JENIS-JENIS VIRUS
Virus Laroux
Laroux adalah virus makro yang pertama dibina untuk menjangkiti Microsoft Excel (versi 5.0 dan yang lebih tinggi) fail-failnya (XLS workbooks). Ia pertama kali dikesan pada 1996 dan dilaporkan masih ada. Versi asal Laroux tidak begitu menyukarkan; ia hanya mengandungi dua makros, "buka secara automatik" (auto_open)" dan "periksa fail (check_files)."
Makro "buka secara automatik" berjalan apabila dokumen yang dijangkiti dibuka, dan tujuannya semata-mata adalah untuk membuatkan Excel menjalankan makro "periksa fail". Laroux kemudiannya mencipta fail di dalam direktori "XLSTART" yang dipanggil "PERSONAL.XLS" dan menyalin makrosnya di situ. Fail ini terbuka secara automatik setiap kali Excel dijalankan, jadi Laroux boleh menjangkiti setiap buku kerja (workbook) yang digunakan kemudian dan menyebarkannya kepada pengguna lain yang menerima fail XLS yang telah dijangkiti.
Virus Marker
Marker adalah virus makro Word 97 yang unik, dilaporkan merebak, membesarkan saiznya dalam masa penyebaran dengan mengumpulkan nama pengguna dan maklumat lain (masa, tarikh, alamat) daripada Word dan menambahkannya ke dalam dirinya sendiri. Kemudian ia cuba menghantar maklumat tersebut melalui FTP menerusi internet ke laman web "codebreakers.org."
Ia mencipta fail untuk kegunaannya di dalam akar (root) C: drive hsfxxxx.sys (xxxx mewakili huruf yang ditimbulkan secara rawak) dan netldx.vxd. Marker menyimpan kod virus di dalam fail SYS, dan maklumat yang dihantarnya di dalam fail VXD.
Virus Melissa
Melissa adalah virus makro yang merebak daripada pengguna kepada pengguna yang lain menerusi fail Word97 dan Word2000 yang dijangkiti. Penyebarannya bermula dengan membeban ke atas (uploading) ke "newsgroups" internet, dan dengan cepat merebak ke seluruh dunia, dengan mempergunakan Microsoft Outlook (BUKAN Outlook Express) untuk menghantar dirinya secara automatik kepada pengguna lain. Dalam bentuk asalnya (terdapat kepelbagaian), ia dilakukan dengan menghantar dokumen Word yang dijangkiti sebagai kepilan kepada 50 senarai teratas dalam "Outlook Global Address Book" pengguna.
Ia telah menjadi kekhuatiran utama firma-firma besar, kerena Outlook menyenaraikan senarai mel (mailing list) terlebih dahulu, diikuti alamat email individu. Dengan hanya SATU sampel, virus ini boleh merebak ke seluruh rangkaian yang luas dengan cepat, biasanya menyebabkan pelayan mel menjadi terlebih sarat dan terlebih muatan. Kepilan dokumen Word yang dijangkiti dengan bijak meletakkan tajuk yang bermula dengan "Important Message From:" (mesej penting daripada:) dan diikuti dengan nama pengirim, menyamai nama seseorang yang dikenali oleh penerima.
Pengguna akan menerima mesej seperti itu daripada ketua pejabat, rakan sekerja atau seseorang yang mempunyai alamat email pengguna dalam senarai Outlook Address Book (buku alamat Outlook). Mesej tersebut boleh jadi datangnya daripada seseorang yang menghantar email kepada anda, menggunakan Microsoft Outlook, kombinasi Word97 atau Word 2000. Ini kerana apabila virus telah menjangkiti salinan MS-Word, setiap dokumen yang mereka capai akan dijangkiti, dan jika mereka menghantar dokumen tersebut menerusi email (atau cara lain), ia akan merebak lagi.
Penghantar tidak akan tahu dokumen tersebut telah dihantar, juga tidak tahu yang mereka telah dijangkiti. Walaubagaimanapun, pengguna mungkin menjadi lebih peka terhadap dokumen yang telah dijangkiti jika penyediaan Macro Security (makro keselamatan) berfungsi, dengan paparan amaran apabila dokumen dibuka.
Virus Michelanglo
Michelangelo menjangkiti Sektor But disket dan Petak/MBR (Memory Buffer Register) cakera keras, dan mula merebak sejak ditemui pada April 1991. Ia berpotensi sebagai perosak yang akan memusnahkan data-data di dalam cakera keras dan disket.
Jika disket yang dijangkiti berada di dalam pemacu A> (A> drive) ketika proses but ke atas (boot-up), Sektor But (sektor 0) yang mengandungi perisian virus akan dibaca ke dalam memori. Virus tersebut kemudiannya akan menguasai sistem dan menjangkiti cakera keras apabila proses selesai, menyalin kodnya ke (cylinder&head 0, sector 1), memindahkan data Petak/MBR ke (cylinder&head 0, sector 7).
Kebiasaannya, data tidak akan hilang dari cakera keras, kerana DOS tidak menggunakan sektor yang digunakan oleh virus. Walaubagaimanapun, jika sektor tersebut digunakan oleh perisian pihak ketiga untuk menyimpan data, semasa memformat, atau untuk capaian kata laluan, atau menggunakan pemacu untuk memasuki petak yang luas, masalah akan wujud.
Dalam bentuk asal, Michelangelo adalah sepanjang 480 bytes, tidak akan menjangkiti cakera dalam pemacu B>, dan menggerakkan sampukan (interrupt) pusingan 12, tidak membenarkan penggunaan memori antara 638K dan 640K kepada DOS, di mana virus adalah residen (disimpan secara tetap).
Ia memindahkah kod rekod asal But disket ke kawasan yang digunakan oleh Direktori, dan jika cakera tersebut mempunyai fail yang disenaraikan di dalam sektor yang ditulis ganti (overwritten), ini akan mengakibatkan kehilangan fail-fail kemasukan, fail yang telah dihapuskan dan sub-direktori di dalam akar.
Fail-fail masih boleh ditempatkan di dalam kawasan penyimpanan fail cakera, dan boleh dibaikpulih mengguna perisian utiliti, tetapi disebabkan ia tidak lagi disenaraikan di dalam Direktori, ia mungkin telah ditulisganti, sementara fail lain akan disimpan di dalam disket.
Virus memeriksa tarikh sistem hanya apabila PC dibut daripada cakera yang dijangkiti. Ia boleh mengakibatkan kehilangan data pada tarikh tertentu ia digunakan.
Michelangelo mula menulisganti pada peringkat permulaan cakera (di mana data Petak/MBR, But, Jadual Penguntukan Fail (File Allocation Tables), dan Direktori ditempatkan). Setelah pengguna menyedari ada sesuatu yang tidak kena, kuasa dimatikan, dan but kembali dari disket, cuba untuk capai ke cakera keras, namun hasilnya - Spesifikasi Pemacu Tidak Sah (Invalid Drive Specificaion). Pada ketika ini, jumlah keseluruhan data yang telah hilang bergantung pada berapa lama masa yang diambil untuk mematikan kuasa. Jika kuasa dapat dimatikan dengan cepat, virus boleh dihalang daripada menyempurnakan "tugasnya". Fail yang terletak di luar dari had di mana tulisganti berhenti, (terutama pemacu D:E:, jika ada) akan kekal.
Virus Monkey
Monkey pertama kali ditemui di Canada dalam tahun 1992, dan biasanya dilaporkan sebagai virus sektor but, sebahagiannya disebabkan oleh kesukaran yang dihadapi sesetengah pengguna untuk menghapuskannya. Ia berkaitan dengan virus Empire.
Monkey menjangkiti rekod but induk cakera keras (Master Boot Record) dan but sektor disket. Ia menjangkiti PC apabila disket, yang dijangkiti melalui PC lain, berada dalam pemacu A> ketika but keatas (boot-up), dan menulis kodnya ke sektor pertama dalam cakera keras, di mana data Petak/MBR ditempatkan.
Monkey akan berada di dalam memori selepas itu setiap kali PC dipasang, dan menjangkiti disket sewaktu digunakan. Ia memindahkan kod asal but rekod disket ke kawasan Direktori yang terakhir.
Jika cakera tersebut mempunyai banyak fail yang tersenarai di dalam akar (192 atau lebih untuk disket 3.5 HD), ia akan menyebabkan kehilangan sekitar 16 kemasukan fail, fail yang telah dihapuskan, dan sub-direktori di dalam direktori akar. Data tersebut masih boleh ditempatkan di dalam kawasan penyimpanan fail di dalam disket, boleh dibaikpulih menggunakan perisian utiliti.
Virus MTX
MTX merebak ke komputer lain sebagai ulat (worm), memindahkan fungsi yang biasa dijalankan oleh WSOCK32.DLL ke fail WSOCK32.MTX sendiri. Ini memberikan MTX kawalan terhadap capaian internet computer tersebut, membenarkannya untuk merebak daripada satu pengguna kepada pengguna yang lain, menghantar dirinya sendiri sebagai fail kepilan email dengan pelbagai nama fail yang berlainan. Apa yang menarik ialah, MTX boleh juga menghadang pengguna daripada menghantar email kepada penjual anti-virus, atau mencapai ke laman web mereka, seterusnya menghalang pengguna daripada mengemaskini perisian anti-virus mereka.
Apabila ia mereka sebagai virus ke fail lain dalam cakera keras, MTX tidak mengikut paten biasa dalam mengepilkan arahan pada permulaan fail, tetapi memasukkannya di pertengahan fail. Ia direka untuk menjadikan MTX lebih kuat untuk mengesan dengan mengimbas. Malangnya, teknik ini boleh menyebabkan kerosakan, dan pemindahan virus juga begitu sukar.
MTX boleh mengubahsuai Registry (tempat pendaftaran), dan berfungsi sebagai "backdoor". "Backdoor" boleh dihubungkan dengan komputer internet lain, memindahturun fail-fail, dan memasangnya ke komputer yang dijangkiti. Ini termasuklah virus, Trojan, atau apa saja yang dikehendaki. Nasib baik laman web yang diprogramkan ke MTX tidak lagi boleh dicapai, jadi mesej ralat akan dijana apabila "backdoor" cuba membuat sambungan internet.
Virus Natas
Natas ("SATAN", jika dieja terbalik), diklasifikasikan sebagai berbilang peranan - ia boleh menjangkiti Rekod But Induk (Master Boot Record) cakera keras, but sektor disket, serta fail *.EXE dan *.COM, termasuk Command.com. Ia boleh merebak ke PC yang tidak dijangkiti apabila disket, yang dijangkiti melalui PC lain, berada di dalam pemacu A> ketika but ke atas (boot-up), atau apabila fail *.COM atau *.EXE, yang telah dijangkiti melalui PC lain, dijalankan.
Natas menulis bahagian pertama kodnya pada sektor pertama cakera keras, di mana data But Induk/Petak disimpan. Kebiasaanya data tidak akan hilang dari cakera keras, kerana DOS tidak menggunakan sektor yang digunakan oleh virus. Walaubagaimanapun, jika sektor tersebut digunakan oleh perisian pihak ketiga untuk menyimpan data, semata memformat, atau mencapai kata laluan, atau oleh pemacu untuk mencapai ke petak yang luas, masalah akan wujud.
Virus akan berada dalam memori, setiap kali PC dipasang, dan menjangkiti disket dengan menulis kodnya di sektor but (sektor #0). Ia juga menulis kodnya ke 9 sektor disket yang dijangkiti, dan mengawal kodnya, mengubah data sektor but untuk menunjukkan bahawa sektor tersebut tidak wujud.
Natas boleh merebak dengan pantas, kerana jika di dalam memori, ia akan menjangkiti cakera dalam apa juga bentuk capaian, walaupun sekadar membaca, umpamanya jika menggunakan arahan DIR. Malahan ia menjangkiti fail-fail *.COM dan *.EXE ketika dijalankan mahupun hanya disalin atau ditutup, contohnya sewaktu proses imbasan anti-virus. Natas adalah virus yang besar, ia menambah 4744-4988 bytes kepada fail-fail .COM/.EXE yang dijangkiti.
Ia juga virus tersembunyi - jika di dalam memori, ia mampu melencongkan bacaan dari kod MBR/But, dan mengeluarkan senarai DIRtori yang salah, memperlihatkan saiz fail seperti tiada pertambahan. Ia juga menanda fail dengan menukar tarikhnya kepada 100 tahun akan datang, biasanya tidak terlihat oleh pengguna, tetapi jika utiliti khusus digunakan, ia juga akan turut disembunyikan. Natas adalah virus perosak, dengan 1 dalam 512 peluang tulisganti data dalam cakera keras.
Navidad Worm (ulat Navidad)
Navidad (atau Feliz Navidad, Spanish for Merry Christmas) adalah ulat dengan tipu muslihat yang baru: jika anda menghatar email kepada seseorang yang komputernya dijangkiti, ia akan menghantar semula balasan secara otomatik, bersama kepilan fail bernama navidad.exe. Dengan mengklik fail tersebut, PC anda akan dijangkiti, dan akan merebak dengan mengambil alamat daripada email yang belum dibaca, dan menghantarnya sendiri kepada orang yang menghantar email tersebut.
Versi asal Navidad tidak begitu galak, kerana ia mempunyai kecacatan, tetapi ia telah di laporkan "bertindak liar." Memandangkan ia mengubah tempat Pendaftaran (Registry) secara salah, ia boleh dengan mudah menyebabkan komputer yang dijangkiti berhenti daripada berfungsi, malahan turut menghalang Navidad daripada berfungsi, jika Windows dimula semula.
NewAPT Worm (ulat NewAPT)
Pengaturcaraan yang "cincai" (cuai) oleh penulis virus adalah salah satu sebab mengapa kebanyakan virus tidak merebak jauh. NewApt adalah ulat Windows 95/98 yang menggambarkan keadaan tersebut. Ia boleh menghantar dirinya sendiri melalui mel Outlook Express sebagai mesej daripada pengguna yang mempunyai ulat yang aktif di dalam sistem mereka. Selain daripada itu, ia boleh memilih mana-mana dua dozen nama untuk fail kepilannya, ini mungkin boleh memerangkap mereka yang tidak berhati-hati.
Namun, dalam bentuk lain, gaya mesej HTMLnya kelihatan seperti iklan laman web, lengkap dengan URL yang sah, tetapi beserta kepilan fail berupa tawaran seperti animasi daripada "perisian kelakar dan animasi" di laman tersebut. Walaupun ini mungkin menggalakkan seseorang supaya klik pada fail .EXE tersebut, kebanyakan nama yang digunakan kedengaran "bodoh", contohnya "farting.exe". Kepada mereka yang tidak menerima email dalam bentuk HTML, ia dihantar dalam bentuk mesej yang menghina.
