Virus Windx

6

Virus Bergambar Kartun Jepang
Anda penggemar film atau tokoh kartun Jepang? Kenal Battosai? Apakah wallpaper folder windows Anda menampilkan gambar tokoh kartun Jepang ini? Jika ya, berarti komputer Anda terserang virus Windx.Windx atau dikenal juga dengan nama Mysamurai ini dibuat dengan bahasa Visual Basic. Diketahui ia telah banyak menyebar, dan sampai saat ini kami sendiri baru memiliki dua varian dari virus ini. Tubuhnya di-compress menggunakan UPX dan memiliki ukuran sebesar 92.544 untuk widx. A dan 88.446 untuk Windx. B.
Berbeda dengan virus lokal lainnya, virus Windx tidak menggunakan icon folder, tapi ia pun tidak menggunakan icon apa-apa. Jadi, jika dilihat pada Windows Explorer, yang tampak hanya nama file-nya saja.
5 Membuat File Induk pada Direktori System
Pada saat virus aktif kali pertama pada sistem yang belum terinfeksi oleh virus ini, ia akan membuat file induk pada direktori System (\Windows\System). File yang ada di direktori ini antara lain adalah Ngsys.exe, runer.exe, rvshost.exe, system31.exe, userint.exe, windxp.exe, dan winzipt.exe. Tidak hanya itu, pada drektori System32 (\Windows\System32\), Anda pun akan menemukan fie pendukung atau file induk lainnya dengan nama CommandPrompt.Sysm, NvMedia.sysm, odbcad32.dll, Restoration.msd, shareNet.msd, Windows 3D.scr, WindXP.ini, dan Desktop.ini. File-file inilah yang biasanya aktif sebagai process di memory.
Selain di kedua direktori di atas, file induk lainnya pun dapat Anda temukan pada direktori StartUp yang biasanya muncul juga pada Start Menu. Nama file induk tersebut adalah Adobe-Gama.pif. Ini memang mirip dengan salah satu file milik aplikasi Adobe, yakni Adobe Gamma Loader. File ini nantinya akan berjalan secara otomatis pada saat memulai Windows.
Tidak puas dengan file-file induk yang telah ia buat, ia juga membuat sebuah file induk lagi pada direktori Windows dengan nama explore.exe. Ingat!, jangan keliru dulu. Kelihatannya memang mirip dengan file milik Windows, tapi file Windows yang asli adalah ”explorer.exe” dan bukan ”explore.exe”.
Aktif Saat Screensaver Aktif
Setelah berhasil menelurkan agennya pada direktori-direktori Windows, kini waktunya ia menghubungkan file induk tadi dengan membuat ataupun mengubah item di registry untuk diarahkan kepada file yang telah ia buat. Tujuannya adalah agar virus dapat aktif dengan udah, terutama saat memulai Windows.
Nilai default untuk HKEY_LOCAL_MACHINE\SOFWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell ia ubah menjadi ”Explorer.exe c:\windows\Explore.exe”. Dengan penambahan parameter berupa c:\windows\Explore.exe ini, saat shell Explorer dieksekusi, secara bersamaan Windows pun akan menjalankan virusnya.
Pada HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\, akan ada sebuah item baru dengan nama SysRes. SysRes ini diarahkan kepada file induk windows\system32\Retoration.msd. Jika Anda lihat, file induk tersebut memiliki extension.msd yang tidak lazim seperti halnya sebuah file executable. Walau sebenarnya file tersebut adalah executable, tapi dengan extension yang tidak dikenal oleh Windows bagaimana ia dapat aktif? Mudah saja, ia meregister tipe file baru di registry dengan nama .msd yang ia namakan Microsoft System Direct dan sebuah tipe file baru lagi dengan nama .sysm atau ia namakan sebagai System Mechanic. Kedua tipe file palsu tersebut menggunakan icon bergambar seperti network/jaringan dan installer yang diambil dari aplikasi bawaan windows agar user tidak terlalu curiga.
Untuk tipe file executable pun mengalami perubahan. Ia menambahkan item baru dengan nama NeverShowExt pada key exefile. Artinya, ini akan memaksa Windows Explorer untuk tidak menampilkan extension dari setiap file dengan extension.exe walaupun Nada sudah mematikan opsi ” Hide extensions for known file types” pada Folder Options. Hal ini pun dilakukannya pada kedua extension baru yang telah ia buat sebelumnya. Dan juga ia pun mengubah Type Information utuk file.exe ini dari Application menjadi Icon. Anda akan merasakan perubahan ini pada Windows Explorer.
Selain metode di atas, virus ini pun dapat aktif pada saat screensaver aktif. Cara ii sudah banyak juga diterapkan oleh virus-virus ai. Yakni, dengan mengubah nilai SCRNSAVE.EXE di registry menjadi \Windows\System32\Windows 3D.scr, di mana file Windows 3D.scr adalah file virusnya.
Cara lainnya, ia pun megubah item AlternateShell pada key SafeBoot di registry dengan mengarahkan kepada file induknya yang berada di \windows\system32\CommandPrompt.Sysm. Ini mengakibatkan virus dapat aktif dalam modus safe-mode.
Walau virus ini tidak menutup akses ke Folder Options, ia tetap mengubah settingan Folder Options dengan mencoba untuk tidak menampilkan file attribut hidden dan system. Ini dilakukan agar kita tidak dapat menemukan file induk virus.
Tools Penganalisis Virus Masih Bisa Dijalankan
Tools bawaan Windows ataupun tools penganalisis virus yang biasanya digunakan masih bisa dijalankan. Contohnya Regedit, MsConfig, CommandPrompt, dan Process Explorer. Jadi, sebenarnya dengan sedikit repot, user yang mengerti seluk-beluk Windows pun dapat menghapus virus ini secara manual.
Folder Windows yang Memiliki Wallpaper
Cara mudah untuk memastikan apakah komputer Anda terinfeksi oleh virus ini atau tidak adalah dengan masuk ke direktori Windows. Jika wallpaper direktori ini menampilkan gambar berupa tokoh kartun Jepang yang dari beberapa laporan pembaca menyebutnya sebagai Battosai, bisa dipastikan komputer Ada telah terinfeksi oleh virus ini.
Bagaimana ia melakukannya? Ia hanya membuat file Desktop.ini yang ia tempatkan pada direktori windows. File Desktop ini sebenarnya merupakan tipe file bawaan Windows yang digunakan untuk menyimpan setting-an suatu folder. Ia memanipulasi file Desktop.ini agar dapat menampilkan gambar sebagai wallpaper folder bersangkutan dengan mengisikan nilai untuk IconArea_Image yang ada pada Desktop ini dengan ”x:\windows\system32\WindXP.ini” yang mana file ini merupkan salah satu file pendukung virus yang telah ia buat. File WindXP.ini sebenarnya merupakan file GIF (Graphics Interchange Format) atau file gambar, yang jika Anda bedah file induk virus, file gambar ini disimpan di bagian akhir tubuhnya.
Selain itu, nilai info Tip di file Desktop.ini akan menjadi ”How are you %username%, nice to meet you!”. Di mana %username% di sini merupakan nama user saat virus tersebut aktif. Pesan ini akan muncul ketika Anda mengarahkan mouse sejenak tepat di atas folder Windows.
Folder System32 Menjadi Control Panel
Lagi-lagi hanya dengan bermodalkan file Desktop.ini, virus tersebut dapat melakukannya. Ia membuat sebuah file Desktop.ini lagi pada direktori \Windows\System32, dan memanipulasi nilai CLSID (Windows Classes Identifiers) pada file desktop.ini menjadi {21EC2020-3AEA-A2DD-08002B30309D} yang merupakan CLSID milik Control Panel.
Menyebar Melalui Flashdisk
Dengan membuat file autorun.inf dan sebuah file induk dengan nama ”.exe” pada flashdisk, virus ini akan dapat aktif bersamaan pada saat user mengakses drive flashdisk tersebut.
Enkripsi dengan Caesar Cipher
Tekik enkripsi yang digunakan sangat sederhana, yakni hanya menggunakan teknik sandi geser atau terkenal dengan nama Caesar Cipher. Untuk mengenkripsi, ia hanya mengeser maju satu karakter saja. Contohnya, kata ”PCMAV” menjadi ”QDNBW”. Jadi, untuk mendeskripsinya, tinggal memundurkan 1 karakter, gamapang bukan?
Pencegahan dan Pembasmian
Cukup gunakan PCMAV RC23 yang telah disempurnakan ini, maka Windx akan lenyap dari komputer Anda secara tuntas dan akurat 100%. Tidak hanya itu, berbagai setting-an Windows yang telah ia ubah akan dikembalikan seperti semula oleh PCMAV.

4:06 AM 5/15/2009

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s