VBSCRIPT GANAS INFEKSI DOKUMEN

Virus hasil generate dengan kondisi terenkripsi. Bagaimana sebuah virus VBScript dapat menginfeksi ?le dokumen Of?ce Anda?Bagaimana cara penanggulangannya dalam menghadapi virus seperti ini? Ikuti bahasan selengkapnya kali ini!

TREN VIRUS jenis VBScript memang belum selesai, tiada henti para pembuat virus lokal melakukan aksinya. Kali ini kami akan mencoba membahas salah satu virus berjenis VBScript, yang menggunakan teknik lain dalam penginfeksiannya. Dikenal oleh PC Media Antivirus sebagai Repvblik.vbs. Memang diketahui virus ini sepertinya bukanlah virus keluaran terbaru, tapi teknologi yang diusung lain daripada virus VBScript biasanya dan beberapa pembaca masih ada yang mengeluhkan virus ini. Virus ini memiliki ukuran ?le asli sebesar 5915 bytes. Cukup kecil, kan? Inilah salah satu keunggulan yang dimiliki oleh virus jenis VBScript, karena ukuran ?le virus terbilang kecil merupakan nilai tambah baginya untuk dapat mempercepat laju penyebaran virus ini.

Virus ini dapat berjalan mulus pada operating system Windows XP yang kami uji cobakan. Sekilas, jika dilihat secara visual menggunakan Notepad, jenis virus yang memiliki extension .VBS ini hadir dalam kondisi terenkripsi. Bisa diketahu pada saat dibuka, karena yang muncul hanya karakter aneh Namun jika lebih teliti, di bagian paling atas terdapat string �RPVBLK=True� atau �RPVBLK=False�, dan di bagian bawah terdapat rutin yang biasa disebut sebagai decryptor yang tentunya dapat terbaca.

Enkripsi

Tidak sulit dalam melakukan deskripsi atas tubuh virus tersebut. Karena secanggih apapun enkripsi yang ia terapkan, past dapat terbongkar juga karena sebenarnya dalam tubuhnya pun terdapat rutin decryptor yang akan menerjemahkan byte per byte ke dalam bentuk aslinya. Enkripsi yang ia lakukan hanyalah permainan karakter saja, hanya memaju atau memundurkan karakter saja, biasa dikenal dengan Caesar Cipher. Yang kam lakukan hanya menyisipkan beberapa rutin yang nantinya akan melakukan dumping pada teks yang telah terdekripsi dan kam pun dapat dengan mudah mempelajari gerak�gerik virus tersebut dari source code-nya.

Saat seluruh tubuh virus berhasil di-decrypt, tepat di bagian atas source script tersebut, terlihat beberapa string comment yang bertuliskan seperti �Repvblik Ver 2.0 ^_^!�, dan juga beberapa pesan yang ia sampaikan.

Virus di StartUp

Yang pertama ia lakukan adalah tentunya menciptakan ?le induk. Jadi, saat virus dieksekusi di komputer yang bersih, ia akan menciptakan sebuah ?le induk asli yang ia tempatkan pada direktori StartUp yang bisa Anda temukan pada Start Menu > StartUp dengan nama Repvblik.vbs. Bagaimana ia mengenali dirinya sendiri, apakah ?le tersebut merupakan ?le induk atau ?le yang sudah terinfeksi? Ia memiliki pengenal di bagian pa ling atas source script-nya, yakni �RPVBLK� yang bisa bernilai True atau False. File induk virus ini juga akan running otomatis pada saat memulai Windows.

Pesan

Bersamaan dengan itu pula, ia akan menciptakan direktori baru pada drive C:\ dengan nama Repvblik. Di dalam direktori atau folder tersebut, Anda akan menemukan sebuah ?le teks dengan nama Repvblik.txt yang merupakan pesan dari sang pembuat virus. Tidak hanya di situ saja, karena di setiap direktori tingkat pertama yang ia temukan pun pasti akan terdapat ?le Repvblik.txt.

Dan saat aktif di memory, jika dilihat menggunakan Task Manager, user tidak akan dapat melihat process virus dengan nama menyerupai nama ?le VBS, karena saat sebuah ?le VBS diklik atau diakses, Windows secara otomatis akan menjalankan program wscript.exe yang bisa dibilang sebagai penerjemah dari script tersebut. Jadi saat virus ini aktif, process virus yang tampak di Task Manager hanyalah process wscript.exe. Cukup sulit memang menentukannya, apakah wscript.exe tersebut menjalankan ?le VBS virus atau bukan, karena bisa saja sebagian user masih memanfaatkan bahasa VBScript ini untuk membuat script kecil yang dapat mempermudah kerjanya. Namun, jika menggunakan program yang lebih advanced, seperti misalnya Process Explorer, Anda bisa lebih detail menelusuri setiap process yang ada. Hanya dengan mengklik kanan process yang diinginkan, lalu klik Properties, Anda akan menemukan informasi script apa yang dijalankan oleh wscript.exe itu pada editbox Command Line di Process Explorer.

Infeksi Dokumen!

Setelah ?le induk berhasil dibuat, ia pun segera melancarkan jurus pamungkas, yakni menginfeksi dokumen Anda yang terdapat pada direktori My Documents. File yang akan diinfeksi oleh virus ini adalah ?le�?le dengan extension DOC, XLS, PPT, PPS, dan RTF yang pasti sudah tidak asing lagi di mata Anda. Semua alur penginfeksiannya bisa dipelajari dengan jelas dengan membaca rutin fungsi yang ia beri nama explore_folder_and_infect_?le yang terdapat pada tubuhnya. Cara yang ia lakukan sebenarnya sangatlah sederhana, ia akan mencari di direktori My Documents ?le�?le dengan extension tersebut termasuk ke dalam subdirektori, jika ia menemukannya maka dengan sigap ia akan menginfeksinya. Dengan sebelumnya ia pun telah menghapus isi dari folder Recent yang berisi data ?le�?le yang terakhir kali dibuka.

Caranya menginfeksi adalah dengan cara meng-append ?le dokumen yang akan diinfeksi di bagian bawah tubuh sang virus. Jadi apabila Anda memiliki ?le dengan nama misalkan Skripsi. doc, maka virus ini akan membaca keseluruhan isi dari ?le tersebut, lalu ditaruhnya isi dari ?le dokumen itu di bagian paling bawah tubuh sang virus, dan memberikan tanda berupa string �RPVBLK=False� di bagian awal tubuh sang virus, yang artinya virus tersebut sudah menginfeksi ?le. Ini biasa juga dilakukan oleh virus lain yang memiliki kemampuan injeksi, agar ?le yang sudah diinfeksi tidak diinfeksi lagi. File yang sudah diinfeksi namanya akan menjadi Skripsi.doc.vbs. Dan ?le dokumen yang asli pun akan dihapusnya. Tentu saja kini ?le dokumen Anda sudah menjadi ?le VBScript, yang sudah tentu tidak bisa dibuka dengan Microsoft Word. Namun Anda tidak perlu bingung, biarkan PCMAV melakukan tugasnya mengembalikan dokumen Anda ke keadaan seperti semula.Nanti pada saat ?le terinfeksi dijalankan, virus ini akan terlebih dahulu meng-extract ?le dokumen yang terdapat pada tubuhnya pada current directory, lalu menjalankan kembali dirinya dan seolah-olah tidak terjadi apa-apa.

Manipulasi Registry

Virus Repvblik ini pun akan dengan cerdik mencoba untuk mengubah default icon dari setiap ?le VBS agar menggunakan icon Microsoft Word. Serta mengubah ?le type nya menjadi �Microsoft Word Document�, dan menghilangkan tampilan extension .VBS pada Windows Explorer dengan menambahkan item NeverShowExt pada key VBSFile di Registry Windows. Tentunya jika sudah begini, user awam tidak akan bisa membedakan antara ?le asli dengan ?le virus.

Rename MP3

Tidak hanya menginfeksi dokumen, ia pun mulai mengerjai ?le musik MP3 koleksi Anda. Setiap ?le MP3 yang ia temukan akan di-rename olehnya. Yang ia lakukan adalah menambahkan string �Repvblik_� di depan nama ?le MP3 yang akan ia kerjai.

Flash Disk

Behati�hatilah jika menemukan file dengan nama�nama seperti �I am So Sorry.txt.vbs�,�SMS Gratis via GPRS.txt. vbs�,�Indonesian and their corruption!! .txt.vbs�,�Never be touched!! .txt.vbs�,�Make U lofty.txt.vbs�,�Thank U Ly.txt. vbs�,�The Power of Midwife.txt.vbs�, dan atau �NenekSihir and her Secrets.txt.vbs� pada perangkat removable disk Anda, itu adalah nama ?le yang biasa ia gunakan untuk menyebar.

Gunakan PCMAV!
Bagi Anda yang komputernya terinfeksi dan atau dokumen penting Anda telah dirusak oleh virus Repvblik.vbs, silakan gunakan PCMAV terbaru yang telah disempurnakan ini.

0 komentar:

Post a Comment