Sejak pertama ditemukan virus telah mengalami perkembangan teknologi yang
cukup besar, demikian juga program Antivirus yang ada. Sayangnya
perkembangan Antivirus biasanya hanya mengejar perkembangan virus dan
bukan berusaha mendahuluinya. Antivirus yang ketinggalan (teknologinya)
justru dapat mengundang bahaya bagi pemakai.
Ketika virus-virus berhasil dideteksi keberadaannya, virus-virus yang baru selalu
bermunculan dengan teknologi yang lebih canggih yang membuat antivirus
menjadi tak berdaya . Antivirus yang lama misalnya, selalu dapat di-’tipu’
dengan teknologi stealth, dengan demikian ketika antivirus ini berusaha
mendeteksi file-file yang lain, virus yang stealth tadi justru menyebarkan
dirinya ke setiap file yang diperiksa.
Di berbagai majalah tentunya Anda sering melihat adanya program-program
antivirus ” satuan ” (spesifik) yang tujuannya untuk mendeteksi satu jenis
virus. Biasanya para pembuat antivirus tidak memberitahukan cara-cara yang
benar untuk menggunakan program antivirus ini, padahal antivirus spesifik
memiliki risiko yang besar jika tidak digunakan secara benar.
Antivirus spesifik hanya mampu mendeteksi satu jenis virus (dan mungkin
beberapa variannya) dan biasanya mampu melumpuhkan virus di memori. Jika
Anda menemukan suatu virus dan Anda yakin nama virusnya Anda bisa
menggunakan Antivirus semacam ini, namun jika Anda tidak tahu, sebaiknya
jangan coba-coba. Jika ternyata virus yang aktif adalah virus lain, yang
tentunya tidak terdeteksi oleh antivirus ini, maka antivirus tersebut justru
dapat menyebarkan virus yang ada ke seluruh file program yang diperiksanya.
Bahaya yang lebih menakutkan adalah jika antivirus salah mendeteksi suatu
virus dan salah membersihkannya sehingga file program yang Anda coba untuk
perbaiki justru menjadi rusak. Kejadian ini pernah terjadi misalnya pada kasus
virus DenHard, virus ini benar-benar mirip dengan die hard, namun virus ini
menggunakan teknik yang berbeda untuk mengembalikan header file yang asli,
beberapa antivirus yang berusaha membersihkannya justru merusakkan file
program tempat virus itu berada. Selain terjadi pada kasus virus DenHard,
kasus inipun pernah (dan mungkin masih akan terus) terjadi pada beberapa
virus. Salah satu alasan para pembuat virus membuat virus yang mirip adalah
supaya virus tersebut sulit dibersihkan, karena para pembuat antivirus tidak
suka jika virusnya dapat dengan mudah dibersihkan oleh user.
SUMBER BAHAYA PROGRAM ANTIVIRUS
Program Antivirus bisa berbahaya karena sebab-sebab berikut:
• Beberapa program antivirus hanya menggunakan teknik sederhana yang
bisa dengan mudah di-tipu oleh pembuat virus Misalnya program
antivirus hanya memeriksa beberapa byte di awal virus, pembuat virus
bisa saja membuat virus versi lain yang sama di bagian awal tetapi
berbeda di bagian-bagian yang penting, misalnya di rutin
enkripsi/dekripsi header file asli. Ini akan membuat program antivirus
menjadi perusak file bukan penyelamat file. Beberapa antivirus juga
dapat di tipu dengan mengubah-ubah file signature antivirus. File
signature merupakan file yang berisi ID dari setiap virus yang dikenal
oleh antivirus, jika ID tersebut di ubah maka antivirus tidak akan
mengenalnya. Antivirus yang baik seharusnya dapat memeriksa jika file
signature-nya berubah.
• Program Antivirus tidak membuat backup file yang dibersihkan. Sering
program antivirus (terutama yang spesifik) tidak menyediakan sarana
untuk membuat backup file yang dibersihkan, padahal ini sangat penting
andaikata proses pembersihan gagal.
• Program Antivirus tidak melakukan self check. Self check itu perlu,
program antivirus dapat saja diubah oleh orang lain sebelum sampai ke
tangan pengguna. Program-program antivirus komersial biasanya
melakukan self check untuk memastikan dirinya tidak diubah oleh
siapapun, namun ada juga yang tidak dan ini berbahaya. Pada programprogram
antivirus lokal, yang sering disertakan pada beberapa artikel
komputer, biasanya menyertakan source code-nya, sebaiknya Anda
mengcompile sendiri source tersebut jika Anda ragu pada keaslian file
exe-nya.
• Program Antivirus residen bisa di matikan dengan mudah Antivirus
residen yang baik seharusnya tidak bisa dideteksi dan di uninstall dengan
mudah. Contoh antivirus residen yang kurang baik adalah VSAFE (ada di
paket DOS). VSAFE bisa dideteksi dan dimatikan dengan menggunakan
interrupt (coba Anda pelajari/debug program vsafe yang ada di DOS agar
Anda mengerti). Pemakai akan mendapatkan rasa aman yang palsu
dengan menggunakan antivirus semacam ini. Tidak ada rasa aman justru
lebih baik dari rasa aman yang palsu.
• Program antivirus tidak memberi peringatan kadaluarsa. Seiring dengan
berjalannya waktu, virus-virus yang bermunculan semakin banyak dan
tekniknya semakin canggih. Program antivirus yang baik sebaiknya
memberi peringatan jika Antivirus yang digunakan sudah terlalu out of
date. Ini penting supaya kejadian antivirus yang menyebarkan virus tidak
terulang.
INILAH YANG PERLU ANDA LAKUKAN SEBAGAI PENGGUNA
Sebagai pengguna program antivirus ada beberapa hal yang bisa Anda lakukan
untuk meminimalkan risiko penggunaan antivirus
1. Carilah antivirus yang baik, baik di sini artinya program tersebut dapat
dipercaya untuk mendeteksi dan membasmi berbagai virus yang ada.
Jangan terbuai dengan janji-janji yang ditawarkan para vendor antivirus,
dan jangan terbuai juga dengan nama merk yang cukup terkenal.
Cobalah cari perbandingan antara berbagai antivirus di berbagai majalah
/ situs di internet.
2. Gunakan selalu Antivirus terbaru, Anda bisa mendapatkannya dari
Internet atau dari beberapa majalah. Antivirus yang lama memiliki risiko
yang besar jika digunakan (lebih dari 6 bulan sudah sangat berbahaya).
3. Buatlah cadangan untuk data dan program Anda yang penting.
4. Lakukan proses pembersihan virus dengan benar jika Anda menemukan
virus
5. Pastikan program Antivirus yang Anda dapat adalah yang asli, ada
kemungkinan seseorang telah mengubah antivirus tersebut, atau
mungkin menularinya dengan suatu virus.
6. Hubungi ahlinya jika Anda merasa tidak dapat mengatasi virus di
komputer atau jaringan Anda.
Langkah proses pembersihan yang baik adalah sebagai berikut:
Jika Anda menjalankan komputer pribadi
1. Boot komputer Anda dengan disket startup yang bersih dari virus (dan di
write protect)
2. Jalankan program virus scanner/cleaner pada sebuah file yang terinfeksi
3. Coba jalankan file tersebut, jika file tersebut menjadi rusak, jangan
teruskan lagi
4. Jika program dapat berjalan lancar, cobakan sekali lagi pada beberapa
file (cari yang ukurannya kecil, yang sedang dan yang besar). File yang
ukurannya besar perlu di-check, biasanya file ini mengandung internal
overlay yang membuat filenya rusak jika terkena virus.
Jika Anda adalah Admin jaringan, sebaiknya Anda mengambil sampel virus ke
disket dan mencoba untuk membersihkannya di komputer lain, ini dilakukan
untuk tidak mengganggu pekerjaan yang mungkin sedang dilakukan oleh orang
lain. Hal ini juga untuk mengantisipasi, kemungkinan adanya virus baru yang
mirip dengan virus lain (bayangkan apa jadinya jika terjadi salah pembersihan
sehingga seluruh program di jaringan menjadi tidak bisa dipakai!). Jika gagal
dibersihkan Anda perlu memanggil ahlinya untuk menangani, atau mencari
informasi lebih lanjut di Internet. Percobaan pada beberapa file tujuannya
untuk mencegah salah deteksi dan atau salah perbaikan oleh program antivirus.
Jika virus dianggap berbahaya dan aktivitas menggunakan jaringan bisa ditunda
sementara, mungkin untuk sementara jaringan dimatikan.
SEBAGAI PROGRAMMER INI YANG PERLU ANDA LAKUKAN
Saat ini untuk menjadi programmer antivirus yang baik tidaklah mudah, Anda
perlu tahu teknik-teknik pemrograman virus yang setiap hari semakin
bertambah sulit. Program antivirus yang Anda buat sebaiknya juga mengikuti
perkembangan teknologi virus. Untuk membuat program antivirus yang baik
tidaklah mudah, namun ada beberapa hal yang perlu Anda ingat sebagai
pembuat Antivirus jika Anda ingin program Anda dipakai orang lain, dan tidak
membahayakan orang tersebut
1. Program Anda sebaiknya bisa mematikan virus di memori, dan dapat
memberi peringatan jika ada sesuatu yang aneh di memori komputer
pemakai (misalnya besar base mem kurang dari 640 Kb)
2. Dalam membuat ID virus pilihlah beberapa lokasi, lokasi yang baik adalah
di awal virus dan di bagian penting virus (misalnya di bagian dekripsi
header program asli) ini untuk memastikan tidak ada yang mengubah
lokasi dan sistem enkripsi (jika ada) header program asli.
3. Jika data/header di enkrip, verifikasikan data yang didapat dari
perhitungan, misalnya lihat apakah CS dan IP asli yang di dapat dari
perhitungan masih dalam batas besar file, atau apakah instruksi JMP
pertama di file COM masuk akal (kurang dari panjang file).
4. Buat cadangan file jika file yang dibersihkan dikhawatirkan rusak
5. Lakukan self check di awal program. Jika tidak seluruh bagian program
bisa di self check, bagian ID virus perlu diperiksa apakah berubah atau
tidak (misalnya dengan checksum).
6. Buatlah penjelasan yang jelas tentang cara penggunaan antivirus
7. Jika program hanya dapat dijalankan di DOS periksalah selalu ketika
program dijalankan apakah program tersebut benar-benar berjalan di
DOS
8. Jika ingin membuat program antivirus residen, jangan memakai ID virus
yang tidak terenkripsi di memori, antivirus lain yang tidak mengenal
antivirus Anda tersebut, justru akan menganggap adanya sebuah (atau
beberapa buah) virus aktif di memori. Hal ini bisa terjadi, karena
beberapa antivirus memeriksa seluruh memori terhadap adanya ID virus.
9. Untuk antivirus yang non residen teknik no 8 juga perlu digunakan, ini
perlu agar program antivirus yang lain tidak mengira program ini terkena
virus. Kadang-kadang program juga meninggalkan bekas di memori, yang
mungkin bisa dicurigai oleh antivirus lain sebagai virus. Jika Anda tidak
ingin menerapkan teknik tersebut, Anda bisa menghapus memori
variabel ID virus setelah selesai digunakan.
10.Jika mungkin, untuk virus yang polimorfik gunakan metode heuristic (dan
atau emulasi) untuk men-scan dan teknik emulasi untuk mendekrip, atau
mengembalikan program asli.
Seharusnya 10 hal tersebut cukup, Anda bisa menambahkan sendiri hal tersebut
jika perlu. Misalnya masalah kecepatan scanning dan lain-lain.
Simpulan dan penutup
Kiranya setelah membaca artikel di atas, para pemakai dan programmer
antivirus dapat mendapatkan pengetahuan yang baru mengenai antivirus
komputer. Sebagai pemakai antivirus, Anda harus lebih hati-hati, dan dengan
rajin mengupdate antivirus Anda. Hal ini sangat perlu dilakukan, terutama bagi
Anda yang terhubung ke Internet, sudah banyak virus yang menyebarkan dirinya
lewat e-mail, dan dengan memanfaatkan beberapa bug dari perangkat email
client Anda beberapa virus dapat menyebar tanpa Anda sadari (saat artikel ini
dibuat, ada laporan dari sumber yang terpercaya bahwa ada bug di outlook
yang memungkinkan attachment di eksekusi tanpa diketahui user).
Bagi para programmer antivirus, kiranya Anda tergerak untuk mempelajari lagi
lebih banyak mengenai teknik-teknik virus, dan teknik-teknik untuk
membasminya. Saat ini penulis virus di Indonesia belum terlalu banyak, tapi
nanti ketika muncul berbagai virus dengan teknologi tinggi buatan bangsa
sendiri, tentunya kita harus bisa membasminya (dengan baik dan benar
tentunya), tidakkah kita akan malu, jika harus menggantungkan diri pada
antivirus buatan luar negeri?.
Artikel ini bukanlah artikel yang lengkap mengenai pembuatan program
antivirus yang baik, juga bukan tutorial yang lengkap mengenai penggunaan
antivirus dengan baik dan benar, melainkan hanya sebuah artikel singkat agar
para pemakai dan programmer lebih mewaspadai virus dengan lebih
memperhatikan aspek antivirusnya.
- Blogger Comment
- Facebook Comment
Subscribe to:
Post Comments
(
Atom
)
0 komentar:
Post a Comment