Dini.vbs. Sudah tidak asing jika malware lokal hadir dengan ciri-ciri yang selalu menampilkan pesan berupa curahan hati. Pesan tersebut bukan hanya ada di hasil companionnya saja, akan tetapi pada tubuh dari malware itu sendiri. Malware seperti ini mengingatkan kita pada worm Serviks.vbs yang cukup banyak menyebar pertengahan tahun 2010.
A. Info Malware
Nama: Dini.vbs
Asal: Indonesia
Ukuran File: 24.5 KB (25,096 bytes)
Packer: -
Pemrograman: Visual Basic Script
Icon: VBS file
Tipe: Worm
B. Tentang Malware
Meskipun malware tipe VBS termasuk memiliki banyak varian dan mudah dimodifikasi, akan tetapi beberapa teknik heuristik antivirus sudah mampu mendeteksi malware tipe VBS seperti ini. Sebut saja SlowButSure.vbs, Mahadewa.vbs, atau Kalong.vbs yang source codenya banyak di share di forum, blog atau website personal. Dini.vbs juga temasuk salah satu worm VBS yang sebenarnya memodifikasi source code worm lain. Terdapat pola umum yang mungkin bisa menjadi acuan bahwa worm tersebut adalah modifikasi.
1. Setelah baris pendeklarasian variabel (DIM), biasanya pada baris berikutnya berisi source code autorun.inf
2. Pembuatan file induk di folder WINDOWS / system32
3. Membuat Worm dan autorun.inf di setiap drive termasuk flash disk.
4. Membuat pertahan atau membuat value key baru pada registry
5. Hentikan Script tiap 2 menit sekali
6. Jalankan Explorer.exe jika menjalankan worm.
Pola seperti ini hampir sudah pasti terdeteksi oleh antivirus luar negeri ataupun antivirus lokal. Ada juga teknik pengenkripsian code namun teknik seperti ini juga tidak selalu berhasil.
C. Companion/File yang dibuat
Dini.vbs tidak banyak membuat companionterhitung hanya 3 buah file yang di drop jika worm ini di eksekusi.
1. Membuat host di folder system32 dengan nama VHCK3D.vbs, “C:\WINDOWS\system32\VHCK3D.vbs”
2. Menyebarkan file “VHCK3D.vbs” dan “Autorun.inf” di setiap drive dan flash disk yang terhubung dengan komputer yang terinfeksi.
D. Hasil Infeksi
Setelah aktif di memory, worm ini banyak melakukan pertahan terutama penginjeksian dan penulisan value key di registry:
Disable Show Super Hidden Field
Disable Perubahan Wallpaper
Disable Search dan Folder Options
Disable Run Command
Disable Burning CD/DVD
Disable Klik kanan
Disable TrayIkon
Disable Shortkey dan Menghilangkan Shortcut termasuk file-file pada dekstop
Disable System Information
Menghilangkan tombol Logoff dan Turnoff
Disable Control Panel
Disable Task Manager, Registy Editor, dan Command Prompt
Disable System Restore dan install MSI File
Worm ini juga otomatis menjalankan aplikasi “Notepad.exe” jika menjalankan file dengan nama:
cmd.exe, install.exe, msconfig.exe, regedit.exe, regedt32.exe, RegistryEditor.exe, setup.exe, avscan.exe, avcenter.exe, ashAvast.exe, viremoval.exe, PCMAV-CLN.exe, PCMAV-RTP.exe, PCMAV.exe, SMP.exe, SmadAV 3.4.exe, GAV.exe, nod32.exe, evest.exe, nod32kui.exe, Opera.exe, power remover.exe, power live protector.exe, mawar-av.exe, cav-0.94.exe, CCleaner.exe, procexp.exe, Norman VC.exe, NVC.exe, norman.exe, 123456.exe, 12345.exe, 1234.exe, 123.exe
Tidak ketinggalan Dini.vbs membuat pesan sebelum proses logon.
Worm juga akan mengubah title pada Internet Explorer.
E. Pembersihan
Worm ini telah dikenali dan dapat dibersihkan pada PCMAV 5.0 Update Build2 ini berikut ini.
PCMAV 5.0 Update Build2
Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 5.0 Update Build2 telah hadir dengan penambahan 68 pengenal varian virus baru. Bagi Anda pengguna PCMAV 5.0, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.
Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.
Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:
SendSpace.com
ZippyShare.com (mirror)
Rapidshare.com (mirror)
Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.
Daftar tambahan virus hingga PCMAV 5.0 Update Build2:
Arzon.C
Autoit-ReplaceIcon.D
Autoit-ReplaceIcon.E
Autoit-ReplaceIcon.F
Autoit.FF
Autoit.FF.inf
Autoit.FG
Autoit.FG.bat
Autoit.FH
Autoit.FH.inf
CoolFace-Mutant.I
Crazya
Crazya.inf
Cronograma.A
Cronograma.A.dropper
Cronograma.A.hosts
Cronograma.B
Cronograma.B.dropper
Cronograma.B.hosts
DHelp
DHelp.exe
Dini.vbs.A
Dini.vbs.B
Dini.vbs.inf
FakeCalc
FakeCalc.exe.A
FakeCalc.exe.B
Fanny.lnk.G
Gen.VBVimaker.setup
Gen.VBVimaker.setup.SN
Gen.VBVimaker.setup.txt.A
Gen.VBVimaker.setup.txt.B
Gen.VirVBS.B
Locatory.B
MehranRasa
MehranRasa.jpg
Ramnit.A.Variant
Ramnit.B.Variant
Ramnit.C.Variant
Ramnit.D.Variant
Ramnit.E.Variant
Ramnit.F.variant
Ronkor.C
Ronkor.C.htt
Ronkor.C.txt
Rrlf.exe
SennaSpy
SennaSpy.dat
SennaSpy.exe.A
SennaSpy.exe.B
SennaSpy.lnk
SennaSpy.txt
Seppeto
SystemTools
ViewFiles
XSample.vbs
XSample.vbs.inf
XSample.vbs.ini
XSample.vbs.lnk.A
XSample.vbs.lnk.B
XSample.vbs.lnk.C
XSample.vbs.lnk.D
XSample.vbs.lnk.E
XSample.vbs.lnk.F
XSample.vbs.mp3
Zed-Macro
ZeroTolerance.A
ZeroTolerance.B
Source : http://virusindonesia.com/