Winsta.exe atau W32.stuxnet, worm yang sedang marak dibicarakan orang ini memang cukup membuat pengguna Operating System Windows kebakaran jenggot. Bagaimana tidak, dalam sekejap virus ini dapat membuat space hardisk membengkak. Sehingga program yang ada tidak dapat berjalan sama sekali karena kekurangan swap file. Virus yang sudah di jelaskan pada post yang sebelumnya ini, diprediksi dapat mematikan suatu sistem SCADA. Apasih yang membuat virus ini sangat mudah menyebar?
Virus ini menggunakan signatures sebuah perusahaan driver Realtek semiconductor , sehingga dapat berjalan dengan leluasa pada system windows. Selain itu virus ini juga mampu membuat harddisk komputer yang terinfeksi terus membengkak, sampai pengguna tidak bisa menjalankan program apapun. Dalam penyebarannya virus ini menggunakan shortcut windows, dan bukan menggunakan autorun.inf seperti virus lainnya.
Untuk pencegahan terhadap virus yang menyebar melalui shortcut, sebenarnya cukup sederhana. Hanya saja perlu mengedit beberapa registry windows, dan anda harus login sebagai administrator untuk melakukan hal tersebut. Virus yang menyebar melalui shortcut ini, pada dasarnya memodifikasi string HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler dan HKEY_CLASSES_ROOT\piffile\shellex\IconHandler pada registry windows. Sehingga shortcut tersebut dapat menjalankan virus induknya. Jadi jika sudah terlanjur terinfeksi virus yang menyerang melalui shortcut, anda harus mendelete string registry tersebut. Setelah mendelete string tersebut jangan lupa untuk membuat kembali, agar shortcut program – program windows tetap berjalan. Caranya masuk ke command promt windows kemudian ketikkan :
reg add HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler /ve /d {00021401-0000-0000-C000-000000000046} /f
reg add HKEY_CLASSES_ROOT\piffileshellex\IconHandler /ve /d {00021401-0000-0000-C000-000000000046} /f
Saya menyarankan agar anda backup registry sebelum melakukan hal ini. Untuk membakcup registry dapat melihat di situs microsoft. Saya juga telah membuat script batch untuk melakukan hal di atas dengan cukup klik2x, tanpa harus masuk ke registry. Downlod shortcut_patch.bat. Save ke local disk anda, kemudian klik 2x file tersebut.
Microsoft sendiri telah mengeluarkan patch untuk vulnerability tersebut. Anda dapat mendownload patch untuk kelemahan windows tersebut pada link ini Vulnerability in Windows Shell Could Allow Remote Code Execution (2286198). Patch tersebut bukan hanya untuk virus tersebut, tetapi untuk semua virus yang menggunakan metode shortcut pada penyebarannya. Untuk lebih jelasnya saya akan menjelaskan vulnerability windows ini dilain kesempatan.
ESET sendiri sudah mampu mendeteksi keberadaan virus tersebut, sehingga pengguna ESET tidak perlu khawatir. Namun, untuk pencegahan akan varian virus ini selanjutnya, akan lebih bijak jika kita segera menambal kelemahan windows dengan patch yang disediakan oleh microsoft.
