Virus lokal tidak selalu dibuat dengan menggunakan program Visual Basic, sudah banyak virus lokal yang dibuat dengan menggunakan program bahasa lain yang tentunya mempunyai efek yang cukup berbahaya, contohnya program VBS.
Nah, walaupun virus ini 'hanya' dibuat dengan menggunakan program VBS tetapi tetap saja aksi yang dilakukan cukup merepotkan. Pengguna komputer pun diminta waspada, sebab saat ini telah beredar salah satu virus yang dibuat dengan menggunakan VBS.
Memang saat ini penyebarannya masih di kawasan Jogjakarta. Tidak seperti kebanyakan virus made in VBS, kali ini ia akan mengenkripsi kodenya sehingga tidak mudah untuk dibaca.
Norman Security Suite sendiri mendeteksi virus ini sebagai VBS/Cryf.A. Ciri yang sangat mudah dikenali dari dia adalah kemunculan sosok menyeramkan yang mirip Mbah Surip.
Pelantun lagu 'Tak Gendong' itu akan muncul pertama kali ketika komputer yang telah terinfeksi memasuki Internet Explorer. Jika sudah begini, korban selanjutnya akan disusupi folder bernama 'Album Bokep' di setiap drive maupun flash disk yang isinya seakan-akan file film porno. Namun folder 'panas' itu sebenarnya merupakan file virus yang siap 'menggendong' komputer Anda bila dijalankan.
Ciri-ciri File Virus
File induk VBS/Cryf.A ini mempunyai nama [drvconfg.drv] dengan ukuran file sebesar 218 KB, file ini mempunyai ekstensi [.drv] dan mempunyai type file sebagai 'device driver', file ini akan di enkipsi sehingga kode virusnya tidak mudah di baca.
Pada saat file virus dijalankan, pertama kali yang akan di lakukan adalah memanggil file yang sudah dienkript yang berada di direktori . Kemudian file [svchost.vbs] ini akan menjalankan file utama virus yakni file [drvconfg.drv], file inilah yang berisi runtime untuk menginfeksi dan menanamkan aksi-aksi lain nya di dalam komputer target.
Pada saat user menjalankan dirinya, VBS/Cryf.A akan memanggil program [Windows Media Player]. Kemudian akan membuat beberapa file induk yang salah satunya akan dijalankan saat komputer dinyalakan.
Sementara untuk mempertahankan eksistensinya, ia akan mencoba untuk blok beberapa fungsi windows seperti: Task Manager, Regedit, CMD, MSCONFIG, hingga tidak dapat merubah Wallpaper
Selain itu, virus ini juga akan menyembunyikan file tersebut [regedit.exe, tskmgr.exe. cmd.exe dan MSConfig.exe] dan sebagai gantinya ia akan membuat file yang sama. Bedanya, ia akan mempunyai dua ekstensi yakni [.exe.lnk], antara file 'gadungan' dan file asli akan mempunyai icon yang sama. Jika user mencoba untuk memanggil salah satu fungsi Windows tersebut maka akan muncul pesan error.
Tetapi jika user mencoba untuk langsung menjalankan file 'gadungan' yang telah dibuat oleh virus sebagai pengganti file asli yang telah disembunyikan [contoh: regedit.exe.lnk] maka secara otomatis akan menjalankan file virus yang berada di direktori [C:\WINDOWS\system32\svchost.dls].
Tak hanya itu, ia juga akan melakukan Debugger terhadap ketiga fungsi windows tersebut untuk menjalankan file virus [C:\WINDOWS\appsys.exe] dengan membuat string pada registry.
Beberapa tools security khususnya antivirus lokal seperti PCMAV atau ANSAV. VBS/Cryf.A juga akan melakukan Debugger terhadap program yang telah ditentukan dengan membuat string.
Virus ini juga akan mencoba untuk mengaktifkan dirinya secara otomatis dengan menjalankan file [C:\windows\system\svchost.exe atau C:\windows\WinUpdt.scx] setiap kali user menjalankan file yang mempunyai ekstensi berikut: .reg, .vbs, dan .inf.
'Album Bokep'
Untuk mempermudah dalam mengelabui user, ia akan menggunakan rekayasa sosial dengan membuat sebuah folder dengan nama [Album Bokep] di setiap Drive termasuk di Flash Disk. Dengan nama folder tersebut diharapkan dapat menarik user untuk menjalankan salah satu dari 3 file shortcut yang berada di dalam nya.
Selain itu agar penyamarannya lebih sempurna ia akan merubah type file dari file LNK (shortcut) tersebut menjadi 'Movie Clip' sehingga seolah-olah merupakan file Video dan untuk lebih meyakinkan ia akan menyembunyikan ekstensi yang kedua dari file tersebut [.LNK] dengan membuat string
VBS/Cryf.A juga akan merubah type file dari 'VBScript Script File' menjadi 'Application' serta merubah icon VBS menjadi icon Application serta menyembunyikan ekstensi dari file tersebut dengan merubah string. Virus ini tidak hanya aktif pada mode Normal, tetapi akan aktf pada mode 'safe mode' dan 'safe mode with command prompt'.
Seolah-olah untuk menebus segala 'dosa-dosanya', pembuat virus akan menyertakan link untuk mendownload removal tools untuk membersihkan komputer yang sudah terinfeksi. Link ini akan dibuat dalam sebuah file yang disimpan di direktori [C:\Windows\help.html].
Jika link [ANTIVIRUS.exe] tersebut di klik maka akan diarahkan ke sebuah jendela baru dengan alamat [http://www.dinamikasolusi.co.nr], yang ternyata berisi 'Promosi Buku' tentang bagaimana 'cara membuat antivirus dengan Visual Basic'.
Tidak ada komentar:
Posting Komentar