/*

Selasa, Oktober 21, 2008

VIRUS BARU VBScript


Virus hasil generate dengan kondisi terenkripsi. Bagaimana sebuah virus VBScript dapat menginfeksi file dokumen Office Anda?Bagaimana cara penanggulangannya dalam menghadapi virus seperti ini? Ikuti bahasan selengkapnya kali ini! Arief PrabowoTREN VIRUS jenis VBScript memang belum selesai, tiada hent para pembuat virus lokal melakukan aksinya. Kali ini kami akan mencoba membahas salah satu virus berjenis VBScript, yang menggunakan teknik lain dalam penginfeksiannya. Dikena oleh PC Media Antivirus sebagai Repvblik.vbs. Memang dike tahui virus ini sepertinya bukanlah virus keluaran terbaru, tap teknologi yang diusung lain daripada virus VBScript biasanya dan beberapa pembaca masih ada yang mengeluhkan virus ini. Virus ini memiliki ukuran file asli sebesar 5915 bytes. Cukup kecil, kan? Inilah salah satu keunggulan yang dimiliki oleh virus jenis VBScript, karena ukuran file virus terbilang kecil meru pakan nilai tambah baginya untuk dapat mempercepat laju penyebaran virus ini.Virus ini dapat berjalan mulus pada operating system Windows XP yang kami uji cobakan. Sekilas, jika dilihat secara visual menggunakan Notepad, jenis virus yang memiliki extension .VBS ini hadir dalam kondisi terenkripsi. Bisa diketahu pada saat dibuka, karena yang muncul hanya karakter aneh Namun jika lebih teliti, di bagian paling atas terdapat string “RPVBLK=True” atau “RPVBLK=False”, dan di bagian bawah terdapat rutin yang biasa disebut sebagai decryptor yang tentunya dapat terbaca.EnkripsiTidak sulit dalam melakukan deskripsi atas tubuh virus tersebut. Karena secanggih apapun enkripsi yang ia terapkan, past dapat terbongkar juga karena sebenarnya dalam tubuhnya pun terdapat rutin decryptor yang akan menerjemahkan byte per byte ke dalam bentuk aslinya. Enkripsi yang ia lakukan hanyalah permainan karakter saja, hanya memaju atau memundurkan karakter saja, biasa dikenal dengan Caesar Cipher. Yang kam lakukan hanya menyisipkan beberapa rutin yang nantinya akan melakukan dumping pada teks yang telah terdekripsi dan kam pun dapat dengan mudah mempelajari gerak–gerik virus tersebut dari source code-nya.Saat seluruh tubuh virus berhasil di-decrypt, tepat di bagian atas source script tersebut, terlihat beberapa string comment yang bertuliskan seperti “Repvblik Ver 2.0 ^_^!”, dan juga beberapa pesan yang ia sampaikan.Virus di StartUpYang pertama ia lakukan adalah tentunya menciptakan file induk. Jadi, saat virus dieksekusi di komputer yang bersih, ia akan menciptakan sebuah file induk asli yang ia tempatkan pada direktori StartUp yang bisa Anda temukan pada Start Menu > StartUp dengan nama Repvblik.vbs. Bagaimana ia mengenali dirinya sendiri, apakah file tersebut merupakan file induk atau file yang sudah terinfeksi? Ia memiliki pengenal di bagian pa ling atas source script-nya, yakni “RPVBLK” yang bisa bernilai True atau False. File induk virus ini juga akan running otomatis pada saat memulai Windows.PesanBersamaan dengan itu pula, ia akan menciptakan direktori baru pada drive C:\ dengan nama Repvblik. Di dalam direktori atau folder tersebut, Anda akan menemukan sebuah file teks dengan nama Repvblik.txt yang merupakan pesan dari sang pembuat virus. Tidak hanya di situ saja, karena di setiap direktori tingkat pertama yang ia temukan pun pasti akan terdapat file Repvblik.txt.Dan saat aktif di memory, jika dilihat menggunakan Task Manager, user tidak akan dapat melihat process virus dengan nama menyerupai nama file VBS, karena saat sebuah file VBS diklik atau diakses, Windows secara otomatis akan menjalankan program wscript.exe yang bisa dibilang sebagai penerjemah dari script tersebut. Jadi saat virus ini aktif, process virus yang tampak di Task Manager hanyalah process wscript.exe. Cukup sulit memang menentukannya, apakah wscript.exe tersebut menjalankan file VBS virus atau bukan, karena bisa saja sebagian user masih memanfaatkan bahasa VBScript ini untuk membuat script kecil yang dapat mempermudah kerjanya. Namun, jika menggunakan program yang lebih advanced, seperti misalnya Process Explorer, Anda bisa lebih detail menelusuri setiap process yang ada. Hanya dengan mengklik kanan process yang diinginkan, lalu klik Properties, Anda akan menemukan informasi script apa yang dijalankan oleh wscript.exe itu pada editbox Command Line di Process Explorer.Infeksi Dokumen!Setelah file induk berhasil dibuat, ia pun segera melancarkan jurus pamungkas, yakni menginfeksi dokumen Anda yang terdapat pada direktori My Documents. File yang akan diinfeksi oleh virus ini adalah file–file dengan extension DOC, XLS, PPT, PPS, dan RTF yang pasti sudah tidak asing lagi di mata Anda. Semua alur penginfeksiannya bisa dipelajari dengan jelas dengan membaca rutin fungsi yang ia beri nama explore_folder_and_infect_file yang terdapat pada tubuhnya. Cara yang ia lakukan sebenarnya sangatlah sederhana, ia akan mencari di direktori My Documents file–file dengan extension tersebut termasuk ke dalam subdirektori, jika ia menemukannya maka dengan sigap ia akan menginfeksinya. Dengan sebelumnya ia pun telah menghapus isi dari folder Recent yang berisi data file–file yang terakhir kali dibuka.Caranya menginfeksi adalah dengan cara meng-append file dokumen yang akan diinfeksi di bagian bawah tubuh sang virus. Jadi apabila Anda memiliki file dengan nama misalkan Skripsi. doc, maka virus ini akan membaca keseluruhan isi dari file tersebut, lalu ditaruhnya isi dari file dokumen itu di bagian paling bawah tubuh sang virus, dan memberikan tanda berupa string “RPVBLK=False” di bagian awal tubuh sang virus, yang artinya virus tersebut sudah menginfeksi file. Ini biasa juga dilakukan oleh virus lain yang memiliki kemampuan injeksi, agar file yang sudah diinfeksi tidak diinfeksi lagi. File yang sudah diinfeksi namanya akan menjadi Skripsi.doc.vbs. Dan file dokumen yang asli pun akan dihapusnya. Tentu saja kini file dokumen Anda sudah menjadi file VBScript, yang sudah tentu tidak bisa dibuka dengan Microsoft Word. Namun Anda tidak perlu bingung, biarkan PCMAV melakukan tugasnya mengembalikan dokumen Anda ke keadaan seperti semula.Nanti pada saat file terinfeksi dijalankan, virus ini akan terlebih dahulu meng-extract file dokumen yang terdapat pada tubuhnya pada current directory, lalu menjalankan kembali dirinya dan seolah-olah tidak terjadi apa-apa.Manipulasi RegistryVirus Repvblik ini pun akan dengan cerdik mencoba untuk mengubah default icon dari setiap file VBS agar menggunakan icon Microsoft Word. Serta mengubah file type nya menjadi “Microsoft Word Document”, dan menghilangkan tampilan extension .VBS pada Windows Explorer dengan menambahkan item NeverShowExt pada key VBSFile di Registry Windows. Tentunya jika sudah begini, user awam tidak akan bisa membedakan antara file asli dengan file virus.Rename MP3Tidak hanya menginfeksi dokumen, ia pun mulai mengerjai file musik MP3 koleksi Anda. Setiap file MP3 yang ia temukan akan di-rename olehnya. Yang ia lakukan adalah menambahkan string “Repvblik_” di depan nama file MP3 yang akan ia kerjai.Flash DiskBehati–hatilah jika menemukan file dengan nama–nama seperti “I am So Sorry.txt.vbs”,”SMS Gratis via GPRS.txt. vbs”,”Indonesian and their corruption!! .txt.vbs”,”Never be touched!! .txt.vbs”,”Make U lofty.txt.vbs”,”Thank U Ly.txt. vbs”,”The Power of Midwife.txt.vbs”, dan atau “NenekSihir and her Secrets.txt.vbs” pada perangkat removable disk Anda, itu adalah nama file yang biasa ia gunakan untuk menyebar.Gunakan PCMAV!Bagi Anda yang komputernya terinfeksi dan atau dokumen penting Anda telah dirusak oleh virus Repvblik.vbs, silakan gunakan PCMAV terbaru yang telah disempurnakan ini.

Tidak ada komentar: