Autoruns tersebut. Terkadang virus, Trojan, Malware dan sejenisnya akan menggunakan nama yang sama atau mirip dengan aplikasi yang dimiliki windows seperti explorer, expiorer, exploler, spooler dan sebagainya, maka perlu dicermati nama dan lokasinya. Misalnya ada nama explorer tetapi lokasinya bukan di C:\Windows, maka bisa jadi adalah virus. Selain itu, jika kita hilangkan tanda check program atau aplikasi tertentu kemudian setelah beberapa waktu di refresh kembali lagi atau muncul lagi, maka kemungkinan besar aplikasi tersebut merupakan salah satu virus.


Mencegah virus menular melalui Flashdisk

October 3, 2008

Dengan penggunaan flashdisk yang sudah umum dimana-mana, menjadi salah satu sebab menjamurnya virus, terutama virus lokal. Ini terlihat sejak masa jayanya virus brontok. Sampai saat ini, saya sering sekali melihat hampir setiap komputer/laptop teman-teman di perkantoran terkena virus, yang terkadang mereka tidak menyadari. Selain Antivirus yang seharusnya senantiasa diupdate minimal seminggu sekali, sebenarnya ada tips yang sangat bermanfaat untuk mencegah menularnya virus dari media seperti flashdisk tanpa kita sadari. Berikut langkah-langkahnya :

1. Buka Registry Editor, dengan cara klik Start Menu > Run dan ketik regedit dan klik OK

2. Cari Lokasi :
KEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

3. Buat key baru ( Klik kanan > New > DWORD Value ) beri nama : NoDriveAutoRun

4. Double klik untuk mengisi nilai ( data ). Pilih Base : Decimal dan isikan Value data dengan nilai 67108863

5. Jika diperlukan, dapat juga menambahkan nilai yang sama di
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

6. Restart Komputer

Dengan penambahan setting ini, maka ketika kita memasang flashdisk, windows tidak akan otomatis menjalankan program autorun yang ada di flashdisk. Untuk lebih jelasnya, artikel ini dapat dicari/dibaca di tutorial Windows Registry Guides.

Settings:

User Key: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
System Key: [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
Name: NoDriveAutoRun
Type: REG_DWORD (DWORD Value)
Value: 32-bit bitmask