Karakteristik Virus

• Nama file: (acak)
• Ukuran: 56.0 KB
• Dibuat menggunakan: Visual Basic 6.0

Aksi Virus

Virus ini tidak terlalu banyak ulah seperti kebanyakan virus, dia hanya menggandakan diri pada komputer dengan meletakkan salinannya pada :

• C:\Documents and Settings\[nama administrator komputer]\[namaacakvirus.exe]

 dan Membuat atau memodifikasi dua nilai registry yaitu pada :

• [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  C:\Documents and Settings\[nama administrator komputer]\[namaacakvirus.exe]
• SuperHidden

Dan menyebarkan diri pada Flashdisk atau Folder Sharing jika komputer tersambung ke jaringan, dan ini file yang disisipkan/sebarkannya itu :

• Berisi satu file autorun.inf yang isinya :

[aUToRUn]

aCTion=Open folder to view files

shElLEXEcuTE=[namaacakvirus.exe]

IcOn=%SysteMrOot%\sYstEM32\sHeLL32.dLl,4

USeAuTOplAy=1

• Enam file Shortcut yang bertugas menjalankan virus dengan nama :

[namaacakvirus.scr]

• Satu file exe virus yang nantinya akan dieksekusi oleh autorun.inf :

[namaacakvirus.exe]

• Satu file scr virus yang nantinya akan dieksekusi oleh Shortcut :

[namaacakvirus.scr]

 Pembersihan

Jalankan Smadav. Jika Smadav belum mendeteksi virus ini, gunakan fitur “One-Virus By-User” dari Smadav dengan memilih tab “Tools”, lalu  “One-Virus By-User”, lalu “Browse Other …” dan tentukan lokasi virusnya seperti yang sudah kita bahas di atas tadi. Nah, tinggal scan deh komputernya, maka Smadav akan menyapu bersih virus ini, dengan catatan walaupun masih belum resmi masuk database pengenalan virus pada Smadav, Smadav tetap bisa memusnahkan virus ini dengan fitur “One-Virus By-User” tadi.

Salam bebas virus.

Bayangkan apa jadinya jika mahasiswa semester akhir (S1) kehilangan dokumen (.doc) bahan skripsinya, sedangkan bahan tersebut sudah tinggal cetak saja maka skripsinya selesai, namun terancam gagal S1 karena virus ini, sungguh sangat menyebalkan, bukan?

Karakteristik Virus

Virus ini hanya memiliki ukuran sekitar 8 KB, dengan eksternsi .vbe. Dari icon memang terlihat seperti virus VBS (.vbs) biasa, tetapi karena ini berekstensi .vbe (VBScript Encoded Script File) maka virus ini berbeda dengan virus .vbs pada umumnya, virus ini terenkrip sehingga souce codenya tidak bisa terbaca dengan mudah.

Untuk mempelajari teknik ini, bisa Anda ke rumahnya langsung di => http://www.vbs2exe.com/encrypt-vbs.html

Untuk mengetahui berbagai macam ekstensi, missal ekstensi .vbe ini tadi di => http://dotwhat.net/vbe/22/

Ini, lihat script atau source codenya, tidak karuan, bukan? Hal ini karena source code program ini terenkripsi, hal ini dilakukan agar virus ini tidak mudah dianalisa oleh Malware Analyst seperti kami.

Penyebaran

Virus ini menyebar ke setiap root dari drive yang ada dengan nama “alice.alc” dengan menggunakan “autorun.inf” sebagai pemicunya.

Menggandakan Diri

Seperti kebiasaan virus pada umumnya, virus ini juga mengandakan diri pada komputer yang berhasil ia infeksi, bertempat di :

• C:\WINDOWS\system32\drivers\alice.sys
• C:\Documents and Settings\[nama user]\Local Settings\Temp\alice.sys

Menyamar sebagai file Driver, yang padahal sebenarnya adalah file VBE.

Aksi Virus

Tak puas menyebar dan menggandakan diri, virus ini pun memanipulasi data yang ada seperti :

• .doc
• .docx
• .htm
• .html

dan menggantinya menjadi dirinya.

Pada file .doc, virus ini akan menyembunyikan file yang sebenarnya dan ia menyamar atau menggandakan dirinya menjadi file .doc tadi yang padahal sebenarnya adalah file .vbe

Sedangkan pada file .htm maupun .html, virus ini akan memodif file asli (.htm atau .html tadi) menjadi ekstensi .hta, dan menyisipkan perintah VBScript didalamnya. Ingat, ia memodif file asli, mengubah ekstensi menjadi .hta, menyisipkan perintah VBScript dibawah dari code HTML asal, berbeda dengan file .doc tadi yang ia sembunyikan dan dia buat samarannya.

Registry

Virus ini juga memanipulasi registry agar user tidak bisa melihat ekstensi file yang ada, menghilangkan Folder Option, menghilangkan Run, memblok Task Manager, Registry Editor, System Restore, dan sebagainya.

Oh iya, virus ini juga mengubah nama komputer menjadi ALICE.

Bersihkan dengan Smadav rev. 8.8.4

Dengan Smadav rev. 8.8.4, kita teidak perlu lagi takut kehilangan dokumen kita karena ulah jahil si Alice ini tadi. Karena Smadav akan membunuh virus ini sampai keakarnya, memperbaiki kerusakan pada registry, dan mampu memunculkan kembali file dokumen yang sebelumnya telah disembunyikan oleh virus tadi.

Silakan download Smadav di www.smadav.net

Sebelum :

Sesudah :

Penyempurnaan Auto-Scan Flashdisk :
- Jika Smadav Rev. 8.7 tidak ada indikator Progress Bar pada Auto-Scan Flashdisk, maka Smadav Rev. 8.8 ini sudah disempurnakan dengan indikator Progress Bar tersebut layaknya Scanning secara manual. Bukan hanya terjadi penyempurnaan indikator saja, tetapi keakuratan dalam Scanning mode Auto-Scan Flashdisk ini juga telah diperbaiki dari revisi sebelumnya.

Progress bar

Progress bar complete

Penambahan 2 Setting Baru :
- Quick/Full Scan Flashdisk yang berfungsi untuk melakukan scanning dengan cepat dan menyeluruh (baik itu root flashdisk maupun sub folder dari flashdisk). Disini Anda bisa menentukan sendiri dengan mencentang untuk mengaktifkan fitur ini, maupun tidak mencentang untuk tidak mengaktifkan fitur ini.
- Konfirmasi Smad-Lock untuk proteksi flashdisk yang berfungsi agar setiap flashdisk yang tertancap ke port USB akan langsung dilakukan Lock oleh fitur Smad-Lock. Disini Anda bisa

Untuk membersihkan virus ini secara maksimal gunakan SmadAV versi terbaru, Antivirus SmadAV bisa anda dapatkan secara geratis di www.smadav.net . SmadAV dapat mengenali virus ini sebagai “VBS.VirusCode” dan “Yuyun.Shortcut”

• Jalankan SmadAV pada TAB Scanner beri centang pada Computer Drive untuk membersihkan virus diseluruh drive yang anda punya. Lalu tekan tombol SCAN >> untuk memulai proses scanning. Tunggu hingga proses scanning selesai 100%, jika sudah selesai tekan tombol FIX ALL

Daftar file virus yang terdeteksi

Tampilan proses scanning telah selesai

Karakteristik Virus

Virus VBS ini hadir dengan ektensi berbeda dari kebanyakan virus VBS lainya yakni dengan menggunakan ektensi “.db” dan “.lnk” [shortcut], virus menyamarkan dirinya sebagai shortcut dan file “Thumbs.db” untuk mengelabui korbanya. Teknik yang ia gunakan yakni menyamarkan dirinya sebagai folder dengan memanfaatkan shortcut yang ia buat agar nantinya virus dapat tereksekusi saat korbannya mengakses file shortcut samaran folder tersebut.

Ciri file virus :

• Berektensi “.db” menyamar sebagai file “Thumb.db”
• Dan file shortcut berektensi “.lnk” yang digunakan virus untuk menyamarkan dirinya sebagai folder

File-file virus yang dibuat diseluruh folder

File-file virus tersebut dapat kita temui diseluruh folder yang ada dikomputer terinfeksi oleh virus ini, virus ini akan menyembunyikan seluruh folder-folder yang ditemuinya di setiap drive yang ada dikomputer korbanya yakni dengan cara membuat shortcut samaran yang  mirip dengan nama folder yang ia sembunyikan, file-file yang ia buat antara lain file induk virus “Thumb.db”, “Autorun.inf”, shortcut virus “Microsoft”, “New Harry Potter and…” dan shortcut yang ia buat mirip dengan nama folder yang ia sembunyikan.

Kita dapat melihat perbedaan antara file dan folder asli dengan file dan folder palsu yang dibuat oleh virus.

Dari gambar diatas kita dapat melihat perbedan dengan jelas mana file dan folder asli milik system dengan file dan folder palsu yang dibuat oleh virus.

Ciri-ciri File dan folder asli

• Folder tidak terdapat tanda panah di icon nya dan type nya adalah folder
• File Thumbs asli mempunyai nama lengkap Thumbs.db

Ciri-ciri file dan folder palsu buatan virus

• Folder memiliki tanda panah di icon nya dan typenya adalah Shortcut
• File Thumbs yang dibuat oleh virus namanya “Thumb.db”

Selain itu juga terdapat file Autorun.inf yang dibuat oleh virus agar dirinya dapat aktif secara otomatis saat korbanya mengakses drive. Isi autorun nya seperti gambar dibawah ini

File Autorun.inf yang dibuat oleh virus

Aksi Virus

Saat pertama kali shortcut virus dijalankan, virus memeriksa keberadaan folder yang disembunyikan apakah folder yang disembunyikan ada atau tidak, jika ada virus akan membuka folder yang disembunyikan dan jika tidak ditemukan maka virus akan membuat folder baru mirip dengan nama shortcut yang dijalankan lalu membuka folder tersebut dengan menggunakan explorer. Jadi seolah olah shortcut virus yang dijalankan sama seperti membuka folder biasa.

Kemudian virus membaca tubuhnya dan mendeksrip kode aslinya dan membuat beberapa file ke direktori Temp. File file yang dibuatnya antara lain Auto.exe [Script Autorun.inf virus], v.doc [Pesan virus] dan file Yuyun.Q [File kosong] :

• C:\Documents and Settings\user\Local Settings\Temp\auto.exe
• C:\Documents and Settings\user\Local Settings\Temp\v.doc
• C:\Documents and Settings\user\Local Settings\Temp\Yuyun.Q

File induk Virus

Pada direktori My Documents virus membuat file induknya dengan nama “database.mdb”, yang akan ia jadikan file induk aslinya. Sebenarnya file ini merupakan file VBS [Visual Basic Script] yang dirubah ektensinya menjadi .mdb agar mirip sepertti file dartabase. File induk ini akan dijalakan setiap computer dihidupkan.

• C:\Documents and Settings\user\My Documents\database.mdb

Selain itu ia juga mencoba membuat file induk virus dengan memnafaatkan system NTFS yakni dengan membuat file ADS agar file induk ini tersembunyi dan tidak dapat dilihat

• C:\WINDOWS\:Microsoft Office Update for Windows XP.sys

Menyebarkan diri ke seluruh drive dan folder

Virus akan mencari keberadaan folder disetiap drive, jika ia menemukanya virus akan mensembunyikan folder asli lalu membuat shortcut mirip dengan folder yang disembunyikan, dan membuat  beberapa file virus lainya di direktori yang sama. File-file yang ia buat diseluruh drive dan folder antara lain :

• Thumb.db
• Microsoft.lnk
• Autorun.inf
• %Folder%.lnk <Sesuai dengan nama foder yang disembunyikan>

File shortcut yang dibuatnya berisi perintah yang akan menjalankan file induk “Thumb,db”

• C:\WINDOWS\system32\wscript.exe //e:VBScript thumb.db “%NamaFolder%”

Menginfeksi Direktori CD Burning

Virus berusaha menginfeksi direktori CD Burning yang berada di “C:\Documents and Settings\user\Local Settings\Application Data\Microsoft\CD Burning”  dengan membuat file “Autorun.inf” dan “Thumb.db”

• C:\Documents and Settings\user\Local Settings\Application Data\Microsoft\CD Burning\Autorun.inf
• C:\Documents and Settings\user\Local Settings\Application Data\Microsoft\CD Burning\Thumb.db

Menyebar melalui jaringan – Infeksi NetHood

Virus ini juga bisa menyebar melalui jaringan yakni dengan mencari folder yang di share dijaringan pada directori NetHood “C:\Documents and Settings\user\NetHood”, jika virus menemukanya ia akan menyembunyikan semua folder yang didapat kemudian membuat shortcut dengan nama yang sama dengan folder yang ia sembunyikan.

Pesan Virus

Di folder Temp “C:\Documents and Settings\user\Local Settings\Temp\” kita dapat menemukan sebuah pesan yang dibuat oleh virus, pesan itu berupa file text dengan nama “v.doc”

• C:\Documents and Settings\user\Local Settings\Temp\v.doc

Registry yang di infeksi

Virus ini tidak banyak melakukan perubahan didalam registry, virus hanya membuat startup, menghapus beberapa value dan mendisable registry tool [regedit], sedangkan tols seperti Task Manager, Folder Options, CMD, dan Msconfig tidak diblok oleh virus.

• HKEY_CLASSES_ROOT\CLSID\{11111111-2222-3333-4444-555555555555}\ = “Yuyun_Cantix”
• HKEY_CLASSES_ROOT\CLSID\{11111111-2222-3333-4444-555555555555}\DefaultIcon\”= “shell32.dll,48”
• HKEY_CLASSES_ROOT\CLSID\{11111111-2222-3333-4444 555555555555}\ShellFolder\Attributes = 0
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\explorer\Desktop\NameSpace\{11111111-2222-3333-4444-555555555555}\ = “”
• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistrytools = 1

Menghapus Value “IsShortcut” agar tanda panah pada icon shortcut tidak ditampilkan

• HKEY_CLASSES_ROOT\lnkfile\IsShortcut

Membuat Autorun di registry agar virus dapat aktif secara otomatis saat computer dihidupkan

• HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Explorer = “Wscript.exe //e:VBScript C:\Documents and Settings\user\My Documents\database.mdb”
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WinUpdate = “Wscript.exe //e:VBScript C:\WINDOWS\:Microsoft Office Update for Windows XP.sys

Para ahli mengatakan satu laptop dapat menyebarkan virus ini ke seluruh jaringan komputer. Sejauh ini, mereka dibingungkan tentang apa sebenarnya tujuan utama virus Conficker ini. Virus ini telah membuktikan bahwa penyebarannya sebagai salah satu penyebaran terbesar yang pernah terjadi.

Virus ini memanfaatkan sebuah bug di Microsoft Windows untuk menginfeksi sebagian besar jaringan perusahaan, walaupun virus ini belum menyebabkan kerusakan apapun tapi dia memiliki hubungan dengan titik asal pembuatnya, ini artinya dia dapat menerima perintah langsung dari pembuatnya untuk membuat kerusakan.

Microsoft telah membagikan patch untuk memperbaiki bug ini, tetapi jika satu PC terinfeksi di sebuah jaringan besar, virus ini dapat menyebar tanpa terkendali sehingga sering menginfeksi ulang PC yang sudah diperbaiki, sehingga patch yang sudah dilakukan menjadi percuma.

Ancaman virus ini mendesak Microsoft yang bekerjasama dengan industri teknologi lainnya untuk mengumumkan hadiah sebesar $250,000 untuk informasi tentang keberadaan pembuat virus Conficker ini.

“Sebagai bagian dari usaha keamanan berkelanjutan Microsoft, kami tak henti-hetinya mencari berbagai macam cara dan pengembangan metodologi untuk melindungi pelanggan kami” kata George Stathakopoulos, dari Microsoft’s Trustworthy Computing Group.
Mikko Hypponen, pemimpin penelitian di anti-virus F-Secure mengatakan banyaknya penyebaran virus sebenarnya tidak diketahui, tapi dalam 24 jam terakhir perusahaannya memonitor sinyal Conficker dari dua juta alamat protokol Internet.
“Itu sangat banyak” dia bercerita pada CNN. “Dan satu alamat IP disini tidak berarti satu komputer yang terinfeksi, itu sebenarnya berarti setidaknya satu komputer terinfeksi.”

“Sebagian besar alamat-alamat IP adalah proxy atau firewall perusahan, yang dibelakangnya terdapat lebih banyak PC yang terinfeksi. Jadi, ini membuat tidak mungkin untuk memperkirakan total banyaknya sistem yang terinfeksi. Jadi penyebarannya itu sangat besar”

Microsoft sebelumnya sudah pernah membayar hadiah yang sama untuk seseorang yang menginformasikan keberadaan pembuat virus Sasser, salah satu virus terkenal pada tahun 2004. Pelaku sudah dibawa ke Jerman, dimana dia dijatuhi hukuman satu tahun kemudian.

Jadi, walaupun hampir tidak mungkin pembuat virus Conficker ini berada di Indonesia, jika Anda tahu tentang keberadaan pembuat virus ini segeralah melapor ke Microsoft, Anda akan langsung menjadi milyuner karena mendapatkan hadiah Rp 3 Milyar. Untuk pembuat virus lokal, segeralah bertobat karena tidak menutup kemungkinan Anda juga bisa dipenjarakan akibat terus membuat virus dan menyebarkannya di Indonesia.

Sebagai informasi, sudah diperkirakan ribuan bahkan puluhan ribu komputer di Indonesia terinfeksi virus Conficker. Karena virus ini mempunyai kemampuan luar biasa, kemungkinan besar komputer Anda juga akan segera terinfeksi. Jadi, untuk mencegah terjadinya infeksi virus Conficker, gunakanlah Smadav Rev. 3 dengan fitur SmaRTP RealTime Protection-nya akan selalu menjaga PC Anda dari infeksi virus-virus semacam ini. Mencegah lebih baik daripada mengobati.

Referensi : cnn.com