Tempat Dimana Virus dan Trojan Bersembunyi Dalam Start Up

Mungkin Informasi ini sedikit tidak penting bagi para hacker tp penting bagi para personalyg selalu disibukan dengan virus dan trojan , disini saya akan sedikit membahas tentang tempat persembunyian dari virus daan trojan itu . Tempat-tempat tersebut antara lain :

1. START-UP FOLDER Windows akan membuka semua items yang ada di start Menu Start Up Folder . Untuk contohnya silakan anda menaruh text apa dari notepad di start up Menu , maka windows akan menjalankannya ketika start .

2. REGISTRY Windows akan menjalankan semua instruksi yaang ada di " Run ",untuk mengetahui program2 yang dijalankan windows , masuk ke regedit -> HKLM\Software\Windows\Microsoft\CurrentVersion\Run -> HKLM\Software\Windows\Microsoft\CurrentVersion\RunServices -> HKLM\Software\Windows\Microsoft\CurrentVersion\RunOnce -> HKLM\Software\Windows\Microsoft\CurrentVersion\RunServicesOnce.

3. REGISTRY Selain diatas ada kemungkinan virus dan trojan menyembunyikan dirinya di : HKEY_CLASSES_ROOT\exefile\shell\open\command "%1" %*atau kemungkinan2 yg lain : [HKEY_CLASSES_ROOT\exefile\shell\open\command] ="\"%1\" %*" [HKEY_CLASSES_ROOT\comfile\shell\open\command] ="\"%1\" %*" [HKEY_CLASSES_ROOT\batfile\shell\open\command] ="\"%1\" %*" [HKEY_CLASSES_ROOT\htafile\Shell\Open\Command] ="\"%1\" %*" [HKEY_CLASSES_ROOT\piffile\shell\open\command] ="\"%1\" %*" [HKEY_LOCAL_MACHINE\Software\CLASSES\batfile\shell\open\command] ="\"%1\" %*" [HKEY_LOCAL_MACHINE\Software\CLASSES\comfile\shell\open\command] ="\"%1\" %*" [HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command] ="\"%1\" %*" [HKEY_LOCAL_MACHINE\Software\CLASSES\htafile\Shell\Open\Command] ="\"%1\" %*" [HKEY_LOCAL_MACHINE\Software\CLASSES\piffile\shell\open\command] ="\"%1\" %*" Dalam keadaan default key \"%1\" %*" dan apabila diganti "\"xxx.exe %1\" %*" kemungkinan dari itu adalah virus atau trojan.

4. BATCH FILE Batch file merupakan file batch dana windows akan menjalankan file2 yang terdapat pada batch file , untuk windows 9x bernama autoexec.bat dan untuk windowsNT berada di Winnt\WINSTART.BAT.

5. INITIALIZATION FILE Windows menjalankan perintah-perintah yang ada di "RUN= " dalam file win.ini untuk win9x dan winnt Selain "Run=" ada juga di " LOAD=" pada win.ini "load=" ada didalam shell syetem.ini untuk win9x letaknya di c:\>windows\system. ini dan pada perintah [boot] shell=explorer.exe C:\windows\filename

6. TIPE C:\EXPLORER.EXE C:\Explorer.exe Windows akan menjalankan explorer.exe pada setiap memulai start , apa bila explorer.exe coruprt ada kemungkinan explorer.exe terkena virus atau trojan dan akan mereboot komputer . selain tempat2 persembunyian virus dan trojan diatas ada kemungkinan mereka terdapat dalam tempat yang sama sekali tidak terditeksi ,sebagai contoh pada trojan Trojan SubSeven 2.2.dia menyembunyikan dirinya di : HKEY_LOCAL_MACHINE\Software\Microsoft\Active Setup\Installed Components HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\explorer\Usershell folders Icq Inet [HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\test] "Path"="test.exe" "Startup"="c:\\test" "Parameters"="" "Enable"="Yes" [HKEY_CURRENT_USER\Software\Mirabilis\ICQ\Agent\Apps\] Key teserabut menjalankan secara khusus apaliasi icq net. [HKEY_LOCAL_MACHINE\Software\CLASSES\ShellScrap] ="Scrap object" "NeverShowExt"="" Bacaan/Referensi : -> viruslist.com -> symantec.com

Share this post