Silver Fox. Demikian pembuat worm ini menyebut dirinya. Nama ini muncul pada tubuh worm yang diberi nama "[SabOtagE : PROTOTYPE]". Sesuai namanya, worm batch script ini selalu mencoba melakukan sabotase ke komputer yang berhasil diinfeksinya.
Worm Sabotage dibuat menggunakan batch script yang biasanya memiliki akhiran ".bat". Sadar akan kelemahannya yang menggunakan batch script, si pembuat mencoba menyamarkannya menjadi sebuah file dengan binary berekstensi ".exe" menggunakan bantuan tool Quick Batch Compiler.Sabotage sendiri memiliki ukuran tubuh asli sebesar 9,323 bytes. Namun setelah dibundel, ukurannya membengkak menjadi 61,952 bytes, atau lebih besar 6 kali dari aslinya. Mungkin karena merasa terlalu besar, sang serigala mencoba mengecilkan programmnya menggunakan PE kompresor. Alhasil, ukurannya berubah menjadi 39,424 bytes saja.
Agar penggunanya tertipu, worm ini menggunakan ikon kompresi Winrar sehingga (seolah-olah) terlihat sebagai file arsip yang tidak berbahaya. Oleh Antivirus InfoKomputer (AVI), worm ini dideteksi sebagai BAT/Sabotage.fox
Aksi yang dilakukan
Ketika pertama kali aktif, worm akan mencoba mengganti nama file "msvbvm60.dll" yang ada di direktori Windows dengan nama acak. Penting diketahui, file ini sangat dibutuhkan oleh program yang dibuat menggunakan aplikasi Visual Basic (VB) agar bisa berjalan.
Kemungkinan, maksud perubahan nama ini adalah agar semua aplikasi yang dibuat menggunakan VB tidak dapat dijalankan, termasuk worm, virus, atau bahkan antivirus. Bukti kebenciannya dengan antivirus dan program yang dibuat menggunakan VB terlihat jelas ketika worm ini mencoba membunuh (kill) proses aktif yang menggunakan runtime "rtpmain.dll", "rtpsvc.dll", dan "msvbvm60.dll". Lucunya, kedua runtime tadi memang digunakan oleh salah satu antivirus lokal lain yang beredar di Indonesia.
Setelah itu, worm akan mencoba men-share direktori root (C:\) dengan izin unlimited, alias kontrol yang memungkinkan semua pengguna melakukan baca, tulis, hapus semua file di direktori C:.
Selain itu, agar worm tetap aktif semenjak komputer dihidupkan, sang serigala akan mencoba membuat beberapa entry startup dengan nama "WinSystem" dan "MIcrosoft Update Manager". Tidak cukup sampai di situ, sang pembuat juga menambahkan entry di "HKLM\SYSTEM\CONTROLSET001\CONTROL\SAFEBOOT" agar worm tetap aktif dalam Safe Mode.
"Cakaran" lain sang serigala adalah membuat file pada %systemroot%\prototype.log yang berisi teks "UNILA", sekaligus melakukan blokir ke beberapa alamat website seperti www.jasakom.com, www.unila.ac.id, www.vaksin.com, www.ansav.com, dan lainnya.
Penanggulangan
Untuk menanggulangi worm yang sudah mensabotase PC Anda, cukup jalankan AVI versi terakhir yang bisa di temukan di laman update AVI ini. Agar pembersihan dilakukan maksimal, lakukanlah scanning secara offline yaitu dengan men-scan harddisk terinfeksi pada PC yang belum terinfeksi. Terakhir, agar PC Anda senantiasa aman dari worm ini, pasanglah AVI sebagai realtime protector di komputer. (Muqorrobien MF)
Karakteristik worm BAT/Sabotage.fox
Worm Sabotage dibuat menggunakan batch script yang biasanya memiliki akhiran ".bat". Sadar akan kelemahannya yang menggunakan batch script, si pembuat mencoba menyamarkannya menjadi sebuah file dengan binary berekstensi ".exe" menggunakan bantuan tool Quick Batch Compiler.Sabotage sendiri memiliki ukuran tubuh asli sebesar 9,323 bytes. Namun setelah dibundel, ukurannya membengkak menjadi 61,952 bytes, atau lebih besar 6 kali dari aslinya. Mungkin karena merasa terlalu besar, sang serigala mencoba mengecilkan programmnya menggunakan PE kompresor. Alhasil, ukurannya berubah menjadi 39,424 bytes saja.
Agar penggunanya tertipu, worm ini menggunakan ikon kompresi Winrar sehingga (seolah-olah) terlihat sebagai file arsip yang tidak berbahaya. Oleh Antivirus InfoKomputer (AVI), worm ini dideteksi sebagai BAT/Sabotage.fox
Aksi yang dilakukan
Ketika pertama kali aktif, worm akan mencoba mengganti nama file "msvbvm60.dll" yang ada di direktori Windows dengan nama acak. Penting diketahui, file ini sangat dibutuhkan oleh program yang dibuat menggunakan aplikasi Visual Basic (VB) agar bisa berjalan.
Kemungkinan, maksud perubahan nama ini adalah agar semua aplikasi yang dibuat menggunakan VB tidak dapat dijalankan, termasuk worm, virus, atau bahkan antivirus. Bukti kebenciannya dengan antivirus dan program yang dibuat menggunakan VB terlihat jelas ketika worm ini mencoba membunuh (kill) proses aktif yang menggunakan runtime "rtpmain.dll", "rtpsvc.dll", dan "msvbvm60.dll". Lucunya, kedua runtime tadi memang digunakan oleh salah satu antivirus lokal lain yang beredar di Indonesia.
Setelah itu, worm akan mencoba men-share direktori root (C:\) dengan izin unlimited, alias kontrol yang memungkinkan semua pengguna melakukan baca, tulis, hapus semua file di direktori C:.
Selain itu, agar worm tetap aktif semenjak komputer dihidupkan, sang serigala akan mencoba membuat beberapa entry startup dengan nama "WinSystem" dan "MIcrosoft Update Manager". Tidak cukup sampai di situ, sang pembuat juga menambahkan entry di "HKLM\SYSTEM\CONTROLSET001\CONTROL\SAFEBOOT" agar worm tetap aktif dalam Safe Mode.
"Cakaran" lain sang serigala adalah membuat file pada %systemroot%\prototype.log yang berisi teks "UNILA", sekaligus melakukan blokir ke beberapa alamat website seperti www.jasakom.com, www.unila.ac.id, www.vaksin.com, www.ansav.com, dan lainnya.
Penanggulangan
Untuk menanggulangi worm yang sudah mensabotase PC Anda, cukup jalankan AVI versi terakhir yang bisa di temukan di laman update AVI ini. Agar pembersihan dilakukan maksimal, lakukanlah scanning secara offline yaitu dengan men-scan harddisk terinfeksi pada PC yang belum terinfeksi. Terakhir, agar PC Anda senantiasa aman dari worm ini, pasanglah AVI sebagai realtime protector di komputer. (Muqorrobien MF)
Karakteristik worm BAT/Sabotage.fox
Tipe | Batch Script |
Kompiler/Deployer | Quick Batch Compiler |
Packer | UPX |
Ukuran | 39,424 bytes |
Penyebaran | USB, Network, other offline media |
0 comments:
Post a Comment