/*

Selasa, Oktober 21, 2008

X-FLY: GANTI ICON .EXE


Ia menyebarkan diri ke segala penjuru drive di komputer korban, memanipulasi registry, berganti icon, bahkan menghilangkan data. Arief Prabowo

VIRUS LOKAL ini dikenali oleh PC Media Antivirus 1.2 sebagai XFly. Dan sama seperti kebanyakan virus lokal lainnya, ia dibuat menggunakan Visual Basic. Memiliki ukuran tubuh sebesar 143.360 bytes tanpa di-compress, dengan icon yang bisa berubah-ubah.

Sebar File Induk
Kali pertama virus dijalankan, yang ia lakukan adalah membuat file induk pada drive C dan D (jika ada), tepatnya ia akan membuat folder baru pada drive C:\soulfly dan D:\soulfly serta menaruh beberapa file induknya pada folder tersebut. Selain itu, ia juga menempatkan beberapa file induk execu table lainnya pada root drive C dengan nama yang tak lazim, yakni MSNTLR.DYS, MSFLC.FYS, MSDLF.HHS, PSK.fly, dan satu lagi bernama fadly_keren.ocx. Sementara pada direktori Windows dan System32, selain terdapat file induk lainnya, ia pun mengextract icon yang disimpan pada section Resource di tubuhnya ke direktori System32 tersebut, serta membuat lagi file dengan nama mediaplayer.exe dan rj.html pada folder startup Windows. Ia pun tak lupa membuat back-up terhadap file MSVBVM60. DLL pada direktori C:\WINDOWS\System dengan nama MSVBVM60.DLL dan rambe.dat.

Setelah file induk berhasil disebar, tugas selanjutnya adalah memanggil beberapa file induk tersebut, jadi memory pun akan dipenuhi dengan process dari sang virus. Ini sangat membuat kerja processor bertambah berat dan akan sangat terasa saat menjalankan beberapa aplikasi secara bersamaan. Setidaknya pada memory akan terdapat process virus dengan nama RCSS. EXE, r4m83.exe, isass.exe, realplay.exe, MSNTLR.DYS, MSFLC. FYS, MSDLF.HHS, dan PSK.fly.

Banyak AutoRun
Yang dilakukan oleh virus ini untuk dapat running otomatis saat memulai Windows memang cukup berlebihan, ia membuat lebih dari 20 item Run baru di registry. Yang pertama, ia akan memanipulasi nilai Userinit yang ada pada key HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\ menjadi “C:\WINDOWS\system32\userinit.exe, C:\windows\system32\RCSS.exe”. Windows akan menganggap string C:\windows\system32\RCSS.exe, yang merupakan salah satu file induk virus ini sebagai parameter, yang akhirnya akan dieksekusi juga oleh Windows. HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell dan HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System juga mengalami hal yang sama, nilainya diubah menjadi C:\WINDOWS\system32\RCSS.exe. Selebihnya ia membuat beberapa itum run lainnya pada key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run dan HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.Beberapa extension pun ia ubah default open-nya agar mengarah kepada file induk di c:\WINDOWS\r4m83.exe. Extension yang ia ubah tersebut adalah .LNK, .PIF, .BAT, dan .COM.

Tidak hanya normal mode, SafeMode pun ia infeksi dengan cara mengubah nilai AlternateShell yang ada pada key HKLM\SYSTEM\ControlSet001\Control\SafeBoot\, HKLM\SYSTEM\ControlSet002\Control\SafeBoot\,dan HKLM\SYSTEM\CurrentCon-trolSet\Control\SafeBoot\, yang diarahkan kepada file induk yang sama seperti di atas, yakni C:\WINDOWS\system32\RCSS.exe. Ini akan berakibat aktifnya sang virus walaupun dalam modus SafeMode.

Restriksi Registry
Dengan masih menggunakan bantuan Registry, ia mengeset beberapa restriction untuk menunjang kelangsungan hidupnya. Dengan cara menambahkan beberapa item baru seperti NoFolderOptions, NoFind, NoRun, DisableTaskMgr, dan DisableCMD pada key HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\, yang tak lain maksudnya adalah untuk tidak memperbolehkan user untuk mengakses menu Folder Options, Search/Find, Run, Task Manager, dan Command Prompt. Serta untuk Folder Options, ia set untuk tidak menampilkan file dengan attribut hidden dan system, serta menyembunyikan extension dari setiap file yang dikenal. Selain itu, ia pun men-disable System Restore milik Windows.

Register Extension Baru
Seperti dikatakan di awal, virus XFly ini menciptakan file exe-cutable dengan nama yang tak lazim, namun bisa dieksekusi. Seperti contohnya, MSNTLR.DYS atau MSFLC.FYS. Jadi, apabila ada file misalnya dengan extension berupa .DYS, dan user menjalankan dengan mengklik dua kali pada explorer, Windows akan menjalankannya selayaknya file executable (.EXE). Bagaimana ia melakukannya? Sebelumnya ia telah meregister extension baru yang telah ia tentukan seperti .DYS,.FYS, .HHS, dan .FLY pada registry HKEY_CLASSES_ROOT dan mengesetnya sedemikian rupa agar dikenali layaknya file executable.

Menyamar Berganti Icon
Agar selalu dapat mengelabui korbannya, virus ini memiliki kemampuan untuk mengubah resource icon dirinya. Seperti yang kita ketahui, normalnya sebuah file executable memiliki section resource. Dalam section resource ini bisa terdiri atas berbagai macam data. Salah satunya adalah icon. Secara teknis, jika executable virus ini dibedah, pada section resource akan terdapat resource dengan nama OCX. Resource OCX ini berisi kumpulan icon yang akan digunakannya nanti. Virus ini akan mengextract icon yang ada pada resource OCX pada direktori System32 dengan nama avg.ico, word.ico, rmb5.ico, mp3.ico, jpg.ico, dan folder.ico. Dari namanya, pasti Anda sudah bisa mengira tampilan icon tersebut seperti apa. Dan yang dilakukan oleh virus ini adalah mengubah resource icon pada beberapa file executable induknya menggunakan icon yang baru yang telah ia extract sebelumnya.

Berkembang Biak
Media yang banyak dipakai oleh virus-virus di Indonesia untuk menyebar adalah flash disk. Jika terinfeksi virus ini, pada flashdisk akan terdapat file baru dengan nama New Folder. exe tentunya dengan icon mirip folder dan sebuah file dengan nama autorun.inf. Bukan hanya itu, ia juga memiliki kemampuan untuk menyebar melalui jaringan dengan mencari sharing older yang aktif yang memiliki akses write agar virus ini dapat mengkopikan dirinya ke sharing folder tersebut. Biasanya untuk menarik perhatian user, virus ini akan membuat file dengan nama berbau pornografi .

Menghapus File
Saat user mencolokan flash disk, virus ini dengan segera akan mencari file dengan extension .MPG, .WMV, .AVI, .JPG, .SCR, ZIP, dan .RAR. Apabila ditemukan, maka ia akan menghapus file tersebut dan menggantikannya dengan file virus dengan nama yang hampir sama.

Blacklist Aplikasi
Segala cara dikerahkan untuk dapat selalu bertahan hidup. Komponen Timer yang ada pada tubuhnya, secara simultan akan membaca caption dan atau window class dari setiap apikasi yang running, apabila ditemukan aplikasi yang masuk dafar blacklist-nya, ia akan segera menampilkan layar hitam berisi pesan dari si pembuat virus, dan selama layar hitam ini muncul, sang user tidak akan bisa berbuat apa–apa. Beberapa string yang ada dalam daftar black list-nya, antara lain PROCESS, SETUP, RESOURCE HACKER, HEX WORKSHOP, HIJACKTHIS, KILLBOX, dan masih banyak lagi yang lainnya.

Pesan Virus
Pada komputer terinfeksi, caption dari Internet Explorer, akan berubah menjadi “..:: x-fly ::..”, dengan default page yang mengarah pada file “C:\Documents and Settings\All Users\Start Menu\Programs\Startup\rj.html” yang merupakan file pesan virus. File ini pun akan dijalankan otomatis pada saat memulai Windows karena berada pada folder StartUp.

Selain itu, sebuah file pesan virus dengan nama x-fly.html pun akan terlihat jelas pada Desktop, tepatnya berada pada C:\Documents and Settings\All Users\Desktop\x-fly.html. Dan setiap waktu menunjukkan pukul 12:30, 16:00, atau 20:00, virus ini juga akan menampilkan layar hitam yang berisi pesan darii pembuat virus.

Tidak ada komentar: