Arrow

Generic.ScriptWorm.8730EFFC (Suspicious_Gen.SYUC)

Posted by Unknown ~ on Kamis, 09 Agustus 2012 ~ 0 comments

Wonderland atau Umbrella ? Milla or Johnny ?



Kalau anda mendapatkan file dengan nama : “Alice”.
Kira-kira apa yang muncul pertama kali di benak anda ? Kalau yang menerima filenya perempuan, kemungkinan besar yang muncul di benaknya adalah kelinci, cermin, wonderland, queen of heart atau Johnny Depp :p. Tetapi kalau yang menerima file tersebut laki-laki .... dan penggemar game, kemungkinan besar yang terlintas pertama kali di benaknya adalah Umbrella Corporation, zombie atau ... Milla Jovovich :P.

Kira-kira apa yang ada di benak pembuat virus lokal yang satu ini ? Apakah Wonderland atau Umbrella ? Milla atau Johnny ? J. Kami persembahkan untuk anda anlisa virus “Alice”.

Jika Anda pengguna komputer sebaiknya perlu berhati-hati jika sering bertukar file melalui media external storage seperti Flashdisk atau External harddisk, karena akhir-akhir ini banyak pengguna komputer di Indonesia yang sudah terinfeksi oleh serangan malware ini, dan varian tersebut terdeteksi oleh Vaksincom sebagai Generic.ScriptWorm.8730EFFC (Suspicious_Gen.SYUC). (lihat gambar 1)
Gambar 1, Virus Alice terdeteksi oleh G Data sebagai Generic Worm
Aksi “Alice”
Beberapa gejala yang terjadi jika anda sudah terinfeksi yaitu :

o   Alice mencoba menyembunyikan file dokumen (doc, docx, rtf) dan mengganti-nya dengan membuat file virus dengan nama yang sama (duplikasi file). Tetapi file tersebut memiliki ekstensi file yang berbeda jika dilihat menggunakan Windows Explorer yang lain. Selain itu ukuran file virus yang semua sama. (lihat gambar 2)
Gambar2, Alice memalsukan diri sebagai file MS Office dengan menyembunyikan file asli

o   Alice mencoba melakukan injeksi file htm/html dengan menambahkan kode file virus. Setelah di-injeksi maka dilakukan perubahan pada ekstensi file htm/html menjadi file hta (html application). Hal ini dilakukan agar file yang sudah dirubah tidak dapat diinjeksi oleh virus yang sama dan agar tidak mudah dilihat kode yang telah ditambahkan. (lihat gambar 3)
Gambar 3, File html yang sudah di injeksi oleh Alice

ü  Alice juga akan melakukan perubahan pada icon file virus yang berekstensi *.vbe (VBScript Encode) dan juga mencoba melakukan perubahan pada tipe file virus tersebut menjadi file Microsoft Word (atau Wordpad jika belum ter-install MS Word). (lihat gambar 4)
Gambar 4, File .vbe dipermak menjadi MS Word

o    Alice akan mencoba mempertahankan diri-nya dengan menonaktifkan beberapa fungsi Windows yang digunakan oleh administrator komputer. Beberapa fungsi yang di-nonaktifkan yaitu diantaranya System Restore, Folder Option, Run, Search, Task Manager dan Command Prompt. (lihat gambar 5)
Gambar 5, Bloking yang dilakukan Alice pada fungsi2 administrasi komputer

ü  Alice juga akan mencoba mempertahankan diri-nya dengan menghilangkan ekstensi file pada semua file yang ada di komputer. Selain itu juga akan menghilangkan beberapa fungsi pada menu klik kanan seperti merge, install, edit, dan open with. (lihat gambar 6)
Gambar 6, Beberapa menu pada klik kanan dihilangkan oleh Alice

ü  Alice merupakan jenis malware yang menggunakan file Windows VBScript agar dapat aktif, sehingga file proses yang berjalan adalah file wscript.exe.

ü  Alice juga meninggalkan sebuah jejak dengan mencoba merubah nama pemilik komputer dan menghapus nama organisasi pemilik komputer. Hal ini dilakukan pada System Properties komputer. (lihat gambar 7)
Gambar 7, Perubahan pada System Properties yang dilakukan Alice

File malware Alice
Berikut ciri-ciri file Alice sebagai berikut :
-          Memiliki ukuran file 8 kb
-          Type file “VBScript Encode.
-          Memiliki ekstensi file “vbe
-          Berbentuk icon “VBScript” (lihat gambar 8)
Gambar 8, Ciri file virus Alice

Malware Alice memiliki 3 file induk yaitu :
·         C:\WINDOWS\system32\drivers\alice.sys
·         Alice.calc (pada semua drive komputer)
·         Autorun.inf (pada semua drive komputer)

Selain itu, malware Alice akan membuat duplikasi terhadap seluruh file yang memiliki ekstensi file doc, docx, rtf, dan akan melakukan injeksi file pada htm dan html, dengan membuat file yang sama dan berukuran 8 kb.

Modifikasi Registri
Modifikasi registri yang dilakukan oleh malware Alice antara lain sebagai berikut :
  • Menambah Registri
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows

HKEY_CLASSES_ROOT\VBEFile
NeverShowExt

HKEY_ CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
NofileAssociate = 1
NoFInd = 1
NoFolderOptions = 1
NoRun = 1

HKEY_ CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
DisableTaskMgr = 1

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\System Restore

  • Merubah Registri
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\wscript.exe //e:vbscript.encode C:\WINDOWS\system32\drivers\alice.sys

HKEY_CLASSES_ROOT\VBEFile
(Default) = Microsoft Word Document
Friendly TypeName = Microsoft Word Document

HKEY_CLASSES_ROOT\VBEFile\DefaultIcon
(Default) = C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\wordicon.exe,1

  • Menghapus Registri
HKEY_CLASSES_ROOT\regfile\shell\open

HKEY_CLASSES_ROOT\inffile\shell\Install

HKEY_CLASSES_ROOT\VBEFile\shell\edit

HKEY_CLASSES_ROOT\VBEFile\shell\Open2

Metode Penyebaran
Cara malware Alice melakukan penyebaran yaitu memanfaatkan media storage seperti USB Flashdisk atau harddisk external. Bisa juga menyebar melalui media storage lain yang terkoneksi pada komputer yang telah terinfeksi. (lihat gambar 9)
Gambar 9, Alice menyebar melalui USB Flash Disk

Malware Alice membuat 2 file yaitu autorun.inf dan alice.alc. Kedua file tersebut lah yang akan aktif menyebarkan kedalam komputer lain secara otomatis (jika fitur autoplay Windows tidak dimatikan).

Pembersihan malware Alice
  1. Putuskan koneksi jaringan/internet.
  2. Lakukan pembersihan malware Alice pada mode “safe mode”.
Lakukan langkah-langkah berikut :
a)      Restart komputer (jika  dalam keadaan mati tinggal tekan tombol power)
b)      Saat akan booting tekan tombol F8 pada keyboard secara secara terus menerus hingga muncul layar “Safe Mode” (lihat gambar 10)
Gambar 10, Lakukan pembersihan pada Safe Mode

c)       Pilih mode “Safe Mode”, dan klik [Enter]
d)      Biarkan berjalan hingga masuk menu Login Windows.

  1. Matikan proses malware Alice
Lakukan langkah-langkah berikut :
a)      Download removal tools (pada komputer yang bersih) pada komputer yang belum terinfeksi pada link berikut : (lihat gambar 11)

IceSword
Gambar 11, Gunakan Ice Sword untuk mengidentifikasi dan menghentikan proses virus

b)      Kopi file tersebut dan letakkan dimana saja pada komputer yang terinfeksi.
c)       Klik 2x file yang zip tersebut dan jalankan file-nya (icesword.exe), kemudian klik Run.
d)      Klik pada menu Function à Process, pilih wscript.exe, kemudian pilih “Terminate Process”.

  1. Repair registry yang telah di modifikasi oleh malware Alice menggunakan IceSword.
a)      Jalankan IceSword, pilih menu Registry. (lihat gambar 12)
Gambar 12, Repair regirti

b)      Hapus beberapa string berikut :
ü  HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows
ü  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\System Restore
ü  HKEY_CLASSES_ROOT\VBEFile (hapus pada key NeverShowExt)
ü  HKEY_ CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer (hapus pada key NoFIleAssociate, NoFind, NoFolderOptions, NoRun)
ü  HKEY_ CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System (hapus pada key DisableTaskMgr)

c)       Rubah beberapa string berikut  :
ü  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (pada userinit hanya menjadi C:\WINDOWS\system32\userinit.exe,)
ü  HKEY_CLASSES_ROOT\VBEFile (pada Default menjadi VBScript Encoded Script File)
ü  HKEY_CLASSES_ROOT\VBEFile (pada Friendly TypeName menjadi @%SystemRoot%\System32\wshext.dll,-4803)
ü  HKEY_CLASSES_ROOT\VBEFile\DefaultIcon (pada Default menjadi %SystemRoot%\System32\WScript.exe,2)

d)      Restart komputer agar efek registri kembali normal.

  1. Hapus file malware Alice menggunakan IceSword.
-          C:\autorun.inf
-          C:\alice.alc
-          C:\WINDOWS\system32\drivers\alice.sys
-          D:\autorun.inf
-          D:\alice.alc
-          Serta hapus semua file duplikasi yang dibuat.

  1. Munculkan kembali file dokumen yang sudah di sembunyikan oleh malware alice.
-          Klik Start Menu
-          Klik Run
-          Ketik “CMD”, kemudian klik OK
-          Pindah posisi pada folder atau directory dokumen yang disembunyikan, misal D:\
-          Kemudian ketik attrib –s –h /s /d , kemudia klik enter.

  1. Untuk file htm/html lakukan penghapusan footer malware alice secara manual melalui aplikasi notepad. 
  1. Bersihkan temporary file dari jejak malware Alice.
Lakukan langkah-langkah berikut :
a)      Klik Menu Start -> Run
b)      Ketik perintah pada kotak open : cleanmgr , kemudian klik OK.
c)       Pada drive system (C) klik OK, biarkan proses scan drive.
d)      Setelah muncul jendela Disk Cleanup, beri tanda file yang akan di hapus (terutama Temporary Files), kemudian klik OK.
e)      Tunggu hingga selesai.

  1. Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mengenali malware Alice dengan baik.


Artikel Terkait:

Comments
0 Comments

Tidak ada komentar:

Leave a Reply

Harap mengisi komentar jika telah membaca demi kemajuan blog ini

Pengunjung

.

Followers