Serangan virus mancanegara kembali datang, dan kali ini berasal dari varian keluarga W32/Xorer. Setelah lama tidak terdengar, virus mancanegara ini kembali menyerang pengguna komputer di Indonesia dan salah satu yang terdeteksi adalah W32/Xorer.AM.
Virus ini memiliki kemampuan seperti halnya seorang penyusup yang masuk ke dalam komputer yang kemudian beraksi dan mengacaukan system komputer. Untuk dapat melakukan tersebut, pembuat virus menggunakan teknik "social engineering" untuk mengelabui korbannya dalam rangka menyebarkan dirinya. Pembuat virus berusaha mengelabui korban dengan memberikan sebuah link program/software pada website tertentu atau memberikan sebuah informasi seperti cheat/kode, dengan kesan korban tidak melakukan sesuatu hal yang salah.
Keluarga W32/Xorer
W32/Xorer.AM merupakan salah satu virus dari varian keluarga W32/Xorer. Virus yang diduga berasal dari negeri Tirai Bambu ini muncul pertama kali pada akhir tahun 2007. Hingga kini sudah puluhan varian virus W32/Xorer yang bermunculan dan memiliki kemampuan yang berbeda-beda.
Gejala & Efek Virus
Beberapa gejala dan efek yang terjadi jika anda terinfeksi virus ini yaitu sebagai berikut :
ü CPU Usage 100%
Bagi para pengguna komputer, salah satu hal yang tidak diinginkan terjadi adalah jika komputer anda terasa sangat lambat. W32/Xorer.AM menjadikan komputer anda terasa sangat lambat dengan menggunakan resource CPU hingga 100%, sehingga akan sangat sulit bagi anda untuk beraktivitas menggunakan komputer. (lihat gambar 1)
Gambar 1. CPU Usage 100%
ü Cek Koneksi Internet
Seperti halnya kebanyakan virus mancanegara, W32/Xorer.AM juga mencoba melakukan koneksi internet ke beberapa website yang dituju. Untuk itu, virus mengecek terlebih dahulu koneksi internet dengan melakukan ping pada website www.baidu.com dengan menggunakan perintah berikut :
ping.exe –f –n 1 www.baidu.com
Gunakan Windows Task Manager untuk melihat aksi virus melakukan ping atau cek koneksi internet. (lihat gambar 2)
Gambar 2. Virus melakukan proses ping
Anda dapat pula menggunakan program seperti “Wireshark” untuk melihat aksi yang dilakukan oleh virus. (lihat gambar 3)
Gambar 3. Virus mengecek koneksi internet
ü Koneksi Remote Server
Jika koneksi internet sudah terhubung (setelah memastikan koneksi internet melalui proses ping ke www.baidu.com), W32/Xorer.AM akan mencoba melakukan koneksi ke remote server dengan tujuan mendowload file virus lain.
Beberapa IP remote server yang dituju antara lain :
o 222.73.218.96
o 220.181.6.175
o 210.14.65.53
o 205.209.142.21
o 202.169.45.219
o 199.7.51.190
o 199.7.48.190
o 125.252.235.191
o 118.214.114.70
o 61.172.246.180
ü Disable Safe-Mode
Salah satu efek yang membedakan W32/Xorer.AM dengan beberapa varian W32/Xorer yang lain adalah dengan mematikan fungsi Safe-Mode Windows. Dengan cara ini, W32/Xorer.AM akan sulit dilakukan pembersihan secara manual. Jika tetap mencoba menggunakan Safe Mode, baik lewat Command Prompt maupun Networking maka akan muncul jendela Blue Screen dan secara otomatis akan kembali Restart. (lihat gambar 4)
Gambar 4. Blue Screen akan muncul jika menggunakan Safe Mode
ü Membuka Web tertentu
Jika komputer yang terinfeksi W32/Xorer.AM sedang terkoneksi internet, terkadang jendela Internet Explorer/Mozilla akan terbuka secara tiba-tiba dan meng-akses web/situs tertentu. Web/situs yang akan terbuka yaitu antara lain : (lihat gambar 5)
Gambar 5. Jendela Internet Explorer yang muncul dan membuka web tertentu
Web/situs tersebut menampilkan animasi software/games yang menawarkan cheat/kode/patch. Selain itu, pada setiap web/situs yang dibuka, virus akan menambahkan beberapa URL script pada source, yaitu :
- http://%6A%73%2E%6B%30%31%30%32%2E%63%6F%6D/%30%31%2E%61%73%70 ( jika di translate menjadi) http://js.k0102.com )
ü Mematikan proses Program/Software
Untuk mempertahankan diri proses pembersihan antivirus dan mencegah aksi pengguna komputer mematikan proses virus yang berjalan, maka W32/Xorer.AM melakukan proteksi dengan menutup/mematikan proses program/software yang berjalan yang menggunakan string sebagai berikut :
o 360anti
o 360safe
o afx:
o AfxControlBar42s
o antivir
o avast
o avg
o bitdefender
o cabinetwclass
o dr.web
o eset
o ewido
o facelesswndproc
o firewall
o guard
o HOOK
o ieframe
o KeServiceDescriptorTable
o kissvc
o mcafee
o mcagent
o metapad
o monitor
o mozillauiwondowclass
o NetApi000
o NtQuerySystemInformation
o scan
o tapplication
o thunderrt6formdc
o thunderrt6main
o ThunderRT6Timer
o watch
Jika tetap mencoba menggunakan program/software yang memiliki string tersebut diatas, program/software tersebut tidak berjalan secara normal atau hang (not responding).
ü Modifikasi key Folder Options
Secara umum, W32/Xorer.AM tidak akan melakukan blok terhadap bebrapa program Windows seperti regedit, Task Manager, Folder Options, dll. Tetapi W32/Xorer.AM menggunakan cara lain agar file virus tidak mudah dilihat atau dihapus, untuk itu virus memodifikasi fitur Folder Options dengan menghapus salah satu key yang ada yaitu : (lihat gambar 6)
- Hide protected operating system files (recommended)
Gambar 6. Fitur Folder Options yang lengkap
Dengan menghapus key tersebut, pengguna komputer tidak dapat melihat file virus bahkan menghapusnya. (lihat gambar 7)
Gambar 7. Salah satu fitur pada folder options yang dihilangkan
File Virus
W32/Xorer.AM dibuat dengan menggunakan script bahasa C yang di kompress menggunakan UPX unpacker. Jika virus berhasil menginfeksi komputer, maka akan membuat beberapa file utama sebagai berikut : (lihat gambar 8)
- C:\AUTORUN.inf (1 kb)
- C:\pagefile.pif (92 kb)
- C:\Documents and Settings\All Users\Start Menu\Programs\Startup\~.exe.[angka_acak].exe (92 kb)
- C:\WINDOWS\system32\[angka_acak].log (92 kb)
- C:\WINDOWS\system32\dnsq.dll (32 kb)
- C:\WINDOWS\system32\Com\lsass.exe (92 kb)
- C:\WINDOWS\system32\Com\smss.exe (40 kb)
- C:\WINDOWS\system32\Com\netfcg.000 (16 kb)
- C:\WINDOWS\system32\Com\netcfg.dll (16 kb)
Gambar 8. File virus W32/Xorer.AM
Selain itu jika komputer memiliki partisi drive lain atau memiliki mapping drive, maka virus akan membuat 2 file virus yaitu :
- AUTORUN.inf (semua drive)
- Pagefile.pif (semua drive)
Metode Penyebaran
Pada awalnya pembuat virus melakukan metode penyebaran dengan melakukan beberapa hal seperti :
- Melakukan posting pada forum software, menyediakan link untuk di download.
- Melakukan posting pada forum games, menyediakan link cheat/kode/patch.
Tetapi setelah komputer pengguna terinfeksi, selanjutnya akan memanfaatkan penggunaan media removable seperti flashdisk, external harddisk dan media eksternal USB lainnya. (lihat gambar 9)
Gambar 9. File virus infeksi flashdisk/removable drive
Selain itu, dalam jaringan akan memanfaatkan file sharing (full) dan mapping drive dengan membuat 2 file virus yang sama.
Modifikasi Registry
Beberapa modifikasi registry yang dilakukan oleh W32/Xorer.AM yaitu :
ü Menghapus registry
o Startup
Agar program/software tidak berjalan pada saat start-up (khususnya program security), maka virus menghapus key berikut :
§ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
o Safe Mode
Agar komputer tidak dapat dijalankan melalui safe-mode, virus menghapus key berikut :
§ HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
§ HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
§ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
§ HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
o Software Restriction Policies (secpol.msc)
Agar virus tidak dapat di blok melalui salah satu fitur windows yaitu “Software Restriction Policies”, maka virus menghapus key berikut :
§ HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer
ü Merubah registry
o Folder Options
Agar file virus tidak dapat dilihat, maka virus merubah key pada Folder Options, untuk itu virus merubah key menjadi berikut :
§ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
Type = “radio”
o Component Classes
Agar script file virus dapat berjalan saat membuka browser tanpa muncul warning, maka virus merubah key berikut :
§ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Component Categories\{7DD95801-9882-11CF-9FA9-00AA006C42C4}
409 = "Controls safely scriptable!"
o AppInit
Agar file virus dapat berjalan saat membuka proses program/aplikasi, maka virus merubah key berikut :
§ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
AppInit_DLLs = "C:\WINDOWS\system32\dnsq.dll.."
ü Membuat registry
Beberapa registry yang dibuat yaitu :
o HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IFOBJ.IfObjCtrl.1
(Default) = "IfObj Control"
o HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IFOBJ.IfObjCtrl.1\CLSID
(Default) = "{D9901239-34A2-448D-A000-3705544ECE9D}"
o HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{450EC9C4-0F7F-407F-B084-D1147FE9DDCC}
(Default) = "IfObj Property Page"
o HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{450EC9C4-0F7F-407F-B084-D1147FE9DDCC}\InprocServer32
(Default) = "%System%\com\netcfg.dll"
o HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D9901239-34A2-448D-A000-3705544ECE9D}
(Default) = "IfObj Control"
o HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D9901239-34A2-448D-A000-3705544ECE9D}\Control
(Default) = ""
o HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D9901239-34A2-448D-A000-3705544ECE9D}\InprocServer32
(Default) = "%System%\com\netcfg.dll"
ThreadingModel = "Apartment"
o HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D9901239-34A2-448D-A000-3705544ECE9D}\MiscStatus
(Default) = "0"
o HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D9901239-34A2-448D-A000-3705544ECE9D}\MiscStatus\1
(Default) = "131473"
o HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D9901239-34A2-448D-A000-3705544ECE9D}\ProgID
(Default) = "IFOBJ.IfObjCtrl.1"
o HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D9901239-34A2-448D-A000-3705544ECE9D}\ToolboxBitmap32
(Default) = "%System%\com\netcfg.dll, 1"
o HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D9901239-34A2-448D-A000-3705544ECE9D}\TypeLib
(Default) = "{814293BA-8708-42E9-A6B7-1BD3172B9DDF}"
o HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D9901239-34A2-448D-A000-3705544ECE9D}\Version
(Default) = "1.0"
o HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2D96C4BF-8DCA-4A97-A24A-896FF841AE2D}
(Default) = "_DIfObjEvents"
o HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2D96C4BF-8DCA-4A97-A24A-896FF841AE2D}\ProxyStubClsid
(Default) = "{00020420-0000-0000-C000-000000000046}"
o HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2D96C4BF-8DCA-4A97-A24A-896FF841AE2D}\ProxyStubClsid32
(Default) = "{00020420-0000-0000-C000-000000000046}"
o HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{2D96C4BF-8DCA-4A97-A24A-896FF841AE2D}\TypeLib
(Default) = "{814293BA-8708-42E9-A6B7-1BD3172B9DDF}"
Version = "1.0"
o HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AAC17985-187F-4457-A841-E60BAE6359C2}
(Default) = "_DIfObj"
o HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AAC17985-187F-4457-A841-E60BAE6359C2}\ProxyStubClsid
(Default) = "{00020420-0000-0000-C000-000000000046}"
o HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AAC17985-187F-4457-A841-E60BAE6359C2}\ProxyStubClsid32
(Default) = "{00020420-0000-0000-C000-000000000046}"
o HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{AAC17985-187F-4457-A841-E60BAE6359C2}\TypeLib
(Default) = "{814293BA-8708-42E9-A6B7-1BD3172B9DDF}"
Version = "1.0"
o HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{814293BA-8708-42E9-A6B7-1BD3172B9DDF}\1.0
(Default) = "ifObj ActiveX Control module"
o HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{814293BA-8708-42E9-A6B7-1BD3172B9DDF}\1.0\FLAGS
(Default) = "2"
o HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{814293BA-8708-42E9-A6B7-1BD3172B9DDF}\1.0\HELPDIR
(Default) = "%System%\com"
o HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{814293BA-8708-42E9-A6B7-1BD3172B9DDF}\1.0\0\win32
(Default) = "%System%\com\netcfg.dll"
Pembersihan Virus
Langkah-langkah yang harus dilakukan untuk melakukan pembersihan virus adalah :
ü Matikan System Restore (lihat gambar 10)
o Klik kanan My Computer, pilih Properties.
o Pilih tab System Restore, beri ceklist pilihan “Turn off System restore”.
o Klik Apply, Klik OK.
Gambar 10. Matikan System restore
ü Matikan dan hapus virus.
o Download tools Norman Malware Cleaner pada :
o Jalankan file tools tersebut, kemudian pilih semua drive yang ada.
o Klik Scan, biarkan hingga selesai. PENTING !! Jangan restart komputer dulu. (lihat gambar 11).
Gambar 11. Scan dengan Norman Malware Cleaner
ü Repair Registry Windows
Perbaiki Registry Windows yang sudah di modifikasi oleh virus dengan langkah sebagai berikut :
o Salin script dibawah ini dengan menggunakan notepad :
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, SOFTWARE\Classes\Component Categories\{7DD95801-9882-11CF-9FA9-00AA006C42C4}, 409,0, "Controls that are safely scriptable"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows, AppInit_DLLs,0
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden, Type,0, “checkbox”
HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run
HKLM, SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318},,,"DiskDrive"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318},,,"DiskDrive"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318},,,"DiskDrive"
HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318},,,"DiskDrive"
HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{dda3f824-d8cb-441b-834d-be2efd2c1a33}, Description,0
HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths\{dda3f824-d8cb-441b-834d-be2efd2c1a33}, SaferFlags,0x00000000,0
HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{349d35ab-37b5-462f-9b89-edd5fbde1328}, Description,0, "Stop the download of this file"
HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{349d35ab-37b5-462f-9b89-edd5fbde1328}, Friendlyname,0, "Mdac11.cab"
HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{349d35ab-37b5-462f-9b89-edd5fbde1328}, HashAlg,0x00008003,32771
HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{349d35ab-37b5-462f-9b89-edd5fbde1328}, SaferFlags,0x00000000,0
HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{7fb9cd2e-3076-4df9-a57b-b813f72dbb91}, Description,0, "Stop the download of this file"
HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{7fb9cd2e-3076-4df9-a57b-b813f72dbb91}, Friendlyname,0, "mdac20.cab"
HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{7fb9cd2e-3076-4df9-a57b-b813f72dbb91}, HashAlg,0x00008003,32771
HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{7fb9cd2e-3076-4df9-a57b-b813f72dbb91}, SaferFlags,0x00000000,0
HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{81d1fe15-dd9d-4762-b16d-7c29ddecae3f}, Description,0, "Stop the download of this file"
HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{81d1fe15-dd9d-4762-b16d-7c29ddecae3f}, Friendlyname,0, "mdac20_a.cab"
HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{81d1fe15-dd9d-4762-b16d-7c29ddecae3f}, HashAlg,0x00008003,32771
HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{81d1fe15-dd9d-4762-b16d-7c29ddecae3f}, SaferFlags,0x00000000,0
HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{94e3e076-8f53-42a5-8411-085bcc18a68d}, Description,0, "Stop the download of this file"
HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{94e3e076-8f53-42a5-8411-085bcc18a68d}, Friendlyname,0, "_msadc10.cab"
HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{94e3e076-8f53-42a5-8411-085bcc18a68d}, HashAlg,0x00008003,32771
HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{94e3e076-8f53-42a5-8411-085bcc18a68d}, SaferFlags,0x00000000,0
HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{dc971ee5-44eb-4fe4-ae2e-b91490411bfc}, Description,0, "Stop the download of this file"
HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{dc971ee5-44eb-4fe4-ae2e-b91490411bfc}, Friendlyname,0, "msadc11.cab"
HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{dc971ee5-44eb-4fe4-ae2e-b91490411bfc}, HashAlg,0x00008003,32771
HKLM, SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes\{dc971ee5-44eb-4fe4-ae2e-b91490411bfc}, SaferFlags,0x00000000,0
[del]
HKLM, SOFTWARE\Classes\IFOBJ.IfObjCtrl.1
HKLM, SOFTWARE\Classes\CLSID\{450EC9C4-0F7F-407F-B084-D1147FE9DDCC}
HKLM, SOFTWARE\Classes\CLSID\{D9901239-34A2-448D-A000-3705544ECE9D}
HKLM, SOFTWARE\Classes\Interface\{2D96C4BF-8DCA-4A97-A24A-896FF841AE2D}
HKLM, SOFTWARE\Classes\Interface\{AAC17985-187F-4457-A841-E60BAE6359C2}
HKLM, SOFTWARE\Classes\TypeLib\{814293BA-8708-42E9-A6B7-1BD3172B9DDF}\1.0
o Simpan file dengan nama “repair.inf”. Gunakan pilihan Save As Type menjadi All Files agar tidak terjadi kesalahan.
o Klik kanan file “repair.inf”, kemudian pilih “install”.
o Restart komputer.
ü Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mengenali virus ini dengan baik.
