Ia
menyebarkan diri ke segala penjuru drive di komputer korban,
memanipulasi registry, berganti icon, bahkan menghilangkan data.
VIRUS
LOKAL ini dikenali oleh PC Media Antivirus 1.2 sebagai XFly. Dan sama
seperti kebanyakan virus lokal lainnya, ia dibuat menggunakanVisual
Basic. Memiliki ukuran tubuh sebesar 143.360 bytes tanpa di-compress,
dengan icon yang bisa berubah-ubah.
Sebar File Induk
Kali
pertama virus dijalankan, yang ia lakukan adalah membuat file induk pada
drive C dan D (jika ada), tepatnya ia akan membuat folder baru pada
drive C:\soulfly dan D:\soulfly serta menaruh beberapa file induknya pada
folder tersebut. Selain itu, ia juga menempatkan beberapa file induk
execu table lainnya pada root drive C dengan nama
yang tak lazim, yakni MSNTLR.DYS, MSFLC.FYS, MSDLF.HHS, PSK.fly, dan
satu lagi bernama fadly_keren.ocx. Sementara pada direktori Windows dan
System32, selain terdapat file induk lainnya, ia pun mengextract icon
yang disimpan pada section Resource di tubuhnya ke direktori System32
tersebut, serta membuat lagi file dengan nama mediaplayer.exe dan rj.html
pada folder startup Windows. Ia pun tak lupa membuat back-up terhadap
file MSVBVM60. DLL pada direktori C:\WINDOWS\System dengan nama
MSVBVM60.DLL dan rambe.dat.
Setelah
file induk berhasil disebar, tugas selanjutnya adalah memanggil beberapa
file induk tersebut, jadi memory pun akan dipenuhi dengan process dari
sang virus. Ini sangat membuat kerja processor bertambah berat dan akan
sangat terasa saat menjalankan beberapa aplikasi secara bersamaan.
Setidaknya pada memory akan terdapat process virus dengan nama RCSS.
EXE, r4m83.exe, isass.exe, realplay.exe, MSNTLR.DYS, MSFLC. FYS,
MSDLF.HHS, dan PSK.fly.
Banyak AutoRun
Yang
dilakukan oleh virus ini untuk dapat running otomatis saat memulai
Windows memang cukup berlebihan, ia membuat lebih dari 20 item Run baru
di registry. Yang pertama, ia akan memanipulasi nilai Userinit yang ada
pada key HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\
menjadi “C:\WINDOWS\system32\userinit.exe,
C:\windows\system32\RCSS.exe”. Windows akan menganggap string
C:\windows\system32\RCSS.exe, yang merupakan salah satu file induk virus
ini sebagai parameter, yang akhirnya akan dieksekusi juga oleh Windows.
HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell dan
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System juga
mengalami hal yang sama, nilainya diubah menjadi
C:\WINDOWS\system32\RCSS.exe. Selebihnya ia membuat beberapa itum run
lainnya pada key
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run dan
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run.Beberapa
extension pun ia ubah default open-nya agar mengarah kepada file induk
di c:\WINDOWS\r4m83.exe. Extension yang ia ubah tersebut adalah .LNK,
.PIF, .BAT, dan .COM.
Tidak
hanya normal mode, SafeMode pun ia infeksi dengan cara mengubah nilai
AlternateShell yang ada pada key
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\,
HKLM\SYSTEM\ControlSet002\Control\SafeBoot\,dan
HKLM\SYSTEM\CurrentCon-trolSet\Control\SafeBoot\, yang diarahkan kepada
file induk yang sama seperti di atas, yakni C:\WINDOWS\system32\RCSS.exe. Ini akan berakibat aktifnya sang virus walaupun dalam modus SafeMode.
Restriksi Registry
Dengan
masih menggunakan bantuan Registry, ia mengeset beberapa restriction
untuk menunjang kelangsungan hidupnya. Dengan cara menambahkan beberapa
item baru seperti NoFolderOptions, NoFind, NoRun, DisableTaskMgr, dan
DisableCMD pada key
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\, yang
tak lain maksudnya adalah untuk tidak memperbolehkan user untuk
mengakses menu Folder Options, Search/Find, Run, Task Manager, dan
Command Prompt. Serta untuk Folder Options, ia set untuk tidak
menampilkan file dengan attribut hidden dan system, serta menyembunyikan
extension dari setiap file yang dikenal. Selain itu, ia pun men-disable
System Restore milik Windows.
Register Extension Baru
Seperti
dikatakan di awal, virus XFly ini menciptakan file exe-cutable dengan
nama yang tak lazim, namun bisa dieksekusi. Seperti contohnya,
MSNTLR.DYS atau MSFLC.FYS. Jadi, apabila ada file misalnya dengan
extension berupa .DYS, dan user menjalankan dengan mengklik dua kali
pada explorer, Windows akan menjalankannya selayaknya file executable
(.EXE). Bagaimana ia melakukannya? Sebelumnya ia telah meregister
extension baru yang telah ia tentukan seperti .DYS,.FYS, .HHS, dan .FLY
pada registry HKEY_CLASSES_ROOT dan mengesetnya sedemikian rupa agar
dikenali layaknya file executable.
Menyamar Berganti Icon
Agar selalu dapat mengelabui korbannya, virus ini memiliki kemampuan untuk mengubah resource
icon dirinya. Seperti yang kita ketahui, normalnya sebuah file
executable memiliki section resource. Dalam section resource ini bisa
terdiri atas berbagai macam data. Salah satunya adalah icon. Secara
teknis, jika executable virus ini dibedah, pada section resource akan
terdapat resource dengan nama OCX. Resource OCX ini berisi kumpulan icon
yang akan digunakannya nanti. Virus ini akan mengextract icon yang ada
pada resource OCX pada direktori System32 dengan nama avg.ico, word.ico,
rmb5.ico, mp3.ico, jpg.ico, dan folder.ico. Dari namanya, pasti Anda
sudah bisa mengira tampilan icon tersebut seperti apa. Dan yang
dilakukan oleh virus ini adalah mengubah resource icon pada beberapa file
executable induknya menggunakan icon yang baru yang telah ia extract
sebelumnya.
Berkembang Biak
Media
yang banyak dipakai oleh virus-virus di Indonesia untuk menyebar adalah
flash disk. Jika terinfeksi virus ini, pada flashdisk akan terdapat file
baru dengan nama New Folder. exe tentunya dengan icon mirip folder dan
sebuah file dengan nama autorun.inf. Bukan hanya itu, ia juga memiliki
kemampuan untuk menyebar melalui jaringan dengan mencari sharing older
yang aktif yang memiliki akses write agar virus ini dapat mengkopikan
dirinya ke sharing folder tersebut. Biasanya untuk menarik perhatian
user, virus ini akan membuat file dengan nama berbau pornografi .
Menghapus File
Saat
user mencolokan flash disk, virus ini dengan segera akan mencari file
dengan extension .MPG, .WMV, .AVI, .JPG, .SCR, ZIP, dan .RAR. Apabila
ditemukan, maka ia akan menghapus file tersebut dan menggantikannya
dengan file virus dengan nama yang hampir sama.
Blacklist Aplikasi
Segala
cara dikerahkan untuk dapat selalu bertahan hidup. Komponen Timer yang
ada pada tubuhnya, secara simultan akan membaca caption dan atau window
class dari setiap apikasi yang running, apabila ditemukan aplikasi yang
masuk dafar blacklist-nya, ia akan segera menampilkan layar hitam berisi
pesan dari si pembuat virus, dan selama layar hitam ini muncul, sang
user tidak akan bisa berbuat apa–apa. Beberapa string yang ada dalam
daftar black list-nya, antara lain PROCESS, SETUP, RESOURCE HACKER, HEX
WORKSHOP, HIJACKTHIS, KILLBOX, dan masih banyak lagi yang lainnya.
Pesan Virus
Pada komputer terinfeksi, caption dari Internet Explorer, akan berubah menjadi “..:: x-fly ::..”, dengan
default page yang mengarah pada file “C:\Documents and Settings\All
Users\Start Menu\Programs\Startup\rj.html” yang merupakan file pesan
virus. File ini pun akan dijalankan otomatis pada saat memulai Windows
karena berada pada folder StartUp.
Selain
itu, sebuah file pesan virus dengan nama x-fly.html pun akan terlihat
jelas pada Desktop, tepatnya berada pada C:\Documents and Settings\All
Users\Desktop\x-fly.html. Dan setiap waktu menunjukkan pukul 12:30, 16:00, atau 20:00, virus ini juga akan menampilkan layar hitam yang berisi pesan darii pembuat virus