Pernahkan anda menemukan komputer Anda tiba-tiba berat dan banyak sekali ditemukan
sampah berupa shortcut dengan nama-nama seperti Mocrosoft.lnk, SuratQ.lnk, New Harry Potter, dan .lnk lainnya? Apabila jawabannya ya, berarti komputer Anda telah terinfeksi worm VBS/Yuyun.A atau juga dikenal sebagai worm shortcut.
Worm yang menamakan diri VBS/Yuyun.A ini merupakan salah satu malware yang sedang aktif menjalar dan telah tersebar luas di Indonesia. VBS/Yuyun.A akan menginfeksi komputer dengan cara menggandakan dirinya di setiap drive, media terpasang, dan di setiap direktori bagi pakai (shared directory). Worm ini juga akan membuat hardisk pengguna komputer dipenuhi dengan shortcut dan pesan-pesan payload di setiap drive dan subdirektorinya.
Teknik infeksi yang digunakan cukup unik dan tidak seperti worm-worm VBS lokal lain
pada umumnya. VBS/Yuyun.A secara cerdik menyamarkan file VBS dengan nama menyerupai file thumbnail image cache-nya Windows 'Thumb.db' sehingga tidak tampak mencurigakan. Namun adanya penyamaran ini bukan berarti tanpa akibat, karena nama ini menyebabkan file VBS tersebut tidak dapat dieksekusi secara langsung sehingga akan menyulitkan proses infeksi dan penyebarannya.
Lalu bagaimana vxer–sebutan bagi pembuat virus/worm-tersebut mengatasi hal
ini? Dengan cerdiknya vxer membuat pemicu berupa shortcut yang akan mengeksekusi setiap baris kode worm di dalam 'Thumb.db'. Shortcut tersebut akan memanggil applikasi wscript.exe yang merupakan aplikasi untuk menjalankan file/program VBS dengan cara memparse atau mengintepretasi baris per baris perintah-perintah VBS. Apabila kita amati arah tujuan shortcut tersebut, kita akan mengetahui trik jahat dibalik nama manis Yuyun!. Contoh arah tujuan shortcut yang saya ambil dari salah satu sampel VBS/Yuyun.A adalah:
C:-WINDOWS-system32-wscript.exe //e:VBScript thumb.db "Microsoft"
Untuk mempersulit analisa, worm ini menyembunyikan kode jahat aslinya dengan cara
enkripsi. Algoritma enkripsi yang digunakan adalah home made bit XOR cipher. Karena worm ini dibuat menggunakan VBS, maka kita bisa dengan mudah melihat kode sumbernya dengan menggunakan program editor seperti notepad.
Kita bisa lihat decryptor dari enkripsinya pada baris 36-39:
For v=1 To Len(isiQ)
t=Asc(Mid(isiQ,v,1))
hsl=hsl+Chr(t Xor 7)
Next
Contoh data dalam keadaan terenkripsi:
:::::::::::::::::::::::::::::::::::::::::::::::::::::::
'J~'ifjb'='^r~ri'Qbu'6)7
'N'mrts'pfiif'tbb'bqbu~'`nuk'khhlt'indb+'ebssbu+'lnict'btwbdnfkk~'f'jhtkbj'`nuk
'e~='Fihi~jhrtb'ni'Mfsnj+'Ihqbjebu'577?
'Pobi'N'ahric'ihsoni`'ebfrs~'bktb)))'fic'sobi'N'puhsb'sont'tdunws'ahu'fkk
:::::::::::::::::::::::::::::::::::::::::::::::::::::::
Dan setelah didekripsi menjadi:
'=======================================================
' My name : Yuyun Ver 1.0
' I just wanna see every girl looks nice, better, kinds especially a moslem girl
' by: Anonymouse in Jatim, November 2008
' When I found nothing beauty else... and then I wrote this script for all
'=======================================================
Worm ini akan membuat payload dengan cara menampilkan pesan menggunakan notepad
berisi puisi di setiap tanggal 1 selain bulan Maret. Ketika sampai ke tanggal tersebut, VBS/Yuyun.A akan membuat file-file sampah secara masal di setiap drive dan subdirektori berisi pesan-pesan puisi dengan nama 'Baca AQ.rtf' dan 'My name is yuyun.rtf'.
Langkah ini juga akan memicu shortcut di setiap drive dengan nama-nama berikut:
"New Harry Potter and...", "New Folder", "SuratQ", "Rahasia", "Game", "Zvnita",
"Download", "DataQ","DataQ"
Tidak ada komentar:
Posting Komentar