Apa yang menyebabkan virus berjenis VBS cript ini kian diminati para pembuat virus? Apa saja yang dapat dilakukan oleh virus ini dan bagaimana cara membasminya? Ikuti bahasannya kali ini
SEORANG pembuat virus dapat menciptakan virus jenis VB-Script hanya dengan bermodalkan Notepad. Bisa membuatnya dari nol ataupun memodifikasi dari virus yang sudah ada. Namun masih ada cara yang lebih mudah lagi, yakni menggunakan program virus generator. Jika dahulu, ada programer dari Argentina dengan nick name [K]alamar, pembuat VBSWG (VBS Worm Generator) yang sangat terkenal, kini ada pembuat virus lokal yang juga ingin mengikuti jejaknya dengan membuat Generator virus berjenis VBScript ini.
Vir.VBS Generator
Pembuat Virus Generator tersebut menamakannya sebagai Vir.VBS Generator, PCMAV mengenalnya sebagai Gen.VirVBS. Dibuat menggunakan Visual Basic. Ukuran dari program tersebut cukup kecil, sekitar 64.512 bytes dalam keadaan terkompresi menggunakan UPX. Generator ini mengklaim dirinya dapat menghasilkan virus yang memiliki beberapa kemampuan, mulai dari teknik stealth, encryption, time-bomb, hingga polymorphic.
Virus generator ini memiliki user interface yang terbilang simpel. Pengguna akan disuguhkan beberapa opsi atau pengaturan. Mulai dari pengaturan nama virus, nama file induk virus, lokasi penyebaran, penyamaran, dan juga pertahanan. Hanya cukup memilih opsi yang diinginkan dengan cara mencentangnya ([1]), lalu menekan tombol Create, tak lama kemudian virus baru akan tercipta. Ya, hanya semudah itu membuatnya.
Lokasi Penyebaran
Seperti yang tertulis pada program tersebut, ia memiliki beberapa lokasi penyebaran, di antaranya adalah Flash Disk, Drive, Folder Root, Folder II (Up), Folder III (Up), My Documents, Nethood, Windows, dan Recent Folder. Tapi tetap, ia memiliki file induk utama yang akan ia tempatkan pada direktori Application Data (X:\Documents and Settings\%username%\Application Data) dan Favorites (X:\Documents and Settings\ %username%\Favorites) dengan nama file yang telah diset oleh pembuatnya sebelumnya. Lalu membuat item Run baru di Registry HKCU\Software\Microsoft\Windows\Current Ver-sion\Run\%NamaFileInduk% agar dapat aktif otomatis pada saat kali pertama memulai Windows.
· Flash Disk. Ia akan membuat dua buah file, yakni autorun. Inf dan satu file induk yang namanya mengikuti apa yang telah diset sebelumnya oleh pembuatnya. Ini gunanya untuk menyebarkan diri saat user mengakses drive tersebut.
· Drive. Pada tubuh virus tersebut, ia memiliki procedure “SerangDrive(Lokasi)”, yakni sang virus akan mencoba menyerang beberapa drive mulai dari drive C hingga G. Jika drive tersebut terdapat di komputer Anda dan dapat ditulisi, ia akan membuat kopian atas dirinya pada drive tersebut.
· Folder Root, Folder II (Up), Folder III (Up). Maksudnya, virus ini akan meng-copy-kan dirinya ke root folder, subfolder satu tingkat di bawahnya, dan sub-folder dua tingkat di bawahnya.
· My Documents, Nethood, Windows. Virus ini memerintahkan untuk menyerang direktori My Documents, Nethood, dan Windows. Juga dengan menggunakan nama file yang telah diset sebelumnya.
· Recent Folder. Ini akan menyerang folder Recent atau folder yang berisi shortcut yang mengarah kepada dokumen yang terakhir dibuka. Yang dilakukan virus ini, ia akan membuat shortcut atas dirinya pada folder Recent, jadi saat Anda membuka menu Documents (Start > Documents) akan terdapat shortcut yang mengarah kepada file virus.
Duplikat File
Pembuat virus dapat menentukan extension file mana saja yang akan diserang, di antaranya doc, xls, ppt, rtf, rar, zip, mp3, pdf, jpg, gif, bmp, docx, xlsx, dan pptx. Apabila ditemukan file dengan extension yang dipilihnya itu, maka virus itu akan membuat duplikat dengan nama yang sama dengan file yang ditemukannya itu hanya saja ia memiliki extension .vbs. Dan file aslinya, akan diberi attribut hidden dan system sehingga tidak terlihat pada explorer.
Stealth
Ia pun dapat menyamarkan diri dengan menggunakan icon dari dokumen lain. Pada program Virus Generator ini terdapat opsi “Penyamaran icon VBS” dengan pilihan extension, antara lain doc, xls, ppt, rar, zip, rtf, mp3, jpg, gif, dan bmp.
Misalkan extension yang dipilih adalah doc, maka nantinya saat komputer terinfeksi oleh virus ini, icon dari setiap file .vbs akan berubah menjadi icon seperti dokumen Microsoft Word (doc). Cara yang dilakukannya tentu saja dengan bantuan Registry, yakni dengan mengambil nilai dari DefaultIcon untuk extension doc yang seterusnya ia pakai untuk DefaultIcon untuk extension vbs. Tidak hanya itu, ia juga mencontek Type Information dari extension doc, jadi pada Explorer, setiap file vbs, Type Information nya akan terbaca sebagaimana file doc, yakni Microsoft Word Document bukan lagi sebagai VBScript Script File. Apalagi untuk menambah penyamarannya ia pun membuat sebuah value baru lagi dengan nama NeverShowExt pada extension vbs. Ini membuat explorer tidak akan menampikan extension dari setiap file vbs. Tentu ini akan semakin mempersulit user dalam membedakan antara virus dan dokumen asli.
Restriction
Demi mempertahankan kelangsungan hidup virus hasil buatannya, Generator ini memiliki opsi untuk memblokir program atau fitur Windows yang dikehendaki, seperti Task Manager, Registry Editor, MsConfig, Command Prompt, dan Attrib. Jadi, misalkan user menjalankan program Task Manger (taskman.exe),
Windows malah akan menjalankan Notepad yang berisi bahasa binary yang merupakan isi dari file taskman.exe.
Selain itu, akses terhadap menu Find/Search dan Folder Options akan dihilangkan. Tapi sebelumnya, ia akan mengeset Folder Options untuk tidak menampilkan file dengan attribut hidden dan system, dan tidak menampilkan extension yang dikenal Windows. Dan terdapat pula opsi “Disable Merge Reg”, “Disable Install Inf”, dan “Disable Edit Vbs”. Maksudnya, user tidak akan bias melakukan Merge pada file Registry (.reg), tidak bisa melakukan Install pada file .inf, dan tidak bisa melakukan edit terhadap file.vbs. Karena bila user melakukannya, virus ini akan me-logoff komputer dengan memanggil file logoff.exe milik Windows.
Polymorphic
Pembuat generator ini lebih tepatnya menamakannya sebagai “Polimorfi g CRC”. Dari penulisannya saja sudah salah, tapi apakah rutinnya juga salah? Perlu diketahui sebelumnya, bahwa jika rutin virus ini dibuka, pada bagian atas source code atau tubuh virus akan terdapat string “Rem Sega3971486091”. Kata Sega di sini merupakan nama virus, dan ini akan tergantung pada apa nama virus yang dibuat saat itu, sementara angka numerik di belakangnya merupakan bilangan acak. Dan yang dilakukan virus ini untuk ber-polymorphic adalah dengan cara menggenerate ulang nilai random yang nantinya akan menggantikan nilai random yang sudah ada sebelumnya di awal badan virus itu.
Encryption
Untuk mempersulit pendeteksian, Vir.VBS Generator ini memiliki kemampuan untuk mengenkripsi virus buatannya. Untuk mendekripnya pun cukup menggunakan rutin decryptor yang ada pada tubuhnya. Enkripsi yang digunakan adalah sandi geser atau Caesar Cipher yang digunakannya ditambah dengan teknik reverse atau membalik kata/kalimatnya. Misalkan string “WScript.Shell” akan menjadi “mmfi T/uqjsdTX”.
Time-Bomb
Pembuatnya dapat mengeset tanggal dari bom waktu. Apabila tanggal sesuai, virus tersebut akan membuat item Run baru di Registry yang memanggil perintah logoff dan shutdown yang dijalankan saat memulai Windows. Jadi, user akan sulit untuk login pada tanggal tersebut. Selain itu, ia pun akan mencoba membaca folder Recent untuk menghapus file–file yang baru saja Anda buka. Jadi, berhati–hatilah.
Gunakan PCMAV!
Anda tidak perlu repot untuk membasmi Vir.VBS Generator atau bahkan virus hasil buatannya. Karena PCMAV yang telah disempurnakan ini, dapat mengenali sekaligus membasminya secara tuntas dan akurat.
This entry was posted on Friday, June 6th, 2008 at 5:52 pm and is filed under VIRUS. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.
virus VBS script
