www.pcmedia.co.id/
Resensi oleh:iankmuin
Virus Bungas.VBS Menyembuyikan Decryptor
MEMILIKI UKURAN file sebesar 7222 bytes. sebagai Bungas.vbs. Virus berjenis VBScript seperti yang kita kenal memang sangat mudah untuk dilihat source code-nya. Hanya dengan membuka file virus dengan Notepad contohnya. Jikalau virus tersebut dienkripsi, pada tubuhnya pun kita dapat melihat source code dari rutin decryptor untuk membuka enkripsinya. Namun terlihat dari virus ini, sepertinya sang pembuatnya mencoba sebisa mungkin untuk menyembunyikan decryptor dari virusnya, yang kemungkinan besar bertujuan untuk mempersulit proses pendeteksian dan analisis.
Sampai tulisan ini dibuat, dari pengujian yang kami lakukan terhadap 36 antivirus luar, hanya 3 yang berhasil mendeteksi keberdaan virus ini. Walaupun baru suspected, artinya yang mendeteksi adalah engine heuristic-nya saja. Logikanya, virus VBScript bisa lebih mudah dideteksi oleh heuristic. Jadi, apa saja dan bagaimana yang dilakukan oleh virus ini?
Tubuh Terenkripsi
Secara visual, jika dilihat di baris bagian tengah source code tersebut terdapat beberapa string yang ditulis terbalik seperti penggalan berikut ini “))1,I,nillA(diM(csA=orplA”, yang jika dibalik akan menjadi seperti ini “Alpro=Asc(Mid(Allin,I,1))”. Terlihat sepertinya ini merupakan permainan karakter, kemungkinan bagian dari rutin decryptor. Untuk mencoba membuktikannya, maka file virus tersebut kami jalankan. Dengan sekejap, setelah dijalankan, ia membuat sebuah file baru dengan nama Strukdat.bgs, tak lama kemudian file tersebut dihapus kembali olehnya. Untuk itu, kami coba menangkap isi dari file tersebut dan benar seperti yang diduga, isinya meru-pakan rutin decryptor.
Membelah Diri
Bukan hanya file decryptor saja yang ia keluarkan dari dalam tubuhnya, namun ada beberapa fi le lain yang ia extract. Ada dua file lainnya, yakni statistics.bgs, 2656 bytes, dan Molin.bgs yang memiliki ukuran sebesar 3413 bytes. Kedua file tersebut sudah dalam kondisi ter-decrypt. Di kedua fi le tersebut lah sebenarnya inti dari virus tersebut. Intinya, pada file virus utama, tidak ditemukan atau mencirikan adanya rutin yang membahayakan, dan lagi pada file virus utama kebanyakan string dalam keadaan terenkripsi.
Autorun
File statistics.bgs dan Molin.bgs yang bertugas melakukan infeksi. Pertama, virus tersebut akan membuat file induk pada direktori Windows dengan nama bungas.vbs dan Virusmaker.bat. Selain itu, pada direktori Temp user, C:\Documents and Settings\%username%\Local Settings\Temp, juga akan ada 3 file virus lainnya, yakni bungas.vbs, Virusmaker.bat, dan Virusmaker.bgs. Kesemua file tersebut ber-attribut hidden, read-only, dan system. Jadi, pada setting-an Windows default tidak akan terlihat.
Restriction
Untuk mendukung kelangsungan hidupnya, ia akan melumpuhkan dan men-disable beberapa fungsi Windows. Diawali dari setingan Folder Options, ia akan mengeset untuk tidak menampilkan file hidden dan system. Selanjutnya, Regedit (regedit.exe) dan Task Manager (taskmgr.exe) pun tidak luput dari serangannya. Tapi tidak hanya itu saja, beberapa program lain pun tidak dapat dijalankan, seperti rstrui.exe, msconfi g.exe, notepad.exe, wordpad.exe, agentsvr.exe, dan winword.exe.
Jika user mencoba menjalankan program yang diblok oleh virus tersebut, yang terjadi adalah muncul kotak Command Prompt yang berisi pesan “Bungas Operating System”, yang tentunya dibuat oleh si pembuat virus. Dan selanjutnya, program yang dituju tidak dapat diakses.
Infeksi Flash Drive
Ia akan mencoba untuk meng-copy-kan dirinya ke removable drive, seperti flash disk dengan menggunakan nama random yang menggunakan kombinasi dari Tanggal+Bulan+Tahun, misalkan 29112008.vbs. Selanjutnya, tak lupa ia pun membuat sebuah file autorun.inf, untuk mempermudah virus tersebut menyebar hanya dengan mengakses drive yang dituju. Namun pada file autorun.inf, ia menggunakan cara lain. Beberapa virus yang memanfaatkan file autorun.inf, biasanya akan ada menu baru jika user mengklik kanan drive flash disk yang terinfeksi dengan nama Autoply. Pada virus ini, autorun-nya didesain menggunakan field “shell\Properties\command”. Jadi, saat user mengklik kanan drive terinfeksi, dan memilih Properties, virusnya akan aktif.
Basmi!
PC Media Antivirus 1.9 sudah dapat mendeteksi dan membasmi virus Bungas.vbs. Untuk hasil maksimal, scan seluruh harddisk di komputer Anda termasuk flash disk yang dimiliki
www.pcmedia.co.id/ Originally published in Shvoong: http://id.shvoong.com/internet-and-technologies/1927428-www-pcmedia-id/
Resensi oleh:iankmuin
Virus Bungas.VBS Menyembuyikan Decryptor
MEMILIKI UKURAN file sebesar 7222 bytes. sebagai Bungas.vbs. Virus berjenis VBScript seperti yang kita kenal memang sangat mudah untuk dilihat source code-nya. Hanya dengan membuka file virus dengan Notepad contohnya. Jikalau virus tersebut dienkripsi, pada tubuhnya pun kita dapat melihat source code dari rutin decryptor untuk membuka enkripsinya. Namun terlihat dari virus ini, sepertinya sang pembuatnya mencoba sebisa mungkin untuk menyembunyikan decryptor dari virusnya, yang kemungkinan besar bertujuan untuk mempersulit proses pendeteksian dan analisis.
Sampai tulisan ini dibuat, dari pengujian yang kami lakukan terhadap 36 antivirus luar, hanya 3 yang berhasil mendeteksi keberdaan virus ini. Walaupun baru suspected, artinya yang mendeteksi adalah engine heuristic-nya saja. Logikanya, virus VBScript bisa lebih mudah dideteksi oleh heuristic. Jadi, apa saja dan bagaimana yang dilakukan oleh virus ini?
Tubuh Terenkripsi
Secara visual, jika dilihat di baris bagian tengah source code tersebut terdapat beberapa string yang ditulis terbalik seperti penggalan berikut ini “))1,I,nillA(diM(csA=orplA”, yang jika dibalik akan menjadi seperti ini “Alpro=Asc(Mid(Allin,I,1))”. Terlihat sepertinya ini merupakan permainan karakter, kemungkinan bagian dari rutin decryptor. Untuk mencoba membuktikannya, maka file virus tersebut kami jalankan. Dengan sekejap, setelah dijalankan, ia membuat sebuah file baru dengan nama Strukdat.bgs, tak lama kemudian file tersebut dihapus kembali olehnya. Untuk itu, kami coba menangkap isi dari file tersebut dan benar seperti yang diduga, isinya meru-pakan rutin decryptor.
Membelah Diri
Bukan hanya file decryptor saja yang ia keluarkan dari dalam tubuhnya, namun ada beberapa fi le lain yang ia extract. Ada dua file lainnya, yakni statistics.bgs, 2656 bytes, dan Molin.bgs yang memiliki ukuran sebesar 3413 bytes. Kedua file tersebut sudah dalam kondisi ter-decrypt. Di kedua fi le tersebut lah sebenarnya inti dari virus tersebut. Intinya, pada file virus utama, tidak ditemukan atau mencirikan adanya rutin yang membahayakan, dan lagi pada file virus utama kebanyakan string dalam keadaan terenkripsi.
Autorun
File statistics.bgs dan Molin.bgs yang bertugas melakukan infeksi. Pertama, virus tersebut akan membuat file induk pada direktori Windows dengan nama bungas.vbs dan Virusmaker.bat. Selain itu, pada direktori Temp user, C:\Documents and Settings\%username%\Local Settings\Temp, juga akan ada 3 file virus lainnya, yakni bungas.vbs, Virusmaker.bat, dan Virusmaker.bgs. Kesemua file tersebut ber-attribut hidden, read-only, dan system. Jadi, pada setting-an Windows default tidak akan terlihat.
Restriction
Untuk mendukung kelangsungan hidupnya, ia akan melumpuhkan dan men-disable beberapa fungsi Windows. Diawali dari setingan Folder Options, ia akan mengeset untuk tidak menampilkan file hidden dan system. Selanjutnya, Regedit (regedit.exe) dan Task Manager (taskmgr.exe) pun tidak luput dari serangannya. Tapi tidak hanya itu saja, beberapa program lain pun tidak dapat dijalankan, seperti rstrui.exe, msconfi g.exe, notepad.exe, wordpad.exe, agentsvr.exe, dan winword.exe.
Jika user mencoba menjalankan program yang diblok oleh virus tersebut, yang terjadi adalah muncul kotak Command Prompt yang berisi pesan “Bungas Operating System”, yang tentunya dibuat oleh si pembuat virus. Dan selanjutnya, program yang dituju tidak dapat diakses.
Infeksi Flash Drive
Ia akan mencoba untuk meng-copy-kan dirinya ke removable drive, seperti flash disk dengan menggunakan nama random yang menggunakan kombinasi dari Tanggal+Bulan+Tahun, misalkan 29112008.vbs. Selanjutnya, tak lupa ia pun membuat sebuah file autorun.inf, untuk mempermudah virus tersebut menyebar hanya dengan mengakses drive yang dituju. Namun pada file autorun.inf, ia menggunakan cara lain. Beberapa virus yang memanfaatkan file autorun.inf, biasanya akan ada menu baru jika user mengklik kanan drive flash disk yang terinfeksi dengan nama Autoply. Pada virus ini, autorun-nya didesain menggunakan field “shell\Properties\command”. Jadi, saat user mengklik kanan drive terinfeksi, dan memilih Properties, virusnya akan aktif.
Basmi!
PC Media Antivirus 1.9 sudah dapat mendeteksi dan membasmi virus Bungas.vbs. Untuk hasil maksimal, scan seluruh harddisk di komputer Anda termasuk flash disk yang dimiliki
www.pcmedia.co.id/ Originally published in Shvoong: http://id.shvoong.com/internet-and-technologies/1927428-www-pcmedia-id/
