Autoit merupakan sebuah bahasa pemrograman scripting basic seperti VBS Script, awalnya Autoit di buat untuk memudahkan para developer software dalam menagani permasalahan secara otomatis, dengan Autoit para pengembang sofware bisa dengan mudah memanipulasi gerakan mouse, tuts keyboard dan windows aplikasi yang berjalan, Dari kemudahan yang ditawarkan oleh Autoit membuat segelintir orang iseng untuk membuat virus menggunakan Autoit, apalagi Autoit menggunakan bahasa basic, mirip seperti Visual Basic, memudahkan para Pembuat virus untuk memperlajari Autoit dengan cepat,
Salah satunya adalah virus Autoit ini, Virus ini dapat menyebar dengan memanfaatkan Aplikasi Instan Messaging seperti Yahoo Messenger, Google Talk, dan Skype. sebenarnya virus ini bukanlah hal baru sebelumnya beberapa tahun yang lalu sudah ditemukan virus yang hampir sama yakni Virus Sohanad, virus Sohanad juga memanfaatkan Yahoo Messenger sebagai media penyebaran, kuat dugaan virus ini masih satu varian dengan virus sohanad, dari beberapa teknik yang dia gunakan hampir sama dengan virus sohanad, yang membedakan hanyalah virus ini dapat menyebar dengan memanfaatkan banyak aplikasi Instan Messaging (YM, Gtalk, Skype).
Karakteristik Virus
Ukuran : 659 Kb
Icon : WebCam
File Version : 3.3.6.1
Dibuat Menggunakan : Autoit v3
Aksi Virus
Saat korban menjalankan file virus, virus akan membuat file induknya di system :
- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = “Explorer.exe “C:\windows\system32_.exe
- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Yahoo Messengger = “C:\windows\system32\system32_.exe”
Duplikat Virus di setiap Drive & Folder
Disetiap drive bisa ditemukan 2 duplikat virus dengan nama :
- New Folder.exe (Attribut Normal)
- system32_.exe (Attribut Hidden)
Disetiap Folder yang terdapat di drive juga tak luput dari serangan virus, kita bisa menemukan duplikat virus ini disetiap folder dengan nama mengikuti folder yang di infeksi, Contoh jika foldernya bernama Data maka duplikat virus akan bernama Data.exe didalam folder tersebut.
Shortcut URL Virus
Virus saat aktif juga menciptakan sebuah shortcut yang mengarah langsung ke website virus, shortcut URL ini bisa kita temuin dibeberapa lokasi dibawah ini :
- %Startup%\Gogle.lnk (http://www.todaygoogle.com)
- %Startup%\Google.lnk (http://www.todaygoogle.com)
- %Desktop%\Sioril.lnk (http://www.sioril.com)
- %MyDocument%\New Jobs info.lnk (http://www.smsopen.com)
- %AppData%\Microsoft\Internet Explorer\Quick Launch\Make Friends.lnk (http://www.sioril.com)
Menyebar Via Instan Messaging
Virus akan memonitoring beberapa Aplikasi Instan Messaging seperti Yahoo Messenger, Google Talk, dan Skype, jika virus menemukan salah satu proses aktif maka secara otomatis virus akan mengendalikan program tersebut, dengan mengirimkan Link Virus ke teman chat kita yang sedang aktif.
Beberapa pesan virus yang akan dikirim antara lain :
- “Hey what are you doing Please test my new webcam using private application %UrlVirus%”
- “Hey Please help me to test my new cam, (use deepika213 as passcode) %UrlVirus%”
- “The wisest mind has something yet to learn %UrlVirus%”
- “Hey Please help me to test my new cam application %UrlVirus%”
- “I was checking out yahoo members ENTER and i saw your page yahoo says you are my top match view my private cam via secured connection Luse password pass %UrlVirus% Waiting for you, view my private cam via secured connection BIN”
- “Happiness is not a destination. It is a method of life %UrlVirus%”
- “View my private cam via secured connection %UrlVirus%”
- “If you want truly to understand something, try to change it %UrlVirus%”
- “asl please I am 21 Female, Mumbai (India) and you Hey View my private cam via secured connection %UrlVirus%”
Kill Process
Berikut beberapa proses yang akan di kill prosenya :
- game_y.exe
- Bkav2006
- System Configuration (Caption)
- Registry (Caption)
- [FireLion] (Caption)
- cmd.exe
Menghapus Semua Restore Point
Agar virus dapat bertahan lama di komputer korban, virus juga menghapus semua restore point yang ada di dalam daftar System Restore, akibatnya apabila korban ingin mengembalikan keadaan komputernya seperti semula, tidak akan bisa karena restore pointnya sudah dihapus oleh virus.
Pembersihan
Download SMADAV revisi terbaru untuk mendeteksi variant virus ini, apabila Smadav belum mendeteksi keberadaan virus ini, gunakan cara” seperti dibawah ini L
- Buka SMADAV, kemudian klik TAB Tools > One Virus By User, di situ akan terlihat file induk virus dengan nama System32_.exe kemudian klik kanan pilih Add As Virus. Lihat contohnya seperti gambar dibawah ini.
- Kemudian menuju ke TAB Scanner pilih Full Scan. Jika sudah tinggal klik tombol SCAN >>
- Tunggu hingga proses scanning selesai, dan terakhir tinggal klik Tombol Bersihkan
Sekarang Kompter bersih dari virus ini, jangan lupa Scan juga semua media penyimpanan yg kamu miliki, seperti Flashdisk dan HD External.
sumber: smadav
0 komentar:
Posting Komentar
-Silahkan tinggalkan komentar agar admin dapat berkunjung balik
-Jika anda follow blog ini,maka blog anda akan segera saya follow
-Blog ini DOFOLLOW jadi silahkan gunakan fasilitas name/URL untuk mendapatkan backlink
-Blog ini tidak menggunakan Kode Verifikasi dan Moderasi
-Silahkan Berkomentar Sesuai isi artikel dengan bahasa yang sopan