AVI Hajar Worm Shortcut

191334p

Pernahkan anda menemukan komputer Anda tiba-tiba berat dan banyak sekali ditemukan sampah berupa shortcut dengan nama-nama seperti Mocrosoft.lnk, SuratQ.lnk, New Harry Potter, dan .lnk lainnya? Apabila jawabannya ya, berarti komputer Anda telah terinfeksi worm VBS/Yuyun.A atau juga dikenal sebagai worm shortcut.
Worm yang menamakan diri VBS/Yuyun.A ini merupakan salah satu malware yang sedang aktif menjalar dan telah tersebar luas di Indonesia. VBS/Yuyun.A akan menginfeksi komputer dengan cara menggandakan dirinya di setiap drive, media terpasang, dan di setiap direktori bagi pakai (shared directory). Worm ini juga akan membuat hardisk pengguna komputer dipenuhi dengan shortcut dan pesan-pesan payload di setiap drive dan subdirektorinya.
Teknik infeksi yang digunakan cukup unik dan tidak seperti worm-worm VBS lokal lain pada umumnya. VBS/Yuyun.A secara cerdik menyamarkan file VBS dengan nama menyerupai file thumbnail image cache-nya Windows ‘Thumb.db’ sehingga tidak tampak mencurigakan. Namun adanya penyamaran ini bukan berarti tanpa akibat, karena nama ini menyebabkan file VBS tersebut tidak dapat dieksekusi secara langsung sehingga akan menyulitkan proses infeksi dan penyebarannya.

Lalu bagaimana vxer–sebutan bagi pembuat virus/worm-tersebut mengatasi hal ini? Dengan cerdiknya vxer membuat pemicu berupa shortcut yang akan mengeksekusi setiap baris kode worm di dalam ‘Thumb.db’. Shortcut tersebut akan memanggil applikasi wscript.exe yang merupakan aplikasi untuk menjalankan file/program VBS dengan cara memparse atau mengintepretasi baris per baris perintah-perintah VBS. Apabila kita amati arah tujuan shortcut tersebut, kita akan mengetahui trik jahat dibalik nama manis Yuyun!. Contoh arah tujuan shortcut yang saya ambil dari salah satu sampel VBS/Yuyun.A adalah:

C:-WINDOWS-system32-wscript.exe //e:VBScript thumb.db “Microsoft”

Untuk mempersulit analisa, worm ini menyembunyikan kode jahat aslinya dengan cara enkripsi. Algoritma enkripsi yang digunakan adalah home made bit XOR cipher. Karena worm ini dibuat menggunakan VBS, maka kita bisa dengan mudah melihat kode sumbernya dengan menggunakan program editor seperti notepad.

Kita bisa lihat decryptor dari enkripsinya pada baris 36-39:

For v=1 To Len(isiQ)
t=Asc(Mid(isiQ,v,1))
hsl=hsl+Chr(t Xor 7)
Next

Contoh data dalam keadaan terenkripsi:

:::::::::::::::::::::::::::::::::::::::::::::::::::::::
‘J~’ifjb’=’^r~ri’Qbu’6)7
‘N’mrts’pfiif’tbb’bqbu~’`nuk’khhlt’indb+’ebssbu+’lnict’btwbdnfkk~’f’jhtkbj’`nuk
‘e~=’Fihi~jhrtb’ni’Mfsnj+’Ihqbjebu’577?
‘Pobi’N’ahric’ihsoni`’ebfrs~’bktb)))’fic’sobi’N’puhsb’sont’tdunws’ahu’fkk
:::::::::::::::::::::::::::::::::::::::::::::::::::::::

Dan setelah didekripsi menjadi:
‘=======================================================
‘ My name : Yuyun Ver 1.0
‘ I just wanna see every girl looks nice, better, kinds especially a moslem girl
‘ by: Anonymouse in Jatim, November 2008
‘ When I found nothing beauty else… and then I wrote this script for all
‘=======================================================

Worm ini akan membuat payload dengan cara menampilkan pesan menggunakan notepad berisi puisi di setiap tanggal 1 selain bulan Maret. Ketika sampai ke tanggal tersebut, VBS/Yuyun.A akan membuat file-file sampah secara masal di setiap drive dan subdirektori berisi pesan-pesan puisi dengan nama ‘Baca AQ.rtf’ dan ‘My name is yuyun.rtf’.
Langkah ini juga akan memicu shortcut di setiap drive dengan nama-nama berikut:

“New Harry Potter and…”, “New Folder”, “SuratQ”, “Rahasia”, “Game”, “Zvnita”,
“Download”, “DataQ”,”DataQ”

Lalu bagaimana solusinya? Gampang saja. Gunakan AVI (AntiVirus InfoKomputer) untuk membersihkan worm ini. Dapatkan AVI terbaru dalam InfoKomputer edisi April 2009 atau download dibawah ini:

DOWNLOAD

Jika ada pertanyaan seputar virus dan AVI, silakan kirim email ke developer.avi@gmail.com. (Anvie a.k.a Muqorrobien MF)

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

%d blogger menyukai ini: