Selain virus lokal Annie yang banyak memakan korban, tahun 2013 juga ditandai dengan penyebaran virus Alice yang terdeteksi oleh G Data Antivirus sebagai Generic.ScriptWorm.8730EFFC (lihat gambar 1) yang membuat sakit kepala. Tidak diketahui apa alasan pembaut virus ini memilih nama Alice, apakah Alice yang dimaksud adalah Alice yang imut-imut dari Alice from Wonderland atau Alice yang galak, pembasmi Zombie dari Resident Evil. Walaupun pada dasarnya memiliki payload yang mirip, namun banyak aksi yang dilakukan oleh Alice berbeda dengan yang di lakukan Annie. Salah satu yang mencolok adalah Alice tidak membuat shorcut sebagai sarana penyebarannya.
Gambar 1, G Data mendeteksi Alice sebagai Generic.ScriptWorm.8730EFFC
Informasi File induk
Virus
ini
dibuat dengan
menggunakan
program bahasa
VBScript
dengan ukuran
1 kb lebih
kecil
dibandingkan
saudara
jauhnya
(annie.sys)
yakni sekitar
8 kb dan untuk
mempersulit
analisa, ia
akan
mengenkripsi
file tersebut.
Berikut ciri-ciri file virus Alice (lihat gambar 2)
-
Mempunyai ekstensi file *.VBE (VBScript Encoded Script File)
-
Mempunyai ukuran 8 KB
-
Mempunyai icon VBScript
Gambar 2, file virus Alice (Generic.ScriptWorm.8730EFFC)
Pada saat file yang mengandung virus
tersebut di
jalankan, ia
akan langsung
mengaktifkan
diri dengan
membuat
beberapa file
induk yang
akan di
jalankan
secara
otomatis
setiap kali
komputer
dinyalakan:
-
%System%\drivers\alice.sys (%system% menunjukan lokasi drive yang berbeda-beda, contohnya C:\Windows\System32\Drivers\alice.sys)
Autorun Registry Windows
Untuk memastikan agar virus ini dapat
aktif secara
otomatis pada
saat user
menyalakan
komputer,
virus ini akan
membuat string
pada registry
editor
berikut:
-
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
-
Userinit = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\wscript.exe //e:vbscript.encode C:\WINDOWS\system32\drivers\alice.sys
