Mas Karyo sedang asik chatting, lalu sebuah pesan datang dari pacarnya yang ada di Bali. Dalam pesannya, Mas Karyo diajak untuk mengklik link yang diberikan. Dan, boom! Komputernya terinfeksi!
HALTERSEBUT sangat mungkin terjadi. Tapi, bagaimana pro¬sesnya hingga virus tersebut bisa masuk ke dalam komputernya? Apakah virus tersebut mengusung teknologi yang sangat canggih hingga Yahoo! Mesenger (YM) pun bisa diinfeksi olehnya? Cara yang dilakukannya tidak sesulit yang Anda bayangkan.
Tersebutlah sebuah virus dengan nama Autoit, beberapa antivirus lain termasuk PC Media Antivirus juga mengenalinya dengan nama yang sama. Merupakan virus "import", langsung dari negara tetangga, Vietnam. Dilihat secara fisik, sosoknya menyerupai sebuah folder, dengan ukuran tiap varian yang beragam. Kami sendiri sudah memiliki banyak varian dari virus ini clan terus saja bertambah. Tapi kali ini, kami hanya akan membahas salah satu variannya, yakni Autoit.CA.
Pesan yang dikirimkan oleh Virus Autoit
Dilihat dari dari dalam, virus ini dibuat menggunakan Visual C++, tidak di-Pack, walaupun beberapa variannya ada yang di-pack menggunakan UPX. Tapi, sebenarnya ia tidak benar-benar dibuat menggunakan Visual C++ melainkan bahasa Script.
Serbu Yahoo! Messenger
Pernahkah Anda menerima pesan seperti "Vao day nghe bai nay di ban http://nhattruongquang.Ocatch.com"? Itu adalah pesan yang dikirimkan oleh virus Autoit. Pesan tersebut dikirimkan menggunakan bahasa Vietnam, yang jika diartikan ke dalam bahasa Indonesia kurang lebih adalah "Untuk mendengarkan lagunya, klik link ini".
Sebelum melakukan aksi ini, virus tersebut terlebih dahulu memeriksa, apakah aplikasi Yahoo! Messenger aktif. Lalu is akan memilih pesan mana yang akan dikirimkan, dengan cara mengacaknya. Tepatnya ada 10 pesan yang berbeda, yang disimpan dalam bentuk array. Pesan yang terpilih kemudian di-copy ke clipboard. Selanjutnya layar "Yahoo! Messenger" akan diaktifkan, lalu mengirimkan keystroke ke program tersebut, berturut-turut [Alt]-m, u, n, [Ctrl]-v, [Enter], [Enter]. Kalau Anda ikuti dengan saksama, itu adalah penekanan tombol di YM, untuk mengubah status messages. Benar, status messages YM berubah menjadi pesan yang dibuat oleh virus.
Dalam mengirimkan pesan, virus Autoit menggunakan cara yang sama. Yakni, mengirim keystroke [Ctrl]-m, yang dalam YM berarti menu "Send an Instant Message...". Pesan ini akan dikirimkan ke setiap user yang ada di dalam contactYM korban dengan selang waktu setiap 30 menit. Pembuat virus mengajak calon korbannya untuk mengklik link yang diberikan.
Lalu, apa yang terjadi jika link tersebut diakses? Yang jelas, sebuah browser akan terbuka otomatis dan langsung menuju ke link yg dimaksud. Tapi sayangnya, saat ini situs tersebut sudah tidak bisa lagi diakses. Jadi, kita tidak bisa mengetahui secara pasti apa yang dilakukan oleh situs tersebut terhadap pengunjungnya. Walaupun sebenarnya banyak hal bisa saja terjadi, misalkan, user dihadapkan layar download lalu menyuruhnya untuk mengakses file tersebut. Atau bisa juga, user dihadapkan dengan layar login Yahoo! palsu untuk mendapatkan password, dikenal dengan istilah phising.
Kill Process
Varian ini akan menghalang-halangi program yang dianggap akan mengganggu kelangsungan hidupnya, contoh BKAV. BKAV sendiri diketahui merupakan produk antivirus yang juga berasal dari negara yang sama, Vietnam. Jika aplikasi tersebut diketahui aktif, akan langsung is tutup secara paksa dan registry penting milik antivirus tersebut juga akan ikut dihapus. Perlakuan yang sama juga dialami oleh aplikasi yang memiliki caption "System Configuration", "Registry", "Windows Task", dan "[FireLion]". Dan scat aplikasi FireLion ditemukan, sistem juga akan di-shutdown.
Dengan function tersebut, setiap USB disk atau perangkat removable disk lainnya akan diinfeksi. Ditandai dengan munculnya file baru dengan nama "New Folder.exe". la juga berusaha meng-copy kan dirinya ke sharing folder yang ada di jaringan dengan membaca informasi shared folder di Registry.
Pengenal Virus
Perlu diketahui, Autoit atau lengkapnya Autoit Script, juga merupakan nama dari aplikasi yang gunanya untuk membuat script otomatisasi, tepatnya automation, hotkeys, and scripting, seperti yang tertulis dalam situsnya. Hubungannya dengan virus ini? Jelas ada, karena virus tersebut dibuat menggunakan program Autoit Script, tepatnya Autoit Script versi 3.2.0.1.
Bagaimana mengetahui virus ini dibuat menggunakan Autoit Script? Setiap program yang dibuat menggunakan Autoit Script, akan ada tanda pengenalnya. Pengenal atau header Autoit Script ini biasanya terdapat pada section terakhir file executable atau kadang juga sebagai overlay, dalam hexadecimal OxA3, Ox48, Ox4B, OxBE, Ox98, Ox6C, Ox4A, OxA9, Ox99, Ox4C, Ox53, OxOA, Ox86, OxDb, Ox48, clan Ox7D.
Written by Nhatquanglan
Dengan segenap usaha men-decompile file executable-nya, pada akhirnya terbukalah script asli virus tersebut. Pada header script terlihat dengan jelas kalimat "Written by Nhatquanglan", yang diduga merupakan nama pembuatnya.
Saat virus ini dijalankan, dua file induk akan diciptakan pada direktori Windows dan System32 dengan nama RVHOST.EXE. File tersebut lalu diberi attribut read only, hidden, dan system. Setelah itu, untuk dapat running otomatis saat start Windows, ia memanipulasi registry Shell default milik Windows, serta membuat satu item registry dengan nama "Yahoo Messenger"
Sumber : PC-Media
HALTERSEBUT sangat mungkin terjadi. Tapi, bagaimana pro¬sesnya hingga virus tersebut bisa masuk ke dalam komputernya? Apakah virus tersebut mengusung teknologi yang sangat canggih hingga Yahoo! Mesenger (YM) pun bisa diinfeksi olehnya? Cara yang dilakukannya tidak sesulit yang Anda bayangkan.
Tersebutlah sebuah virus dengan nama Autoit, beberapa antivirus lain termasuk PC Media Antivirus juga mengenalinya dengan nama yang sama. Merupakan virus "import", langsung dari negara tetangga, Vietnam. Dilihat secara fisik, sosoknya menyerupai sebuah folder, dengan ukuran tiap varian yang beragam. Kami sendiri sudah memiliki banyak varian dari virus ini clan terus saja bertambah. Tapi kali ini, kami hanya akan membahas salah satu variannya, yakni Autoit.CA.
Pesan yang dikirimkan oleh Virus Autoit
Dilihat dari dari dalam, virus ini dibuat menggunakan Visual C++, tidak di-Pack, walaupun beberapa variannya ada yang di-pack menggunakan UPX. Tapi, sebenarnya ia tidak benar-benar dibuat menggunakan Visual C++ melainkan bahasa Script.
Serbu Yahoo! Messenger
Pernahkah Anda menerima pesan seperti "Vao day nghe bai nay di ban http://nhattruongquang.Ocatch.com"? Itu adalah pesan yang dikirimkan oleh virus Autoit. Pesan tersebut dikirimkan menggunakan bahasa Vietnam, yang jika diartikan ke dalam bahasa Indonesia kurang lebih adalah "Untuk mendengarkan lagunya, klik link ini".
Sebelum melakukan aksi ini, virus tersebut terlebih dahulu memeriksa, apakah aplikasi Yahoo! Messenger aktif. Lalu is akan memilih pesan mana yang akan dikirimkan, dengan cara mengacaknya. Tepatnya ada 10 pesan yang berbeda, yang disimpan dalam bentuk array. Pesan yang terpilih kemudian di-copy ke clipboard. Selanjutnya layar "Yahoo! Messenger" akan diaktifkan, lalu mengirimkan keystroke ke program tersebut, berturut-turut [Alt]-m, u, n, [Ctrl]-v, [Enter], [Enter]. Kalau Anda ikuti dengan saksama, itu adalah penekanan tombol di YM, untuk mengubah status messages. Benar, status messages YM berubah menjadi pesan yang dibuat oleh virus.
Dalam mengirimkan pesan, virus Autoit menggunakan cara yang sama. Yakni, mengirim keystroke [Ctrl]-m, yang dalam YM berarti menu "Send an Instant Message...". Pesan ini akan dikirimkan ke setiap user yang ada di dalam contactYM korban dengan selang waktu setiap 30 menit. Pembuat virus mengajak calon korbannya untuk mengklik link yang diberikan.
Lalu, apa yang terjadi jika link tersebut diakses? Yang jelas, sebuah browser akan terbuka otomatis dan langsung menuju ke link yg dimaksud. Tapi sayangnya, saat ini situs tersebut sudah tidak bisa lagi diakses. Jadi, kita tidak bisa mengetahui secara pasti apa yang dilakukan oleh situs tersebut terhadap pengunjungnya. Walaupun sebenarnya banyak hal bisa saja terjadi, misalkan, user dihadapkan layar download lalu menyuruhnya untuk mengakses file tersebut. Atau bisa juga, user dihadapkan dengan layar login Yahoo! palsu untuk mendapatkan password, dikenal dengan istilah phising.
Kill Process
Varian ini akan menghalang-halangi program yang dianggap akan mengganggu kelangsungan hidupnya, contoh BKAV. BKAV sendiri diketahui merupakan produk antivirus yang juga berasal dari negara yang sama, Vietnam. Jika aplikasi tersebut diketahui aktif, akan langsung is tutup secara paksa dan registry penting milik antivirus tersebut juga akan ikut dihapus. Perlakuan yang sama juga dialami oleh aplikasi yang memiliki caption "System Configuration", "Registry", "Windows Task", dan "[FireLion]". Dan scat aplikasi FireLion ditemukan, sistem juga akan di-shutdown.
Dengan function tersebut, setiap USB disk atau perangkat removable disk lainnya akan diinfeksi. Ditandai dengan munculnya file baru dengan nama "New Folder.exe". la juga berusaha meng-copy kan dirinya ke sharing folder yang ada di jaringan dengan membaca informasi shared folder di Registry.
Pengenal Virus
Perlu diketahui, Autoit atau lengkapnya Autoit Script, juga merupakan nama dari aplikasi yang gunanya untuk membuat script otomatisasi, tepatnya automation, hotkeys, and scripting, seperti yang tertulis dalam situsnya. Hubungannya dengan virus ini? Jelas ada, karena virus tersebut dibuat menggunakan program Autoit Script, tepatnya Autoit Script versi 3.2.0.1.
Bagaimana mengetahui virus ini dibuat menggunakan Autoit Script? Setiap program yang dibuat menggunakan Autoit Script, akan ada tanda pengenalnya. Pengenal atau header Autoit Script ini biasanya terdapat pada section terakhir file executable atau kadang juga sebagai overlay, dalam hexadecimal OxA3, Ox48, Ox4B, OxBE, Ox98, Ox6C, Ox4A, OxA9, Ox99, Ox4C, Ox53, OxOA, Ox86, OxDb, Ox48, clan Ox7D.
Written by Nhatquanglan
Dengan segenap usaha men-decompile file executable-nya, pada akhirnya terbukalah script asli virus tersebut. Pada header script terlihat dengan jelas kalimat "Written by Nhatquanglan", yang diduga merupakan nama pembuatnya.
Saat virus ini dijalankan, dua file induk akan diciptakan pada direktori Windows dan System32 dengan nama RVHOST.EXE. File tersebut lalu diberi attribut read only, hidden, dan system. Setelah itu, untuk dapat running otomatis saat start Windows, ia memanipulasi registry Shell default milik Windows, serta membuat satu item registry dengan nama "Yahoo Messenger"
Sumber : PC-Media
0 komentar:
Posting Komentar