Jumat, 27 Juli 2012

Virus autoit menyamar sebagai webcam


Autoit merupakan sebuah bahasa pemrograman scripting basic seperti VBS Script, awalnya  Autoit di buat untuk memudahkan para developer software dalam menagani permasalahan secara otomatis, dengan Autoit para pengembang sofware bisa dengan mudah memanipulasi gerakan mouse, tuts keyboard dan windows aplikasi yang berjalan, Dari kemudahan yang ditawarkan oleh Autoit membuat segelintir orang iseng untuk membuat virus menggunakan Autoit, apalagi Autoit menggunakan bahasa basic, mirip seperti Visual Basic, memudahkan para Pembuat virus untuk memperlajari Autoit dengan cepat,

Salah satunya adalah virus Autoit ini, Virus ini dapat menyebar dengan memanfaatkan Aplikasi Instan Messaging seperti Yahoo Messenger, Google Talk, dan Skype. sebenarnya virus ini bukanlah hal baru sebelumnya beberapa tahun yang lalu sudah ditemukan virus yang hampir sama yakni Virus Sohanad, virus Sohanad juga memanfaatkan Yahoo Messenger sebagai media penyebaran, kuat dugaan virus ini masih satu varian dengan virus sohanad, dari beberapa teknik yang dia gunakan hampir sama dengan virus sohanad, yang membedakan hanyalah virus ini dapat menyebar dengan memanfaatkan banyak aplikasi Instan Messaging (YM, Gtalk, Skype).


Karakteristik Virus


Ukuran : 659 Kb
Icon : WebCam
File Version : 3.3.6.1
Dibuat Menggunakan : Autoit v3

Aksi Virus
Saat korban menjalankan file virus, virus akan membuat file induknya di system :
  • HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = “Explorer.exe “C:\windows\system32_.exe
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Yahoo Messengger = “C:\windows\system32\system32_.exe”
file induk inilah yang digunakan virus untuk aktif di memory saat komputer di hidupkan.

Duplikat Virus di setiap Drive & Folder

Disetiap drive bisa ditemukan 2 duplikat virus dengan nama :
  • New Folder.exe (Attribut Normal)
  • system32_.exe (Attribut Hidden)
Jika menemukan ada nya file mencurigakan seperti diatas dengan ciri” menggunakan ikon WebCam, bisa dipastikan itu adalah virus Autoit, Jangan pernah tertarik untuk membuka file mencurigakan seperti diatas, apalagi dengan ikon seperti itu, banyak pengguna komputer yg terinfeksi virus akibat dari kecerobohan nya  menjalankan file” tak dikenal.

Disetiap Folder yang terdapat di drive juga tak luput dari serangan virus, kita bisa menemukan duplikat virus ini disetiap folder dengan nama mengikuti folder yang di infeksi, Contoh jika foldernya bernama Data maka duplikat virus akan bernama Data.exe didalam folder tersebut.

Shortcut URL Virus

Virus saat aktif juga menciptakan sebuah shortcut yang mengarah langsung ke website virus, shortcut URL ini bisa kita temuin dibeberapa lokasi dibawah ini :

Menyebar Via Instan Messaging
Virus akan memonitoring beberapa Aplikasi Instan Messaging seperti Yahoo Messenger, Google Talk, dan Skype, jika virus menemukan salah satu proses aktif maka secara otomatis virus akan mengendalikan program tersebut, dengan mengirimkan Link Virus ke teman chat kita yang sedang aktif.
Beberapa pesan virus yang akan dikirim antara lain :
  • “Hey what are you doing Please test my new webcam using private application %UrlVirus%”
  • “Hey Please help me to test my new cam, (use deepika213 as passcode)  %UrlVirus%”
  • “The wisest mind has something yet to learn %UrlVirus%”
  • “Hey Please help me to test my new cam application %UrlVirus%”
  • “I was checking out yahoo members ENTER and i saw your page   yahoo says you are my top match        view my private cam via secured connection Luse password pass      %UrlVirus% Waiting for you, view my private cam via secured connection BIN”
  • “Happiness is not a destination. It is a method of life %UrlVirus%”
  • “View my private cam via secured connection %UrlVirus%”
  • “If you want truly to understand something, try to change it %UrlVirus%”
  • “asl please  I am 21 Female, Mumbai (India) and you  Hey View my private cam via secured connection %UrlVirus%”
Virus juga akan menambahkan akun si pembuat virus dengan ID foxjones9 didaftar kontak kita,

Kill Process
Berikut beberapa proses yang akan di kill prosenya :
  • game_y.exe
  • Bkav2006
  • System Configuration (Caption)
  • Registry (Caption)
  • [FireLion] (Caption)
  • cmd.exe

Menghapus Semua Restore Point
Agar virus dapat bertahan lama di komputer korban, virus juga menghapus semua restore point yang ada di dalam daftar System Restore, akibatnya apabila korban ingin mengembalikan keadaan komputernya seperti semula, tidak akan bisa karena restore pointnya sudah dihapus oleh virus.

Pembersihan
Download SMADAV revisi terbaru untuk mendeteksi variant virus ini, apabila Smadav belum mendeteksi keberadaan virus ini, gunakan cara” seperti dibawah ini L
  • Buka SMADAV, kemudian klik TAB Tools > One Virus By User, di situ akan terlihat file induk virus dengan nama System32_.exe kemudian klik kanan pilih Add As Virus. Lihat contohnya seperti gambar dibawah ini.



  • Kemudian menuju ke TAB Scanner  pilih Full Scan.  Jika sudah tinggal klik tombol SCAN >>


  • Tunggu hingga proses scanning selesai, dan terakhir tinggal klik Tombol Bersihkan


Sekarang Kompter bersih dari virus ini, jangan lupa Scan juga semua media penyimpanan yg kamu miliki, seperti Flashdisk dan  HD External.

sumber: smadav

Ditulis Oleh : annash mobilepc // 08.38
Kategori:

0 komentar:

Posting Komentar

-Silahkan tinggalkan komentar agar admin dapat berkunjung balik

-Jika anda follow blog ini,maka blog anda akan segera saya follow

-Blog ini DOFOLLOW jadi silahkan gunakan fasilitas name/URL untuk mendapatkan backlink

-Blog ini tidak menggunakan Kode Verifikasi dan Moderasi

-Silahkan Berkomentar Sesuai isi artikel dengan bahasa yang sopan

 
annash mobilepc. Diberdayakan oleh Blogger.