WORM WSar.7
13.1 COMPARISON METHODE
Pada prinsipnya setiap pengaturan yang bersifat tidak tetap atau dapat diubah pada setiap aplikasi termasuk antivirus umumnya disimpan dalam suatu file konfigurasi, dan lebih sering tersimpan pada system registry Windows, sehingga perlu untuk mempelajari bagaimana mengatur konfigurasi suatu aplikasi secara manual dengan meman-faatkan menu Help atau dengan membaca buku manualnya.
Berikut ini adalah contoh langkah-langkah yang penulis sebut sebagai comparison methode atau metode perbandingan, yang akan digunakan pada WSar.7.
1. Langkah pertama adalah membuka aplikasi Registry Editor, kemu-dian mengekspor dan menyimpan nilai registry yang dimiliki aplikasi antivirus. Dalam hal ini, antivirus masih dalam konfigurasi default dan belum diadakan suatu perubahan apapun. Biasanya registry untuk software yang terinstal, terletak pada key berikut:
HKEY_CURRENT_USER\SOFTWARE\ HKEY_LOCAL_MACHINE\SOFTWARE\
Dalam hal ini McAfee VirusScan menyimpan konfigurasinya pada key:
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee.com
Dengan subkey sebagai berikut:
Agent Agent\Apps Agent\Apps\VSO Agent\Links Agent\OEM Agent\Regwiz Agent\ResultLog Agent\SecurityNews Agent\SecurityNews\OEM Agent\Update Agent\Update\Download
Bab 13. Worm WSar.7 Agent\Update\Download\McUpdMgrLog Agent\Update\ResultLog RegWiz RegWiz\Installer SharedModules SharedModules\c:%progra~1%mcafee.com%shared%dunzip32.dll SharedModules\c:%progra~1%mcafee.com%shared%mcappins.exe SharedModules\c:%progra~1%mcafee.com%shared%mcappins.inf SharedModules\c:%progra~1%mcafee.com%shared%mghtml.exe SharedModules\c:%progra~1%mcafee.com%shared%mghtml.inf Virusscan Online Virusscan Online\AVERT Virusscan Online\Customize Virusscan Online\Customize\ActiveShield Virusscan Online\Customize\Alerts Virusscan Online\Customize\Alerts\WormStopper Virusscan Online\Customize\Menu Virusscan Online\Customize\Menu\1029 Virusscan Online\Customize\Menu\1030 Virusscan Online\Customize\Menu\1031 Virusscan Online\Customize\Menu\1033 Virusscan Online\Customize\Menu\1279 Virusscan Online\Customize\Menu\2057 Virusscan Online\Customize\Menu\257 Virusscan Online\Customize\Menu\258 Virusscan Online\Customize\Menu\260 Virusscan Online\Customize\Menu\264 Virusscan Online\Customize\Menu\266 Virusscan Online\Customize\Menu\515 Virusscan Online\Customize\ods Virusscan Online\Customize\Options Virusscan Online\Customize\Options\AdvAShield Virusscan Online\Customize\Options\AdvEmailScan Virusscan Online\Customize\Options\AdvFTScan Virusscan Online\Customize\Options\AdvScriptStopper Virusscan Online\Customize\Options\AdvWormStopper Virusscan Online\Customize\Options\AShield Virusscan Online\Customize\Options\Schedular Virusscan Online\Customize\Options\VMap Virusscan Online\Customize\ShortCuts Virusscan Online\Customize\ShortCuts\aruninstall Virusscan Online\Customize\ShortCuts\dsscannow Virusscan Online\Customize\ShortCuts\psashield Virusscan Online\Customize\ShortCuts\psedisk Virusscan Online\Customize\ShortCuts\psquarantine Virusscan Online\Customize\ShortCuts\psscannow Virusscan Online\Customize\ShortCuts\psuninstall Virusscan Online\Customize\ShortCuts\psvso Virusscan Online\Customize\Uninstall Virusscan Online\Customize\VirusInfo Virusscan Online\Installer Virusscan Online\Links Virusscan Online\property Virusscan Online\property\notify Virusscan Online\RescueDisk
Bab 13. Worm WSar.7
Kemudian menyimpan ha-sil ekspor registry tersebut dengan nama ENABLE. REG
2. Langkah berikutnya adalah membuka panel konfigurasi, dengan meng-klik kanan icon McAfee VirusScan pada system tray, menyorot VirusScan dan memilih Options
3. Akan tampil kotak dialog konfigurasi Options, terdiri dari tiga tab, termasuk tab ActiveShield yang menjadi tab utama dimana tab ini memiliki beberapa opsi yang semuanya dalam keadaan terseleksi, yaitu: a. Start ActiveShield when
Windows starts: jika opsi ini terseleksi berarti ActiveShield akan aktif saat Windows startup,
dimana ActiveShield bekerja secara background yang akan melind-ungi system dari malcode (program perusak/jahat) saat run-time. b. Scan e-mail and attachments: jika opsi ini terseleksi maka
Ac-Bab 13. Worm WSar.7
tiveShield akan memeriksa e-mail dan attachment yang masuk (POP3), dan yang keluar (SMTP) untuk beberapa aplikasi e-mail yang terbilang populer, seperti Outlook Express, MS Outlook, Netscape Messenger, Netscape Mail, Eudora Light, Eudora Pro, Pegasus dan lain sebagainya.
c. Scan inbound instant message attachments: jika opsi ini terseleksi maka ActiveShield akan melakukan pemeriksaan saat suatu e-mail ber-attachment secara instant dibuka oleh suatu aplikasi seperti MSN Messenger, Yahoo Messenger dan AOL Instant Messenger. Bersihkan seleksi dengan menghilangkan tanda check pada CheckBox untuk opsi Start ActiveShield when Windows starts, dan opsi Scan inbound instant message
attachments.
4. Klik tombol Advanced pada tab ActiveShield untuk pengaturan konfig-urasi yang lebih mendetail, dan sebuah kotak dialog baru terbuka dengan lang-sung menuju pada tab ActiveShield, kemudian bersihkan seleksi untuk setiap opsi yang ada. a. Scan for new unknown
viruses: jika opsi ini ter-pilih maka ActiveShield menggunakan teknik heuristic, dimana anti-virus mendeteksi worm
atau virus baru dengan mencocokan suatu pola yang biasanya digunakan worm atau virus.
b. Pada frame File Types to Scan, jika opsi All files terseleksi maka ActiveShield akan memeriksa seluruh jenis file, tetapi jika opsi yang aktif adalah Program files and documents only maka ActiveShield hanya akan memeriksa file program dan file dokumen saja.
Bab 13. Worm WSar.7
5. Klik tab E-mail Scan. Tab ini memberikan opsi yang berkaitan dengan proses pengiriman dan penerimaan e-mail. Bersihkan seleksi untuk setiap opsi yang ada.
a. Inbound e-mail messages. Jika opsi ini terseleksi maka ActiveShield akan melaku-kan pemeriksaan apabila suatu e-mail diterima. Opsi ini memiliki sub lainnya yaitu; Automatically clean infected attachments yang berarti secara otomatis mem-bersihkan attachment yang
terinfeksi, dan Prompt me when attachment needs to be cleaned yang memiliki arti agar mengkonfirmasikan terlebih dahulu dengan pengguna apabila suatu attachment perlu untuk dibersihkan dari suatu malcode.
b. Outbound e-mail messages, jika opsi ini terseleksi maka ActiveShield akan melakukan pemeriksaan untuk setiap e-mail yang akan dikirimkan.
6. Klik tab ScriptStopper. Tab ini digunakan untuk mengaktifkan atau menonaktifkan fasilitas ScriptStopper, yang berguna untuk menampilkan konfirmasi pengeksekusian untuk setiap script atau program yang me-manfaatkan penggunaan script. Kemudian bersihkan seleksi untuk setiap opsi yang ada.
Bab 13. Worm WSar.7
7. Klik tab WormStopper. Tab ini digunakan untuk mengaktifkan atau menon-aktifkan fasilitas Worm-Stopper, yang berguna untuk menampilkan pesan peringatan jika menemukan suatu program yang memi-liki pola persis dengan suatu worm, yang cenderung mengirimkan e-mail secara masal. Bersihkan seleksi untuk setiap opsi yang ada.
8. Kini setiap opsi yang ada pada kotak dialog Advanced ActiveShield Options tidak terseleksi, klik OK untuk mengakhiri dan langsung menuju kotak dialog Options. Bersihkan seleksi pada opsi Scan e-mail and attachments, dan akhiri kotak dialog Options dengan mengklik OK.
9. Kembali pada aplikasi Registry Editor, kemudian ekspor dan simpan kembali nilai registry yang dimiliki aplikasi antivirus tersebut, dengan memberi nama file yang berbeda, misalnya DISABLE.REG.
10. Kemudian buka file ENABLE.REG dan DISABLE.REG dengan menggunakan aplikasi text editor, lalu bandingkan dan kumpulkan nilai registry yang berubah. Penulis menyarankan agar Anda menggu-nakan aplikasi yang memiliki fasilitas compare seperti UltraEdit. Dari perbandingan dua file tersebut, didapatkan beberapa perubahan nilai registry sebagai berikut: