Virus Komputer : W32/Xorer.AM

Waspada!

Virus mancanegara kembali datang. Kali ini virus dari varian Xorer, yaitu W32/Xorer.AM. Setelah lama tidak terdengar aktifitasnya, virus yang berasal dari negara Cina ini kembali menyerang sebagaian pengguna komputer di Indonesia.


Bagaikan seorang penyusup andal, virus W32/Xorer.AM memiliki kemampuan masuk ke dalam komputer dengan cepat kemudian beraksi dan mengacaukan sistem yang terpasang. Untuk melakukan hal tersebut, virus ini melakukan teknik 'social engineering'.

   Virus W32/Xorer.AM berusaha mengelabui pengguna PC dengan memberikan link website palsu yang di dalamnya tersimpan sejumlah software atau informasi seperti cheat / kode. Virus yang diduga berasal dari negeri Tirai Bambu ini muncul pertama kali pada akhir tahun 2007. Hingga kini sudah puluhan varian virus Xorer bermunculan dan tiap varian memiliki daya rusak yang berbeda-beda, salah satunya adalah W32/Xorer.AM.


GEJALA & EFEK VIRUS

Gejala yang di timbulkan jika PC yang Anda gunakan terinfeksi virus W32/Xorer.AM sangat banyak, seperti :
¤ Meningkatnya penggunaan CPU
¤ Memeriksa koneksi Internet yang terpasang di PC secara otomatis
¤ Terkoneksi ke remote server untuk mendownload file virus
¤ Mematikan fungsi Safe Mode
¤ PC sering  membuka website tertentu
¤ Menonaktifkan software yang terpasang di PC
¤ Memodifikasi Folder Options.


   Semua orang tidak akan suka jika kinerja PC yang digunakan melambat. Salah satu indikasi sebuah PC kinerjanya menurun adalah 'CPU Usage' melonjak tajam. Virus W32/Xorer.AM memiliki kemampuan untuk menurunkan kinerja PC. Caranya virus ini akan memakai sumber daya CPU hingga 100 %.

   Seperti halnya kebanyakan virus mancanegara, virus W32/Xorer.AM juga mencoba melakukan koneksi internet ke beberapa website yang dituju. Untuk itu, virus tersebut akan memeriksa koneksi internet di komputer korban dengan cara menjalankan perintah PING ke website www.baidu.com. Perintahnya adalah

[ ping.exe-n 1 www.baidu.com ]


   Untuk melihat aksi virus W32/Xorer.AM menjalankan perintah PING atau memriksa koneksi internet di komputer yang terinfeksi, Anda dapat menggunakan tools Windows Task Manager atau aplikasi open source Wireshark [download di sini].

CPU USAGE 100% Virus W32/Xorer.AM menyebabkan CPU USAGE melonjak hingga 100%. Akibatnya, kinerja PC akan melambat.


   Jika koneksi internet di komputer yang terinfeksi virus W32/Xorer.AM sudah terhubung (ping ke www.baidu.com sudah berhasil), langkah berikutnya virus W32/Xorer.AM akan melakukan koneksi ke remote server. Tujuannya adalah mendownload file virus lain. IP Address yang di tuju sangat banyak, antara lain :
> 222.73.218.96
> 220.181.6.175
> 210.14.65.53
> 205.209.142.21
> 202.169.45.219

   Seperti yang telah di sebutkan sebelumnya, gejala yang ditimbulkan oleh virus W32/Xorer.AM adalah mematikan fungsi Safe Mode di Windows. Dengan cara ini virus W32/Xorer.AM akan sulit disingkirkan secara manual. Jika tetap ingin menjalankan komputer dalam kondisi Safe Mode, baik lewat Command Prompt maupun Networking, akan muncul layar biru (Blue Screen of Death) dan secara otomatis komputer akan melakukan restart.

BLUE SCREEN Layar biru akan muncul jika Anda memaksakan diri menjalankan PC yang terinfeksi virus W32/Xorer.AM pada kondisi Safe Mode.


   Gangguan lainnya, jika komputer yang terinfeksi virus W32/Xorer.AM sedang terkoneksi ke internet, terkadang aplikasi IE (Internet Explorer) atau Firefox akan terbuka secara tiba-tiba dan mengakses website tertentu. Halaman website yang biasa di tampilkan adalah :
¤ http://img2.51wan.com
¤ http://camp.jooov.cn
¤ http://kz.zqgame.com


   Website tersebut menyajikan sebuah tampilan yang sangat menarik dan di dalamnya menawarkan cheat/kode/patch. Selain itu, setiap website yang terbuka akan di tambahkan melalui virus W32/Xorer.AM, script URL seperti http://%6A%73%2E%6B%3O%31%30%32%2E%63%6F%6D%/%3O%31%2E%61%73%70 (jika ditranslate menjadi http://js.kO1O2.com)

   Untuk mempertahankan dirinya (virus W32/Xorer.AM) dari proses pembersihan yang dilakukan oleh aplikasi antivirus dan mencegah aksi pengguna komputer mematikan proses virus yang berjalan, virus W32/Xorer.AM akan mematikan file proses yang menggunakan string '360anti, antivir, avast, avg, bitdefender, dan lain-lain'

   Jika Anda tetap mengoperasikan program yang memiliki string seperti di atas, program tersebut tidak akan berjalan normal dan sering timbul masalah, seperti muncul pesan 'not responding'.

   Secara umum, virus W32/Xorer.AM tidak akan melakukan pemblokiran terhadap beberapa tools yang terpasang di Windows, seperti regedit, Task Manager, dan sebagainya. Namun, virus W32/Xorer.AM menggunakan cara berbeda agar file virus tidak mudah dilihat atau dihapus. Untuk itu, virus ini akan memodifikasi Folder Options dengan menghapus key "Hide protected operating system files (recommended)"





FILE VIRUS

Virus W32/Xorer.AM dibuat menggunakan script bahasa C yang di kompress dengan UPX unpacker. Jika virus ini berhasil menginfeksi komputer Anda, ia akan membuat beberapa file utama, seperti :
¤ C:\AUTORUN.inf (1kb)
¤ C:\pagefile.pif (92kb)
¤ C:/Documents and Settings\All Users\Start Menu\Programs\Starup\~exe.[angka_acak].exe (92kb)
¤ C:/WINDOWS\system32\[angka_acak].log (92kb)
¤ C:/WINDOWS\system32\dnsq.dll
¤ C:/WINDOWS\system32\Com\Isass.exe (92kb)
¤ C:/WINDOWS\system32\Com\smss.exe (40kb)
¤ C:/WINDOWS\system32\Com\netfcg.OOO (16kb)
¤ C:/WINDOWS\system32\Com\netcg.dll (16kb)

   Tidak hanya itu, jika komputer memiliki partisi drive lain atau memliki maping drive, virus W32/Xorer.AM akan membuat dua file virus baru, yaitu AUTORUN.inf dan Pagefile.pif.


METODE PENYEBARAN

Awalnya virus W32/Xorer.AM menyebarkan dirinya dengan dua cara, yaitu melakukan posting ke dalam beberapa forum software lalu menyediakan link untuk di download dan posting pada beberapa forum game dengan menyediakan link berupa cheat/kode/patch.

   Selanjutnya, setelah komputer yang Anda gunakan terinfeksi virus W32/Xorer.AM, penyebaran dirinya semakin mudah dengan memanfaatkan media penyimpanan portabel, seperti USB Flashdisk atau harddisk eksternal.

   Selain itu, untuk meyebarkan dirinya di dalam jaringan komputer, virus W32/Xorer.AM akan memanfaatkan file sharing yang terbuka secara penuh dan mapping drive dengan membuat file virus baru.

MEMODIFIKASI REGISTRY

Gangguan lainnya yang di lakukan oleh virus W32/Xorer.AM adalah memodifikasi sistem registry yang ada di windows, seperti menghapus, mengubah, dan membuat file registry baru.

   Dalam kaitannya mengahpus sistem registry, virus W32/Xorer.AM akan menimbulkan sejumlah masalah di PC, seperti :
¤ Program yang terpasang tidak dapat berjalan saat start-up
¤ Mematikan fungsi Safe Mode
¤ Menonaktifkan Software Restriction Polices (secpol.msc)

   Tidak hanya sekedar menghapus, virus W32/Xorer.AM juga mengubah beberapa key yang ada di dalam sistem registry. Key yang di ubah terkait dengan Folder Option , Component Classes, dan Applnit. Perubahan key pada Folder Option mengakibatkan file virus dapat diletakan secara tersembunyi dan pengguna PC akan kesulitan untuk melacaknya.

   Tujuan mengubah key pada Component Classes adalah mematikan pesan peringatan yang ditimbulkan jika script file virus bergerak untuk membuka browser. Sementara itu, tujuan virus W32/Xorer.AM mengubah key pada Applnit, agar file virus dapat berjalan saat membuka program.

  Sangat banyak sistem registry baru yang di bangun oleh virus ini, antara lain :

¤ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IFOBJ.IfObjCtrl.1
(Default) = “IfbOj Control”

¤ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\IFOBJ.IfObjCtrl.1\CLSID
(Default)   =   “{D99O1239-34A2-448D-AO0O-37O5544ECE9D}”

¤ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{45OEC9C4-OF7F-4O7F-BO84-D1147FE9DDCC}
(Default) = “IfObj Property Page”

¤ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{45OEC9C4-OF7F-4O7F-BO84-D1147FE9DDCC}\InprocServer32 (Default) = “%System%\com\netcfg.dll”

¤ HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{D99O1239-34A2-44bD-AO0O-37O5544ECE9D}
(Default) = “IfbOj Control”

Mengatasi Virus W32/Xorer.AM

Ada beberapa langkah yang harus dilakukan untuk menyingkirkan virus W32/Xorer.AM dari komputer Anda. Jika Anda menggunakan OS Windows XP atau ME :
1. Langkah pertama adalah nonaktifkan fungsi System Restore. Caranya, klik kanan My Computer lalu pilih menu Properties > pilih tab System Restore, lalu beri tanda centang pada boks Turn off System dan klik Apply lalu Ok.

   Setelah menonaktifkan System Restore, kini masuk ke langkah kedua, yaitu
2. Mematikan atau menghapus virus, dengan cara menggunakan tools Norman Malware (download disini)
Install tools tersebut lalu jalankan semua drive yang ada. Selanjutnya, klik tombol Scan dan tunggu hingga proses mematikan dan menghapus virus W32/Xorer.AM selesai dilakukan.

   Jangan restart komputer Anda! Langsung masuk ke langkah berikutnya, yaitu memperbaiki ulang sistem registry yang berhasil dimodifikasi oleh virus W32/Xorer.AM. Untuk melakukan hal ini, Anda dapat menggunakan bantuan file repair (download di sini).

Untuk menjalankannya, klik kanan file tersebut lalu pilih menu Install.
Setelah proses ini selesai dijalankan, restart komputer Anda.

   Agar proses penyingkiran virus W32/Xorer.AM berjalan optimal dan mencegah virus tersebut menginfeksi ulang. Anda dapat menggunakan Antivirus yang selalu di update dan memiliki kemampuan mendeteksi virus ini dengan baik. Salah satu aplikasi antivirus yang dapat Anda gunakan adalah progam Norman Security Suite.




Sumber : Majalah Chip Ekonomis 04/2010
NB : Meskipun Saya mengcopy artikelnya tapi saya mencantumkan sumbernya. Saya mengcopynya bukan dengan cara Copy-Paste, tapi Saya menulis sendiri dari awal sampai akhir. t bagus, dan bisa membuat Anda tahu tentang virus.

Terima kasih buat Chip. Chip memang bagus.

[ PENTING ! ]

" Mob3se7en menggunakan progam adf.ly, jadi jika Anda mengeklik link download ataupun link arahan akan muncul situs adf.ly. Tunggu sekitar 4 detik, lalu klik Skip Ad ( yang berada di pojok kanan atas ) untuk melanjutkannya "