B.
Companion atau File yang dibuat
Serviks-JS dalam
aksinya membuat file sebagai berikut:
1.) Autorun.inf
Berada pada root drive dan C:\Documents and
Settings\%username%\Local Settings\Application Data\Microsoft\CD Burning.
ketika drive dibuka, maka file autorun.inf akan
menjalankan file annie.ani, berikut listing file autorun.inf tersebut.
[autorun]
shellexecute=wscript.exe //e:jscript.encode annie.ani /a
shell\open\command=wscript.exe //e:jscript.encode annie.ani /a
shell\explore\command=wscript.exe //e:jscript.encode annie.ani /a
shellexecute=wscript.exe //e:jscript.encode annie.ani /a
shell\open\command=wscript.exe //e:jscript.encode annie.ani /a
shell\explore\command=wscript.exe //e:jscript.encode annie.ani /a
2.) Beautiful_girl_part_1 s/d
part_5
Ketika user menjalankan file shortcut tersebut
yang sepintas terlihat seperti file Video maka akan menjalankan file windows
media player atau wmplayer dan annie.ani
C:\WINDOWS\system32\wscript.exe
//e:jscript.encode annie.ani /q:5
3.) Annie.sys
Berada pada
direktori C:\WINDOWS\system32\drivers, file ini akan aktif ketika komputer
di restart dengan membuat startup pada registry sebagai berikut :
HKEY_LOCAL_MACHINE\software\microsoft\Windows
NT\CurrentVersion\Winlogon
value=Userinit=C:\WINDOWS\system32\userinit.exe,wscript.exe //e:jscript.encode
C:\WINDOWS\system32\drivers\annie.sys /e
4.) Annie.ani
Berada pada root drive dan C:\Documents and
Settings\%username%\Local Settings\Application Data\Microsoft\CD Burning. File
annie.ani selain di aktifkan oleh file autorun.inf dan shortcut, juga aktif
ketika user membuka drive dengan memanfaatkan registry.
C .Aksi
Serviks-JS
menyembunyikan file dokumen dengan ekstensi *.doc , *.docx dan *.rtf. File
tersebut digantikan dengan file host Serviks-JS dengan extensi *.jse dengan
nama yang sama. Ketika file *.jse tersebut dijalankan, file dokumen akan
terbuka seperti biasa sekaligus mengaktifkan virus.
Tidak hanya itu,
Serviks-JS juga menginfeksi file ber-ekstensi *.htm dan *html
Pada header file
*.htm dan *.html, terlihat string dari Serviks-JS sebagai berikut:
lalu menyisipkan
kode Serviks-JS sebagai berikut:
Selain itu
Serviks-JS melakukan perubahan pada Registry yang mengakibatkan Task
Manager, Regedit, CMD , Menu Run ,Folder Options, System Restore terdisable,
membuat file hidden tidak bisa terlihat, menyembunyikan ekstensi file,
menghilangkan File Associate juga merubah value pada file ber-ekstensi *.reg
yaitu (Default)=cmd.exe /c del /q /f “%1″, Serviks-JS juga membuat value
pada Image File Execution Options bernama attrib.exe,
autoruns.exe, procexp.exe, reg.exe, regalyzer.exe dan
taskkil.exe dengan value Debugger=cmd.exe /c del /q /f
D. Varian
dua
Baru beberapa hari
setelah PCMAV Express for Serviks-JS Beta di publikasikan di forum
virusindonesia.com, kami mendapatkan sample varian baru dari Serviks-JS ini,
Pada varian baru ini mempunyai kemampuan memblok akses ke situs antivirus
dengan memodifikasi file hosts. Metode infeksi masih sama yang mebedakan adalah
pada file *.htm dan *.html terinfeksi, kode Virus dalam keadaan ter-encode.
E.
Pembersihan/Cara Mengatasi Virus Serviks-JS
Untuk pembersihan
tuntas gunakan PCMAV Express for Serviks-JS yang dapat didownload melalui link
di bawah ini.
Link
Download [updated 27 Mei 2013]
: Klik Download
VirusIndonesia
0 komentar:
Post a Comment