Bentuk Fisik
Virus yang dapat menginfeksi operating system berbasis Windows 9x dan XP ini menyamar sebagai dokumen Microsoft Word, karena icon yang digunakan sama seperti pada Microsoft Word. Trik ini juga pernah dilakukan oleh pendahulunya, yaitu virus Kangen/Pesin. Mungkin beberapa dari Anda pernah mengalaminya, ketika mencoba mengklik file yang Anda kira adalah file dokumen Microsoft Word, namun setelah diklik ternyata dia hanya menampilkan pesan error berupa message box dengan tulisan “....is not a valid win32 application”. Apabila itu terjadi, Anda harus memeriksa komputer Anda, karena kemungkinan komputer telah terinfeksi oleh virus BlueFantasy.
Bagaimana Ia Menginfeksi?
Virus ini dapat menyebar melalui media penyimpanan portable seperti flash disk, cd, ataupun disket. Pada saat pertama kali virus dieksekusi, ia akan segera menginfeksi komputer tersebut dengan meng-copy-kan dirinya ke beberapa direktori penting, diantaranya pada direktori System menggunakan nama Win32.com dengan attribut hidden, juga pada Desktop, My Documents, dan StartUp Folder dengan nama fi le sama seperti yang dieksekusi.
Virus ini juga cukup merepotkan. Bagaimana tidak, virus ini secara real time akan membaca direktori aktif, misalkan Anda sedang melakukan browsing direktori pada Windows Explorer, maka virus akan mencari file apa saja yang terdapat pada direktori tersebut, lalu membuat duplikat dari dirinya dengan memanfaatkan nama fi le yang ditemukannya, hanya saja ditambahkan kata-kata Backup, Shortcut to, atau Copy of, dengan ekstensi yang juga berbeda-beda, bat, com, pif, scr, atau exe.
Sementara untuk file dokumen .doc Anda, virus akan menyembunyikan file aslinya dan mengganti dengan dirinya sendiri menggunakan nama file .doc yang asli. Mungkin tidak masalah apabila pada direktori tersebut hanya terdapat 2-3 file, tapi bagaimana dengan 100 atau 1000? Kebayang kan bagaimana merepotkannya? Apabila kita coba hapus file-file virus tersebut, tidak akan berhasil, karena virus akan terus membuat duplikat atas dirinya, lagi, lagi, dan lagi.
Aktif di Memory
Virus akan selalu aktif setiap kali memulai Windows. Karena ia telah menginfeksi registry dan StartUp folder agar Windows selalu menjalankan virus ini.
Registry key yang diinfeksi adalah pada HKLM\Software\Microsoft\Windows\CurrentVersion\Run dengan ditambahkannya String Value dengan nama “Task Scheduler” yang berisi “Win32”. Maksud dari value tersebut mengarah kepada file copy-an dari virus, yakni Win32.com yang terdapat pada direktori System. Melalui Win32.com ini, virus akan selalu aktif di memory, dan akan selalu memonitor kegiatan Anda.
Virus juga memanfaatkan StartUp folder sebagai media untuk melakukan autorun. Dan file-file virus yang berada pada StartUp folder tersebut berasal dari setiap file virus yang Anda klik.
Apabila Anda ingin mematikan proses dari virus BlueFantasy ini dengan melakukan “End Process” dari Task Manager, juga “Tasklist” dan “Taskkill” pada Windows XP tidak dapat dilakukan karena itu semua telah diblok oleh BlueFantasy.
Apa Saja yang Dilakukannya?
Seperti halnya yang dilakukan oleh virus-virus lain, Brontok contohnya, BlueFantasy akan membaca caption dari setiap program, apabila mengandung kata-kata seperti contohnya REGIS, CONFIG, TASK, dan NORTON, maka dengan sigap BlueFantasy akan menutupnya. Ini dilakukannya agar tetap dapat melangsungkan hidupnya. Registry juga selalu menjadi sasaran empuk para virus, ini berlaku juga untuk BlueFantasy, selain menonaktifkan Registry Editor, virus ini mengubah extension information dari setiap fi le .exe dan .scr menjadi “Microsoft Word Document”.
Ini dapat Anda buktikan ketika Anda membuka Windows Explorer, dan set tampilan view menjadi Details. Anda akan melihat bahwa semua fi le executable akan bertipe sebagai “Microsoft Word Document”. Anda juga tidak akan menemukan beberapa menu pada Start Menu>Settings, karena virus ini juga menyembunyikannya.
BlueFantasy juga mengubah setting-an dari file msdos.sys, sehingga pada saat booting akan menampilan warning untuk Safe-Mode. Hanya saja Anda tidak akan bisa masuk ke Safe-Mode karena akses tombol F5, F6, atau F8 juga dinonaktifkan oleh virus ini. Tapi, ini hanya berpengaruh apabila operating system yang Anda gunakan berbasis Windows 9x.
Jangan kaget apabila pada jangka waktu mulai dari pukul 11:58:00 sampai 12:00:00 (menjelang tengah hari dan tengah malam) komputer Anda akan melakukan restart sendiri, karena ini perbuatan BlueFantasy.
Yang juga tidak kalah menarik lagi adalah, apabila Anda memiliki perangkat CD/DVD writer pada Windows XP, virus ini akan menginfeksi direktori temporary dari CD Burning tersebut, di mana direktori ini merupakan tempat menyimpan file-file sementara yang nantinya akan di-burning.
Pesan dari Pembuat Virus
Virus ini juga menciptakan file dengan nama BlueFantasy.exe dan BlueFantasy.doc pada
Desktop dan My Documents. Untuk BlueFantasy. doc attribut-nya diset sebagai Hidden, sehingga tidak terlihat.
Apabila Anda mengklik atau mengeksekusi file BlueFantasy.exe ini pada salah satu dari direktori tersebut, maka virus ini akan memanggil file BlueFantasy.doc yang ia sembunyikan tadi. Yang menarik dari file ini adalah terdapatnya lantunan syair yang dibuat oleh si empunya virus, yang sebenarnya diambil dari penggalan-penggalan judul lagu dari group band “Padi”.
Source:www.pcmedia.co.id
0 Komentar:
Post a Comment