vaksin : Message: MaHaDeWA, virus lokal berukuran jumbo

http://vaksin.com/2009/0609/mahadewa/mahadewa.html

VBS.Autorun.AM 8 Juni 2009

MaHaDeWa yang berani tampil beda

Penyebaran virus saat ini tidak selalu “made in” Visual Basic tetapi dengan bahasa sederhana setingkat VBScript [VBS] sang VM sudah dapat membuat sebuah virus yang mempuyai daya serang yang tak kalah dengan virus yang dibuat dengan VB.

Munculnya virus yang dibuat dengan VBS pertama kali ditemukan pada virus W32/Solow [r4n694-24y], yang akan menampilkan pesan “Hacked By Godzilla” pada jendela Internet Explorer anda serta merubah nama pemilik Windows. (lihat gambar 1)

Gambar 1, Header Internet Explorer yang sudah diubah oleh W32/Solow

Jika anda ingin mengethaui informasi virus Solow, ikuti link berikut http://vaksin.com/2007/0407/solow.htm

Sama seperti virus yang dibuat dengan bahasa VB yang tidak akan berkutik jika file C:\Windows\system32\msvbvm60.dll di hapus, begitupun dengan virus yang dibuat dengan bahasa VBS yang juga tidak akan berkutik jika file C:\Windows\system32\WSCript.exe dan C:\WINDOWS\system32\dllcache\WsCript.exe dihapus. Bedanya jika virus yang dibuat dengan VB masih dapat dijalankan jika file msvbvm60.dll dicopy ke tempat dimana file virus tersebut berada sedangkan file virus yang dibuat dengan VBS tidak akan dapat dijalankan meskipun file WSCript.exe di copy ke lokasi dimana file virus tersebut berada.

MaHaDeWa muncul ramaikan pertempuran

Untuk meramaikan kancah pertempuran di dunia maya, kini telah muncul satu jenis virus hasil “rakitan” anak bangsa yang dibuat dengan bahasa VBScript. Kali ini file yang di usung cukup besar dan tidak wajar untuk ukuran virus yakni sekitar 30,426 KB alias 30 MB. Mungkin inilah salah satu sebabnya virus ini menamakan dirinya MaHaDeWa, karena ukurannya yang Maha / Jumbo. (lihat gambar 2)

Biasanya virus yang menyebar saat ini mempunyai ukuran yang lebih ramping sekitar 22 kb - 1 MB, semakin kecil ukuran file virus maka waktu dan tempat yang dibutuhkan oleh virus untuk berkembang biak menjadi semakin kecil sehingga secara otomatis penyebarannya akan lebih mudah dan meluas. Anda bisa membayangkan jika virus tersebut mempunyai ukuran lebih dari 1 MB maka membutuhkan waktu yang lama untuk mengkopikan dirinya kedalam system komputer yang menjadi target sehingga proses penyebarannya pun akan terhambat. Karena itu, memang memerlukan orang yang memiliki pemikiran "agak" berbeda dan berani menerobos pakem biasa dimana daripada menerapkan pakem yang sama bahwa small is wonderful, pembuat virus yang satu ini lebih memilih Big is beautiful :P. Hebatnya, menurut pengamatan Vaksincom, virus MaHaDeWa juga sempat menyebar dengan tingkat infeksi cukup tinggi, walaupun belum sampai menjadi virus Top 10 di Indonesia.

Gambar 2, File induk MaHaDeWa atau VBS/AutoRun.AM yang memiliki ukuran "maha".

Virus ini di sinyalir dibuat oleh salah seorang mahasiswa dari UBL, hal ini bisa dilihat dari script dan jejak yang ditinggalkan oleh virus tersebut.

Ciri-Ciri MaHaDeWa

1. Merubah Judul internet Explorer menjadi MaHaDeWa Labkom UBL (lihat gambar 3)

Gambar 3, MaHaDewa merubah Header Internet Explorer

2. Merubah start page Internet Explorer menjadi http://webkom

3. Merubah nama komputer dan nama pemilik Windows (lihat gambar 4)

a. RegisteredOrganization = Your pc has been clean from Nita Virus by MaHaDeWa

b. RegisteredOwner = MaHaDeWa

Gambar 4, MaHaDewa merubah nama pemilik komputer

o Merubah Walpaper Windows dengan terlebih dahulu membuat string pada registry berikut : (lihat gambar 5)

o HKEY_CURRENT_USER\Control Panel\Desktop

§ ConvertedWallpaper = C:\WINDOWS\Web\Wallpaper\Bliss.jpg"

o HKEY_CURRENT_USER\Control Panel\Desktop

§ OriginalWallpaper = C:\WINDOWS\Web\Wallpaper\Bliss.jpg

o HKEY_CURRENT_USER\Control Panel\Desktop\

§ Wallpaper = C:\WINDOWS\Web\Wallpaper\Bliss.jpg

Gambar 5, Wallpaper yang sudah diubah oleh MaHaDeWa

Norman Security Suite mendeteksi virus MaHaDeWa sebagai VBS.Autorun.AM (lihat gambar 6)

Gambar 6, Virus MaHaDeWa di deteksi Norman Security Suite sebagai Trojan:VBS/AutoRun.AM

File induk MaHaDeWa

Sama seperti file yang dibuat dengan menggunakan program bahasa Visual Basic, agar dirinya dapat di aktifkan ia membutuhkan file pendukung yakni wscript.exe.

Pada saat dirinya aktif ia akan mencoba untuk membuat beberapa file berikut sebagai file induk yang akan dijalankan pertama kali saat komputer diaktifkan.

o C:\Windows\system32\WinXp.vbs

o C:\MaHaDeWa.dll.vbs [setiap drive]

Untuk memastikan agar dirinya dapat aktif secara otomatis setiap kali komputer dinyalakan, ia akan membuat string pada registry berikut:

o HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

o Systemdir = C:\Windows\System32\MaHaDeWa.dll.vbs

o Ageia = C:\WINDOWS\system32\WinXp.vbs

Selain dengan membuat string registry tersebut, agar dirinya dapat aktif secara otomatis saat user akses Flash Disk atau Drive lain di komputer, ia juga akan memanfaatkan fitur autoplay Windows dengan membuat file autorun.inf dimana file ini akan secara otomatis menjalankan file MaHaDeWa.dll.vbs tanpa perlu menjalankan file tersebut. File autorun.inf ini akan dibuat disetiap Drive termasuk pada Flash Disk (lihat gambar 7)

Gambar 7, MaHaDeWa memanfaatkan fitur Autorun.inf agar virus dapat aktif secara otomatis sewaktu Flash Disk di akses

Kawan atau Lawan?

Sebenarnya apa tujuan sang VM membuat virus ini, Apakah MaHaDeWa ini kawan atau Lawan?

Jika kita bongkar isi script yang ada pada file MaHaDeWa.dll.vbs sangat jelas terlihat bahwa dia (VBS/Autorun.AM) ini mempunyai tujuan baik yang akan mencoba untuk mengembalikan registri yang sudah di acak-acak oleh virus sejenis yakni Nita.dll.vbs ataukah antara MaHaDeWa dan Nita ini mempunyai hubungan “khusus”, karena jika kita lihat pada string yang dibuat maka akan membentuk kata-kata N Love You Forever, hanya mereka berdua yang tahu J.

Berikut beberapa registry yang akan dihapus oleh VBS/Autorun.AM