Resiko atau bahaya yang mengancam booting dari USB flashdisk dari infeksi malware / virus. Booting dari flashdisk mempunyai beberapa kelebihan, tapi juga sekaligus mempunyai kelemahan, dimana rentan atau mudah terinfeksi malware, mulai dari virus, worm, trojan dsb. Karena saya sudah menemukan 4 kali kasus flashdisk yang untuk bootable ternyata file autoruns sudah berganti isinya.
Banyak kelebihannya jika proses installasi menggunakan usb flashdisk, tetapi juga tidak sedikit resiko atau bahaya yang mengancam menjadi lebih mudah dan terbuka untuk disusupi malware. Maka sebagai langkah hati-hati, sebaiknya hati-hati jika ingin booting dari flashisk, khususnya file autorun.inf yaitu pada bootable usb flashdisk untuk Hiren’s BootCD dan Windows 7.
File autorun yang asli untuk bootable Windows 7 seharusnya
[Autorun]
open=setup.exe
icon=setup.exe,0Sedangkan untuk Hiren’s BootCD 9.8
[AutoRun]
icon=hbcd\wintools\autorun.exe
open=hbcd\wintools\autorun.exe
action=BootCD WinTools
label=BootCD WinTools
Shell\Option1=BootCD WinTools
Shell\Option1\Command=hbcd\wintools\autorun.exeFile autorun Hiren’s BootCD 13.1
[AutoRun]
icon=HBCD\Wintools\HBCDMenu.exe
label=Hiren's BootCD
Shell\Option1=Hiren's BootCD
Shell\Option1\Command=HBCD\Wintools\HBCDMenu.exeAutorun Hiren’s BootCD 14.0
[AutoRun]
icon=HBCD\HBCDMenu.exe
label=Hiren's BootCD
Shell\Option1=Hiren's BootCD
Shell\Option1\Command=HBCD\HBCDMenu.exeEmpat kasus yang saya temukan, kode yang ada dalam file autorun.inf yang asli sudah berubah, dan perubahan tersebut semua berbeda, tetapi dari bentuk susunannya (pola) sama (berhubung saya bukan ahli pemrograman jadi tidak jelas apa yang dimaksud 
pokoknya urutannya sama gitu). Dari hasil uji laboratorium (biar kayak ahli pemrograman) Avira mencatat sebagai Malware Rce.Gen, sedangkan AVG 9yang sudah lama tidak update menangkap sebagai Worm/AutoRun. Padahal file ekstensi bukan .inf sudah saya ganti txt atau php tetap saja di uber-uber antivirus. Jadinya harus muter-muter untuk membuat sampel yang akan saya jadikan pengisi artikel blog kali ini.
pokoknya urutannya sama gitu). Dari hasil uji laboratorium (biar kayak ahli pemrograman) Avira mencatat sebagai Malware Rce.Gen, sedangkan AVG 9yang sudah lama tidak update menangkap sebagai Worm/AutoRun. Padahal file ekstensi bukan .inf sudah saya ganti txt atau php tetap saja di uber-uber antivirus. Jadinya harus muter-muter untuk membuat sampel yang akan saya jadikan pengisi artikel blog kali ini.Ini kode terakhir yang bersemayam dengan manis dalam file autorun.inf bootable Hiren’s BootCD, sudah ada beberapa tempat yang saya delete dan ubah.
dalam file autorun.inf bootable Hiren’s BootCD, sudah ada beberapa tempat yang saya delete dan ubah.RmNPobOVgqeYerDqnkEqMchLfIcQSKcolGtBSIQtJYxrltenJVGrLyBbfeyHWgDlKRKODBqVlWUpM
WqBNKYpQIeFHAnTQpfJItqKSGsDJfghiIjDNcHMaJVtpUPfSiqlELvEmOOATpOtZGaeVCMZoaWRsgIqxulClk
XRSBDsMOEMockKyKExEUOrHWoRbqGQqUOLlDBRarFKdObdliRsfVJOTbLvHEwtmgabecWxWoLSMOSToacUqmHrMyFiWdUVC
cMmRKUmrJQYTMBscQKQsrLHKGSHTPTUdxTtLdtZgDyMAdQDWTOOUDHSjoKYZcftpBBWOghFvyJpyPyqLV
xreRSppRQctDdxuXIRuINDvqdvEfXKJsgpbqGJecZTVLZdpiQGVDHRoLNILbHtnyOTdWswbuScdpptCidabRUsgUVqmTqIBPY
tjTJeaavVUZsQpGvUlgaoXLxhVvPrySqnZeLWCbnLvSWbZBkByRmbwxCbSqliCLWcpJYDdlooHfbQCDvHgZcErdscBEW
COTSPjigaLXKqjyMeeicnMgXsKSYvNTEPjYbSasxhyXJemhpoDcGFXFuufLSpgOywt
VrutuXNYvSgyunoVakFasuLdIMNdItfkySlsTaGsikKvMOChbeGGPjZixjwM
OgnTZmbedTIvyLDVjmDvxHbJkoAoZLvYbEehwkbUFMiDKHxYQqFgnvoFMBPRAMgSbFP
OgynvwvSbTboEfjvJwxnSiVGyUaBNgFPOANmuuFCovAoueVSNmmFxfgd
sfIDAZByRaUxutPDfBTJQDbcLgQCcdlDGojWHEsnkykkMRJdnlHCwahvHoCiUjFOcGeaFISbRZNaNKPYOBIg
aAAiFyyvCwWTvoSKKwJHCtccnEOiRFAIbSVlEybvnnEbcGTKtgJeSYOs
IutghNdMrVFlwKLRkxOqbFmyJIEaVHJHlfWtOmqbjAmfVhQmlBwWEyasJrqjNuH
sPof
[autorun]
action=Open
icon=%WinDir%\system32\shell32,dll,4
shellexecute=\RECYCLER\S-5-5-45-3753755715-4761168601-300722641-7570\CyeHZEwg,exe
shell\explore\command=\RECYCLER\S-5-5-45-3753755715-4761168601-300722641-7570\CyeHZEwg,exe
USEAUTOPLAY=1
shell\Open\command=\RECYCLER\S-5-5-45-3753755715-4761168601-300722641-7570\CyeHZEwg,exe
PobOVgqeYerDqnkEqMchLfIcQSKcolGtBSIQtJYxrltenJVGrLyBbfeyHWgDlKRKODBqVlWUpM
WqBNKYpQIeFHAnTQpfJItqKSGsDJfghiIjDNcHMaJVtpUPfSiqlELvEmOOATpOtZGaeVCMZoaWRsgIqxulClk
XRSBDsMOEMockKyKExEUOrHWoRbqGQqUOLlDBRarFKdObdliRsfVJOTbLvHEwtmgabecWxWoLSMOSToacUqmHrMyFiWdUVC
cMmRKUmrJQYTMBscQKQsrLHKGSHTPTUdxTtLdtZgDyMAdQDWTOOUDHSjoKYZcftpBBWOghFvyJpyPyqLV
xreRSppRQctDdxuXIRuINDvqdvEfXKJsgpbqGJecZTVLZdpiQGVDHRoLNILbHtnyOTdWswbuScdpptCidabRUsgUVqmTqIBPY
tjTJeaavVUZsQpGvUlgaoXLxhVvPrySqnZeLWCbnLvSWbZBkByRmbwxCbSqliCLWcpJYDdlooHfbQCDvHgZcErdscBEW
COTSPjigaLXKqjyMeeicnMgXsKSYvNTEPjYbSasxhyXJemhpoDcGFXFuufLSpgOywt
VrutuXNYvSgyunoVakFasuLdIMNdItfkySlsTaGsikKvMOChbeGGPjZixjwM
IutghNdMrVFlwKLRkxOqbFmyJIEaVHJHlfWtOmqbjAmfVhQmlBwWEyasJrqjNuH
sPofMaaf, kode yang ditampilkan cuma sekitar 2.080 karakter. Kode yang tidak dicantumkan ada separuh lebih, karena kalau semua ditampilkan memperpanjang artikel, padahal cuma kode-kode yang ga jelas , totalnya saja ada sekitar 9.400 karakter. Dan ektensi exe dan dll saya ganti jadi koma, harusnya titik 
Dari penulisan kode tersebut jelas sekali pola kerjanya, khususnya bagi saya untuk memahaminya perlu 3 mangkok bakso tanpa kuah dan sendok
, totalnya saja ada sekitar 9.400 karakter. Dan ektensi exe dan dll saya ganti jadi koma, harusnya titik Dari penulisan kode tersebut jelas sekali pola kerjanya, khususnya bagi saya untuk memahaminya perlu 3 mangkok bakso tanpa kuah dan sendok
Tips antisipasi bootable terkena malware, beberapa hal yang saya lakukan :
- Cek isi file autorun.inf, jika masih asli, membuat backup dengan cara kompres menggunakan program Winrar atau 7-zip yang dipassword
- Tampilkan dahulu hidden files and folder. Selanjutnya block semua file bootable, kemudian klik kanan, pilih Properties, catat saja jumlah file dan kapasitasnya. Jika setelah pemakaian ternyata ada perubahan, WASPADALAH dan patut dicurigai.
Karena pada bootable Windows 7 dan Windows XP saya beberapa kali ada penambahan 7 dan 8 file yang tidak tahu filenya. Daripada bermasalah, saya format dan install ulang. - Sebelum dipakai, cek terlebih dahulu isi bootable-nya, adakah perubahan pada autorun.inf dan jumlah file & kapasitasnya (termasuk yang hidden kalau ada). Kalau ditemukan perubahan, JANGAN dulu dipakai, sebaiknya pelajari dahulu dimana letak perubahannya.
Setidaknya beberapa hal itu yang saya lakukan, agar file system atau data dalam komputer tetap bebas dari malware. Jangan sampai tujuan kita membuat backup Windows e e ternyata malah disusupi malware yang tentunya akan mendatangkan masalah.
Konklusi: installasi bootable usb flashdisk mudah terinfeksi malware, mempunyai resiko atau bahaya yang lebih rentan, khususnya file autorun. Maka berhati-hati dalam pemakaiannya, salah satu cara yaitu rutinitas untuk cek file installasi yang ada dalam flashdisk. Demikian saja, semoga ada manfaatnya, maaf dan terima kasih, kepareng…
bro.. itu bukan virus..
ReplyDelete