Virus Alice =ramnit+annie+dll(2013)

Selain virus lokal Annie yang banyak memakan korban, tahun 2013 juga ditandai dengan penyebaran virus Alice yang terdeteksi oleh G Data Antivirus sebagai Generic.ScriptWorm.8730EFFC yang membuat sakit kepala pengguna komputer. 

image

Tidak diketahui apa alasan pembuat virus ini memilih nama Alice, apakah Alice yang dimaksud adalah Alice yang imut-imut dari kisah Alice from Wonderland atau Alice yang galak, pembasmi Zombie dari Resident Evil?

Walaupun pada dasarnya memiliki payload yang mirip, namun banyak aksi yang dilakukan oleh Alice berbeda dengan yang dilakukan Annie. Salah satu yang mencolok adalah Alice tidak membuat shorcut sebagai sarana penyebarannya.

G Data mendeteksi Alice sebagai Generic.ScriptWorm.8730EFFC

Informasi File induk

Virus ini dibuat dengan menggunakan program bahasa VBScript dengan ukuran 1 kb lebih kecil dibandingkan saudara jauhnya (annie.sys) yakni sekitar 8 kb dan untuk mempersulit analisa, ia akan mengenkripsi file tersebut.

Berikut ciri-ciri file virus Alice
-. Mempunyai ekstensi file *.VBE (VBScript Encoded Script File)
-. Mempunyai ukuran 8 KB
-. Mempunyai icon VBScript

image

File virus Alice (Generic.ScriptWorm.8730EFFC)

Pada saat file yang mengandung virus tersebut dijalankan, ia akan langsung mengaktifkan diri dengan membuat beberapa file induk yang akan dijalankan secara otomatis setiap kali komputer dinyalakan.

Untuk memastikan agar virus ini dapat aktif secara otomatis pada saat user menyalakan komputer, virus ini akan membuat string pada registry editor.

Sama seperti yang dilakukan oleh Annie, untuk memperlancar aksinya Alice juga akan akan melakukan blok terhadap beberapa fungsi windows seperti: 
-. Registry Editor
-. Task Manager
-. File Assosiasi
-. System Restore
-. Tidak dapat menampilkan ekstensi file
-. Tidak dapat menampilkan file yang tersembunyi (hidden)
-. Folder Options
-. Run
-. Search / Find
-. Menghilangkan option MERGE pada klik kanan registry (bertipe .REG)
-. Menghilangkan opsi [Install] pada file INF.

Metode Penyebaran

Untuk menyebarkan dirinya, Alice akan memanfaatkan celah autorun Windows dengan membuat file autorun.inf serta file induk alice.alc (file ini akan disembunyikan) di setiap drive termasuk removable media/USB Flash, sehingga virus ini dapat langsung aktif secara otomatis pada saat user mengakses Drive.

File autorun.inf ini berisi perintah untuk menjalankan file alice.alc dengan menggunakan perintah java sricpt encode berikut:

image

Aksi Alice pada Autorun.inf supaya dijalankan otomatis

Target Infeksi

Salah satu aksi yang memusingkan korbannya adalah Alice adalah akan menyembunyikan file yang mempunyai ekstensi *.DOC/*.RTF/*.DOCX lalu menggantinya dengan file duplikat yang mempunyai nama yang sama dengan nama file yang disembunyikan. 

Salah satu tujuan dari aksi ini adalah supaya ia disebarkan oleh korbannya ke komputer lain jika file yang diganti ini disharingkan ke komputer lain, baik melalui UFD maupun jaringan.

Adapun ciri file duplikat Alice adalah:
-. Mempunyai nama file yang sama dengan nama file yang di sembunyikan
-. Mempunyai ekstensi file *.VBE (VBScript Encoded Script File), ekstensi ini akan disembunyikan
-. Mempunyai ukuran 8 KB

Untuk mengelabui user, virus ini akan menyembunyikan ekstensi file (VBE) dan merubah type dan icon file sehingga menyerpai file MS.Word.

Injeksi File HTM/HTML
Anda tentu masih ingat dengan kasus virus Ramnit yang akan menginjeksi file HTM/HTML untuk menyebarkan dirinya. Hal ini juga akan di lakukan oleh Alice dengan menambahkan kode virus pada footer file html sehingga jika user menjalankan file HTM/HTML yang sudah terinfeksi tersebut akan langsung mengaktifkan virus tersebut. 

Anda bisa membayangkan jika virus ini menginjeksi file HTM/HTML pada webserver, inilah salah satu sebab yang menyebabkan virus ini dapat menyebar dengan cepat. 

image

Code VBScript pada footer file HTM/HTML

Setelah melakukan injeksi terhadap file HTM/HTML, ia akan merubah ekstensi file menjadi .HTA (HTML Application) hal ini sebagai penanda agar virus tidak kembali menginfeksi file yang sama. Sebagai contoh, jika user menjalankan file HTM/HTML yang sudah di injeksi akan muncul pesan error seperti terlihat pada gambar 14.

image

Pesan error yang muncul jika file HTML dijalankan pada sistem yang sudah terinfeksi

Categories: Virus | Tinggalkan komentar

Navigasi pos

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

Buat situs web atau blog gratis di WordPress.com.

%d blogger menyukai ini: