WINDX atau dikenal juga dengan nama Mysamurai ini dibuat dengan bahasa Visual Basic. Diketahui ia telah banyak menyebar dan sampai saat ini kami sendiri baru memiliki dua varian dari virus ini. Tubuhnya di-compress menggunakan UPX dan memiliki ukuran sebesar 92.544 untuk Windx.A dan 88.446 untuk Windx.B. Berbeda dengan virus lokal lainnya, virus Windx tidak menggunakan icon folder, tapi ia pun tidak menggunakan icon apa-apa. Jadi jika dilihat pada Windows Explorer, yang tampak hanyalah nama file-nya saja.
Membuat File Induk pada Direktori System
Pada saat virus aktif kali pertama pada sistem yang belum terinfeksi oleh virus ini, ia akan membuat file induk pada direktori System (\Windows\System\). File yang ada di direktori ini antara lain adalah Ngsys.exe, runer.exe, rvshost.exe, system31. exe userint.exe, windxp.exe, dan winzipt.exe. Tidak hanya itu, pada direktori System32 (\Windows\System32\), Anda pun akan menemukan file pendukung atau file induk lainnya dengan nama CommandPrompt.Sysm, NvMedia.sysm, odbcad32.dll Restoration.msd, shareNet.msd, Windows 3D.scr, WindXP.ini, dan Desktop.ini. File–file ini lah yang biasanya aktif sebagai process di memory. Selain di kedua direktori di atas, file induk lainnya pun dapat Anda temukan pada direktori StartUp yang biasanya muncul juga pada Start Menu. Nama file induk tersebut adalah Adobe- Gama.pif. Ini memang mirip dengan salah satu file milik aplikasi Adobe, yakni Adobe Gamma Loader. File ini nantinya akan berjalan secara otomatis pada saat memulai Windows. Tidak puas dengan file-file induk yang telah ia buat, ia juga membuat sebuah file induk lagi pada direktori Windows dengan nama explore.exe. Ingat!, jangan keliru dulu. Kelihatannya memang mirip dengan file milik Windows, tapi file windows yang asli adalah “explorer.exe” dan bukan “explore.exe”.
Aktif Saat Screensaver Aktif
Setelah berhasil menelurkan agennya pada direktori-direktori Windows, kini waktunya ia menghubungkan file induk tadi dengan membuat ataupun mengubah item di registry untuk diarahkan kepada file yang telah ia buat. Tujuannya adalah agar virus dapat aktifdenganmudah,terutamasaatmemulaiWindowsNilaidefaultuntukHKEYLOCALMACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell ia ubah menjadi “Explorer.exe c:\windows\Explore.exe”. Dengan penambahan parameter berupa c:\windows\Explore.exe ini, saat shell Explorer dieksekusi, secara bersamaan Windows pun akan menjalankan virusnya. Pada HKEY LOCALMACHINE\SOFTWARE\Microsoft\ Windows\CurrentVersion\Run\, akan ada sebuah item baru dengan nama SysRes. SysRes ini diarahkan kepada file induk windows\system32\Restoration.msd. Jika Anda lihat, file induk tersebut memiliki extension .msd yang tidak lazim seperti halnya sebuah file executable. Walau sebenarnya file tersebuat adalah executable, tapi dengan extension yang tidak dikenal oleh Windows bagaimana ia dapat aktif? Mudah saja, ia meregister tipe file baru di registry dengan nama .msd yang ia namakan Microsoft System Direct dan sebuah tipe file baru lagi dengan nama .sysm atau ia namakan sebagai System Mechanic. Kedua tipe file palsu tersebut menggunakan icon bergambar seperti network/jaringan dan installer yang diambil dari aplikasi bawaan windows agar user tidak terlalu curiga. Untuk tipe file executable pun mengalami perubahan. Ia menambahkan item baru dengan nama NeverShowExt pada key exefile. Artinya, ini akan memaksa Windows Explorer untuk tidak menampikan extension dari setiap file dengan extension .exe walaupun Anda sudah mematikan opsi “Hide extensions for known file types” pada Folder Options. Hal ini pun dilakukannya pada kedua extension baru yang telah ia buat sebelumnya. Dan juga ia pun mengubah Type Information untuk file .exe ini dari Application menjadi Icon. Anda akan merasakan perubahan ini pada Windows Explorer. Selain metode di atas, virus ini pun dapat aktif pada saat screensaver aktif. Cara ini sudah banyak juga diterapkan oleh virus-virus lain. Yakni, dengan mengubah nilai SCRNSAVE.EXE di registry menjadi \Windows\System32\Windows 3D.scr, di mana file Windows 3D.scr adalah file virusnya Cara lainnya, ia pun mengubah item AlternateShell pada key SafeBoot di Registry dengan mengarahkan kepada file induknya yang berada di \windows\system32\CommandPrompt.Sysm. Ini mengakibatkan virus dapat aktif dalam modus safe-mode. Walau virus ini tidak menutup akses ke Folder Options, ia tetap mengubah setingan Folder Options dengan mencoba untuk tidak menampilkan file dengan attribut hidden dan system. Ini dilakukan agar kita tidak dapat menemukan file induk virus.
Tools Penganalisis Virus Masih Bisa Dijalankan
Tools bawaan Windows ataupun tools penganalisis virus yang biasanya digunakan masih bisa dijalankan. Contohnya Regedit MsConfig, Command Prompt, dan Process Explorer. Jadi, sebenarnya dengan sedikit repot, user yang mengerti seluk-beluk Windows pun dapat menghapus virus ini secara manual.
Folder Windows yang Memiliki Wallpaper
Cara yang mudah untuk memastikan apakah komputer Anda terinfeksi oleh virus ini atau tidak adalah dengan masuk ke direktori Windows. Jika wallpaper direktori ini menampilkan gambar berupa tokoh kartun Jepang yang dari beberapa laporan pembaca menyebutnya sebagai Battosai, bisa dipastikan komputer Anda telah terinfeksi oleh virus ini. Bagaimana ia melakukannya? Ia hanya membuat file Desktop. ini yang ia tempatkan pada direktori Windows. File Desktop. ini sebenarnya merupakan tipe file bawaan Windows yang digunakan untuk menyimpan setting-an suatu folder. Ia memanipulasi file Desktop.ini agar dapat menampilan gambar sebagai wallpaper folder bersangkutan dengan mengisikan nilai untuk IconArea_Image yang ada pada Desktop.ini dengan “x:\windows\ system32\WindXP.ini” yang mana file ini merupakan salah satu file pendukung virus yang telah ia buat. File WindXP.ini sebenarnya merupakan file GIF (Graphics Interchange Format) atau file gambar, yang jika Anda bedah fi le induk virus, file gambar ini disimpan di bagian akhir tubuhnya. Selain itu, nilai InfoTip di file Desktop.ini akan menjadi “How are you %username%, nice to meet you!”. Di mana %username% di sini merupakan nama user saat virus tersebut aktif. Pesan ini akan muncul ketika Anda mengarahkan mouse sejenak tepat di atas folder Windows.
Folder System32 Menjadi Control Panel
Lagi-lagi hanya dengan bermodalkan file Desktop.ini, virus tersebut dapat melakukannya. Ia membuat sebuah file Desktop. ini lagi pada direktori \Windows\System32, dan memanipulasi nilai CLSID (Windows Classes Identifi ers) pada file Desktop.ini menjadi {21EC2020-3AEA-1069-A2DD-08002B30309D} yang merupakan CLSID milik Control Panel.
Menyebar Melalui Flashdisk
Dengan membuat file autorun.inf dan sebuah file induk dengan nama “ .exe” pada flash disk, virus ini akan dapat aktif bersamaan pada saat user mengakses drive flash disk tersebut.
Enkripsi dengan Caesar Cipher
Teknik enkripsi yang digunakan sangat sederhana, yakni hanya menggunakan teknik sandi geser atau terkenal dengan nama Caesar Cipher. Untuk mengenkripsi, ia hanya menggeser maju satu karakter saja. Contohnya, kata “PCMAV” menjadi “QDNBW”. Jadi, untuk mendekripsinya, tinggal memundurkan 1 karakter, gampang bukan?
+v+
:hoho:
m(_ _)m
-_-
Dx
:bye:
:cheer:
:/
B)
:nangis:
(..)
>_<
x)
(y)
=))
:')
=3
( ´_ゝ`)
:super:
XD
^_^v
:3
^^♪
:|
O_O
No comments:
Post a Comment