Pada key HKEY_CURRENT_ USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load juga akan diubah itemnya agar mengarah ke file induknya dengan nama Activex.exe. Pada HKEY_CURRENT_USER \Software\Microsoft\ Windows\CurrentVersion\Run\akan terdapat item baru dengan nama present. Key HKEY_ LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run\akan terdapat item baru juga dengan nama Default dan %username%, username di sini merupakan nama user yang sedang aktif saat itu.Virus hasil generate dari FFE juga mengubah shell extension untuk file .exe, yakni dengan mengubah type information dari Application menjadi File Folder. Setting-an folder Options juga diubah agar tidak menampilkan extension dan setiap fi le dengan attribut hidden.Dan agar dapat aktif pada safe-mode, ia pun mengubah nilai dari item SafeBoot. Dengan menggunakan bantuan registry Image File Execution Options, virus ini juga menambahkan item baru pada section tersebut dengan nama cmd.exe, msconfi g.exe, regedit.exe, dan taskmgr.exe. Maksudnya adalah agar setiap user yang mengakses program dengan nama file seperti itu, maka akan di-bypass oleh Windows dan dialihkan ke file induk si virus.
Minggu, 04 Oktober 2009
Mengubah Registry
Virus ini menambahkan beberapa item startup pada registry agar pada saat memulai Windows ia dapat running secara otomatis atau untuk mengubah setting-an Windows agar sesuai keinginannya. Informasi mengenai registry yang diubahnya tidak akan dapat dengan mudah kita lihat karena dalam kondisi terenkripsi.Yang ia ubah adalah seperti nilai dari item Userinit, yakni dengan menambahkan parameter ke file induk.
Pada key HKEY_CURRENT_ USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load juga akan diubah itemnya agar mengarah ke file induknya dengan nama Activex.exe. Pada HKEY_CURRENT_USER \Software\Microsoft\ Windows\CurrentVersion\Run\akan terdapat item baru dengan nama present. Key HKEY_ LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run\akan terdapat item baru juga dengan nama Default dan %username%, username di sini merupakan nama user yang sedang aktif saat itu.Virus hasil generate dari FFE juga mengubah shell extension untuk file .exe, yakni dengan mengubah type information dari Application menjadi File Folder. Setting-an folder Options juga diubah agar tidak menampilkan extension dan setiap fi le dengan attribut hidden.Dan agar dapat aktif pada safe-mode, ia pun mengubah nilai dari item SafeBoot. Dengan menggunakan bantuan registry Image File Execution Options, virus ini juga menambahkan item baru pada section tersebut dengan nama cmd.exe, msconfi g.exe, regedit.exe, dan taskmgr.exe. Maksudnya adalah agar setiap user yang mengakses program dengan nama file seperti itu, maka akan di-bypass oleh Windows dan dialihkan ke file induk si virus.
Pada key HKEY_CURRENT_ USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load juga akan diubah itemnya agar mengarah ke file induknya dengan nama Activex.exe. Pada HKEY_CURRENT_USER \Software\Microsoft\ Windows\CurrentVersion\Run\akan terdapat item baru dengan nama present. Key HKEY_ LOCAL_MACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run\akan terdapat item baru juga dengan nama Default dan %username%, username di sini merupakan nama user yang sedang aktif saat itu.Virus hasil generate dari FFE juga mengubah shell extension untuk file .exe, yakni dengan mengubah type information dari Application menjadi File Folder. Setting-an folder Options juga diubah agar tidak menampilkan extension dan setiap fi le dengan attribut hidden.Dan agar dapat aktif pada safe-mode, ia pun mengubah nilai dari item SafeBoot. Dengan menggunakan bantuan registry Image File Execution Options, virus ini juga menambahkan item baru pada section tersebut dengan nama cmd.exe, msconfi g.exe, regedit.exe, dan taskmgr.exe. Maksudnya adalah agar setiap user yang mengakses program dengan nama file seperti itu, maka akan di-bypass oleh Windows dan dialihkan ke file induk si virus.
Langganan:
Posting Komentar (Atom)
Tidak ada komentar:
Posting Komentar