Bagaimana Ia Menginfeksi?
Saat file virus ini dieksekusi, maka ia sebelumnya akan mendekrip tubuhnya sendiri. Enkripsi yang digunakan sangat sederhana, yakni hanya memajukan setiap huruf sebanyak 10 karakter. Tentu saja untuk mendekripnya, kita hanya memundurkan setiap huruf tersebut. Dan salah satu kelemahan dari virus berbasis VBScript adalah kita dapat dengan mudah melihat source code atau script dari virus tersebut dengan mudah, dienkripsi sekalipun. Virus ini akan membuat fi le induk di rinya pada direktori Windows dengan nama kernel32dll.vbs, tukul.jpg.vbs, dan kembali_ ke_laptop.vbs dengan attribut hidden. Cerdiknya, ia pun meng-copy-kan file wscript.exe dengan nama lain yang menyerupai fi le system Windows yakni smss.exe, dan menjalankan virusnya melalui fi le ini. Pembuatnya sepertinya memang menyadari bahwa VBScript memang mudah untuk dilumpuhkan, cukup dengan mematikan process wscript.exe di memory. Namun, karena file ini tidak menjalankan fi le wscript.exe melainkan fi le smss.exe, jadi yang harus dimatikan dari memory adalah file smss. exe. Awas, jangan salah mematikan process, karena bisa menyebabkan sistem crash. Selain di direktori Windows, ia pun akan meng-copy-kannya pada folder yang ia temukan namun tidak rekursif, artinya ia tidak meng-copy-kan pada subfolder di bawahnya.
Bantai Registry!
Seperti yang terlihat pada function Bantai_Reg yang ada di source code virus tersebut, ia melakukan cukup banyak perubahan pada registry. Contohnya mengalihkan setiap aksi eksekusi dari beberapa tipe extension .exe, .lnk, .pif, agar sebelumnya menjalankan fi le kernel32dll.vbs seperti yang terlihat pada registry “C:\WINDOWS\smss.exe C:\WINDOWS\ kernel32dll.vbs “%1””. Dan yang utama seperti kebanyakan virus melakukannya adalah membuat item Run baru di registry agar ia dapat aktif otomatis saat memulai Windows pada modus normal ataupun safe-mode, yakni dengan nama “System” yang mengarah kepada fi le induk virus dan “svchost.exe” yang mengarah kepada fi le pesan dari virus ini. Jadi setiap memulai Windows, selain virusnya aktif, pesan dari sang virus pun akan muncul. Untuk menyamarkan dirinya, ia mengubah tipe dari fi le .VBS dari “VBScript Script File” menjadi “Image File” dan mengubah icon standar menjadi sebuah icon fi le gambar. Juga mengubah fi le gambar wallpaper Anda menjadi “Prairie Wind.bmp”. Beberapa setting-an Internet Explorer pun tidak luput dari perhatiannya. Halaman default ia ubah menjadi ke \%Windows%\tukul. html. Jadi saat Anda menjalankan Internet Explorer, maka pesan dari virus ini yang kali pertama muncul. Background dari Toolbar Explorer pun ia ubah gambarnya. Dan satu lagi Title Internet Explorer ia ubah menjadi “TuKuL_NDESO”. Untuk memperlemah pertahanan system tersebut, virus ini pun melakukan pemblokiran pada beberapa fasilitas Windows seperti System Restore, Command Prompt, Find, Folder Options, Run, Regedit, dan Task Manager. Ia pun meniadakan fasilitas klik kanan dan menngeset Folder Options agar tidak menampilkan fi le dengan attribute hidden dan menyembunyikan extension untuk beberapa file.
Menyebar agar “Terkenal”
Virus ini dapat menyebar melalui beberapa perantara, seperti storage devices contohnya fl ash disk, sharing directory, mIRC, dan email. Ia membuat beberapa file autorun.inf dengan attribut hidden dan beberapa file pendukung autorun lainnya di drive fl ash drive yang terpasang pada komputer Anda. Ia pun membuat script untuk mIRC Anda agar menarik minat lawan bicara untuk menjalankan virus ini. Dan dengan memanfaatkan MAPI Outlook, ia mencoba untuk mengirimkan dirinya ke alamat yang ada pada address book Anda. Jadi, selalu waspada terhadap setiap e-mail yang mampir ke inbox. Virus ini pun akan men-sharing setiap drive yang terpasang di komputer Anda agar pengguna lain di jaringan tergoda untuk mengaksesnya, dan ia pun dapat mengkopikan dirinya pada folder yang di-sharing dengan nama seperti kembali_ke_laptop.jpg. vbs, JULIA PEREZ NUDE.jpg.vbs, dan TUKUL BUGIL.jpg.vbs.
Automatic Update
Virus VBScript yang satu ini memang tidak bisa dipandang remeh. Tak tanggung-tanggung, sang pembuatnya menambahkan fi tur Automatic Updates pada virusnya. Ia akan memantau alamat ini http://geocities.com/tukulndeso0907/ update.txt, jika terdapat updatean yang lebih baru, maka akan di-download dan ditaruh pada direktori Windows dengan nama update.sys, dan membandingkan versinya dengan yang sudah ada. Jika berbeda, maka varian yang lama tersebut akan digantikan dengan yang baru itu.
Merusak Dokumen
Kenakalan virus ini tidak sampai di situ, karena ia akan mencari fi le Microsoft Word pada komputer Anda, setelah ditemukan ia akan diam–diam memasukan kata–kata seperti “Tukul NDESO” dan mencoba mereplace setiap kata “Anda” menjadi “Elo”, “Saya” menjadi “Gua”, dan “Tidak” menjadi “Kagak”.
Virus Defense
Untuk lebih membatasi ruang gerak user, ia memblokir akses ke beberapa situs tertentu dengan mengubah isi dari fi le hosts milik Windows. Situs tersebut adalah friendster, google, vaksin.com, dan beberapa situs lainnya. Saat ia aktif di memory, ia akan terus memonitor apa yang Anda lakukan. Se perti program apa saja yang Anda akses. Jika nama fi le program tersebut mengandung kata–kata tertentu seperti contohnya anti, kill, hijack, reg, atau vir, maka sebuah kotak pesan berjudulkan “ANTIexe Manager” akan muncul yang memberitahukan bahwa akses tersebut telah diblokir oleh Administrator. Setelah menampilkan kotak pesan tersebut, maka program yang akan kita jalankan tadi akan dihapusnya. Hal mudah untuk mengetahui apakah komputer Anda terinfeksi oleh virus ini atau tidak, yaitu bisa dengan melihat status informasi Registered Owner dan Organization pada komputer terinfeksi. Pada komputer yang terinfeksi, nama pemilik komputer tersebut akan diubah menjadi “TUKUL NDESO”, dan organisasinya menjadi “tukul tur keliling dunia”.
Pencegahan dan Pembasmian
PCMAV RC20 telah dapat membasmi virus ini secara tuntas dan akurat 100%. Berbagai setting-an Windows yang telah ia ubah akan dikembalikan seperti semula oleh PCMAV. Untuk dokumen Microsoft Word yang telah ia modifikasi, silakan Anda ubah kembali secara manual dengan mereplace kata–kata tadi.
PCMAV RC20 Bisa Di Download Disini
Originaly Posted By PCMEDIA
No comments:
Post a Comment