Sality

Sality adalah salah satu virus komputer (malware; malicious software) yang masuk ke dalam sistem Microsoft Windows, khususnya pada berkas yang mudah dieksekusi (executable berupa berkas dengan akhiran EXE),^[1] sehingga virus akan menduplikasi dan menyebar otomatis ketika membuka berbagai program/ aplikasi pada komputer.^[2] Sality disuntikan ke dalam sistem dengan tujuan merusak aplikasi serta mencuri berbagai berkas di dalamnya.^[1] Nama Sality merupakan kepanjangan dari "Salavat City", nama sebuah kota di Rusia yang diduga kuat tempat asal penciptanya.^[1]

Sejarah

Versi awal

Sality pertama kali dikenal sejak Juni 2003-2004, aktivitas pertamanya mencuri informasi secara rutin dari komputer terinfeksi melalui DLL keylogger.^[1] Data yang dicuri kemudian dikirimkan lewat surat elektronik kepada pencipta virus tersebut menggunakan berbagai server SMTP yang terletak di Rusia.^[1]

Versi Pengembangan

Pada tahun 2004-2008, pencipta virus ini mengembangkannya dengan memberikan kumpulan kode untuk menutupi aktivitas virus agar tidak tredeteksi, bahkan mampu mengunduh otomatis berkas bantuan yang dibuat khusus oleh penciptanya.^[1] Misalnya, versi 3.09 aktif pada tahun 2006, berhasil menonaktifkan beberapa sistem keamanan komputer.^[1]

Versi Mutakhir

Pada tahun 2008-2011, Sality dikembangkan kembali menjadi skema penyebaran yang lebih baik, yaitu dengan cara menetralkan secepatnya virus yang telah terdeteksi dengan penambahan komponen peer-to-peer.^[1]

Jenis Berkas

Berkas yang digunakan Sality berupa payload bebas gerak, yaitu muatan berkas yang dikirim oleh pencipta virus yang mampu dikendalikan dari jarak jauh.^[3] Aktivitasnya dapat disamarkan oleh Trojan agar tidak terdeteksi oleh mesin pembaca virus di komputer.^[4] Berkas yang digunakan Sality biasanya berakhiran EXE atau SCR, agar virus beraktivitas bersamaan saat berbagai program di Microsoft Windows dibuka.^[2] Adapun berkas instalasinya mengisi direktori lokal sistem komputer:^[2]

<system folder> \wmdrtc32.dll
<system folder> \wmdrtc32.dl_

Berkas dengan ekstensi . Dl_ adalah salinan terkompresi DLL yang sebagian besar berisi kode virus.^[2] Ada pula jenis terbaru dari Sality, seperti Win32/Sality.AM, tidak memiliki ekstensi DLL, tetapi memuat virus seluruhnya dalam memori tanpa menuliskannya ke disk.^[2] Beberapa alias yang digunakan oleh Sality diantaranya:^[5]

Virus.Win32.Sality.q
W32/Sality.x
Win32/Sality.NAJ
W32.Sality.U
PE_SALITY.AS

Sality memiliki ciri khas dari virus lainnya, yaitu menjadikan berkas yang terinfeksi bertambah besar ukurannya (sekitar 68-80 kb dari ukuran asli).^[6] Sality juga memiliki keahlian dalam menyuntik berkas asli yang jarang dilakukan virus komputer lainnya, dengan demikian ukuran berkas tidak akan sama, sehingga mempersulit anti-virus untuk mengidentifikasinya.^[6]

Struktur Virus dan Aktivitasnya

Ilustrasi struktur virus Sality dalam bahasa Portugis

Penyuntik

Sality menyuntikan kode virus pada semua proses yang berjalan, kecuali berkas yang memiliki hak istimewa dengan proteksi tinggi.^[1] Apabila proses penyuntikan dihentikan, maka Sality akan segera menyalin kode virus dengan otomatis untuk kembali melakukan penyuntikan ulang.^[1]

Pelindung

Sality memiliki sistem pelindung untuk menyamarkan aktivitasnya dari mesin pembaca virus pada komputer dengan cara mencegah modus safe boot pada komputer, kemudian Sality menghapus subkunci Windows Registry dan nilai-nilai yang terletak di:^[1]

HKEY_CURRENT_USER\System\CurrentControlSet\Control\SafeBoot
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot

Penular

Sality memiliki kode yang bertugas menularkan virus ke berbagai sistem yang disebut polimorfik, yaitu duplikasi otomatis dari berkas virus utama ke berkas virus sekunder, kemudian menggagalkan strategi emulasi yang dilakukan oleh anti-virus.^[1] Berikut beberapa sitem yang menjadi target penularan Sality:^[1]

Anak pohon	Keterangan
`HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache`	Kunci registry `MUICache` berisi aplikasi yang digunakan oleh Explorer.
`HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run` `HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run`	Kunci registry untuk melihat program yang tengah berjalan.

Pada dasarnya, Sality menargetkan semua berkas yang ada di drive C: yang berakhiran EXE dan SCR, kemudian menularkan pada flash drive yang berhubungan dengan komputer.^[1] Cara penularannya dapat secara langsung bersentuhan antar-perangkat maupun secara online dari satu komputer ke komputer lain.^[1]

Pengunduh

Sality memiliki berkas peer-to-peer yang bertugas sebagai pengunduh kode pembantu yang disediakan secara sistematis oleh penciptanya.^[1] Berkas yang diunduh biasanya dienkripsi oleh RC4, menggunakan kode tertentu dari virus utama.^[1] Rincian enkripsi berbeda-beda disesuaikan dengan jaringan, biasanya menggunakan nama kukutrusted!. dalam versi lampau, atau gdiplus.dll dalam versi yang lebih baru.^[1]

Efek

Contoh kode virus komputer yang merusak sistem

Gejala

Secara garis besar, komputer yang terinfeksi virus memiliki gejala sebagai berikut:^[7]

Kinerja komputer lebih lambat dari biasanya, meskipun tidak mengoperasikan program dengan kapasitas besar.
Muncul pesan aneh yang tidak ada sebelumnya dan bukan merupakan pesan dari program bawaan Microsoft Windows.
Muncul berkas-berkas baru yang tidak dikenal sebelumnya.
Terdapat pengaturan program yang berubah, misalnya Windows Explorer tiba-tiba kehilangan salah satu pilihan, folder hilang, dan sebagainya.

Akibat

Sality memiliki efek yang sama seperti virus lainnya, yaitu merusak sistem pada Microsoft Windows.^[2] Perbedaannya, Sality berusaha mencari data pribadi korban dan berkas lainnya, akibatnya korban dapat kehilangan berbagai data penting.^[1] Sality juga dapat merusak aplikasi pada Microsoft Windows, meskipun sistem telah dipindai dan diatasi dengan anti-virus karena Sality telah menempel dan bercampur dengan aplikasi yang menjadi target.^[6]

Penanganan

Pengobatan

Apabila sistem telah terinfeksi virus Sality, lakukan langkah-langkah berikut:^[6]

Putuskan jaringan internet.
Mematikan segera system restore.
Mematikan default share dan autorun pada Microsoft Windows.
Mematikan program yang sedang berjalan, terutama program yang ada pada daftar startup.
Kemudian sistem dipindai dengan anti-virus berbasis removal tool.
Apabila masih memungkinkan, jalankan komputer ke safe mode, kemudian restore registry sebelumnya.
Bersihkan registry dengan mesin pemindai virus berbasis removal tool.
Hidup-ulangkan komputer, kemudian pindai seluruh berkas untuk memastikan bahwa virus Sality telah hilang.

Upaya selanjutnya, Microsoft menganjurkan memindai seluruh berkas yang ada di komputer menggunakan Microsoft Security Essentials atau Windows Defender pada Windows 8, kemudian mengubah semua kata sandi dengan sandi yang lebih rumit.^[2]

Pencegahan

Untuk mencegah infeksi virus Sality atau virus lainnya, Microsoft menganjurkan untuk selalu memperbaharui anti-virus yang digunakan, khususnya Microsoft Security Essentials.^[2] Hal ini berguna untuk mengunduh berkas nama-nama virus baru agar terbaca oleh mesin pemindai virus.^[2] Perlu diketahui bahwa virus dapat masuk melalui surat elektronik dan halaman internet, sehingga perlu dihindari membuka pranala yang tidak penting dan mencurigakan.^[2] Menghidupkan fire wall yang telah disediakan Microsoft guna menyaring berbagai berkas dan aktivitas yang masuk dalam sistem komputer.^[8] Melakukan pemindaian sistem komputer secara berkala dengan anti-virus tepercaya.^[8]

Rujukan

^ ^a ^b ^c ^d ^e ^f ^g ^h ⁱ ^j ^k ^l ^m ⁿ ^o ^p ^q ^r ^s (Inggris) Nicolas Falliere. Sality: Story of a Peerto-Peer Viral Network. Symantec Security Response. 2011. Diunduh 25 April 2014.
^ ^a ^b ^c ^d ^e ^f ^g ^h ⁱ ^j (Inggris) Microsoft: Technical Information Virus. Diakses 25 April 2014.
^ (Inggris) Situs Wikia.Malicious payload. Diakses 25 April 2014.
^ Anti Virus: Mengungkap Wajah Malware Diarsipkan 2014-04-24 di Wayback Machine.. Unit Sistem Informasi Universitas Erlangga. 2011. Diakses 25 April 2014.
^ (Inggris) Lab: W32/Sality-AA. Diakses 25 April 2014.
^ ^a ^b ^c ^d Situs Anneahira. Mengenal Virus Sality Diarsipkan 2014-04-27 di Wayback Machine.. Diakses 25 April 2014.
^ Tri Amperiyanto. P3K Virus Komputer. Jakarta: PT Elex Media Komputindo. 2007.
^ ^a ^b (Inggris) Microsoft: Help prevent malware infection on your PC. Diakses 25 April 2014.

[Nicolas-1] ^ ^a ^b ^c ^d ^e ^f ^g ^h ⁱ ^j ^k ^l ^m ⁿ ^o ^p ^q ^r ^s (Inggris) Nicolas Falliere. Sality: Story of a Peerto-Peer Viral Network. Symantec Security Response. 2011. Diunduh 25 April 2014.

[Windows-2] ^ ^a ^b ^c ^d ^e ^f ^g ^h ⁱ ^j (Inggris) Microsoft: Technical Information Virus. Diakses 25 April 2014.

[itlaw-3] (Inggris) Situs Wikia.Malicious payload. Diakses 25 April 2014.

[UNAIR-4] Anti Virus: Mengungkap Wajah Malware Diarsipkan 2014-04-24 di Wayback Machine.. Unit Sistem Informasi Universitas Erlangga. 2011. Diakses 25 April 2014.

[Shophos-5] (Inggris) Lab: W32/Sality-AA. Diakses 25 April 2014.

[Anneahira-6] Situs Anneahira. Mengenal Virus Sality Diarsipkan 2014-04-27 di Wayback Machine.. Diakses 25 April 2014.

[Tri-7] Tri Amperiyanto. P3K Virus Komputer. Jakarta: PT Elex Media Komputindo. 2007.

[Windows2-8] (Inggris) Microsoft: Help prevent malware infection on your PC. Diakses 25 April 2014.

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]