-->

Virus Aurell Virus Setengah Mateng

   

Tak hanya telur yang biasanya memiliki sebutan ‘setengah matang’, saat memasaknya, virus yang satu ini juga setengah matang, terlihat seakan pembuat virus ini tidak serius dalam menyelesaikan pembuatan virusnya. Bagaimana mungkin bisa demikian, kita simak tingkah laku virus yang satu ini.


Karakteristik Virus
Dibuat menggunakan: VB.
Nama: ILoveU.exe
Ukuran: 216 KB (221,184 bytes)

Aksi Virus
Virus ini akan mengcopykan dirinya ke direktori utama / root disk yang sedang aktif dengan nama masing-masing:
  • ADIS
  • AUDI
  • INDAH
  • NITA
  • SINTA
  • SOVIA
  • WILDA
Letaknya pada C:\, D:\, E:\, atau seterusnya selama ia menemukan disk  drive aktif, baik itu harddisk maupun USB Flashdisk.
Tentunya tak hanya pada lokasi tersebut, yang terlalu mudah untuk ditemukan, virus ini juga memberbanyak dirinya dan ditanamkan pada folder / direktori Start Up-nya Start Menu dan pada direktori Application Data.
Pada lokasi yang sama juga virus ini mengcopykan engine VB (msvbvm60.dll / Visual Basic Virtual Machine) dengan nama sys.dll
Tak hanya mengcopykan dirinya sendiri, virus ini juga memiliki ‘virus anakan’ dengan nama “007.vbs”. Ya dari namanya memang sudah terlihat bahwa ini file VBS, namun source code didalamnya tidak mudah dibaca untuk dianalisa apa saja yang dilakukannya, karena memang source code-nya telah dienkripsi oleh pembuat virusnya.

Sampai sejauh ini, sepertinya pembuat virus ini sudah ‘matang’ kok membuat virusnya, terlihat dari file VBS yang dienkripsi sebelum dia menyebarkan virusnya. Dan memang secara praktik virus ini tidak memblokir akses ke Regedit ataupun Task Manager, namun secara teknis saat user mencoba mengakses Regedit ataupun Task Manager, maka kedua proses tersebut akan seketika (beberapa detik kemudian) tertutup sendiri, yang memang adalah bagian dari proses yang akan di-kill virus. Adapun daftar nama jendela proses yang akan di-kill virus antara lain:
  • Process Exporer
  • Registry  Editor
  • Task Manager
  • Command Prompt
  • MSConfig
  • Jendela direktori root USB Flashdisk (tidak termasuk sub-direktori)
  • *Entah jendela apa lagi selainnya….

Hmm…, lalu, di mana yang kurang matangnya itu?
Nah, terlihat pada gambar tersebut virus telah menambahkan nilai Registry-nya dengan nama “Epson”, namun tidak ada parameter yang menyatakan berbahaya, atau parameter pemanggil agar virus aktif saat komputer menyala mungkin? Namun tidak ada.
Satu lagi.
Terlihat nilai Registry yang ditulis virus ini sama dengan nama yang ada pada gambar di atas, saat virus mengopykan diri.
Tidak seperti virus yang ‘matang’ pada umumnya, yang membuat nilai pada Registry untuk memacu virus saat komputer dinyalakan, sehingga Registry yang dibuat virus ini memang tidak dibaca oleh Smadav. :)

Pembersihan Virus
Bagi yang terkena virus ini, silakan download Smadav (Rev. 9.5.3 saat artikel ini ditulis) pada situs resmi Smadav: www.smadav.net
Sumber : Viruslokal.com

« Newest
Newer Posts
Oldest »
Older Posts
Note: Only a member of this blog may post a comment.