Darkside of Oktavianus

Making virus and all of them as our friends

Virus TukulNdeso : Bisa AutoUpdate

Posted by oktavianus pada Oktober 24, 2007

Visual Basic Scripting Edition atau biasa dikenal dengan nama VBScript merupakan bahasa turunan dari Visual Basic. Dengan hanya bermodalkan script yang ditulis di Notepad pun, dapat tercipta virus yang mematikan. Arief Prabowo VBScript yang sudah ada semenjak Windows 9x ini biasa digunakan pada produk Microsoft seperti Microsoft Offi ce atau pada fi le HTML File script yang biasa dikenal dengan extension .vbs contohnya, tidak dapat berjalan sendiri karena ia membutuhkan fi le pendukung seperti wscript.exe dan cscript. exe yang bertugas untuk menginterpretasikan script yang akan dijalankan. Berangkat dari kemudahan akan bahasa Visual Basic ini memang telah memicu para pembuat virus. Sebenarnya virus berjenis VBScript ini bukan suatu hal yang baru, contohnya adalah virus LoveLetter atau IloveYou. Kemampuannya menyebar sungguh mengagumkan. Atau virus Melissa yang dibuat menggunakan VBA (Visual Basic for Applications) yang dapat menyebar melalui Microsoft Word misalnya. Virus maker tidak mau ketinggalan. Karena kini telah hadir virus berbahasa VBScript dengan nama TukulNdeso yang diperkirakan telah banyak menyebar. Beberapa pembaca PC Media sampai saat ini pun masih ada yang mengirimkan sampel virus ini.

Bagaimana Wujudnya?

Varian pertama dari virus TukulNdeso yang kami miliki ukurannya sebesar 23.244 bytes dengan keadaan terenkripsi. Jadi kalaupun Anda mencoba untuk melihat isi fi le VBS virus tersebut dengan notepad misalnya, maka tidak akan kelihatan string-string yang berarti. Antivirus lain mengenal virus yang menyerang operating system Windows ini dengan nama VBS/Lookoot. Pada sistem yang masih bersih, icon fi lenya masih berwujud seperti standar fi le .VBS biasa, namun apabila system tersebut telah terinfeksi oleh virus ini, maka setiap fi le VBS iconnya berubah menjadi icon fi le gambar. Dan biasanya ia hadir dengan double extension, artinya ia menggunakan extension ganda untuk me ngelabui korbannya, misalkan tukul.jpg.vbs. Karena pada setting-an Windows default tidak menampilkan extension, maka yang tampak hanya tukul.jpg, jadi seolah-olah fi le tersebut adalah fi le gambar. Untuk itu, kita harus selalu berhati-hati, dan lebih baik mengaktifkan pilihan “Hide extensions for known fi les” pada Folder Options.

Bagaimana Ia Menginfeksi?

Saat fi le virus ini dieksekusi, maka ia sebelumnya akan mendekrip tubuhnya sendiri. Enkripsi yang digunakan sangat sederhana, yakni hanya memajukan setiap huruf sebanyak 10 karakter. Tentu saja untuk mendekripnya, kita hanya memundurkan setiap huruf tersebut. Dan salah satu kelemahan dari virus berbasis VBScript adalah kita dapat dengan mudah melihat source code atau script dari virus tersebut dengan mudah, dienkripsi sekalipun. Virus ini akan membuat fi le induk di rinya pada direktori Windows dengan nama kernel32dll.vbs, tukul.jpg.vbs, dan kembali_ ke_laptop.vbs dengan attribut hidden. Cerdiknya, ia pun meng-copy-kan fi le wscript.exe dengan nama lain yang menyerupai fi le system Windows yakni smss.exe, dan menjalankan virusnya melalui fi le ini. Pembuatnya sepertinya memang menyadari bahwa VBScript memang mudah untuk dilumpuhkan, cukup dengan mematikan process wscript.exe di memory. Namun, karena file ini tidak menjalankan fi le wscript.exe melainkan fi le smss.exe, jadi yang harus dimatikan dari memory adalah fi le smss. exe. Awas, jangan salah mematikan process, karena bisa menyebabkan sistem crash. Selain di direktori Windows, ia pun akan meng-copy-kannya pada folder yang ia temukan namun tidak rekursif, artinya ia tidak meng-copy-kan pada subfolder di bawahnya.

Bantai Registry!

Seperti yang terlihat pada function Bantai_Reg yang ada di source code virus tersebut, ia melakukan cukup banyak perubahan pada registry. Contohnya mengalihkan setiap aksi eksekusi dari beberapa tipe extension .exe, .lnk, .pif, agar sebelumnya menjalankan fi le kernel32dll.vbs seperti yang terlihat pada registry “C:\WINDOWS\smss.exe C:\WINDOWS\ kernel32dll.vbs “%1””. Dan yang utama seperti kebanyakan virus melakukannya adalah membuat item Run baru di registry agar ia dapat aktif otomatis saat memulai Windows pada modus normal ataupun safe-mode, yakni dengan nama “System” yang mengarah kepada fi le induk virus dan “svchost.exe” yang mengarah kepada fi le pesan dari virus ini. Jadi setiap memulai Windows, selain virusnya aktif, pesan dari sang virus pun akan muncul. Untuk menyamarkan dirinya, ia mengubah tipe dari fi le .VBS dari “VBScript Script File” menjadi “Image File” dan mengubah icon standar menjadi sebuah icon fi le gambar. Juga mengubah fi le gambar wallpaper Anda menjadi “Prairie Wind.bmp”. Beberapa setting-an Internet Explorer pun tidak luput dari perhatiannya. Halaman default ia ubah menjadi ke \%Windows%\tukul. html. Jadi saat Anda menjalankan Internet Explorer, maka pesan dari virus ini yang kali pertama muncul. Background dari Toolbar Explorer pun ia ubah gambarnya. Dan satu lagi Title Internet Explorer ia ubah menjadi “TuKuL_NDESO”. Untuk memperlemah pertahanan system tersebut, virus ini pun melakukan pemblokiran pada beberapa fasilitas Windows seperti System Restore, Command Prompt, Find, Folder Options, Run, Regedit, dan Task Manager. Ia pun meniadakan fasilitas klik kanan dan menngeset Folder Options agar tidak menampilkan fi le dengan attribute hidden dan menyembunyikan extension untuk beberapa file.

Menyebar agar “Terkenal”

Virus ini dapat menyebar melalui beberapa perantara, seperti storage devices contohnya fl ash disk, sharing directory, mIRC, dan email. Ia membuat beberapa file autorun.inf dengan attribut hidden dan beberapa file pendukung autorun lainnya di drive fl ash drive yang terpasang pada komputer Anda. Ia pun membuat script untuk mIRC Anda agar menarik minat lawan bicara untuk menjalankan virus ini. Dan dengan memanfaatkan MAPI Outlook, ia mencoba untuk mengirimkan dirinya ke alamat yang ada pada address book Anda. Jadi, selalu waspada terhadap setiap e-mail yang mampir ke inbox. Virus ini pun akan men-sharing setiap drive yang terpasang di komputer Anda agar pengguna lain di jaringan tergoda untuk mengaksesnya, dan ia pun dapat mengkopikan dirinya pada folder yang di-sharing dengan nama seperti kembali_ke_laptop.jpg. vbs, JULIA PEREZ NUDE.jpg.vbs, dan TUKUL BUGIL.jpg.vbs.

Automatic Update

Virus VBScript yang satu ini memang tidak bisa dipandang remeh. Tak tanggung-tanggung, sang pembuatnya menambahkan fi tur Automatic Updates pada virusnya. Ia akan memantau alamat ini http://geocities.com/tukulndeso0907/ update.txt, jika terdapat updatean yang lebih baru, maka akan di-download dan ditaruh pada direktori Windows dengan nama update.sys, dan membandingkan versinya dengan yang sudah ada. Jika berbeda, maka varian yang lama tersebut akan digantikan dengan yang baru itu.

Merusak Dokumen

Kenakalan virus ini tidak sampai di situ, karena ia akan mencari fi le Microsoft Word pada komputer Anda, setelah ditemukan ia akan diam–diam memasukan kata–kata seperti “Tukul NDESO” dan mencoba mereplace setiap kata “Anda” menjadi “Elo”, “Saya” menjadi “Gua”, dan “Tidak” menjadi “Kagak”.

Virus Defense

Untuk lebih membatasi ruang gerak user, ia memblokir akses ke beberapa situs tertentu dengan mengubah isi dari fi le hosts milik Windows. Situs tersebut adalah friendster, google, vaksin.com, dan beberapa situs lainnya. Saat ia aktif di memory, ia akan terus memonitor apa yang Anda lakukan. Se perti program apa saja yang Anda akses. Jika nama fi le program tersebut mengandung kata–kata tertentu seperti contohnya anti, kill, hijack, reg, atau vir, maka sebuah kotak pesan berjudulkan “ANTIexe Manager” akan muncul yang memberitahukan bahwa akses tersebut telah diblokir oleh Administrator. Setelah menampilkan kotak pesan tersebut, maka program yang akan kita jalankan tadi akan dihapusnya. Hal mudah untuk mengetahui apakah komputer Anda terinfeksi oleh virus ini atau tidak, yaitu bisa dengan melihat status informasi Registered Owner dan Organization pada komputer terinfeksi. Pada komputer yang terinfeksi, nama pemilik komputer tersebut akan diubah menjadi “TUKUL NDESO”, dan organisasinya menjadi “tukul tur keliling dunia”.

Pencegahan dan Pembasmian

PCMAV RC20 telah dapat membasmi virus ini secara tuntas dan akurat 100%. Berbagai setting-an Windows yang telah ia ubah akan dikembalikan seperti semula oleh PCMAV. Untuk dokumen Microsoft Word yang telah ia modifikasi, silakan Anda ubah kembali secara manual dengan me-replace kata–kata tadi.

8 Tanggapan to “Virus TukulNdeso : Bisa AutoUpdate”

  1. datuk K said

    PCMAV RC20 = MANDUL BANGET BOS…!!!
    Lebih bagus PCMAV RC 18
    atau AVIRA PREMIUM EDITION yang Virus Signaturenya sampak 80.542 sig
    ;-}

  2. oktavianus said

    Klo mw g saranin lg bos, loe pke ja Panda Antivirus yang mempunyai virus signature lebih gila sampai 1139353 virus mampu dibaca dan dilibas sampai habis olehnya…

  3. evans said

    Good,…
    Dimana aya bisa dapat script virus ini?
    blh kirim ke imel aku.
    Thanks before.
    Ditunggu…

  4. evans said

    hacfy@yahoo.co.id

  5. yhouza said

    tolong kirim contoh script virus dunksz…
    thanks b4…

  6. bedhul said

    tulung downk kirimin scrip virusny k mailq,
    q tunggu yw,,,,,,

  7. pyurwo said

    mas-mas tolong kirimin w scrip virus ninja hokage or virus yang bisa nampilin gambar dan pesan tapi via notepad….

    sebelum na thankzzzzz

  8. Mau buat virus vbs sih gak susah-susah amat… kalau bisa sih buat virus dari delphi saja ya? gimana? eh, tolong bantuin donk, itu virus rhex.exe ninggalin bekas kerjaannya (drive C: nggak boisa dibrowsed antivirus) kayaknya dia nyimpen dimana ya? Thankyou
    http://www.zainurrahmans.wordpress.com

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
%d blogger menyukai ini: