Autorun.inf, desktop.ini dan beberapa fungsinya..

Pertama-tama, saya ingin bersyukur terlebih dahulu terhadap Tuhan YME karena saya masih diberikan waktu untuk meng-update blog ini (udah berapa lama ya? ngak kebayang ==”)..

Beberapa virus di Indonesia kebanyakan memakai jasa social engineering terhadap beberapa virus flash disk. Kita bisa lihat bahwa virus sekarang penyebarannya sudah mulai meluas melalui email dsb. Tetapi saya tidak akan membahas itu tetapi malah saya akan membahas beberapa hal tentang itu.

Mengapa bisa tersebar virus tersebut? Beberapa kondisi bisa menyebabkan virus itu menyebar. Ada yang dikarenakan memang ada tangan-tangan jahil yang sengaja supaya bisa dijadikan backdoor ke korban atau hanya iseng memakai virus yang ekstensi *.vbs(kadang banyak mirip source codenya wakwkak contek2 gitu !! ) atau juga yang udah *.exe. Singkatnya, pada masalah flash disk, pada umumnya, penyebaran virus terdapat pada file autorun.inf. Mengapa demikian ? Jadi, kalau bisa ditelaah kembali sebenarnya untuk virus-virus semacam ini adalah virus yang memanfaatkan kelemahan USER-nya bukan OS-nya.. [sorry ngak bisa bikin contoh gambar.. nyari virusnya susah ==" ]

AUTORUN.INF

Pertama-tama, kita akan menjelajahi dulu beberapa fungsi autorun.inf. Oleh karena saya ngak bisa mengklasifikasikan sesuai yang seharusnya(males nyari di Internet) jadi pake istilah sendiri aja ya!.

Yang pertama itu adalah header, yakni :

[Autorun]

Tulisan tersebut menandakan awal mulanya script autorun tersebut berjalan.

lalu syntaxnya , misalkan (pake punya ShandyisMe aja ah..) :

icon=flashdisk.ico,0

Ya, seperti yang ada di http://www.shandyisme.com/2008/12/percantik-flashdisk/

perintah tersebut akan mengubah icon biasa anda menjadi icon yang telah anda siapkan.

Ya, itu adalah fungsi pertama.. Next->

Fungsi Autorun Application when you click your portable disk :

Untuk fungsi yang ini biasanya seringkali digunakan untuk social engineering virus flash disk awam. Karena pada menu autorun pada saat di Windows XP muncul terdapat ada menu yang bisa dibuat dari sini .. Caranya ada 3, yakni :

Cara I

Misalkan virus nya namanya foo.exe, dan ada di ROOT_DIR_FLASH_DISKfoo.exe. Maka scriptnya jadi :

open=foo.exe

dan untuk memberikan keterangan labelnya

action=Kamu mau? // atau apalah ==”

Nah nanti anda bisa dapetin menu autorunnya pas Windows ngedetect nih device ==”

Cara II

Ngak cuman seperti cara yang di atas, ada beberapa cara lagi, yakni pakai Context Menunya (itu loh yang di klik kanan di portable disknya kan keluar menu =! ) ==”..

Misalkan saya (mantab dah ) pingin adaain menu lain untuk drive saya. Misal menunya namanya Klik Me..(bikin orang penasaran adalah cara yang bagus untuk social engineering virus ==”).. Caranya :

pertama bikin shellnya dulu(content menunya ==”)..

shellvirus = "Klik Me"

terus dengan variable virus kita masukin isi variablenya

shellviruscommand = "vir.exe"

Jadi, dah tuh, pas ente refresh itu flash disk, langsung ada menu contextnya “Klik Me”.

Cara III

Cara ke tiga itu bikin default (maksudnya context Menu “Open” ) commandnya diubah. Caranya tinggal nambahin lagi script:

shell=virus

hal ini akan langsung otomatis overload ke menu “Open” (atau menu default lain) perintah yang kita tulis tadi.

Ya itu semua adalah beberapa tambahan informasi untuk autorun.inf..

Selanjutnya kita akan membahas (cuman iseng) beberapa hal tentang desktop.ini..

DESKTOP.INI

Seperti yang dikatakan oleh si ShandyisME (http://www.shandyisme.com/2008/12/percantik-flashdisk/) desktop.ini dapat mengubah tampilan background default dari sebuah gambar latar belakang folder.. Tapi ternyata hal seperti ini masih bisa diisengin juga ==”.. (untuk yang ini di sediain gambar ==”)..

Pertama-tama, lihat isi directory task pada Windows

kita lihat isinya adalah demikian..

Lalu coba

dir /a:h (untuk melihat semua file yang attributnya hidden)

lalu coba:

attrib desktop.ini -h

notepad desktop.ini

Kita lihat isinya,

ternyata ada 2 baris, yang isinya :

[.ShellClassInfo]
CLSID={d6277990-4c6a-11cf-8d87-00aa0060f5bf}

Apakah hal tersebut ? (sebenernya ane juga ngasal) Hal tersebut menurut saya adalah konfigurasi folder options view untuk folder tersebut yang terdapat pada Regedit anda (cari diri ya!)..

CLSID tersebut menunjukkan bahwa tampilan folder tersebut akan di-replace oleh tampilan folder task scheduler (sesuai CLSID (sok tahu wa ==”))..List CLSID untuk Windows XP ada di sini http://www.autohotkey.com/docs/misc/CLSID-List.htm

Nah, apa akibatnya apabila kita pindah desktop.ini tersebut ke My Document ???

Pertama-tama, saya hanya akan membuat sebuah folder di Desktop saya :

Kita lihat isinya sudah terdapat lumayan banyak document. Kita coba save as file Desktop.ini dari task scheduler tersebut ke sini. Sebelum itu supaya efek yang terjadi lebih cepat (untuk beberapa komputer musti restart dulu [udah dicoba]).. Pertama-tama kita buat konfigurasi desktop.ini (apa aja) dengan cara :

Ubah ikon defaultnya terlebih dahulu, ini akan memaksa Windows untuk membuat desktop.ini di folder My Document, lalu save desktop.ini dari Task Scheduler ke My Document, dan…. Zzzzzzz

Iconnya berubah dari yang biasa ke icon folder task scheduler. Kita lihat isi dalamnya :

Zzzz..

Hal ini akan sangat mengesalkan karena apabila anda tidak tahu bagaimana caranya membuat dia kembali maka apabila anda melakukan copy dan paste apapun akan dianggap membuat task contoh saya mengcopy file pdf :

Anda lihat bukan? Apalagi apabila anda mencarinya untuk mengesave sebuah file, tiba-tiba folder tersebut menghilang

Wakakkaka..:D

Hmm.. Untuk mengembalikannya? He3x.. sangat mudah tinggal memakai cmd lalu delete seperti biasa file desktop.ini (ingat file tersebut ber-attribut hidden).

Sekian .. Artikel selanjutnya : [Batch script programming yang paling sederhana sekali untuk mengantisipasi virus flashdisk]