Rabu, 15 Juni 2011

Executable Filter pencegah pengaktifan malware untuk Win XP (antivirus Indonesia)

Bosan dengan serangan virus lokal?
Kinerja komputer anda terganggu oleh virus?
Kinerja komputer anda rendah karena anti virus?

Tools ini dibuat untuk solusi bagi pelaku IT di Indonesia yang mengelola komputer dilingkungan perusahaan yang sering mengalami serangan malware akibat ketidakperdulian pemakai terkait dengan pemakaian flashdisk, sharing folder, dan browsing internet bebas.

Tools ini sangat ringan (lightweight) alias tidak membebani CPU anda.

Tools ini bukan antivirus dengan pendekatan pattern maupun heuristik.

Tools ini asli buatan Indonesia.


Anda mengalami serangan malware (virus, worms, trojan, dll) secara berulang-ulang sebagai akibat ataupun pertukaran data dengan media flashdisk, camera digital maupun sharing file pada lingkungan pengoperasian komputer yang tidak aman?
Anda terpaksa menginstalasi lebih dari satu antivirus pada komputer anda yang mengakibatkan kinerja dari komputer anda menjadi sangat rendah sebagai akibat anda tidak yakin bahwa antivirus utama anda tidak dapat melindungi komputer anda secara optimal?
Anda mengalami ketakutan akan serangan malware setiap kali melakukan pertukaran data melalui media USB device, dan tidak jarang anda terpaksa menolak flashdisk teman anda, ataupun menanyakan apakah flashdisk anda bebas virus?
Anda bekerja sebagai IT di perusahaan, dan waktu anda habis untuk sekedar menginstall ulang OS yang rusak akibat malware, ataupun melakukan scan virus?


Jika anda mengalami salah satu fenomena tersebut diatas, maka kami menawarkan solusi pencegahan malware tanpa antivirus, maupun akan menjadi lebih powerfull jika dikombinasikan dengan salah satu antivirus.

Software ini sangat ringan karena menggunakan teknik pemrograman device driver pada Windows atau dikenal dengan pemrograman modus kernel/ring0  atau kerennya disebut sebagai rookit.

Program ini dibuat penulis sehubungan dengan adanya masalah aplikasi sejenis yang dikenal dengan TrustNoExe terjadi mengalami masalah jika diinstalasi pada komputer yang menggunakan driver Canon (komputer restart setiap kali ingin print), sehingga penulis mencoba membuat program yang sama.


Catatan:
  • Software ini cocok jika anda mengelola warnet, lab komputer di sekolah maupun universitas, perkantoran, bahkan untuk komputer pribadi dengan kondisi dimana komputer dipakai lebih dari satu user sehingga sulit dicari siapa sebenarnya yang harus bertanggung jawab.
  • Dengan menginstalasi software ini, berarti anda terlepas dari kekuatiran akan serangan malware yang mengaktifkan diri secara otomatis dengan autorun.inf, maupun eksploitasi CPLINK, dan pengaktifan melalui klik (terhadap nama file dan folder, attachment melalui email yang disamarkan).
  • Gunakan versi paranoid untuk memastikan hanya executable yang berada pada \WINDOWS dan \Program files dapat dieksekusi.
  • Program ini akan semakin powerfull jika dikombinasikan dengan pemakaian deepfreeze (pada beberapa kasus komputer yang deepfreeze juga tidak efektif mencegah serangan malware, terutama dimana diperbolehkan proses tulis pada drive tertentu, sehingga malware dapat menyerangan media tulis tersebut dan membuat autorun, sehingga setiap browse pada media tersebut akan mengaktifkan malware tersebut)
  • Software ini dapat anda download dan install secara bebas.
Untuk jelasnya baca artikel ini:
    Komputer anda sering mengalami infeksi malware seperti virus maupun worms sebagai akibat tingginya pertukaran data dengan menggunakan USB flash disk, walaupun anda telah menggunakan antivirus?

    Berdasarkan pengalaman penulis, pemakaian antivirus saja tidak cukup untuk menghindari infeksi malware, karena biasanya perkembangan malware selangkah lebih maju dari antivirus.

    Biasanya pembuat malware akan melakukan ujicoba program malware buatan terhadap antivirus untuk menguji apakah program malware yang dibuat dapat terdeteksi atau tidak, jika ya, maka mereka akan mengubah teknik pembuatan malware untuk mengelabui program antivirus (jika anda menghadapi malware seperti ini, maka antivirus anda tidak efektif sama sekali).

    Beberapa antivirus telah dilengkapi dengan pendeteksian malware secara heuristik, tetapi pendekatan ini cenderung menyebabkan terjadinya false alarm, dan pembuat malware juga berusaha mencari teknik untuk mengelabui algoritma heuristik tersebut (adalah sangat sulit melawan kecerdasan manusia dengan teknologi).

    Disamping hal tersebut diatas, malware dewasa ini telah dikombinasikan dengan berbagai teknik sosial engineering (dengan menggunakan subject, attachment, maupun link yang menarik), maupun eksploitasi terhadap kelemahan dari sistim operasi (seperti exploitasi autorun.inf, RPC exploit, CPLINK exploit), dan lebih berbahaya lagi adalah banyaknya malware yang muncul pada hari yang sama dengan dieksposnya kelemahan pada OS tertentu (yang dikenal dengan zero-day-attack).

    Perlu disadari bahwa umumnya malware yang menginfeksi OS Windows adalah berjenis PE executable,
    walaupun pada masa lampau banyak dijumpai malware script seperti love letter, maupun malware batch.

    Pada tulisan ini penulis ingin menawarkan suatu program pencegah pengaktifan file executable yang dibuat oleh team Mitra Jaya Solusindo untuk pencegahan eksekusi file executable selain dari drive C dan D, karena pada umumya drive untuk eksternal storage adalah D dan E, secara default program memperbolehkan eksekusi file executable yang berada dalam folder \WINDOWS dan \Program Files, sedangkan untuk file diluar folder tersebut dibatasi untuk .EXE dan .COM saja (jika anda paranoid, silakan download versi paranoid).

    Jika program ini berhasil diinstalasi, maka execute terhadap file diluar dari drive yang diperbolehkan akan menampilkan dialogbox sebagai berikut:


    Program yang dimaksud dapat didownload pada link ini.

    Untuk proses instalasi cukup sederhana, yaitu unzip program tersebut pada drive C:\, sehingga akan menghasilkan folder C:\IndoprogEF yang didalamnya akan terdapat beberapa file yang digunakan untuk instalasi, uninstalasi, maupun diperlukan untuk operasi rootkit yang dimaksud.

    Untuk proses instalasi dapat dibaca pada Readme.txt, atau tulisan berikut ini, folder ini berisi file sebagai berikut:
    1. load.bat
    Digunakan untuk menginstalasi executeFilter.sys  ke sistim anda, program ini cukup dijalankan sekali saja, selanjutnya program executeFilter.sys akan secara otomatis dijalankan setiap kali booting komputer anda.

    2. unload.bat
    Digunakan untuk menguninstalasi executeFilter.sys dari sistim anda.

    3. installer.exe
    Program ini diperlukan oleh load.bat maupun unload.bat untuk proses instalasi maupun uninstall.

    4. executeFilter.sys
    Device driver rootkit yang berfungsi melakukan filter terhadap pengaktifan executable berdasarkan DosDrive.

    Secara default akan diperbolehkan pengaktifan  semua jenis executable dari \WINDOWS dan \Program files,
    sedangkan untuk C:\ dan D:\ hanya diperbolehkan pengaktifan executable .EXE dan .COM, untuk drive lainnya tidak ada executable yang diperbolehkan.

    Jika anda perlu mendisable sementara fungsi executeFilter, maka anda dapat mengetikkan pada command prompt:

    net stop executeFilter

    dan anda dapat mengaktifkan kembali dengan

    net start executeFilter

    Untuk memeriksa keberhasilan dari proses instalasi dapat diperiksa keaktifan system driver melalui Start, All programs, Accessories, System tools, System information, expand node Software Environment, System Drivers, dan periksa keberadaan executeFilter.


    Jika terdapat keberadaan file executeFilter, maka dapat diuji dengan melakukan exe file dari drive E maupun F, dan file executable yang dimaksud akan diblokir.


    Program ini telah diuji oleh penulis pada sistim operasi WinXP sp3.


    Semoga tools ini dapat menjadi solusi pelengkap bagi pemakai yang menggunakan antivirus.

    Kami juga menyediakan versi executeFilter yang lebih ketat sebagai berikut:
    Hanya memperbolehkan file executable pada folder \WINDOWS dan \Program Files, dan drive C: untu file .EXE dan .COM, silakan download versi strict.
    Hanya memperbolehkan file executable pada folder \WINDOWS dan \Program Files, silakan download versi paranoid.

    Jika anda merasakan manfaat dari software ini, maka rekomendasikan juga kepada teman-teman lainnya.

    Salam,
    Hendra.
    Mitra Jaya Solusindo.
    Konsultan sistim informasi.
    Pengembang perangkat lunak/web.

    Tidak ada komentar:

    Posting Komentar