Virus Windows Media Player Bikin Komputer ‘Mendesah’

Virus Golden Ghost atau W32/Agent.GYMR merupakan virus yang iseng dan mendesah, kemudian mengakses playboy.com. Berikut ciri-ciri virus ini :

1. Munculnya pesan error “16 bit MS-DOS Subsystem” pada saat komputer dinyalakan.

2. Merubah nama pemilik dan nama organisasi komputer menjadi:

• RegisteredOrganization = GoldenGhost.Inc
• RegisteredOwner = GoldenGhost

3. Menambahkan string -= GoldenGhost Was Here =- pada file C:Boot.ini sehinga pada saat booting Windows akan muncul menu tambahan dengan nama GoldenGhost Was Here =-

Virus ini dibuat menggunakan program bahasa Visual Basic dan dikompres menggunakan UPX, ukuran Virus ini cukup besar sekitar 1,312 KB. Untuk mengelabui user ia akan menggunakan icon “Windows media player”.
Pada saat file virus di jalankan ia akan membuat beberapa file induk yang akan dijalankan setiap kali komputer dihidupkan/restart di lokasi berikut:
•    C:Windows%folder%%file%.exe (acak)
•    C:Windowssystem32%folder%%file%.exe (acak)

Berikut beberapa nama file yang akan di buat (acak)
•    devil.ocx
•    pluto.ocx
•    capiw.exe
•    dusiw.exe
•    gexuw.exe
•    GoldenGhost.exe
•    mamuv.exe
•    ridec.exe
•    msvbvm60.dll
•    heluh.exe
•    muxim.exe
•    quniw.exe
•    gutum.exe
•    helef.exe
•    kabuh.exe
•    mideg.exe
•    tixec.exe
•    vuvey.exe

Agar file tersebut dapat dijalankan secara otomatis, ia akan membuat string pada registry berikut:
•    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCur rentVersionrun
o    GoldenGhost =C:%SystemRoot%%Folder%%File%.exe atau C:%Windir%folder%%Files%.exe
•    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon
o    Shell = Explorer.exe C:%SystemRoot%%Folder%%File%.exe atau C:%Windir%folder%%Files%.exe

Untuk mempertahankan dirinya virus ini akan memblokir beberapa fungsi windows seperti:
•    Disable fungsi “paste”
•    Disable run
•    Disable Searh
•    Disable FolderOptions
•    Disable menu Recent Documents
•    Disble Klik kanan
•    Disable CMD
•    Disable RegistryTools
•    Disable TaskMgr
•    Tidak dapat menampilkan file yang disembunyikan

Untuk melakukan hal tersebut ia akan membuat string pada registry berikut:
•    HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurr entVersionExplorerAdvanced
o    Hidden = 2
o    HideFileExt = 1
o    ShowSuperHidden= 0
•    HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentV ersionPolicies
o    Explorer = NoClose
•    HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentV ersionPoliciesexplorer
•    NoFInd
o    NoFOlderOption
o    NoRecentDocsMenu
o    NoRUn
o    NoSaveSettings
o    NoSetFolders
o    NoTrayContextMenu
o    NoViewContextMenu
•    HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentV ersionPoliciesSystem
o    DisableCMD
o    DisableRegistryTools
o    DisableTaskMgr
•    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent VersionExplorerAdvancedFolderHidden
o    type = -
o    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent VersionExplorerAdvancedFolderHideFileExt
o    type = -
o    HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrent VersionExplorerAdvancedFolderSuperHidden
o    type = -

Virus ini juga akan membuat string pada registry berikut :
HKEY_LOCAL_MACHINESOFTWAREGoldenGhost.A
- AppAll = tupin.exe (random)
- AppMirc = heluh.exe (random)
- AppOther = quniw.exe (random)
- AppSetan = gutum.exe (random)
- AppUtama = muxim.exe (random)
- Lokasi = C:WINDOWSSystem32config (random)
 
Selain blok fungsi Windows di atas, ia juga akan mencoba untuk blok tools security seperti proceexp, curr preoces, pocket killbox, security task manager serta tools lainnya. Selain merubah nama pemilik Windows, ia juga akan merubah alamat utama Internet Explorer menjadi http://www.playboy.com/ dengan terlebih dahulu membuat string pada registry berikut:
 
HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerMain
- Start Page = http://www.playboy.com/
 
Host file windows juga tak luput dari serangan virus ini yakni dengan manghapus isi dari file “C:WindowsSystem32Driversetchost”, kemudian menambahkan string @echo off pada file “C:autoexec.bat”, lalu menambahkan string  “-= GoldenGhost Was Here =-” pada file “C:boot.ini” sehingga setiap kali komputer booting akan muncul satu menu dengan nama GoldenGhost Was Here =-, dan jika menu ini dipilih maka komputer akan restart.
 
Virus ini juga akan merubah hasil copy and paste teks di notepad menjadi desahan, dengan menampilkan text "Oohhh... Aughhhh... yess... babbby...!!" setiap kali user copy paste isi text file. Selain membuat file duplikat, virus ini juga akan mencoba untuk menginjeksi file yang mempunyai ekstensi EXE, ukuran file yang berhasil di injeksi ini akan bertambah sekitar 1.312 KB dari ukuran semula, sehingga jika user menjalankan file tersebut maka secara otomatis akan menjalankan dirinya. Setiap kali komputer dinyalakan virus ini akan memunculkan pesan “error 16 bit MS-DOS Subsystem”, pesan error ini juga akan mucul setiap berapa menit sesuai dengan waktu yang sudah ditentukan serta membuat file duplikat (random) di direktori “C:Windows” yang kemudian file yang sudah dibuat tersebut akan dihapus kembali.

Berikut beberapa pesan yang akan dikirimkan :
•    nick, free picture indonesia sex double klik url
•    nick Ada info baru ne Marshanda, Agnes Monica, Dian Sastro, Bunga.C Dah Berani Bugil, Untuk liat Fotonya double klik url
•    artis indonesia nude, double klik url
•    nick, indo artis majalah playboy double klik url
•    nick mo liat artis majalah playboy indo
•    nick indonesia free porn, double klik url
•    ce bangsa indo, double klik
Virus W32/Agent.GYMR ini juga akan menggunakan flash disk sebagai media penyebaran dirinya dengan membuat file duplikat dengan ciri-ciri:
o    Icon Windows Media Player
o    Ukuran 1.312 KB
o    Ekstensi EXE
o    Type File “Application”