Yohanes Nugroho (yohanes @ gmail.com)
CAV sejak versi 0.90 memiliki fitur untuk membersihkan worm yang belum dikenal, jika diberikan contoh filenya. Fitur ini harus digunakan dengan hati-hati dan Anda perlu mengerti prosesnya. Meskipun telah dirancang dengan sangat aman, kesalahan yang Anda buat dalam menggunakan fitur ini mungkin bisa menyebabkan sistem windows Anda rusak.
Beberapa antivirus lokal memiliki fitur serupa dengan CAV, namun CAV memiliki beberapa keunggulan, silakan baca di bagian keunggulan CAV.
malware (malicious software): diindonesiakan sebagai program berbahaya, adalah program apapun yang melakukan sesuatu tanpa kehendak user dan berpotensi menimbulkan kerusakan.
virus: Suatu bentuk malware yang hanya bisa hidup dengan menempel ke sebuah program, namun dalam kalangan awam, istilah virus sekarang sudah sinonim dengan malware. Virus menempel pada program, sehingga kita mengatakan "program terinfeksi virus" (bandingkan dengan worm), karena virus menempel pada program, pembersihan virus lebih sulit (harus melepaskan virus dari program).
worm: Suatu bentuk malware yang sifatnya mandiri, tidak menempel ke sebuah program. Biasanya kita mengatakan "komputer terinfeksi worm". Worm adalah sebuah file terpisah, jadi file itu bisa dihapus dengan mudah.
polymorphic: Kemampuan virus atau worm untuk bermutasi, sehingga polanya selalu berubah.
stealth: Kemampuan virus atau worm untuk menyembunyikan dirinya sehingga sulit terdeteksi. Virus/worm yang stealth umumnya melakukan perubahan low level pada sistem operasi, sehingga antivirus akan sulit mendeteksinya.
Cara kerja pembasmi worm adalah dengan mengenali pola worm yang ada di sebuah file. Jika sebuah file adalah worm, maka worm itu bisa dihapus. Sebagian besar worm di Indonesia yang beredar saat ini tidak polymorphic, sehingga dapat dibasmi dengan mudah (jika ada satu contoh filenya, maka semua salinan wormnya akan sama persis).
Namun ada hal penting yang harus dilakukan sebelum worm bisa dibersihkan. Sebelum worm bisa dibersihkan, worm harus dibunuh di memori, karena jika worm masi berjalan, file worm tidak bisa dihapus sehingga muncul lagi ketika restart.
Secara teori sebenarnya cukup mudah, pilih satu atau lebih file yang Anda yakin bahwa itu merupakan worm, dan lakukan scanning (semua file yang sama dengan contoh itu akan dihapus). Sebagian besar virus di Indonesia menyamar sebagai folder, jadi jika ada file aplikasi yang bentuknya folder, kemungkinan besar itu adalah worm.
Worm tertentu mengubah dirinya sedikit setiap kali membuat salinan dirinya (misalnya Brontok.C), ini belum bisa disebut polymorphic, dan masih bisa ditangani oleh CAV. Lihat bagian pembasmian worm tidak statik untuk info mengenai hal tersebut.
CAV otomatis mencari worm tidak dikenal di key registry yang umum, dan menghapus entry registry tersebut.
Secara singkat, sekitar 80-90% worm sederhana yang ada di Indonesia saat ini bisa dibasmi dengan cukup tuntas (di memori, registry, dan disk).
Worm yang stealth dan atau polymorphic belum bisa ditangani oleh CAV. Saat ini lebih dari 95% sampel virus Indonesia yang saya miliki tidak polymorphic dan tidak stealth, sehingga bisa dibasmi dengan mudah.
Solusi emergency cleanup saat ini dibuat seaman mungkin, dan hanya menghapus file executable/program worm, tidak menghapus file-file biasa (misalnya gambar atau HTML yang dihasilkan worm). Logikanya begini: jika file executable/program terhapus (jika Anda salah memberi contoh), maka biasanya Anda tinggal menginstall ulang program tersebut (atau dalam kasus terburuk, menginstall ulang Windows). Jika Anda salah memberikan contoh file data, maka file data tersebut bisa terhapus, dan sulit (bahkan kadang tidak mungkin) untuk mengembalikan file yang terhapus tersebut. Biasanya file yang bukan file executable juga tidak berbahaya (Anda bisa menghapus sendiri file gambar, html, text yang dihasilkan virus).
Hampir semua program yang terkompresi atau dibuat dalam VB akan ditutup (kill/terminate) oleh CAV ketika CAV berjalan, sehingga kemungkinan besar memori Anda sudah bebas dari Worm ketika CAV berjalan. Sebagian virus dibuat dengan Delphi atau C dan tidak dikompresi, jika worm tersebut tidak ganas (tidak berusaha membunuh CAV lebih dulu), maka CAV akan membunuh worm tersebut ketika Anda memberikan contohnya.
Perhatian: bagian ini hanya untuk pengguna tingkat lanjut. Berhati-hatilah.
Ada worm yang bagian akhirnya (misal 4 byte terakhir) selalu berubah, ada worm yang bagian headernya selalu berubah (misalnya nama section). Jika bagian terakhir selalu berubah, kurangi nilai size (sehingga CAV mengabaikan bagian akhir file), jika bagian awal selalu berubah, naikkan nilai offset (sehingga bagian awal akan diabaikan).
Mungkin Anda pernah kecewa dengan fitur serupa (pembersihan virus/worm tidak dikenal) yang ada di antivirus (lokal) lain. Beberapa antivirus tidak membunuh dulu proses di memori sehingga file EXE worm yang sedang berjalan tidak terhapus akibatnya ketika restart, worm akan menginfeksi lagi. Registry juga tidak dibersihkan, dan file yang hidden tidak dikembalikan sehingga sebagian menyangka datanya menjadi hilang.
CAV membunuh proses di memori, menghapus entry di task scheduler, memperbaiki registry, dan memiliki fitur untuk mengembalikan file yang disembunyikan oleh worm. Untuk worm biasa, pembersihan ini biasanya sudah cukup tuntas.
CAV belum memiliki heuristik untuk mendeteksi virus tidak dikenal secara otomatis, heuristik merupakan proses yang kompleks (menebak apakah sebuah file virus atau bukan). Jika file bukan virus dianggap sebagai virus, maka pengguna akan protes (karena file tersebut mungkin terhapus), sebaliknya jika ada virus tidak dikenal, pengguna juga akan protes. Saat ini fitur heuristik masih dikembangkan untuk mendapatkan keseimbangan.
Jika Anda memiliki saran, silakan kirimkan ke yohanes at gmail dot com