Darkside of Oktavianus

Making virus and all of them as our friends

Top 10 Virus, September 2008

Posted by oktavianus pada September 5, 2008

Pada periode ini ada beberapa virus yang cukup tenar, diantaranya adalah Virgear dan Windx-Maxtrox, atau varian Rieysha yang juga masuk pada Top 10 periode lalu, serta diikuti oleh beberapa virus lainnya. Untuk Virgear dan Rieysha contohnya, sebenarnya virus ini tidak mengusung teknik canggih, tapi kemampuannya ber-social engineering, mampu menipu banyak user

Windx-Maxtrox yang menempati urutan kedua, juga banyak dikeluhkan. Virus ini diakui memang menggunakan teknik penyebaran yang lebih kompleks dibandingkan virus lokal lainnya yang masuk dalam Top 10 kali ini. Berikut daftar selengkapnya:

1. Virgear

Ia hadir dengan icon yang mirip dengan file multimedia milik WinAmp. Varian B memiliki ukuran file 49.152 bytes, tanpa di-pack. Sementara itu, varian C yang kami temukan, memiliki ukuran file sebesar 19.968 bytes, dan di-pack menggunakan UPX. Seperti yang lalu, ia akan menggantikan seluruh file multimedia yang ia temukan seperti MP3, 3GP, AVI, WMV, ASF, MPG, MPEG, MP4, pada komputer korban dengan dirinya sendiri, dengan menggunakan nama yang hampir sama, hanya ditambahkan extension .EXE di akhirnya. Virus ini juga akan mengubah setingan di registry untuk mendukung kelangsungan hidupnya, seperti menyembunyikan Folder Options, mem-blok Regedit, System Restore, dan lainnya. Diketahui, Virgear juga mencoba untuk mem-blok antivirus dan virus lain. Untuk itu, rename (ubah nama) dari PCMAV-CLN.exe sebelum Anda menggunakannya, misalkan menjadi 123456.exe. Dan, pada komputer terinfeksi, ia akan menampilkan kalimat “++++ Makanya jangan handak buka BF ja, neh rasain oleh2 dari amang hacker ++++” pada caption Internet Explorer.

2. Windx-Maxtrox

Virus yang dibuat dengan Visual Basic ini memiliki ukuran tubuh asli sekitar 77Kb, tanpa di-pack. Virus yang diduga kuat berasal dari daerah Sulawesi Utara ini memiliki kemampuan infeksi file executable. Tepatnya, ia akan menginfeksi program yang ada di direktori Program Files. Teknik infeksi yang cukup cerdik ia terapkan untuk menghindari pendeteksian engine heuristic dari antivirus. Ciri khas yang dapat dikenali pada komputer terinfeksi adalah berubahnya gambar wallpaper dari desktop menjadi gambar animasi, Maxtrox.

3. HelloBaby

Saat menyebar, ia akan membuat file Desktop.ini dan autorun.inf dengan attribut hidden dan system. File tersebut akan disebarnya ke setiap drive yang ia temukan pada komputer terinfeksi. Ia juga akan berusaha untuk menyebarkan dirinya pada jaringan setempat dengan sebelumnya telah mematikan fasilitas firewall milik Windows. Pada komputer terinfeksi, akan terdapat beberapa file induk virus. Diantaranya, pada direktori System32, akan ada file dengan nama wmiprvse.exe dan mgrShell.exe, lalu file inti ini akan men-drop file lainnya dari dalam tubuhnya pada direktori Temp dengan nama ctfmon.exe dan pada direktori Windows dengan nama svchost.exe. Dan untuk mempercepat aksi penyebarannya, virus ini pun men-set registry NoDriveTypeAutoRun agar mendukung autorun pada floppy disk.

4. Autorunme

Virus yang bukan produksi programer lokal ini memiliki ukuran sebesar 26.835 bytes, dan diperkirakan di-pack menggunakan PECompact. Ia tidak memiliki icon, hanya menggunakan icon standar applications dari Windows. Saat menginfeksi, ia mencoba untuk menanamkan file induknya pada direktori C:\Windows\System dengan nama msvc32s.exe dan dengan attribut hidden dan system, serta membuat autorun baru di registry dengan nama “Windows msvc Control Centers”. Virus yang dapat menyebar melalui media penyimpan data seperti flash disk ini juga dapat menyebar melalui aplikasi Instant Messaging. Pada flash disk, ia akan membuat folder tiruan Recycle Bin yang berisi file dengan nama autorunme.exe, lalu mengarahkan autorun.inf untuk menjalankan file virus tersebut. Jadi, saat user mencolokan flash disk tersebut lalu mengakses drive yang dimaksud, virus tersebut akan aktif.

5. Allya.vbs
5
Virus jenis VBScript ini memiliki ukuran file sebesar 6030 bytes. Saat menginfeksi, dia akan menanamkan file induknya pada direktori Windows dengan nama Thumbs.vbs. Dan dia akan membuat autorun di registry pada HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avctrl. Virus ini juga akan mencoba meng-copy-kan dirinya pada drive flashdisk dengan nama file Thumbs.vbs dan autorun.inf. Jika user mencoba melihat isi file VBS virus, di bagian atas hanya akan terlihat tulisan “‘MICROSOFT WINDOWS SYSTEM DRIVER”, yang disertai banyak enter. Namun jika di-scroll terus ke bawah, baru akan terlihat kode virus sebenarnya.

6. Microso

Virus ini hadir dengan 3 buah file, yakni MicroSoft.pif, MicroSoft.bat, dan MicroSoft.vbs. Ketiga file tersebut saling terkait. Namun, ada satu file yang merupakan induk dari ketiganya, yakni MicroSoft.pif. Ia memiliki ukuran file sebesar 18.432 bytes. Virus luar ini saat beraksi akan mengeluarkan beberapa file .DLL dari dalam tubuhnya yakni Jview.dll dan AcXtrnel.dll yang akan mencoba aktif dengan menginjeksikan pada explorer.exe atau dijalankan melalui Rundll32.exe.

7. Apong

Virus ber-icon mirip folder standar Windows ini dibuat menggunakan Visual Basic. Pada komputer terinfeksi, ia akan membuat beberapa folder tiruan pada setiap root drive yang ia temui dengan nama seperti Laporan_baru.exe, wisata_lampung.exe, New Folder1.exe, dan New Folder2.exe. Pada folder Startup pun akan terdapat file virus yang akan aktif otomatis saat memulai Windows, dengan nama Msoffice.exe. Pada file properties virus ini, di bagian Internal Name akan tertera “Apong”. Atau pada Product Name akan tertera “NginuL”.

8. RontokBrow variant

Beberapa varian dari virus RontokBrow juga berhasil terjaring kali ini. Virus yang memiliki nama yang hampir sama dengan Brontok ini dibuat menggunakan Visual Basic. Ada 2 varian yang didapat dalam periode kali ini, yakni RontokBrow.H dan I. RontokBrow.H menggunakan icon mirip dokumen Microsoft Word, sementara RontokBrow.I menggunakan icon mirip folder standar bawaan Windows. Pada salah satu varian tersebut terkadang menampilkan pesan kesalahan seperti gambar diatas.

9. Rieysha variant

Ditemukan beberapa varian virus Rieysha yang banyak menyebar di periode kali ini. Salah satu varian-nya seperti Rieysha-Desa memiliki ukuran tubuh sekitar 148KB dengan icon menyerupai file multimedia. Pada komputer terinfeksi, status AM/PM akan diubah menjadi “rieysha”. Hal ini juga dilakukan oleh varian Rieysha yang lain.

10. Akmal.vbs

Virus jenis VBScript ini memiliki ukuran file sebesar 35.854. Pada komputer terinfeksi, saat menjalankan Run, pada edit box secara otomatis akan terdapat tulisan pesan dari si pembuat virus. Selanjutnya, pada caption Internet Explorer akan terdapat “YOUR COMPUTER HAS BEEN INFECTED BY AKMAL”, dan ia juga mengubah deafult page agar mengarah ke salah satu account di Friendster.

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
%d blogger menyukai ini: