Virus lokal Annie, ‘Wanita Cantik’ yang Mematikan

image

  Siapa yang tak terkesima dengan wanita cantik. Saat dijadikan pancingan, mereka kerap kali sukses menggaet para korban. Termasuk saat digunakan untuk menjalankan kejahatan cyber.

Hal ini pula yang menjadi sumber inspirasi bagi pembuat malware lokal yang sedang mengganas di Indonesia dalam beberapa bulan belakangan ini.

G Data mendeteksi virus ini sebagai Annie.sys, Beautiful Girl atau sebagai Trojan.JS.Autorun.A. Dengan iming-iming file bernama ‘Beautiful Girl’ alias wanita cantik, malware ini sukses menarik perhatian calon korbannya sehingga berhasil menjadi salah satu malware yang paling banyak dibicarakan di komunitas online Indonesia.

Malware ini memiliki aksi yang ‘sakti’ karena memiliki kemampuan injeksi html dan infeksi korban melalui file html seperti malware Ramnit.

Selain itu, ia juga memiliki payload yang cukup merepotkan seperti melakukan bloking atas banyak fungsi administrasi Windows seperti Registry Editor, Task Manager, Microsoft Management Console, File Assosiasi, System Restore, menyembunyikan ekstensi file dan tidak dapat menampilkan file yang tersembunyi (hidden).

Tidak cukup aksi di atas, ia juga melakukan blocking atas aplikasi pendukung yang biasa digunakan untuk membersihkan malware seperti Kill Process, attrib, SysInternals Autostart, SysInternals Process Explorer, RegAnalyzer, menghalangi komputer untuk menjalankan file inf dan registry dengan tujuan mencegah pembersihan virus.

Malware ini memang banyak memakan korban dan hebatnya beberapa file turunannya masih sulit dideteksi oleh antivirus terkenal sekalipun.

Malware ini dapat dikatakan setingkat di atas virus lokal lainnya karena selain melakukan aktivitas yang disebutkan di atas juga memiliki kemampuan injeksi file MS Office dan html.

Celakanya, jika file html ini dijalankan di komputer lain, mirip dengan cara penularan Ramnit wanita cantik yang satu ini akan mampu menginfeksi komputer korbannya.

Hati-hati jika Anda menjumpai file dengan nama yang cukup menggoda, terlebih dengan icon video karena biasanya virus akan menggunaan nama-nama file yang ‘eksotik’ untuk mengundang rasa keingintahuan user terhadap file tersebut.

Seperti yang dilakukan oleh salah satu virus Trojan.JA.Autorun.A yang akan menyamarkan dirinya dengan membuat 5 file shortcut di setiap drive dengan nama Beautiful_girl_part_1.lnk s/d Beautiful_girl_part_5.lnk.

Sama seperti yang dilakukan oleh Virus Ramnit, virus ini juga akan menginjeksi file HTM/HTML untuk menyebarkan dirinya dengan menyisipkan code pada footer file HTM/HTML tersebut. G Data Antivirus dengan teknologi Active Hybryd dan Close Gap technology mendeteksi malware ini sebagai Trojan.JS.Autorun.A (lihat gambar diatas)

Malware ini dibuat menggunakan program bahasa Java Script dengan ukuran file sekitar 9 kb. Pada saat file tersebut diaktifkan maka akan menjalankan file wmplayer.exe atau windows media player (lihat gambar 3) dengan tujuan mengelabui korbannya yang mengharapkan video wanita cantik.

Tujuan utama aksi ini adalah menjalankan script yang terkandung di dalam file tersebut, kemudian akan membuat beberapa file induk yang akan di simpan di beberapa lokasi.

Untuk mengelabui user, virus ini akan membuat 5 (lima) buah file shortcut (lnk) yang akan disimpan di semua root drive termasuk removable media/USB Flash.

File shortcut ini berisi script untuk menjalankan file annie.ani yang ada di drive yang sama (Script file annie.ani C:\Windows\system32\wscript.exe //e:jscript.encode annie.ani /q:1), sehingga jika user menjalankan file tersebut maka secara otomatis akan mengaktifkan virus tersebut dengan terlebih dahulu akan menjalankan program Windows Media Player (wmplayer).

Dikutip dari Vaksincom melalui detikINET

Categories: info, Virus | Tinggalkan komentar

Navigasi pos

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

Blog di WordPress.com.

%d blogger menyukai ini: