www.abdiradit.com

Akhir-akhir ini ada laporan dari beberapa user bahwa Installer R7SE khususnya file Update yang di-download dari Forum maupun dari File Manager abdiradit.com terdeteksi sebagai virus (trojan). Memang tidak semua antivirus yang mendeteksi beberapa file tersebut sebagai virus (trojan) tapi ada satu atau lebih antivirus yang menganggapnya sebagai virus khususnya oleh antivirus Avira (Antivirus yang bergambar payung merah) dan AVG.

Namun saya merasa disini ada kejanggalan diantaranya:

• Tidak semua file terdeteksi sebagai virus, padahal semua file tersebut dicompile dengan compiller yang sama dan dengan rutin yang sama. Seharusnya semua file tersebut dianggap sebagai virus yang sama.
• Hasil identifikasi antara satu antivirus dengan antivirus lainnya berbeda-beda. Ada yang menganggap sebagai Trojan horse BackDoor.Generic10.GMO dan ada yang menganggap sebagai Trojan TR/Crypt.CFI.Gen
• Dari dulu saya menggunakan compiler yang sama sampai saat ini, namun baru saat ini dianggap sebagai virus.
• Tidak semua antivirus mengganggap file-file tersebut sebagai virus. Saat ini saya lebih suka menggunakan NOD32 dan saya scan namun tidak ada yang terdeteksi sebagai virus. Saya lebih suka dengan NOD32 karena saat komputer saya mengalami kelainan yang saya anggap karena virus, hanya NOD32 yang berhasil menemukan virus tersebut sedangkan antivirus yang lainnya tidak menemukan virus tersebut.
• Sebelum saya upload ke hosting, saya sudah mencoba installernya dan semuanya berjalan normal. Tidak ada tanda-tanda aktivitas virus yang mengganggu.
• Dan beberapa kejanggalan lainnya…

Berdasarkan fakta tersebut, saya hanya beranggapan bahwa Antivirus yang menganggap Installer tersebut sebagai virus hanya over-protective karena memang Installer dan file RM yang lain selalu mengakses registry dan machine code untuk membaca HWID serta menggunakan runtime packer dan dapat menghasilkan file EXE yang baru. Namun semua anggapan saya belum bisa saya buktikan dan mau tidak mau laporan dari antivirus tersebut menyebabkan user RM menjadi sedikit was-was dengan file-file RM239.
Titik terang mulai muncul saat saya membuat daftar file yang dianggap sebagai virus oleh antivirus tersebut. Saya heran karena semua file yang terdeteksi sebagai virus tersebut mempunyai icon yang sama yaitu icon yang saya ambil dari file installer java (javacup.ico).

Tanda tanya BESAR (?) muncul di benak saya: Apakah mungkin file icon (file berextensi *.ico) bisa disusupi oleh virus?  Wah, hebat sekali pembuat virusnya bisa membuat virus dalam file *.ico berukuran 24.6KB dan murni sebagai file icon yang berisi 9 buah icon dengan berbagai resolusi. Kalau ukuran sih memang masuk akal karena ada juga rutin virus yang dibuat hanya berukuran 1KB, namun itu bukan file icon melainkan file berextensi *.vbs (visual basic script), *.inf, *.bat dan file berbasis text lainnya yang mungkin kemudian di-rename menjadi file script yang lain dan bukan file grafik seperti *.ico.
Karena penasaran, saya scan (deep/advanced/slow scan)  folder yang berisi file javacup.ico tersebut dengan antivirus yang sama yaitu Avira. Namun tidak ada satu-pun file *.ico dalam folder tersebut yang dideteksi sebagai virus. Aneh kan?

Untuk menjawab rasa penasaran saya, saya kemudian meng-extract file RAR yang saya upload yang terdeteksi sebagai virus tadi. Kemudian saya membuat file yang sama persis dengan meng-compile lagi dari source code, namun kali ini dengan menggunakan icon yang lain. Setelah selesai, saya scan file dengan icon baru tersebut dan ternyata tidak terdeteksi sebagai virus.

Terjawab sudah rasa penasaran saya….
Jadi ternyata gara-gara sebuah icon, antivirus juga bisa salah dalam mengidentifikasi sebuah virus. Baiklah kalau begitu. Demi kenyamanan orang yang menggunakan program saya, semua file yang menggunakan icon javacup akan saya hapus dan saya ganti dengan file yang sama namun menggunakan icon yang lain.

Jika anda merasa penasaran, silahkan download dan anda periksa/scan file javacup.ico ini apakah berisi rutin virus atau murni sebagai file icon/grafik. Selamat melakukan experimen.