Virus Review : Dini.vbs: im sorry my english bad

Dini.vbs
Dini.vbs. Sudah tidak asing jika malware lokal hadir dengan ciri-ciri yang selalu menampilkan pesan berupa curahan hati. Pesan tersebut bukan hanya ada di hasil companionnya saja, akan tetapi pada tubuh dari malware itu sendiri. Malware seperti ini mengingatkan kita pada worm Serviks.vbs yang cukup banyak menyebar pertengahan tahun 2010.

A. Info Malware
Nama: Dini.vbs
Asal: Indonesia
Ukuran File: 24.5 KB (25,096 bytes)
Packer: -
Pemrograman: Visual Basic Script
Icon: VBS file
Tipe: Worm
B. Tentang Malware
Meskipun malware tipe VBS termasuk memiliki banyak varian dan mudah dimodifikasi, akan tetapi beberapa teknik heuristik antivirus sudah mampu mendeteksi malware tipe VBS seperti ini. Sebut saja SlowButSure.vbs, Mahadewa.vbs, atau Kalong.vbs yang source codenya banyak di share di forum, blog atau website personal. Dini.vbs juga temasuk salah satu worm VBS yang sebenarnya memodifikasi source code worm lain. Terdapat pola umum yang mungkin bisa menjadi acuan bahwa worm tersebut adalah modifikasi.
Dini.vbs
1. Setelah baris pendeklarasian variabel (DIM), biasanya pada baris berikutnya berisi source code autorun.inf
2. Pembuatan file induk di folder WINDOWS / system32
3. Membuat Worm dan autorun.inf di setiap drive termasuk flash disk.
4. Membuat pertahan atau membuat value key baru pada registry
5. Hentikan Script tiap 2 menit sekali
6. Jalankan Explorer.exe jika menjalankan worm.
Pola seperti ini hampir sudah pasti terdeteksi oleh antivirus luar negeri ataupun antivirus lokal. Ada juga teknik pengenkripsian code namun teknik seperti ini juga tidak selalu berhasil.
C. Companion/File yang dibuat
Dini.vbs tidak banyak membuat companionterhitung hanya 3 buah file yang di drop jika worm ini di eksekusi.
1. Membuat host di folder system32 dengan nama VHCK3D.vbs, “C:\WINDOWS\system32\VHCK3D.vbs”
2. Menyebarkan file “VHCK3D.vbs” dan “Autorun.inf” di setiap drive dan flash disk yang terhubung dengan komputer yang terinfeksi.
D. Hasil Infeksi
Setelah aktif di memory, worm ini banyak melakukan pertahan terutama penginjeksian dan penulisan value key di registry:
Disable Show Super Hidden Field
Disable Perubahan Wallpaper
Disable Search dan Folder Options
Disable Run Command
Disable Burning CD/DVD
Disable Klik kanan
Disable TrayIkon
Disable Shortkey dan Menghilangkan Shortcut termasuk file-file pada dekstop
Disable System Information
Menghilangkan tombol Logoff dan Turnoff
Disable Control Panel
Disable Task Manager, Registy Editor, dan Command Prompt
Disable System Restore dan install MSI File
Worm ini juga otomatis menjalankan aplikasi “Notepad.exe” jika menjalankan file dengan nama:
cmd.exe, install.exe, msconfig.exe, regedit.exe, regedt32.exe, RegistryEditor.exe, setup.exe, avscan.exe, avcenter.exe, ashAvast.exe, viremoval.exe, PCMAV-CLN.exe, PCMAV-RTP.exe, PCMAV.exe, SMP.exe, SmadAV 3.4.exe, GAV.exe, nod32.exe, evest.exe, nod32kui.exe, Opera.exe, power remover.exe, power live protector.exe, mawar-av.exe, cav-0.94.exe, CCleaner.exe, procexp.exe, Norman VC.exe, NVC.exe, norman.exe, 123456.exe, 12345.exe, 1234.exe, 123.exe

Tidak ketinggalan Dini.vbs membuat pesan sebelum proses logon.
Dini.vbs
Worm juga akan mengubah title pada Internet Explorer.



Dini.vbs

Sumber : virusindonesia.com

6 comments:

Obat Sakit 2011 said...

virus ini sangat mengesalkan gan

Indrazz Afterlife said...

waduhhh mantab nih infonya bro...
tapi alhamdulillah ane terhindar dari kasus ginian :D

assyafieq said...

virus lagi...lagi lagi virus...bikin kesel sob...

Er'end said...

Alhamdulilah wabahnya belum sampe sini Gan,makasih infonya!

assyafieq said...

biasanya mereka yang terkena itu karena sering colok flasdisk di warnet...

wahyu said...

waspadalah kawan-kawan semua..
ingat pesan Bang Napi, waspadalah2 !!!
hehehe

Post a Comment

Blog ini dofollow blog, jadi tinggalkan komen nanti akan saya komen balik ke blog sobat blogger. Berkomentarlah yang baik, NO SPAM PLEASE !!!!!

 
Copyright © 2011. Kedai Info . All Rights Reserved
Home | Company Info | Contact Us | Privacy policy | Term of use | Widget | Site map