VBScript Penyebar Ribuan Shorcut Pada Windows OS | Iksan Komputer

Thursday, August 1, 2019

VBScript Penyebar Ribuan Shorcut Pada Windows OS

Shortcut yang seharusnya membantu pengguna komputer, dibuat menjadi teror yang meresahkan oleh malware.

Malware yang membuat shortcut bukanlah hal baru. Walaupun demikian, beberapa malware yang belakangan ini menyebar luas ditemukan memiliki payload tersebut. Salah satunya adalah Serviks.vbs.B, sebuah worm yang diciptakan dengan bahasa VBScript.

Cara Kerja Virus Shortcut


Seperti umumnya malware yang ditulis menggunakan VBScript, ukuran malware ini relatif kecil, yaitu sekitar 12 KB. Saat aktif, ia akan menciptakan file desktop.ini yang merupakan duplikasi worm, juga file autorun.inf yang memanggil file worm tersebut, serta men-disable pemanggilan Regedit dan Task Manager. Agar ia selalu aktif saat masuk Windows, maka worm memasang item startup melalui registry Windows. Registry lain yang juga dimanipulasi adalah registry untuk mengatur halaman Start Page pada browser Internet Explorer, yang diarahkan agar menuju pada website yang diduga merupakan website pembuatnya. ( Baca : Memahami Cara Kerja Virus Dan Malware Serta Pencegahan Terhadap Serangannya )

Membuat Shortcut Massal


Berkaitan dengan shortcut, ia akan menciptakan shortcut pada root drive yang ditemui (termasuk removable disk) dengan nama seperti Microsoft.lnk, Aplikasi.lnk. Music.lnk. serta shortcut yang meniru nama folder yang ada. Worm dapat menelusuri hingga ke dalam sub folder dan teras membuat shortcut, akibatnya bisa jadi harddisk Anda dipenuhi ribuan shortcut.

Jika property shorcut ini ditelusuri, maka akan terlihat shortcut mengarah pada file malware yang menyamar sebagai file desktop.ini

Pada komputer yang terinfeksi, icon shortcut ini akan tampak seperti icon folder biasa, karena worm menghilangkan tanda panah yang menjadi ciri khas sebuah icon shortcut. Jika tampilan W indows Explorer berada pada modus Tiles atau Detail, akan terlihat bahwa “folder” bobongan tersebut merupakan shortcut dan berukuran 1 KB
Serviks.vbs.B
Shortcut dengan icon menyerupai folder.

Pesan Cinta

Tiada kesan tanpa pesan, Serviks.vbs.B tidak hanya menciptakan banyak shortcut, tetapi juga menyampaikan pesan cinta. Sebuah kotak pesan bertuliskan “fandy love yuyun” akan tampil seperti pada Gambar 3, saat Anda mencoba menonaktifkan opsi “Hide protected operating system files” pada Folder Options dari Windows Explorer.

Pesan cinta yang lebih lengkap disimpan oleh worm dalam sebuah file teks dengan nama v.doc, dan terletak pada folder Window svSystem32. File ini berisi pesan:

Orang Bodoh Cari Jodoh
Dahulu terasa indah
Tak ada yang nau dan menginginkan aku Kama cuma diriku yang tak laku-laku
Tiada yang salah
Hanya aku manusia bodor
Yang biarkan semua iri pemamkanku
Berulang ulang ulang kali
Pengumuman-pengumuman
Siapa yang mau bantu
Tolong aku kasihani aku
Tolong carikan diriku kekasih ran*:.
Siapa yang mau
Mencoba bertahan sekuat hari Layaknya karang yang Dihempas sang ombak Jalani hidup dalam buai belaka Serahkan cinta tulus di dalam takdir
Hanya kepedihan
Yang s'lalu datang menertawakanku Engkau belahan jiwa
Tega menari indah di atas tangisanku
Tapi sampai kapankah ku harus Menanggungnya kutukan cinta ini Bersemayam dalam kalbu

Script Virus Tanpa Enkripsi

Malware yang dibuat dengan VBScript memiliki kelemahan tersendiri karena kode program tidak dikompilasi menjadi kode biner, kode program dapat terbaca hanya dengan menggunakan text editor. Untuk menghindarinya, terkadang malware VBScript melakukan pengacakan/obfuscate kode yang membuat instruksi sulit terbaca. Serviks.vbs. B termasuk worm yang melakukannya, dengan enkripsi menggunakan operasi logika XOR. Hasil dari proses dekripsi disimpan worm dengan ekstensi file *.tmp, dan disembunyikan pada folder Windows\System32.
file properties
file properties
Pada bagian awal tubuh worm terdapat pesan tersembunyi, potongan pesannya terlihat seperti pada Pesan di atas

Sebagian pesan terbaca dengan cAra membaca dari kanan ke kiri, contohnya pada baris 3, “Hawabek sata irad acab gnolot” berarti “tolong baca dari atas kebawah”. Sementara bans-bans dengan 4 huruf yang terlihat acak (dimulai dari baris kedua juga memiliki pesan tersembunyi yang dapat diketahui dengan cara membaca huruf kedua ma-^sing-masing baris dengan posisi menurun (lihat bagian yang ditandai pada Gambar 4). Pesan tersebut berbunyi “JIKA-SERVIKS-MASUK-DI-KOMPUTER-ANDA1-HUBUNGI-MY-EMAIL:-” diikuti dengan sebuah alamat e-mail, dan dilanjutkan dengan pesan “BY:-FANDI-LOVE-YUYUN.”.

Jika ditelusuri, pesan di atas menyita nyaris 400 baris dari tubuh worm, dan hanya sedikit kode VBScript yang dapat terbaca, karena pada bagian bawah worm, tampak karakter-karakter yang sekilas tak berarti, seperti tampak pada potongan kode berikut:

Tetapi justru di sana terletak kode inti dari Serviks.vbs.B, dengan patokan string “Windows Serviks »>”, worm akan mengambil kode acak tersebut, melakukan dekripsi, menyimpannya rada temporary, dan menjalankan script tersebut. Menghitung Hari

Serviks.vbs.B memiliki beberapa kondisi pada kode program untuk melakukan aksi tertentu sesuai dengan perhitungan tanggal yang dilakukannya. Contohnya, jika tanggal pada sistem komputer menunjukkan tanggal 3, maka worm akan menyebar pada subfolder tertentu dengan kedalaman 3 level yang dilakukan secara rekursif selain itu, maka worm hanya akan menyebar dengan kedalaman 1 level. ( Baca : Deteksi Virus Menggunakan Engine Heuristik Pada Anti Virus )

Jika sistem komputer menunjukkan tanggal 1, Serviks.vbs.B akan membuat sebuah system folder yang tercipta pada desktop dengan nama “Serviks”. Jika diklik, ia akan menghasilkan shortcut dirinya

VBScript Penyebar Ribuan Shorcut Pada Windows OS Rating: 4.5 Diposkan Oleh: rosari J

0 comments:

Post a Comment