Banyak hal unik yang dimiliki oleh virus ini. Untuk menyebarkan dirinya, ia tidak dapat berdiri sendiri, artinya ia membutuhkan file lain. Seperti yang kita ketahui bahwa program atau virus yang dibuat dengan Visual Basic (VB) 5/6 membutuhkan sebuah file run-time library, yang dikenal dengan nama MSVBVMXX.DLL (“XX” disini merupakan
versi VB). Jika Anda memiliki sistem operasi Windows XP, file tersebut secara otomatis ada di direktori sistem operasi Anda. Tanpa file tersebut, program atau virus yang dibuat dengan VB tidak akan dapat berjalan. Terkadang dengan hanya me-rename sementara file MSVBVMXX.DLL pun, dapat menjadi solusi mudah dan cepat untuk mengusir virus-virus yang dibuat dengan VB. Mungkin hal ini yang membuat sang “virus maker” tergerak hatinya untuk mencari solusi agar virusnya dapat bertahan hidup. Yang dilakukannya adalah dengan memodifi kasi file MSVBVM60.DLL, di antaranya dengan mengubah resource icon yang terdapat pada file library tersebut dari icon standar program VB menjadi icon folder, dan menghapus resource version information yang terdapat juga di dalamnya. Terakhir, ia mengubah namanya menjadi “Thumbs .db”. Sekilas memang nama dari file tersebut mirip seperti file “Thumbs.db”, yang dihasilkan otomatis oleh Windows. Namun Anda perhatikan dengan seksama, nama file “Thumbs” milik virus mempunyai tambahan karakter spasi sebanyak tiga spasi setelah kata “Thumbs”. File ini pun memiliki attribut hidden agar tidak terlihat di Windows Explorer. File library yang telah dimodifi kasi ini memiliki ukuran sebesar 1.388.544 bytes.
PC Media Antivirus mengenali variant baru tersebut sebagai BlueFantasy-Erikimo. Antivirus lain ada yang mengenalnya sebagai Drowor atau Yabarasu. Kami baru mendapati dua buah variant, namun itu tidak menutup kemungkinan masih terdapat variant-variant lainnya. Variant A yang kami telusuri memiliki ukuran file sebesar 40.960 bytes, dan tidak di-compress. Sementara yang B memiliki ukuran file sebesar 58.736 bytes . Kedua variant tersebut dibuat dengan menggunakan Visual Basic yang di-compile menggunakan metode P-Code. Ber-iconkan mirip folder standar bawaan Windows , seperti kebanyakan virus lokal lainnya. Virus yang menyerang sistem operasi berbasis Windows ini hadir dengan kemampuan yang lebih canggih dibanding versi terdahulunya. Pembuatnya memang terus meningkatkan kemampuan yang dimiliki, contoh gampang bisa dilihat jelas antara BlueFantasy-Erikimo. A dan BlueFantasy-Erikimo.B, yang jeda kemunculannya tidak terlalu lama, namun Virus dengan “Run-Time Library” Pribadi Lama tak berjumpa dengan BlueFantasy, kini sang pembuat virus ini kembali membuat gebrakan. Hampir setiap hari, kiriman contoh virusnya terus mampir ke meja redaksi. Tentunya, versi kali ini dengan teknik baru yang lebih canggih yang belum dimiliki oleh virus lokal lainnya. Arief Prabowo perbedaannya cukup signifikan. Walau keduanya menggunakan engine (run-time library) pribadi, namun pada variant B, ia menggunakan teknik baru seperti Encryption dan Dropper untuk Automatic Updates. Semakin penasaran, kan?
File Virus
Saat kali pertama virus dijalankan, terlihat jelas dengan munculnya sebuah file batch (.bat) baru, dengan nama “Autoexec.bat” pada desktop Anda. Jika file ini Anda klik, ia akan menampilkan pesan dari pembuat virus dalam kotak Command Prompt. Tidak hanya itu saja, dibalik itu ia pun segera membuat beberapa file induk dengan nama “Adobe update.com” dan “Adobe Online.com” pada direktori startup. Maksudnya, agar virus ini dapat aktif secara otomatis saat Anda memulai Windows. Di direktori System32, ia akan menciptakan sebuah file “dropper” dengan nama “services_test.exe”. Pada root direktori dari setiap drive Anda pun akan terdapat tiga buah file baru, yakni Autorun.inf, Thumbs. com, Thumbs .db. Pada direktori Windows akan terdapat juga file Thumbs.db. Pesan yang muncul saat memulai Windows. Virus menyamar sebagai folder, dan menyembunyikan folder aslinya. Tampilan file Autoexec.bat ketika dijalankan.
VIRUS
Atau sekitar 1.32 Mb. Sementara file library yang asli (MSVBVM60.DLL) memiliki ukuran sebesar 1.392.671 bytes. Sekarang, saat pembuatnya memrogram virus tersebut, semua rutin function yang tadinya mengarah ke file MSVBVMXX.DLL, akan dialihkan kepada file “Thumbs .db”. Jadi, walaupun virus ini dibuat dengan VB, dan Anda mencoba untuk me-rename atau menghapus file MSVBVMXX.DLL, pasti tidak akan mempan, karena ia tidak lagi membutuhkan file tersebut. Tapi sekarang, coba rename/hapus file “Thumbs .db” yang ada di komputer Anda, virusnya pasti akan mati juga. Satu hal, pengubahan file library ini menguntungkan bagi virus, namun ada kekurangannya juga, yakni besarnya “paket virus” yang harus didistribusikan akan mempengaruhi kecepatan penginfeksian. Artinya, karena file ini mempunyai library sendiri, maka mau tidak mau selain file inti virus, dalam menginfeksi suatu computer ia pun harus menyertakan file library yang ukurannya besar tersebut.
Registry
Perubahan yang dilakukan pada registry hampir sama dengan virus-virus lainnya. Virus ini mengubah beberapa item registry untuk tipe extension .scr, seperti mengubah tipenya dari “Screen Saver” menjadi “File Folder”, dan tidak akan menampilkan extension dari file bertipe .scr. Untuk Folder Options, ia akan memaksa Windows Explorer agar tidak menampilkan extension, dan file – file dengan attribute hidden dan system. Namun kali ini, ia tidak menyembunyikan menu Folder Options-nya. Artinya, kita masih bias mengakses menu tersebut, namun saat kita ubah settingan dari Folder Options, misalnya untuk kembali menampilkan file hidden dan system, Windows Explorer tidak akan bereaksi apapun. Itu dikarenakan ia telah mengubah default value milik setting-an Folder Options di registry. Pada komputer terinfeksi pasti sering melihat
kotak dialog box yang muncul, setiap kali memulai Windows. Dialog box yang berisikan pesan-pesan dari si pembuat virus ini dibuat dengan membuat atau mengubah value dari item LegalNoticeCaption, dan LegalNoticeText di registry.
Resident in Memory
Saat virus aktif di memory, ia akan terus memonitor semua hal yang kita lakukan. Ia pun mencoba memblok beberapa program utility penganalisis virus yang kami gunakan. Namun kali ini bisa diakali dengan cara merename file executable-nya, misalkan namafile dari Process Explorer. Setelah di-rename dari procexp.exe menjadi px.exe, program tersebut bisa berjalan tanpa masalah. Ini pun terkadang terjadi pada beberapa virus yang memblok PCMAV. Jadi, silakan saja Anda ganti terlebih dahulu nama file-nya menjadi apapun, yang sekiranya tidak dikenali oleh sang virus. BlueFantasy-Erikimo pun akan memonitor setiap direktori/folder yang kita kunjungi. Jadi, saat Anda memasuki sebuah direktori C:\WINDOWS misalnya, maka sang virus akan meng-hidden-kan seluruh direktori yang ia temui pada direktori tersebut, dan digantikan dengan file virus yang menyamar sebagai folder asli, dengan menggunakan nama yang sama, dan dengan extension berupa .scr.
Menyebar...
BlueFantasy-Erikimo dapat menyebar melalui media storage devices, seperti contohnya Flash Disk. Ini sebenarnya sudah umum dilakukan oleh virus lokal lainnya. Namun ada satu hal lain yang berbeda, virus ini dapat meng-update dirinya sendiri melalui Internet.
Auto Updates & Encryption
Untuk dapat meng-update dirinya secara otomatis, BlueFantasy-Erikimo membutuhkan program bantuan atau biasa dikenal dengan istilah “dropper”, seperti yang
pernah kami singgung sedikit di atas. File tersebut di- extract dari dalam tubuh file inti virus ini, dan biasanya dropper memiliki ukuran yang kecil. Untuk yang satu ini sebesar 15.872 bytes dalam keadaan ter-enkripsi, dan terkompres dengan ASPack. Selain itu dropper ini juga memiliki kemampuan Anti- Debugging. Pada file yang telah di-unpack, string - string yang ada di dalam tubuh dropper belum dapat terlihat, walaupun ada satu string panjang “[Dropped][By]tr4f0x. A.w32[t]90oi3kj4easudhkjwaesd23rboo39w j37snhq9&j2@d9.,<.a.sdl933=”, yang kami pun belum tahu maksudnya. Namun dengan menggunakan program Debugger, akhirnya ketemulah alur enkripsi yang digunakan oleh dropper tersebut. Ternyata string yang kita temukan tadi merupakan kunci untuk dapat membuka enkripsinya. Inti dari enkripsinya adalah hanya memaju-mundurkan, dan meng-XOR-kan karakter per karakter antara string ter-enkrip dengan string kunci nya. Setelah membuat program decryptornya, kini semua string dapat terlihat. Di antaranya terdiri dari daftar alamat situs dan nama-nama program utility penganalisis virus dan program antivirus yang diblok olehnya, seperti navw32, griso, procexp, hijack, dan masih banyak lagi. Ia pun akan mencoba menghubungi beberapa situs di Internet untuk dapat memperbaharui diri, yakni
http://indonesianvxzone.cjb.net/indonesianvxzone.
jpg, http://vaksin.cjb.net/vaksin.
jpg, http://34refds.cjb.net/34refds.jpg,
http://43ti45s.cjb.net/43ti45s.jpg.
Namun kini, semua alamat tersebut sudah tidak dapat diakses lagi.
0 komentar:
Posting Komentar