CoolFace-Mutant, begitulah PC Media Antivirus RC13 mengenalinya. Virus ini dibuat menggunakan C++ yang dibungkus menggunakan packer tElock. Beberapa antivirus lain juga mengenalnya sebagai FaceCool, Ridnu, atau MyPrincess. Virus ini dapat berjalan pada operating system berbasis Windows 9x/NT/XP. Ia juga menggunakan teknik string reverse pada tubuhnya, sehingga kita akan sedikit dipersulit apabila ingin melihat string–string yang ada dalam tubuhnya. Dan membuat sebuah mutex atau tanda berupa “Mr_CoolFace” pada sistem tersebut sebagai pengenalnya bahwa sistem tersebut telah terinfeksi.
Bagaimana Ia Menginfeksi?
Berhati–hatilah bila Anda menemukan sebuah program yang memiliki icon mirip folder standar Windows, karena bisa jadi itu virus. Karena trik itulah yang sampai saat ini masih dipakai oleh kebanyakan virus, terutama virus buatan lokal. Hal itu pulalah yang digunakan oleh CoolFace-Mutant untuk memperdayai calon korbannya. Apalagi pada saat komputer terinfeksi virus ini, sekejap saja pasti penuh dengan file–file virus.
Virus ini memang hampir menginfeksi ke segala penjuru Windows. Pada saat kali pertama virus tersebut dieksekusi, ia akan langsung menginfeksi komputer Anda dengan membuat file–file induk pada beberapa direktori, di antaranya pada root direktori sistem, misalnya C:\, startup directory, \%Windows%\System32\, dan pada sub–subdirektori di bawah \Documents and Settings\%username%\. Nama–nama file induk yang dibuatnya ada sebagian yang random dan ada juga yang menyerupai nama-nama program Windows ataupun nama yang ia buat sendiri, seperti Mr_Cool-Face.exe, Mutant.exe, dan lain sebagainya. Pada Desktop juga akan terdapat file virus dengan nama “Message For My Princess.scr”.
Dan setelah file induk berhasil dibuat, kini waktunya ia memanipulasi registry. Ia akan membuat item autorun di registry dan mengarahkannya kepada file–file induk yang telah ia buat sebelumnya agar ia dapat aktif pada saat start Windows normal maupun safe-mode. Tak luput juga ia akan mengeset agar Windows Explorer tidak menampilkan extension file, dan file–file dengan attribute hidden dan system serta mengubah Type dari program executable dari “Application” menjadi “File Folder”.
Ia juga akan menginfeksi beberapa dari program Windows, seperti solitaire, regedit, task manager, calculator, minesweeper, mshearts, freecell yang akan ditaruhnya pada direktori \Program Files\Common Files\, dan mengarahkan setiap pengeksekusian yang mengarah kepada file aslinya ke file yang telah terinfeksi tersebut dengan melakukan manipulasi registry pada Image File Execution Options. Dan dengan registry, ia juga mengubah default dari screensaver dan debugger untuk dialihkan ke program virus. Jadi, apabila muncul screensaver atau terjadi crash pada suatu aplikasi, maka virus tersebut yang akan otomatis dijalankan oleh Windows.
CoolFace-Mutant juga memiliki daftar extension file mana saja yang akan disembunyikan dan digantikan oleh duplikat dirinya sendiri dengan menggunakan nama file sama seperti aslinya. Beberapa extension yang diubahnya adalah .doc, .mp3, .3gp, .ppt, dan masih banyak lagi. Saat file tersebut dieksekusi, ia akan memanggil file asli yang telah ia sembunyikan itu.
Infeksi Executable
Teknik seperti ini sepertinya sudah mulai digunakan oleh beberapa virus lokal yang ada sekarang. Dan yang dilakukan Cool-Face-Mutant adalah dengan meng-append atau menambahkan program asli di bawah tubuh asli sang virus. Jadi dalam satu file tersebut akan terdapat dua buah program, yakni program virus dan program asli yang diinfeksinya.
Apabila file yang telah terinfeksi ini dieksekusi, CoolFace-Mutant sebelumnya akan mengeluarkan program asli yang ada di tubuhnya ke direktori temporary, lalu menjalankan program tersebut dari sana. Ia juga menambahkan pengenal pada file yang terinfeksi berupa string “PKP” yang mungkin bisa berarti Pangkalpinang. Apalagi virus tersebut juga akan membuat duplikat dirinya pada directory induk dengan nama “SMA Negeri 1 Pangkalpinang.exe”.
Melalui Apakah Ia Menyebar?
Seperti kebanyakan virus buatan lokal lainnya, ia menggunakan media penyimpan data seperti fl ash disk sebagai perantara utamanya. Jaringan yang menggunakan sharing folder juga tak luput dari jangkauannya. Selain itu, ia juga mencoba menggunakan MAPI (Mail Application Programming Interface) untuk dapat mengirimkan e-mail bervirus kepada korbannya.
Trik sang virus
Dengan membuat sebuah file autorun.inf yang telah ia rancang sedemikian rupa isinya, virus ini dapat aktif secara otomatis, pada harddisk sekalipun. Contohnya apabila Anda mengklik ganda icon My Computer yang ada di Desktop, lalu klik ganda pada drive C:\. dan sekarang cobalah jika drive C:\ tersebut Anda klik kanan, maka akan muncul menu default yang baru dengan nama “Auto”.
Virus ini juga mencoba untuk mengubah dirinya sendiri dengan menambahkan junk string pada akhir tubuhnya. Ini dilakukannya untuk mempersulit pendeteksian berdasarkan hashing oleh antivirus. String ini bias berasal dari salah satu nama file induk atau nama user yang aktif saat itu dan ditambah dengan string “PKP”.
Start Page default dari browser Internet Explorer juga akan dialihkan kepada file HTML yang telah ia buat sebelumnya pada root drive dengan nama Mutant.htm. Jadi saat Anda membuka Internet Explorer, sebuah kalimat “Mr_CoolFace Mutant” akan tampil pada browser Anda. Selain itu, akan muncul juga sebuah window kecil dengan tulisan yang sama yang akan bergerak dari kanan ke kiri layar monitor Anda.
Kita juga akan dipersulit olehnya untuk menjalankan beberapa program, contohnya antivirus. Karena dengan memanfaatkan bantuan registry ia kembali mengubah ImageFile Execution Options untuk mengalihkan setiap pengeksekusian program–program yang telah di-black list olehnya kepada file induk virus. Dan ia juga tak luput untuk memasukan PCMAV dalam daftarnya. Sebagai solusinya, silakan Anda rename file program PCMAV menjadi apapun yang sekiranya tidak dikenal oleh virusnya. Antivirus lain yang juga diblok olehnya adalah Norman.
Dalam daftarnya juga terdapat beberapa program lainnya, seperti winamp.exe, msconfig.exe, taskkill.exe, tasklist.exe, dan masih banyak lagi. Teknik lainnya adalah dengan membaca setiap caption dari aplikasi yang sedang berjalan, apabila dianggap program tersebut bisa mengganggu kehadirannya, ia akan langsung menutupnya. Dan ia
juga mencoba untuk mematikan fasilitas System Restore.
CoolFace-Mutant juga akan men-delete file library penting yang dibutuhkan Windows yakni file MSVBVM60.DLL (VB RunTime Library) yang efeknya setiap aplikasi berbasis VB tidak akan dapat berjalan. Dan mengganti file PSAPI.DLL (Process Status Helper) dengan file virus dengan cara me-rename file aslinya menjadi “system32gnutileBakgnaB.ipasp” .Ini akan berakibat setiap aplikasi yang membutuhkan file tersebut tidak akan dapat dijalankan. Aplikasi yang membutuhkan file tersebut biasanya berupa aplikasi atau utility untuk melihat process yang aktif di memory. Maksudnya sudah jelas, agar process si virus tidak bisa di-terminate oleh user.
Beberapa pesan dari pembuatnya juga ditampikan pada Notepad. Jadi setiap Anda membuka text document (.txt) ataupun menjalankan Notepad seacara langsung, si virus akan mengetik dengan sendirinya pesan yang ingin disampaikannya kepada “kekasih hatinya” itu. Hal ini juga terjadi saat Anda membuka kotak Run.
Aksi jahil lainnya adalah dengan melakukan send string “set cdaudio door open” kepada drive CD/DVD-ROM, sehingga terkadang drive tersebut akan terbuka dengan sendirinya.
Tidak hanya itu, ia juga akan mengubah caption dari beberapa aplikasi misalnya pada game FreeCell menjadi “Mr_Cool-Face”. Ataupun mengubah caption pada dialog box saat Anda melakukan proses delete, copy, atau move file menjadi bahasa Indonesia, misalnya dari “Copying...” menjadi “Sedang mengopy...”.
Source : PCMedia
