VIRUS LOKAL

Virus GEN.Slow

GEN.Slow, begitu penamaan yang digunakan Smadav untuk virus ini. Entah karena virus ini bereaksi dengan lambat atau hanya namanya saja? Hmm, penasaran. Yang pasti dia memiliki sifat yang tertutup, tidak seperti virus kebanyakan, dan Avira mengenalnya sebagai TR/Spy.8192.236. Ya, ini adalah virus Trojan. Jinak-jinak mengancam...

Kararteristik Virus

Dibuat menggunakan : Microsoft Visual Basic 6.0
Icon : Executable standar Visual Basic 6.0
Original file name : Slowerr.exe
Packer : UPX
Ukuran file : 8.00 KB (8,192 bytes)

Aksi Virus
Entah virus ini memang malas, atau lama reaksinya, atau ada misi tersembunyi, yang jelas virus ini tidak bertindak banyak, cukup mengcopykan diri ke Startup agar otomatis berjalan saat komputer menyala, menyamar dengan nama lsass.exe.

• C:\Documents and Settings\All Users\Start Menu\Programs\Startup\lsass.exe

Tak lupa membuat pemacu pula pada Registry.

• [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

• “Slowerrr”=”C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\lsass”

Nah, tidak banyak kan yang dilakukannya? Tidak membuat autorun.inf, tidak menyembunyikan file.
Oh iya, virus ini juga mengcopykan diri ke :

• C:\WINDOWS\lsass.exe

• C:\winlogon.exe

Dan ke setiap root pada disk aktif dengan nama :

• X:\services.exe

*X adalah disk aktif

Virus Bonitoo

Virus ini memiliki teknik sosial enginering yg cukup menarik, dimana setiap duplikat virus memiliki nama dan ikon yang selalu berubah-ubah, ikon yang digunakan virus antara lain Ikon File Text, Ikon PDF, Ikon Excel, Ikon winamp, Ikon Setup, dan ikon bendera, teknik berganti ikon ini digunakan virus untuk menyempurnakan penyamaranya agar bisa dengan mudah menginfeksi komputer korban.

Fake-AV (GEN.free)

Maraknya antivirus palsu yang beredar, identik dengan buatan luar negeri, dan kali ini pun masih tetap dibuat oleh orang luar negeri, dengan ciri khas penggunaan ‘bahasa dunia’ (English), dan agar lebih mayakinkan user, ia menambahkan beberapa bahasa lainnya pada pengaturannya.

Karakteristik Virus
Nama virus : (acak)
Ukuran : 332 KB (339,968 bytes)
Icon : Bola dunia berwarna hijau


Aksi Virus
Demi meyakinkan user, virus ini sengaja membuat seakan komputer user telah banyak terserang virus.
 

 

Layaknya kebanyakan antivirus, fake-AV ini juga membuat laporan form hasil scanningnya, namun memasukkan unsur agar user mendaftarkan ke mereka hingga semua fitur yang ada pada fake-AV ini bisa dimaksimalkan, dan tentunya itu akan menjadi feedback buat mereka.
Fake-AV ini pada waktu yang tak ditentukan dapat mencegat program lain untuk dijalankan. Contoh seperti gambar berikut, betapa malangnya nasib “Notepad” yang sengaja dianggap fake-AV ini sebagai virus demi kepuasan fake-AV ini dalam mengelabui user.

Virus Cewek Matre

Dari sekian banyak virus lokal yang beredar di indonesia, kebanyakan menggunakan teknik sosial enginering untuk menarik korbanya, begitu juga dengan virus ini memanfaatkan ikon Quick Time untuk menipu korban nya, sehingga terlihat seperti file video. virus yang bernama asli VB.CewekMatre.D sudah dapat dikenali Smadav di revisi terbaru.

Karakteristik Virus

Icon : Quick Time Player

Nama File : CewekMatre.exe

Ukuran : 84 kb

Dibuat menggunakan : Visual Basic 6

Kita dapat dengan mudah mengenali virus ini yakni dengan mengetahui ciri-ciri nya, virus menggunakan nama file CewekMatre.exe, berikon Quick Time Player,  dengan ukuran sekitar 84 Kb. Apabila menemukan file dengan ciri-ciri seperti diatas sebaiknya jangan dibuka atau dijalankan, karena itulah ciri Virus Cewek Matre ini.

Aksi Virus

Apa yang terjadi apabila korban tidak sengaja menjalankan file virus, virus akan langsung menginfeksi system dengan membuat file induk virus di folder windows dengan nama file seperti dibawah ini

• C:\WINDOWS\Network.exe

Ketika korban menjalankan file virus maka tidak akan terjadi reaksi apa-apa, tetapi dibalik semua itu virus sudah aktif di memory dan siap menginfeksi tiap drive yang ada di komputer korban.

Aktif saat mengeksekusi file executable

Log virus

Virus dapat aktif dengan sendirinya saat korban menjalankan setiap file berektensi .exe, hal ini terjadi karena virus sudah menginfeksi registri yang mengatur ektensi file exe dengan membelokan ke arah file induk virus yang ada di folder windows, sehingga menyebabkan virus akan berjalan terlebih dahulu baru kemudian virus meneruskan file exe yang akan dijalankan oleh korban. tak hanya itu virus  juga merekam setiap file exe yang dijalankan dengan menaruh file log di lokasi :

• C:\WINDOWS\exelog.txt
  
• C:\WINDOWS\antd3.txt
  

Dapat mengirim informasi melalui Email
Virus ini juga diketahui dapat mengirim informasi melalui email, terkait informasi di komputer korban nya, beberapa email yang akan di tuju virus ini antara lain :

• zynga@yahoo.com
• mbah.marijan45@yahoo.com
• gotolotob@yahoo.co.id

Dengan mencoba mendapatkan SMTP Server dan port yang akan digunakan, melalui link dibawah ini

• http://schemas.microsoft.com/cdo/configuration/smtpserver
• http://schemas.microsoft.com/cdo/configuration/smtpserverport

Infeksi Registry
Seperti hal virus biasanya, virus ini juga tidak ketinggalan ikut menginfeksi registry agar virus dapat aktif saat komputer dihidupkan dan beberapa aksi lainya untuk memperpanjang umur virus dengan mendisable beberapa tools windows

• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Syswar\%IndukVirus%
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Sysdriver\%IndukVirus%
• HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Network\%IndukVirus%
• Software\Microsoft\Windows\CurrentVersion\Policies\System\%DisableRegistryTools%
• HKEY_CLASSES_ROOT\exefile\shell\open\command\%IndukVirus%

Infeksi Drive

File Virus

Virus akan menginfeksi tiap drive yang ada di komputer korbanya, drive yang akan di infeksi virus dimulai dari drive D:\ – L:\ dengan membuat duplikat virus dengan nama CewekMatre.exe dan sebuah file Autorun.inf 

Virus VB.NarutoVsSakura

VB.Naruto Virus ini dibuat menggunakan Visual Basic oleh programmer pemula.

Karakteristik Virus
Nama asli : Naruto Vs Sakura In Beach.exe
Ukuran : 76.0 KB (77,824 bytes)

Virus ini menamakan dirinya sebagai “Virus Intimidator.C”, seperti pesan yang muncul pada saat virus ini tereksekusi, “Komputer Anda Telah Terinfeksi Virus Intimidator.C ! Komputer Anda Telah Dalam Kendali Virus Intimidator.C ! Makanya Jangan Menindas Orang Dan Jangan Sombong Bro…!!! Hahahahahahahahahahahahaha….. By : NewBie Programmer”.

Aksi Virus
Pembuat virus ini sepertinya sangat perhatian terhadap Smadav, sehingga ia menghapus komponen Smadav, dan membuat Smadav lumpuh.
Adapun file yang dihapusnya tersebut adalah “Smadav.loov” yang merupakan database eksternal Smadav, dan “SmadExtc.dll” yang merupakan bagian dari library penting dari Smadav.
Tetapi sebenarnya virus ini juga terdapat perintah untuk menghapus “SmadEngine.dll” milik Smadav, dan perintah untuk menghapus Avira pada path “C:\ProgramFiles\Avira\AntivirDesktop\avscan.exe”, sedangkan tak semua komputer menggunakan Avira, sehingga muncul lah pesan error (bug) dari virus.

Virus Autoit Menyamar sebagai WebCam

Autoit merupakan sebuah bahasa pemrograman scripting basic seperti VBS Script, awalnya  Autoit di buat untuk memudahkan para developer software dalam menagani permasalahan secara otomatis, dengan Autoit para pengembang sofware bisa dengan mudah memanipulasi gerakan mouse, tuts keyboard dan windows aplikasi yang berjalan, Dari kemudahan yang ditawarkan oleh Autoit membuat segelintir orang iseng untuk membuat virus menggunakan Autoit, apalagi Autoit menggunakan bahasa basic, mirip seperti Visual Basic, memudahkan para Pembuat virus untuk memperlajari Autoit dengan cepat,

Salah satunya adalah virus Autoit ini, Virus ini dapat menyebar dengan memanfaatkan Aplikasi Instan Messaging seperti Yahoo Messenger, Google Talk, dan Skype. sebenarnya virus ini bukanlah hal baru sebelumnya beberapa tahun yang lalu sudah ditemukan virus yang hampir sama yakni Virus Sohanad, virus Sohanad juga memanfaatkan Yahoo Messenger sebagai media penyebaran, kuat dugaan virus ini masih satu varian dengan virus sohanad, dari beberapa teknik yang dia gunakan hampir sama dengan virus sohanad, yang membedakan hanyalah virus ini dapat menyebar dengan memanfaatkan banyak aplikasi Instan Messaging (YM, Gtalk, Skype).

Si Bolang, ‘Bocah’ Petualang yang Mencoba Berpetualang di Sistem Komputer

‘Bocah’ dalam tanda kutip satu disini maksudnya adalah virus, yang kali ini mengangkat tema program acara di salah satu stasiun televisi Indonesia. Mungkin si pembuatnya (VM) suka nonton acara televisi tersebut, atau ulah virus ini memang memiliki kesamaan dengan hal tersebut? Mari kita selidik!
Dari kesamaan, mereka sama-sama berteman. Kalau si Bocah Petualang kan mereka selalu ada teman dalam petualanganya tersebut, nah virus kali ini juga berteman dalam berpetualang ‘mencari’ dokumen yang ada di komputer sasarannya. Bagaimana dia memanggil temannya? Mari kita cari tau!
Karakteristik Virus
Nama : SiBolang.exe
Ukuran: 35 KB
File version: 3.0.0.5
Icon: Ms. Word
Developed in : VB
Packed by: UPX


Aksi Virus
Saat pertama kali virus dijalankan, ia akan menjalankan Text Editor seperti Ms. Word atau WordPad (jika belum/tidak terinstall Ms. Word) dengan Title yang sama dengan nama file virus.

Dari gambar di atas, terlihat bahwa Smadav begitu cekatannya dalam mecekal virus menggunakan Smad-Behaviornya, yang disana terlihat bahwa ada tingkah laku yang mencurigakan bernama “SERVICES.EXE”.

Mengcopykan diri ke “C:\WINDOWS\Config\SERVICES.EXE” dengan atribut Hidden yang dijadikan sebagai induk utama virus. Membuat salinan di “C:\WINDOWS\Get.EXE”, yang mana file ini akan dijalankan ketika “Empty.exe”, “winhlp.exe” maupun “link.com” tereksekusi, dan “Get.exe” ini akan menjalankan lagi “SERVICES.EXE” sebagai proses induknya, muter-muter gitu deh.
Mengcopykan diri ke” C:\WINDOWS\inf\ WORD32” dengan atribut Hidden dan tanpa ekstensi file.
Mengekstrak file dengan nama:

•  “winhlp.exe” (16 KB) yang ada dalam dirinya ke “C:\Documents and Settings\UserName\NetHood”, dan mencopykan ke “C:\WINDOWS” dengan nama file “link.com”.  VB tanpa Pack.
  
• “Empty.exe” (12 KB) yang ada dalam dirinya ke “C:\Documents and Settings\All Users\Start Menu\Programs\Startup” .  VB tanpa Pack.

Berburu file dokumen, inilah kegemaran virus ini, yang tidak segan-segan memangsa file dokumen yang ada di flashdisk Anda, lihat gambar di bawah!

Setiap virus menemukan file dengan ekstensi “.doc” maupun “.docx”, maka dengan lincahnya virus ini membuat salinan dirinya dengan nama yang menyamai file dokumen tersebut, menyembunyikan file dokumen asli dan menampakkan dirinya bahwa dialah dokumen tersebut, yang padahal adalah tidak, tidak lain adalah virus.
Tunggu! Ada perbedaan sedikit tentang file “.doc” dan “.docx”. Lihat lagi baik-baik gambar diatas dengan perbedaan tanda warna yang ada.
Ya, perbedaannya ada pada tanda titik (.), yang mana pada file “.doc” nama virus akan sama dengan nama file tersebut, sedangkan pada file “.docx” akan ditambahkannya tanda titik (.) setelah nama asli file.
Manipulasi Registry

• Membuat Run agar virus bisa jalan sendiri saat komputer dinyalakan:
  [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
  @=”C:\\WINDOWS\\config\\SERVICES.EXE”

•  Menghapus nilai pada Registry agar ekstensi file tidak terlihat:
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt]
  “CheckedValue”=dword:00000001 => dihapus olehnya

• Menghapus nilai pada Registry agar file yang Hidden menjadi SuperHidden sehingga tidak terlihat:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
  “CheckedValue”=dword:00000000 => dihapus olehnya

• RunOnce agar virus bisa jalan sendiri saat komputer dinyalakan:
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
  @=”C:\\Documents and Settings\\Ryan\\NetHood\\winhlp.exe”

•  Run agar virus bisa jalan sendiri saat komputer dinyalakan:
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
  @=”C:\\WINDOWS\\link.com”

VB.Jardiknas.C, Virus untuk Pelajar yang Ingin Lulus UNAS, Benarkah?

UNAS atau Ujian Nasional adalah masa yang menegangkan bagi pelajar, baik itu SMP maupun SMA atau sederajat. Ya, memang menegangkan, karena jika lulus UNAS maka si pelajar siap untuk pencapaian pendidikan yang lebih tinggi. Siapa yang tidak ingin lulus UNAS? Orang tua mana yang tidak bangga jika anaknya lulus UNAS? Tentu lulus Ujian Nasional adalah keinginan sekaligus harapan bagi pelajar itu sendiri, orang tua, dan pada guru yang mendidik murid-muridnya.
Virus kali ini memanfaatkan momen UNAS 2011 sebagai teknik sosialisasi penyebarannya. Hmm…, tidak hanya UNAS saja sih, Facebook sebagai situs jejaring sosial yang fenomenal saat ini juga menjadi triknya dalam mendapatkan mangsa.
Karakteristik Virus

Icon : PDF (Portable Document File)
Ukuran : 168 KB
Dibuat dengan : Visual Basic 6.0

Menggandakan Diri
Saat virus aktif, virus akan menggandakan diri ke seluruh root Drive yang aktif dengan nama file antara lain :

• backupregedit.exe
• Dapat Uang di Facebook.exe
• Help Config.exe
• Kunci Sukses UNAS 2010-2011.exe
• SMA UNAS 2011.exe
• TITIP SKRIPSIKU.exe
• version.sys
• readme.txt

Tak hanya pada root Drive, virus ini juga menggandakan diri jika ia menemukan file “.doc” dan “.gif”, yang mana virus ini akan membuat salinan dirinya dengan nama file tersebut namun tetap mempertahankan attribute file yang ia temukan tadi (tidak menghidden file asli “.doc” maupun “.gif”), mempertahankan icon virus (PDF), mempertahankan ekstensi virus (“.exe” dibelakang nama file doc/gif yang ia temukan).

Agar virus otomatis aktif saat komputer dinyalakan, virus ini membuat salinan induk pada :

• C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Rundll32.exe