Search the web
Sign In
New User? Sign Up
vaksin · Mailing List Vaksin.com
  • Members Only
  • Post
  • Promote
  • Groups Labs (Beta)
? Already a member? Sign in to Yahoo!

Yahoo! Groups Tips

Did you know...
Want to share photos of your group with the world? Add a group photo to Flickr.

Best of Y! Groups

   Check them out and nominate your group.
Having problems with message search? Fill out this form to ensure your group is one of the first to be migrated to the new message search system.

Messages

   Messages Help
Message #
Search:
Advanced
VBS/Cryf.A, Shemale by CRY Virus yang "menggendong" CD Rom anda   Message List  
Reply | Forward Message #686 of 711 |

http://vaksin.com/2009/0709/Cryf/Cryf.html

 

Share on Facebook  

VBS/Cryf.A

Virus canggih yang “Tak Gendong” CD Rom selalu terbuka

 

Di dunia virus lokal, bahasa pemrograman yang menjadi “Cinta Terlarang” adalah Visual Basic. Tetapi rupanya bukan hanya Visual Basic saja yang bisa dijadikan sebagai program untuk membuat virus. Berikut ini Vaksincom memberikan satu virus lokal yang sedang mengganas di Indonesia dan selain tidak menggunakan bahasa “terlarang” Visual Basic melainkan VBS, virus ini memiliki banyak sekali kecanggihan seperti mengenkripsi kodenya, merekayasa file virus menjadi file video dan menyebabkan CD / DVD Rom anda terbuka terus dan kalau anda tutup akan terbuka lagi, sampai korbannya akan bertanya “What this is ??”. Kalau di ranah musik pop, virus yang satu ini ibaratnya lagu Tak Gendong yang lagi ngetop. Tertarik ? ... Follow me .... okay :P.

 

Virus lokal tidak selalu dibuat dengan menggunakan program Visual Basic, sudah banyak virus lokal yang dibuat dengan menggunakan program bahasa lain yang tentunya mempunyai efek yang cukup berbahaya, contohnya program VBS, walaupun virus ini “hanya” dibuat dengan menggunakan program VBS tetapi aksi yang dilakukan cukup “menegangkan” juga.

 

Harap Waspada, saat ini telah beredar salah satu virus yang dibuat dengan menggunakan VBS, saat ini penyebarannya masih di kawasan Jogjakarta [jadi bisa ditebak kira-kira asal dari virus ini). Tidak seperti kebanyakan Virus made in VBS, kali ini ia akan mengenkripsi code nya sehingga tidak mudah untuk di baca.

 

Dengan update terbaru Norman Security Suite mendeteksi virus ini sebagai VBS/Cryf.A (lihat gambar 1 dan 2)

 

http://vaksin.com/2009/0709/Cryf/VBSCryf_A_html_m29e65588.png

Gambar 1, Hasil deteksi Norman Security Suite

 

http://vaksin.com/2009/0709/Cryf/VBSCryf_A_html_111a4cd7.png

Gambar 2, File induk VBS/Cryf.A

 

Ciri komputer yang “Tak Gendong” oleh VBS/Cryf.A

Komputer yang terinfeksi VBS/Cryf.A mudah dikenali dengan beberapa jejak yang ditinggalkannya, diantaranya:

·         Pada saat komputer pertama kali dinyalakan, akan muncul program [Internet Explorer] yang menampilkan sosok yang cukup “menyeramkan”, tetapi kelihatannya bukan gambar Mbah Surip :P (lihat gambar 3)

http://vaksin.com/2009/0709/Cryf/VBSCryf_A_html_2b925e9d.png

Gambar 3, Jendela Internet Explorer yang akan ditampilkan saat komputer dinyalakan

·         Merubah halaman utama [start page] program [Internet Explorer] untuk menjalankan file yang berada didirektori [C:\WINDOWS\windows.html] yang berisi pesan dari pembuat virus. (lihat gambar 4)

http://vaksin.com/2009/0709/Cryf/VBSCryf_A_html_7e123b72.png

Gambar 4, Halaman utama yang sudah diubah oleh virus

·         Ada folder “Album BOKEP” di setiap drive dan Flash Disk yang isinya seakan-akan file movie porno yang sebenarnya merupakan file virus yang siap “menggendong” komputer anda bila anda jalankan.

·         Merubah nama organisasi dan nama pemilik Windows menjadi Registered to CRY Shemale (lihat gambar 5)

http://vaksin.com/2009/0709/Cryf/VBSCryf_A_html_me8d5a86.png

Gambar 5, Nama organisasi dan nama pemilik windows yang sudah diubah oleh virus

·         Merubah type file Shortcut” [.lnk] mejadi “Movie Clip” yang sebenarnya adalah suatu rekayasa sosial yang cukup cerdik sehingga korbannya akan mengira file virus “.lnk” adalah file film. (lihat gambar 6)

http://vaksin.com/2009/0709/Cryf/VBSCryf_A_html_5730351d.png

Gambar 6, Type file [lnk] diubah menjadi “Movie Clip

 

Ciri-ciri File Virus

File induk VBS/Cryf.A ini mempunyai nama [drvconfg.drv] dengan ukuran file sebesar 218 KB, file ini mempunyai ekstensi [.drv] dan mempunyai type file sebagai “device driver”, file ini akan di enkipsi sehingga kode virusnya tidak mudah di baca.

 

Pada saat file virus di jalankan, pertama kali yang akan di lakukan adalah memanggil file [svchost.vbs] yang sudah di ekript yang berada di direktori [%Driver%:\Recycled\S-1-5-21-343818398-18970151121-842a92511246-500\Thumbs.db]. Kemudian file [svchost.vbs] ini akan menjalankan file utama virus yakni file [drvconfg.drv], file inilah yang berisi runtime untuk menginfeksi dan menanamkan aksi-aksi lain nya di dalam komputer target. (lihat gambar 6 dan 7)

 

http://vaksin.com/2009/0709/Cryf/VBSCryf_A_html_46879761.png

Gambar 6, File shortcut virus yang akan mengaktifkan file [svchost.vbs]

 

http://vaksin.com/2009/0709/Cryf/VBSCryf_A_html_m21ca8580.png

Gambar 7, File induk virus

 

Pada saat user menjalankan dirinya, VBS/Cryf.A akan memanggil program [Windows Media Player] seperti yang terlihat pada gambar 8 dibawah ini :

 

http://vaksin.com/2009/0709/Cryf/VBSCryf_A_html_m668b8792.png

Gambar 8, VBS/Cryf.A membuka program Windows Media Player saat dijalankan

 

Kemudian akan membuat beberapa file induk yang salah satunya akan dijalankan saat komputer dinyalakan:

·         %Drive%:\Recycled\S-1-5-21-343818398-18970151121-842a92511246-500\Thumbs.db

o    svchost.vbs

o    desktop.ini

o    drvconfg.drv

o    SHELL32.dll

·         C:\windows

o    appsys.exe

o    Winupdt.scx

o    appopen.scx

o    Windowsopen.mht

o    Windows.html

o    Regedit.exe.lnk

o    Help.htm

·         C:\Windows\system\svchost.exe

·         C:\WINDOWS\system32

o    Svchost.dls

o    Corelsetup.scx

o    Appsys.dls

o    Kernel32.dls

o    Taskmgr.exe.lnk

·         C:\WINDOWS\system32\

o    Winupdtsys.exe

o    ssmarque.scr

·         C:\Program Files\FarStone\qbtask.exe

·         C:\Program Files\ACDsee\Launcher.exe

·         C:\Program Files\Common Files\NeroChkup.exe

·         C:\Program Files\ExeLauncher

·         %ProgramFiles%\drivers\VGA\VGAdrv.lnk

·         C:\Documents and Settings\Elvina\Desktop\Local Disk (C).dls

Catatan:

%Drive% adalah lokasi Drive (contoh: C:\ atau D:\]

%Program Files adalah [C:\Program Files]

Agar file tesebut dapat dijalankan secara otomatis pada saat komputer aktif, ia akan membuat beberapa string pada registry berikut:

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

o    ACDsee = c:\Program Files\ACDsee\Launcher.exe

o    CorelSetup = C:\WINDOWS\system32\Corelsetup.scx

o    updtsystem = C:\WINDOWS\system32\Winupdtsys.exe

o    VGAdriver = %ProgramFiles%\drivers\VGA\VGAdrv.lnk

o    VirtualCD Task = c:\Program Files\FarStone\qbtask.exe

o    WinSystem = c:\Windows\Windowsopen.mht

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

o    Shell = explorer.exe, c:\windows\system\svchost.exe c:\windows\WinUpdt.scx

o    Userinit = C:\WINDOWS\system32\userinit.exe, c:\windows\system\svchost.exe c:\windows\WinUpdt.scx

·         HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

o    NeroFilterCheck = c:\Program Files\Common Files\NeroChkup.exe

·         HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main

o    Start Page = C:\WINDOWS\windows.html

Untuk file induk virus yang mempunyai ekstensi [SCX] dan [DLS], agar file tersebut dapat dijalankan, ia akan membuat registry di bawah ini. Agar file tersebut dapat dijalankan ia akan memanfaatkan file [C:\Windows\System32\wscript.exe]

·         HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scxfile

o    [Default] = VBScript Script File

·         HKEY_LOCAL_MACHINE\SOFTWARE\Classes\scxfile\shell\open\command

o    [Default] = %SystemRoot%\System32\wscript.exe %1

·         HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dlsfile

o    [Default] = VBScript Script File

·         HKEY_LOCAL_MACHINE\SOFTWARE\Classes\dlsfile\shell\open\command

o    [Default] = %SystemRoot%\System32\wscript.exe %1

Untuk mempertahankan eksistensinya ia akan mencoba untuk blok beberapa fungsi windows seperti :

·         Task Manager

·         Regedit

·         CMD

·         MSCONFIG

·         Tidak dapat merubah Wallpaper

Untuk melakukan hal tersebut, ia akan membuat beberapa string pada registry berikut:

·         HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop

·         NoChangingWallpaper

·         HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

·         nobandcustomize

·         nochangestartmenu

·         NoDriveAutoRun

·         NoDrivetypeautorun

·         NoFileAssociate

·         nosavesettings

·         NOTOOLBARCUSTOMIZE

·         NoRecycleFiles

·         HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

·         DisableCMD

·         DisableRegistryTools

·         DisableTaskMgr

·         NoDispScrSavPage

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer

·         NoDriveAutoRun

·         NoDriveTypeAutoRun = 95

Selain dengan membuat registry di atas, agar user tidak dapat menjalankan fungsi Regadit/Task Manager/CMD atau MSConfig, ia akan menyembunyikan file tersebut [regedit.exe, tskmgr.exe. cmd.exe dan MSConfig.exe] dan sebagai gantinya ia akan membuat file yang sama bedanya ia akan mempunyai dua ekstensi yakni [.exe.lnk], antara file “gadungan” dan file asli akan mempunyai icon yang sama. Jika user mencoba untuk memanggil salah satu fungsi Windows tersebut maka akan muncul pesan error berikut (lihat gambar 9 dan 10) :

 

http://vaksin.com/2009/0709/Cryf/VBSCryf_A_html_5d535b26.png

Gambar 9, Pesan error saat menjalankan salah satu fungsi Windows

http://vaksin.com/2009/0709/Cryf/VBSCryf_A_html_5730351d.png

Gambar 10, File gadungan [regedit.exe.lnk] yang dibuat oleh virus

 

Tetapi jika user mencoba untuk langsung menjalankan file “gadungan” yang telah dibuat oleh virus sebagai pengganti file asli yang telah disembunyikan [contoh: regedit.exe.lnk] maka secara otomatis akan menjalankan file virus yang berada di direktori [C:\WINDOWS\system32\svchost.dls].

 

Selain itu ia juga akan melakukan Debugger terhadap ketiga fungsi windows tersebut untuk menjalankan file virus [C:\WINDOWS\appsys.exe] dengan membuat string pada registry berikut:

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CMD.exe

§  Debugger = C:\WINDOWS\appsys.exe

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe

§  Debugger = C:\WINDOWS\appsys.exe

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe

§  Debugger = C:\WINDOWS\appsys.exe

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedt32.exe

§  Debugger = C:\WINDOWS\appsys.exe

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TaskMgr.exe

§  Debugger = ntsd –d

·         HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\Environment

§  ComSpec = %SystemRoot%\system32\cmd.exe, c:\windows\system\svchost.exe c:\windows\WinUpdt.scx

·         HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Session Manager\Environment

§  ComSpec = %SystemRoot%\system32\cmd.exe, c:\windows\system\svchost.exe c:\windows\WinUpdt.scx

·         HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Environment

§  ComSpec = %SystemRoot%\system32\cmd.exe, c:\windows\system\svchost.exe c:\windows\WinUpdt.scx

 

Selain blok fungsi windows, ia juga akan blok beberapa tools security khususnya antivirus lokal seperti PCMAV atau ANSAV. VBS/Cryf.A juga akan melakukan Debugger terhadap program yang telah ditentukan dengan membuat string pada registry berikut :

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\viremoval.exe

§  Debugger = C:\WINDOWS\appsys.exe

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Winupdtsys.exe

§  Debugger = C:\windows\system\svchost.exe "c:\windows\system32\kernel32.dls"

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\tasklist.exe

§  Debugger =

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe

§  Debugger = ntsd –d

·         HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NeroChkup.exe



(Message over 64k, truncated.)
Wed Jul 15, 2009 7:14 am

Show Message Option
vaksincom
Offline Offline
Send Email Send Email

Attachment
image011.png
Type:
image/png
Attachment
image012.png
Type:
image/png
Attachment
image013.jpg
Type:
image/jpeg
Attachment
image014.jpg
Type:
image/jpeg
Attachment
image015.jpg
Type:
image/jpeg
Attachment
image016.png
Type:
image/png
Attachment
image017.jpg
Type:
image/jpeg
Attachment
image018.jpg
Type:
image/jpeg
Attachment
image019.png
Type:
image/png
Attachment
image020.jpg
Type:
image/jpeg
Attachment
image021.png
Type:
image/png
Attachment
image022.png
Type:
image/png
Attachment
image023.jpg
Type:
image/jpeg
Forward 		Message #686 of 711 |
Expand Messages Author Sort by Date

http://vaksin.com/2009/0709/Cryf/Cryf.html Share on Facebook <http://www.facebook.com/share.php?u=%3Chttp://vaksin.com/2009/0709/Cryf/Cry f.html%3E> VBS/Cryf.A... 		Alfons Tanujaya
vaksincom
Offline Send Email 		Jul 15, 2009
7:33 am
< Prev Topic  |  Next Topic >
Message #
Search:
Advanced
Copyright © 2009 Yahoo! Inc. All rights reserved.
Privacy Policy - Terms of Service - Guidelines - Help