Virus Lokal Annie

Sumber  

Selain virus lokal Annie yang banyak memakan korban, tahun 2013 juga ditandai dengan penyebaran virus Alice yang terdeteksi oleh G Data Antivirus sebagai Generic.ScriptWorm.8730EFFC (lihat gambar 1) yang membuat sakit kepala. Tidak diketahui apa alasan pembaut virus ini memilih nama Alice, apakah Alice yang dimaksud adalah Alice yang imut-imut dari Alice from Wonderland atau Alice yang galak, pembasmi Zombie dari Resident Evil. Walaupun pada dasarnya memiliki payload yang mirip, namun banyak aksi yang dilakukan oleh Alice berbeda dengan yang di lakukan Annie. Salah satu yang mencolok adalah Alice tidak membuat shorcut sebagai sarana penyebarannya.

Gambar 1, G Data mendeteksi Alice sebagai Generic.ScriptWorm.8730EFFC

Informasi File induk

Virus ini dibuat dengan menggunakan program bahasa VBScript dengan ukuran 1 kb lebih kecil dibandingkan saudara jauhnya (annie.sys) yakni sekitar 8 kb dan untuk mempersulit analisa, ia akan mengenkripsi file tersebut.

Berikut ciri-ciri file virus Alice (lihat gambar 2)

• Mempunyai ekstensi file *.VBE (VBScript Encoded Script File)
• Mempunyai ukuran 8 KB
• Mempunyai icon VBScript

Gambar 2, file virus Alice (Generic.ScriptWorm.8730EFFC)

Pada saat file yang mengandung virus tersebut di jalankan, ia akan langsung mengaktifkan diri dengan membuat beberapa file induk yang akan di jalankan secara otomatis setiap kali komputer dinyalakan:

• %System%\drivers\alice.sys (%system% menunjukan lokasi drive yang berbeda-beda, contohnya C:\Windows\System32\Drivers\alice.sys)

Autorun Registry Windows

Untuk memastikan agar virus ini dapat aktif secara otomatis pada saat user menyalakan komputer, virus ini akan membuat string pada registry editor berikut:

• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

• Userinit = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\wscript.exe //e:vbscript.encode C:\WINDOWS\system32\drivers\alice.sys

w32 Shamoon a.k.a W32 Disttrack

Virus komputer terbaru mengancam dunia, terutama untuk kalangan korporat. Tak tanggung-tanggung, bahkan Menteri Pertahanan Amerika Serikat Leon Panneta sampai turun tangan dan memperingatkan akan bahaya virus yang diketahui bernama "Shamoon" tersebut.

Perusahaan minyak milik pemerintah Arab Saudi, ARAMCO, telah menjadi korban serangan virus yang juga memiliki nama W32 Disttrack ini. Beberapa hari setelah menyerang ARAMCO, virus itu juga menghantam jaringan komputer milik perusahaan gas alam asal Qatar, Rasgas.
Menurut Panetta, Shamoon memang mengincar jaringan komputer korporat besar, terutama di bidang energi. "Lebih dari 30.000 komputer yang terjangkit kini sudah dianggap tak berguna dan harus diganti," kata Panetta, saat berbicara di suatu forum pebisnis di New York, dikutip dari laman Reuters.

Lalu seperti apa cara Shamoon bekerja? Perusahaan antivirus Symantec pun menjelaskan proses kerja Shamoon atau W32 Disttrack, yang terdiri dari tiga komponen: dropper (taruh), wiper (hapus), dan reporter (lapor)..

Menurut penjelasan di situs Symante, di komponen dropper virus itu dilepas dan masuk ke sejumlah file resources, yang secara umum beroperasi di sistem operasi Windows. Setelah masuk, virus ini pun mulai menggandakan diri dan masuk untuk mengeksekusi diri.
Setelah masuk dan mengeksekusi diri, wiper pun akan bekerja. Setidaknya sejumlah komponen fungsional akan dihapus. Virus Shamoon ini pun akan menghapus sejumlah driver yang telah eksis di sejumlah lokasi, kemudian overwrite atau menulis ulang program dengan driver lain. 

Setelah itu, reporter pun akan beraksi. Komponen ini akan mengirimkan data atau berikan laporan kepada pelaku yang mengirim virus itu, Data yang dikirim antara lain nama domain [DOMAIN], jumlah file yang di-overwrite [MYDATA], IP address [UID], dan sejumlah angka lain secara acak [STATE]. 

Amatir?
Dalam penjelasan Leon Panetta, Shamoon akan secara otomatis mengganti data-data sistem yang penting. Sahabat anehdidunia.com kemudian virus itu akan mengganti dengan gambar sebuah bendera AS yang terbakar. Sema data riil di komputer pun akan diganti dengan sesuatu yang disebut Panetta, "data sampah".

"Bayangkan dampak serangan seperti ini bagi perusahaan Anda," kata bekas Kepala Badan Intelijen Amerika (CIA) ini, kepada para pebisnis.

Dalam pidatonya, Panetta pun meminta kalangan korporat untuk bekerja sama meningkatkan pertahanan cyber secara nasional. Panetta juga mengungkit mengenai bahayanya serangan denial of service (tolak layanan) yang melanda sejumlah bank di AS. Ini menyebabkan layanan perbankan di AS terganggu.

"Meski jenis taktik ini bukanlah hal baru, skala dan kecepatan yang ditimbulkan tidak bisa diperkirakan," kata Panetta.

Tapi menariknya, peneliti lab di perusahaan antivirus Kaspersky, Dmitry Tarakanov, mengatakan virus ini tidak dibuat oleh programmer kelas atas. Banyak sejumlah kesalahan yang dibuat, termasuk perbandingan tanggal yang cacat dan mengganti lowercase dengan uppercase dalam pemrogramannya. Ini menyebabkan tingkat kegagalan terbilang tinggi.

"Ketimbang menggunakan string dalam format yang tepat, penulis malware menggunakan '%S%S%d' dengan uppercase 'S'. Ini menyebabkan gagalnya fungsi 'sprintf' dan tak ada string dalam full path yang diciptakan. Ini berarti tak ada file yang didrop. Tak ada file, tak ada eksekusi. Jadi malware Shamoon tak berfungsi untuk mengeksekusi program lain," demikian pernyataan Tarakanov, dikutip dari ZD Net.

Kaspersky pun menduga malware ini dibuat para amatir. "Kami memiliki petunjuk bahwa orang-orang di balik malware Shamoon bukanlah programmer kelas atas. Dan kesalahan alami yang dibuat memperlihatkan bahwa skill mereka masih amatir saat mereka menciptakan malware penghancur yang bisa melakukan replikasi mandiri (self-replicating)," demikian kesimpulan yang dibuat Tarakanov.

Bukan Yang Terbaru
Shamoon bukanlah virus pertama yang memiliki dampak merusak secara dahsyat. Sebelumnya, mengutip Bussiness Week, telah dikenal virus Stuxnet yang menjebol data-data perusahaan dari sistem SCADA dan mengirimnya ke internet.

Stuxnet pun dikenal luas ketika diketahui menyerang instalasi nuklir Iran. Parahnya, Stuxnet bisa mengambil alih kendali terhadap peralatan industri. Stuxnet dipercaya ditargetkan untuk melumpuhkan sebuah peralatan yang digunakan untuk pengayaan Uranium. Ada juga yang menyebut Stuxnet bisa memberikan informasi secara detail mengenai situasi di instalasi nuklir Iran.

Kemudian muncul pula virus baru yang identik dengan Stuxnet, yaitu Duqu. Duqu bertujuan untuk mengambil data intelijen dan aset dari beberapa perusahaan. Misalnya produsen sistem kontrol industri, sehingga bisa digunakan untuk menyerang pihak ketiga dengan sangat mudah.

Selain itu dikenal pula virus Flame. Mengutip CBS News, virus ini diketahui dapat menyedot informasi dari komputer yang dijangkiti virus, juga perangkat seluler di dekatnya. Virus ini juga mampu mengendalikan keyboard dan mengambil citra layar.

Tidak hanya itu, Flame dapat mendeteksi bluetooth di sekitar komputer, seperti handphone dan laptop. Jika sudah terhubung, maka Flame akan menyedot informasi dari handphone target

22 situs berbahaya Indonesia Februari – Maret 2013

Sumber : Vaksin.com 
 

Infeksi Malware pada situs-situs Indonesia pada bulan Februari – minggu pertama Maret 2013 yang mengakibatkan pengunjung situs rentan terhadap infeksi malware pada bulan Februari – Maret 2013 terfokus pada 3 sektor utama, bisnis (swasta), pemerintah dan pendidikan. Dari 22 situs yang terdeteksi oleh Vaksincom menggunakan G Data web Protection dan Norman Network Protector sektor bisnis, pemerintah dan edukasi masing-masing memborong 27 % dari infeksi dan meninggalkan sisanya 19 % yang terbagi untuk situs media online, komunitas dan satu situs multi level marketing. (lihat gambar 1)

Gambar 1, Situs-situs berbahaya Indonesia Februari – Maret 2013

Malware-malware yang menginfeksi situs-situs ini pada umumnya adalah malware jenis trojan Java Script, Framer / iFrame, redirector dan satu malware yang juga aktif di jaringan / PC dan termasuk malware yang paling berbahaya adalah Ramnit. Selain 22 situs yang sampai saat artikel ini dibuat masih belum dibersihkan oleh webmasternya tercatat ada 2 situs yang terdeteksi mengandung malware pada bulan Februari 2013, namun pada saat artikel ini dibuat 6 Maret 2013 kedua situs tersebut ternyata sudah tidak mengandung malware lagi. Hal ini jelas menunjukkan kepedulian administrator situs akan keselamatan pengunjung situsnya dan administrator situs yang tanggap atas ancaman yang bisa menimbulkan kerugian bagi pengunjung situsnya. Bulan Februari juga ditandai dengan keluarnya hasil pengetesan RAP Reactive And Proactive Quadrant oleh Virus Bulletin, satu organisasi independen yang melakukan pengetesan atas kemampuan program-program antivirus mendeteksi malware terakhir yang hasilnya dapat dilihat di http://www.virusbtn.com/vb100/RAP/RAP-quadrant-Aug12-Feb13-1200.jpg (lihar gambar 2) dimana terlihat bahwa salah satu engine antivirus yang digunakan Vaksincom untuk memantau aktivitas situs-situs online Indonesia G Data mencatat performa yang memuaskan dan memiliki kemampuan deteksi malware terbaik dibandingkan program-program antivirus lainnya di dunia.

Gambar 2, Hasil pengetesan Virus Bulletin atas kemampuan program-program antivirus dunia mendeteksi malware yang beredar selama Juni 2012 – Feb 2013

Situs pemerintah dan pendidikan menjadi sumber utama malware online

Selain situs bisnis, situs-situs yang menjadi “primadona” adalah situs pendidikan dan pemerintahan. Apakah karena situs ini menjadi incaran atau karena administrator situs ini yang kurang memperhatikan keamanan situsnya, yang jelas infeksi dua kelompok situs ini sendiri menguasai lebih dari 50 % dari sample situs yang terinfeksi malware dan terdeteksi oleh G Data Web Protection dan Norman Network Protector.

Dua situs pemerintah yang mengurusi pendidikan terinfeksi oleh Ramnit (lihat gambar 3 dan 4) dan dikhawatirkan hal ini akan menginfeksi seluruh pengakses situs ini dan dikhawatirkan akan memakan korban terutama sekolah-sekolah dan para pelajar yang berminat mengakses konten-konten buku sekolah online yang disediakan situs-situs ini.

Gambar 3, Situs salah satu departemen yang mengurusi pendidikan nasional yang terinfeksi dan berusaha menyebarkan malware ganas Ramnit ke pengunjung situs.

99 % Online Batam itu Fiktif ?

Thank's team vaksin.com

99 % toko yang mengatasnamakan Batam itu Fiktif
Batam adalah bagian dari provinsi Kepulauan Riau dan merupakan pulau dan kota terbesar di Kepri. Batam terkenal karena ia merupakan Free Trade Zone atau area perdagangan bebas bea sehingga banyak barang elektronik atau produk lain yang bisa didapatkan di Batam dengan harga yang “relatif” lebih murah daripada di bagian lain Indonesia. Rupanya hal inilah yang dimanfaatkan dengan baik sekali oleh para penipu yang lalu beramai-ramai mengeksploitasi nama Batam, termasuk alamat, domisili dan KTP Batam untuk meyakinkan korbannya bahwa memang benar toko tersebut asli.
Padahal dalam kenyataannya, setiap barang yang dikirimkan keluar dari Batam ke kota lain di Indonesia tetap akan dikenakan bea karena keluar dari Free Trade Zone dan pada akhirnya harga jual produk elektronik atau apapun akan sama dengan bagian lain dari Indonesia. Selain itu, ada barang yang marak disebut Black Market (BM) itu dikatakan lebih murah dari barang yang diedarkan oleh distributor resmi, “kalaupun” ada barang Black Market, tidak usah di Batam, di bagian mana saja dari Indonesia yang namanya barang Black Market itu memang lebih murah dari barang resmi, jadi tidak usah jauh-jauh ke Batam untuk mendapatkan barang BM murah, langsung saja ke pusat HP terdekat dan anda akan bisa mendapatkan produk yang anda inginkan dan jauh lebih aman dan pasti. Dan harap berhati-hati mencari barang berharga miring karena jika barang tersebut adalah hasil kejahatan (pencurian) maka anda akan mendapatkan bonus berurusan dengan Polisi karena menjadi penadah barang curian. Pengeksploitasian nama Batam ini semata-mata hanya untuk membutakan mata korbannya agar percaya dan melakukan transfer uang ke rekening penipu dengan iming-iming mendapatkan barang elektronik dengan harga miring.
Mengapa 99 % toko yang mengatasnamakan Batam itu fiktif ? Sebagai gambaran, database yang diberikan oleh Batam Watch sampai saat ini ada 734 page online shopping Facebook palsu, ditambah 151 situs online shopping Joomla palsu dan 218 situs online shopping blogspot palsu (semuanya ditujukan untuk pengguna internet Indonesia karena menggunakan domisili Indonesia dan bahasa Indonesia) sehingga total 1.103 situs palsu, dibandingkan dengan 12 toko online di Batam yang terdata oleh Batam Watch maka dapat dikatakan bahwa 12/1103 atau 99 % toko online elektronik yang pada umumnya mengatas namakan Batam itu adalah Fiktif / palsu.

Membajak akun Facebook
Seperti yang diutarakan pada pengantar di atas, Vaksincom menyarankan anda untuk menjaga kredensial anda guna menekan maraknya penipuan online shopping melalui akun Facebook. Lalu apa hubungannya perlindungan kredensial yang baik dengan tingginya penipuan online shopping melalui Facebook ?
Ceritanya begini, salah satu cara yang digunakan oleh penipu untuk mengiklankan produk-produk jualannya yang dijual dengan harga yang fantastis murahnya, yang kalau benar pasti membuat siapapun suka gadget jadi ngiler.
Harga iPhone 4, 32 GB baru yang harga pasarannya menurut Tabloid Pulsa Rp. 6.750.000,- ditawarkan dengan harga Rp. 3.500.000,-. Atau harga Blackberry Dakota 9900 yang harga resminya menurut Berryindo Rp. 5.750.000,- Ditawarkan hanya dengan harga Rp. 2.800.000,-. (lihat gambar 1)


Gambar 1, Situs online shopping fiktif yang banyak memakan korban

Warning !!! Jebakan Facebook Autolike 2013

Tingkah laku beberapa oknum pejabat yang terkadang kurang baik untuk ditiru rupanya menjadi inspirasi pembuat malware autolike untuk menjaring lebih banyak korban. Dengan engine apps yang sama dengan penipu autolike lainnya “Xperia Smartphone from Sony” kali ini tidak menjanjikan popularitas atau trik untuk mendapatkan like yang banyak, tetapi ia menjanjikan video “pejabat mesum” dengan anak SMU seperti pada gambar 1 di bawah ini.

Gambar 1, Trik lanjutan autolike untuk memancing lebih banyak korban yang tertarik

Jika korbannya tertarik untuk melihat video tersebut dan melakukan klik pada tautan yang disertakan, maka ia akan dibawa pada situs yang telah dipersiapkan terlebih dahulu dengan satu buah gambar yang bisa menbuat orang lemah jantung masuk ICU. (lihat gambar 2)

Gambar 2, Situs jebakan yang telah dipersiapkan

LINUX VS WINDOWS

 Diambil dari berbagai SUmber ..

Jika diantara anda adalah pengguna Windows atau Ubuntu, posting ini bertujuan untuk membandingkan Ubuntu 11.04 dengan Windows 7  dalam setiap aspek,Jadi mari kita mulai perdebatan positif di antara keduanya .Memberikan Preview/ide sangat saya harapkan dalam diskusi ini untuk menambah wawasan mengenai kelebihan atau kekurangan di antara keduanya agar masyarakat pengguna PC semakin mengenal mereka.
Saya sendiri pengguna Windows sejak lahir,…. hingga saat ini (Walaupun saya mulai dengan Windows XP, dan sekarang saya menggunakan Windows 7 dalam mode triple boot, bersama dengan Ubuntu 10.10 (Maverick Meerkat) dan 11.04 (Natty Narwhal)) .
Langsung saja mari kita bandingkan kehebatan windows 7 VS linux Ubuntu dalam tabel.

Poin	Ubuntu 11.04	Windows 7
Kontrol	Karena Ubuntu adalah perangkat lunak open source, Anda dapat menyesuaikannya seperti yang Anda inginkan .. Tidak ada batasan pada tingkat kustomisasi karena kode sumber tersedia untuk digunakan sebagaimana yang Anda inginkan (di bawah GPL).	Merupakan perangkat lunak berpemilik sehingga mari kita lupakan tentang source code dan kustomisasi penuh.
Harga	Gratis untuk menggunakan dan mendistribusikan!	Harus beli atau cari yang ilegal
Kesenangan	Selalu ada sesuatu hal yang baru dan menarik untuk di coba, hanya untuk senang-senang!	Tak pernah ada pembaharuan.
Pembelajaran	Ubuntu atau Linux lainnya berbasis Distro merupakan hal yang sangat baik untuk pembelajaran,Terutama direkomendasikan bagi mereka yang tertarik untuk belajar tentang Sistem Operasi modern (OS) dan ingin memahami cara kerjanya.	Tidak ada yang patut di pelajari.
Security/Virus	STOP! Ubuntu atau OS berbasis Linux bebas virus!, karena tidak bekerja pada platform Ubuntu (mungkin karena alasan bahwa sebagian besar virus yang ditujukan untuk Windows dan GNU / Linux adalah aman secara default) agar menggunakan ubuntu berarti bahwa kita masuk ke zona bebas virus.	Virus merupakan salah satu ancaman terbesar bagi OS berbasis Windows  .. dan satu tambahan – Windows dan Keamanan tidak mungkin muncul bersama-sama  dalam satu kalimat.
Keanekaragaman	Selalu ada hal-hal baru yang menunggu untuk dicoba – misalnya jika Anda tidak menyukai desktop Gnome, anda dapat mencoba sesuatu yang berbeda seperti KDE atau XFCE atau LMDE dll yang sangat fleksibel atau dengan kata lain ” modular”. Ini memiliki beberapa kemampuan optimasi desktop untuk hardware tua sementara di sisi lain Anda dapat menikmati efek desktop 3D dengan komputer baru dan graphics Card.	Tidak ada sesuatu yang baru disini,kita hanya bisa bermain-main dengan menu.
Software	Banyak perangkat lunak dan open source gratis yang tersedia di sana – di Software Center atau package Manager, cukup pilih dan install. Apakah Anda seorang siswa yang lagi belajar – “bagaimana program” atau seorang pengembang (perangkat lunak berbasis desktop atau Apps web), Ubuntu memiliki kompiler yang lebih baik (GCC, G + + dll), IDE (Eclipse, NetBeans), editor (gedit), Terminal (Bash ) Dan semua alat yang Anda butuhkan. Untuk programmer apps yang terbaik tetapi sebagian besar aplikasi desktop – open office, Evolution Mail dll sangat buruk!	Kita dapat menggunakan beberapa software proprietary yang bagus seperti – Microsoft Visual compiler/IDE, Windows Live Writer, Microsoft word,One Note, Adobe Photoshop,dll, tapi Anda bisa mendapatkan  Misalnya Gimp bukannya Photoshop, Open Office sebagai pengganti MS Word dll untuk linux.
Mudah digunakan	GNU / Linux memiliki reputasi yang sangat buruk , meskipun Ubuntu adalah yang paling sederhana dan mudah digunakan – Distro berbasis Linux, sulit (bagi pengguna desktop umum) untuk digunakan dibandingkan dengan windows 7.File permission, root … membuat terasa sulit bagi pengguna desktop biasa.	Windows 7 sangat mudah digunakan jika dibandingkan dengan Ubuntu 11.04 atau  Linux lainnya yang berbasis distro.
Stability	Ubuntu 11.04 atau versi lain dari Ubuntu memiliki frekuensi rilis versi baru yang sangat tinggi  yang membuatnya sangat tidak stabil dan selalu ada banyak bug jelek yang menunggu untuk diperbaiki. sehinggatampak tidak cocok untuk produksi / lingkungan pribadi, meskipun versi LTS (Long Term Support)  dapat digunakan dalam lingkungan produksi.	Windows 7 sangat stabil dibandingkan dengan Ubuntu 11.04, begitu baik dan cocok untuk lingkungan produksi.
Drivers Compatibility	Ubuntu memiliki banyak masalah kompatibilitas ketika terhubung ke device driver, misalnya driver Graphics Card, driver Webcam …	Semua produsen perangkat lunak merilis driver untuk Windows 7 sehingga tidak pernah ada masalah kompatibilitas.
Waktu Start Up	Lebih cepat	Agak lambat

Virus Komputer 17 Juni 2012 w32 Bonitoo

Thanks Smadav.net 
 

 Virus ini memiliki teknik sosial enginering yg cukup menarik, dimana setiap duplikat virus memiliki nama dan ikon yang selalu berubah-ubah, ikon yang digunakan virus antara lain Ikon File Text, Ikon PDF, Ikon Excel, Ikon winamp, Ikon Setup, dan ikon bendera, teknik berganti ikon ini digunakan virus untuk menyempurnakan penyamaranya agar bisa dengan mudah menginfeksi komputer korban.

Karakteristik Virus

Nama File : Acak
Ikon : TXT, XLS, PDF, SETUP dan WINDOWS FLAG
Ukuran : 104 KB
Compiler : Visual Basic 6

Aksi Virus

Saat pertama kali dijalankan virus akan menyesuaikan aksinya dengan ikon yang digunakan, misalkan jika virus menggunakan ikon excel, maka virus akan membuka Ms Excel, apabila ikon yg digunakan PDF maka virus akan membuka aplikasi PDF yang terinstal dikomputer korban nya, begitu juga dengan ikon lain nya, hal ini untuk mencegah kecurigaan user saat menjalankan file virus, dengan mengira bahwa file yg dijalankan adalah file asli, padahal dibalik itu virus sudah menginfeksi system.

Virus akan membuat file induk di lokasi berikut :

• %SystemRoot%\svhost.exe
• %SystemRoot%\servlog.exe
• %SystemRoot%\bonitoo.m3u
• %SystemRoot%\bonitoo.mp3
• %SystemRoot%\bonitoo.pdf
• %SystemRoot%\bonitoo.txt

File Virus di setiap folder

Saat user membuka folder maka virus akan langsung membuat duplikat virus di lokasi folder yang dibuka saat itu, file virus sendiri menggunakan nama acak dan ikon yang berbeda-beda, berikut nama-nama file yang akan digunakan virus :

artis,hot image,ini aku lho,photo bosku,winamp setup3,vbdecompiler,mssp4 for xp,keygen xpwindows logo,my brother,artis of the month,photo seru,sepultura-root,nirvana-drain you,samson-naluri lelaki,radja-yakin,ungu-kenangan terindah lagu sunda,lagu barat,daftar top10 indo,best barat arsip bulan juni2006,my data,get data back,my artis pic tutorial hacking,manual guide finger,all about cracking,trojan maker, backupdata,winamp6.0 full,firefox1.6,source baru. iso2000,what the hell,hot animal,apa ya commands,net86,winloggon,star,smartdrvs,telnets My Document,My Picture,Windows,Winnt,System32,System,Program Files,Inetpub,Temp,Tmp,Download Readme,Eula,bonitoo,manual guide,Baca donk,Catatan. Daftar anggota,data karyawan,laporan harian,pivot table data pegawai,backup_database,data keuangan cv,hacking tutorial,proposal,surat perjanjian,adendum

VIRUS KOMPUTER TERBARU MEI 2012 Generic.ScriptWorm.8730EFFC (Suspicious_Gen.SYUC)

THANKS adi saputra (teknisi vaksin)

Jika Anda pengguna komputer sebaiknya perlu berhati-hati jika sering bertukar file melalui media external storage seperti Flashdisk atau External harddisk, karena akhir-akhir ini banyak pengguna komputer di Indonesia yang sudah terinfeksi oleh serangan malware ini, dan varian tersebut terdeteksi oleh Vaksincom sebagai Generic.ScriptWorm.8730EFFC (Suspicious_Gen.SYUC). (lihat gambar 1)

Gambar 1, Virus Alice terdeteksi oleh G Data sebagai Generic Worm

Aksi “Alice”

Beberapa gejala yang terjadi jika anda sudah terinfeksi yaitu :

o   Alice mencoba menyembunyikan file dokumen (doc, docx, rtf) dan mengganti-nya dengan membuat file virus dengan nama yang sama (duplikasi file). Tetapi file tersebut memiliki ekstensi file yang berbeda jika dilihat menggunakan Windows Explorer yang lain. Selain itu ukuran file virus yang semua sama. (lihat gambar 2)

Gambar2, Alice memalsukan diri sebagai file MS Office dengan menyembunyikan file asli

o   Alice mencoba melakukan injeksi file htm/html dengan menambahkan kode file virus. Setelah di-injeksi maka dilakukan perubahan pada ekstensi file htm/html menjadi file hta (html application). Hal ini dilakukan agar file yang sudah dirubah tidak dapat diinjeksi oleh virus yang sama dan agar tidak mudah dilihat kode yang telah ditambahkan. (lihat gambar 3)

Gambar 3, File html yang sudah di injeksi oleh Alice

ü  Alice juga akan melakukan perubahan pada icon file virus yang berekstensi *.vbe (VBScript Encode) dan juga mencoba melakukan perubahan pada tipe file virus tersebut menjadi file Microsoft Word (atau Wordpad jika belum ter-install MS Word). (lihat gambar 4)

Gambar 4, File .vbe dipermak menjadi MS Word

o    Alice akan mencoba mempertahankan diri-nya dengan menonaktifkan beberapa fungsi Windows yang digunakan oleh administrator komputer. Beberapa fungsi yang di-nonaktifkan yaitu diantaranya System Restore, Folder Option, Run, Search, Task Manager dan Command Prompt. (lihat gambar 5)

Gambar 5, Bloking yang dilakukan Alice pada fungsi2 administrasi komputer

ü  Alice juga akan mencoba mempertahankan diri-nya dengan menghilangkan ekstensi file pada semua file yang ada di komputer. Selain itu juga akan menghilangkan beberapa fungsi pada menu klik kanan seperti merge, install, edit, dan open with. (lihat gambar 6)

Gambar 6, Beberapa menu pada klik kanan dihilangkan oleh Alice