Menguak Trik Dinihou – VBS.Encrypted.A

Posted in Antivirus, Trojan on Jan 25, 2014

Harry Houdini, bagi penikmat acara sulap, tentu nama Houdini adalah nama yang tidak asing lagi, dia adalah pesulap ternama kelahiran Budapest, Hongaria, yang memiliki kemampuan dalam eskapologis atau trik meloloskan diri. Mungkin karena kecintaannya dalam acara sulap, code maker dari virus ini menamai virusnya dengan nama Houdini, atau oleh beberapa penamaan antivirus lain diberi nama Dinihou. Code maker atau virus maker dari virus ini memang bukanlah pemain baru, melainkan pemain lama dalam dunia pervirusan, sehingga pada virus yang akan dibahas kali ini memang agak sulit untuk dianalisa begitu saja untuk mengetahui aktifitas virus ini, karena memang sourcecode-nya terenkripsi, VBS.Encrypted.

Karakteristik Virus

Tipe file: VBS
Tipe serangan: Trojan, BackDoor
Ukuran file: 95.2 KB (97,525 bytes)
Self defence: Encrypted sourcecode

Ukuran file virus saat terenkripsi menjadi lebih besar karena memiliki karakter code yang lebih banyak, terlebih memang menggunakan fungsi Char to String, tepatnya menggunakan ChrW (tipe data unicode).

Bahkan antivirus dengan kelas/tarap internasional menamakan penamaan berbeda dalam database virusnya, padahal adalah virus yang sama, Dinihou, hanya saja yang ini dalam bentuk data sourcecode terenkripsi.

Aksi

Saat virus (trojan) ini aktif pada komputer, dia menanamkan diri pada sistem komputer, yaitu pada “Start Up” dan “Temp”.

Membuat perintah Run pada Registry.

Selain menanamkan diri pada sistem, virus ini juga menyebar pada USB FlashDisk, tepatnya dengan menyamar menjadi file atau folder yang ada pada FlashDisk (pada root, bukan sub-folder), dalam bentuk Shortcut, sedangkan file atau folder aslinya dijadikan Hidden oleh virus ini.

 

 

Cara Pembersihan

Lakukan Scan menyeluruh pada komputer dan FlashDisk yang ada.

Bersihkam data yang ada pada sistem dan FlashDisk.

Munculkan kebali data yang telah di-hidden oleh virus.

Jika virus masih aktif (dapat dilihat dari masih adanya shortcut pada FlashDisk dan data asli masih tersebunyi/hidden), maka dapat lakukan Kill manual virus dengan mengklik “Tools” pada panel Smadav, pilih tab “Procces Manager”, klik kanan pada “wscript.exe” lalu pada “Action” pilih “Kill”.

Tambahan

Tanya: Mengapa disebut “VBS:Agent-AOZ [Trj]” oleh Avast? Padahal ini sama saja merupakan virus/worm VBS dengan penamaan database “VBS:Dinihou-D [Wrm]” olehnya.
Jawab: Karena pada versi ini sourcecode virus terenkripsi, sehingga dalam menganalisa virus ini hanya bisa dengan menunggu aksi virus (tanpa melihat sourcecode asli yang padahal pada header data dari file terdapat identitas Houduni), yakni saat mengakses jaringan, maka dari itu masuk dalam katerogi “Trojan”. Dan memang virus ini mampu mengakses jaringan (sebut saja memiliki kemampuan Trojan), dapat dilihat dari sourcecode aslinya pada line ke-53 sampai 60:

case “update”
param = cmd (1)
oneonce.close
set oneonce =  filesystemobj.opentextfile (installdir & installname ,2, false)
oneonce.write param
oneonce.close
shellobj.run “wscript.exe //B ” & chr(34) & installdir & installname & chr(34)
wscript.quit

Dan line ke-63 sampai 69:

case “send”
download cmd (1),cmd (2)
case “site-send”
sitedownloader cmd (1),cmd (2)
case “recv”
param = cmd (1)
upload (param)

Tanya: Bagaimana cara mengetahui sourcecode asli virus ini?
Jawab: Untuk mengetahui sourcecode asli virus ini diperlukan kemampuan enkripsi-dekripsi data terlebih dahulu. Bidang ilmu tersebut bisa didapat saat duduk di bangku kuliah, tentu dengan teorinya. Sedangkan, padahal dalam dunia nyata, kegiatan enkripsi-dekripsi data ini bisa lebih berbahaya. Ya,  bisa lebih berbahaya. Bayangkan saja, saat duduk di bangku kuliah kita hanya diberi tugas enkripsi-dekripsi data tanpa ancaman khusus, sedangkan di dunia nyata, saat salah melakukan dekripsi data maka virus akan aktif di komputer, dan memang konsekwensinya harus mengorbankan komputer (untuk membiarkan virus aktif pada komputer) agar tau data (sourcecode) asli dari data terenkripsi tersebut.

Tanya: Apa keuntungan mengetahui sourcecode-nya?
Jawab: Sebagai malrawe analyst (penganalisa malware), lebih lagi nantinya hasil analisa bisa untuk dijadikan artikel, atau bisa untuk dijadikan/dibuatkan teknik khusus pada fitur antivirus agar bisa melumpuhkan virus tersebut, tentu dengan mengetahui sourcecode asli suatu virus akan sangat membantu kegiatannya, tanpa hanya menunggu virus bereaksi dulu dan menduga-duga apa saja tidakan yang dilakukan virus tersebut. Tentu akan sangat membantu bukan?

 

4 Responses to “Menguak Trik Dinihou – VBS.Encrypted.A”


  1. kusnadi says:

    mohon petunjuk menginstall virus

     
  2. lockable says:

    untuk deskripsi data tinggal buka di notepad. wkwkwk

     
  3. dhony says:

    Terimakasih informasi sangat membantu. Namun saat untuk menemukan “wscript.exe” tidak ada dalam tab “Procces Manager” SMADAV. Masih ada 3 file terhidden. Tolong bantuannya 🙂

    Salam

     
  4. samir says:

    Keep it Up Guys ur doing Great Job Im Loving it

     


Leave a Reply


  • Search

    Loading
  • Wall

    Previous Next
    Latest on Wed, 11:55 am

    dauna yakubu: i need your protection

    zaim: nice

    christina marino: nice antivirus.. recommended to be use by most computer technicians

    sunday: good

    dathog: smadav le meilleur antivirus que je jamais connue

    soleil mata: DIEU EST SIMON KIMBANGU C-EST MA FOI

    kasiku akakulubelwa: 2017 smadav is strong and fights the viruses well

    blessing olatise: this working fine.

    lequuddin: wonderfull

    selamu: thans

    » Tuliskan komentar Anda :