W32/Email-Worm.Assiral Cacing Kecil Penantang Antivirus

Biar kecil, cacing kecil satu ini akan menonaktifkan proses yang berkaitan dengan antivirus. Kecil-kecil cabe rawit ya?
Berbeda dengan pembahasan-pembahasan mengenai program jahat pada artikel-artikel sebelumnya, kali ini saya tidak sedang membahas program jahat lokal, tetapi program jahat mancanegara yang tidak kalah serunya dengan buatan lokal.

Yang akan dibahas kali ini adalah W32/Email-Worm.Assiral. Ia merupakan program jahat berjenis worm yang datang dari mancanegara dan berukuran tubuh kecil; inilah mengapa saya menyebutnya cacing kecil. Dibuat menggunakan bahasa pemrograman C++, sampai saat ini sudah banyak bermunculan variannya. Nama Assiral sendiri diambil dari nama Larissa yang dibalik, menunjukkan nama yang digunakan pembuatnya untuk memperkenalkan dirinya.

Penyebaran dan Penyerangan

Walaupun kecil, worm ini memiliki kemampuan menyebarkan diri melalui media penyimpanan USB Flash, direktori bagi-pakai (shared directory), dan e-mail. Selain itu dia juga akan mencoba menghajar antivirus dengan cara menghentikan (kill) setiap proses yang memiliki salah satu nama berikut:

AGENTSVR.EXE, ANTI-TROJAN.EXE, ANTIVIRUS.EXE, ANTS.EXE, APIMONITOR.EXE, APLICA32.EXE, APVXDWIN.EXE, ATCON.EXE, ATGUARD.EXE, ATRO55EN.EXE, ATUPDATER.EXE, ATWATCH.EXE, AUPDATE.EXE, AUTODOWN.EXE, AUTOTRACE.EXE, AUTOUPDATE.EXE, AVCONSOL.EXE, AVGSERV9.EXE, AVLTMAIN.EXE, AVPUPD.EXE, AVSYNMGR.EXE, AVWUPD32.EXE, AVXQUAR.EXE, AVprotect9x.exe, Au.exe, BD_PROFESSIONAL.EXE, BIDEF.EXE, BIDSERVER.EXE, BIPCP.EXE, BIPCPEVALSETUP.EXE, BISP.EXE, BLACKD.EXE, BLACKICE.EXE, BOOTWARN.EXE, BORG2.EXE, BS120.EXE, CCAPP.exe, CDP.EXE, CFGWIZ.EXE, CFIADMIN.EXE, CFIAUDIT.EXE, CFINET.EXE, CFINET32.EXE, CLEAN.EXE, CLEANER.EXE, CLEANER3.EXE, CLEANPC.EXE, CMGRDIAN.EXE, CMON016.EXE, CPD.EXE, CPF9X206.EXE, CPFNT206.EXE, CV.EXE, CWNB181.EXE, CWNTDWMO.EXE, D3dupdate.exe, DEFWATCH.EXE, DEPUTY.EXE, DPF.EXE, DPFSETUP.EXE, DRWATSON.EXE, DRWEBUPW.EXE, ENT.EXE, ESCANH95.EXE, ESCANHNT.EXE, ESCANV95.EXE, EXANTIVIRUS-CNET.EXE, FAST.EXE, FIREWALL.EXE, FLOWPROTECTOR.EXE, FP-WIN_TRIAL.EXE, FRW.EXE, FSAV.EXE, FSAV530STBYB.EXE, FSAV530WTBYB.EXE, FSAV95.EXE, GBMENU.EXE, GBPOLL.EXE, GUARD.EXE, HACKTRACERSETUP.EXE, HTLOG.EXE, HWPE.EXE, IAMAPP.EXE, IAMSERV.EXE, ICLOAD95.EXE, ICLOADNT.EXE, ICMON.EXE, ICSSUPPNT.EXE, ICSUPP95.EXE, ICSUPPNT.EXE, IFW2000.EXE, IPARMOR.EXE, IRIS.EXE, JAMMER.EXE, KAVLITE40ENG.EXE, KAVPERS40ENG.EXE.

Daftar nama program antivirus di atas hanyalah sebagian kecil saja, sebenarnya masih sangat banyak demi menghemat halaman maka tidak semua ditulis di sini. Namun jika Anda perhatikan, proses yang dibunuh adalah proses-proses yang berkaitan dengan anti virus. Jadi sepertinya cacing ini ingin menonaktifkan aplikasi antivirus untuk kemudian melakukan penyerangan yang lebih besar.

Selain mencoba menyerang program-program antivirus, worm ini juga mencoba menghajar teman seperjuangannya yakni W32/Worm.Bropia yang memiliki nama lain IM-Worm.Win32.VB.a. W32/Worm.Bropia juga merupakan worm mancanegara yg memiliki kemampuan menyebarkan diri melalui pengirim pesan instan atau Intant Messenger. Inilah mengapa terdapat tanda “IM-Worm” pada awal namanya, tanda yang biasanya diberikan oleh developer antivirus untuk menandai karakteristik suatu program jahat.


Ketika pertama kali berjalan, W32/Email-Worm.Assiral akan membuat penanda dirinya berupa mutex (Mutual Exclusion) dengan nama "-)(-=|L4r1$$4|=-)(-". Perlu diketahui mutex biasanya digunakan untuk singkronisasi antar aplikasi atau thread yg kebanyakan terdapat pada aplikasi multi threading. Namun di sini, mutex digunakan worm Assiral untuk menandai dirinya dengan maksud agar tidak terjadi infeksi ulang (reinfection) pada komputer yg telah terinfeksi.

Demi menjaga dirinya agar tetap berjalan setiap kali komputer dihidupkan, worm ini akan membuat 3 pemicu dengan menambahkan nilai pada alamat registry: HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Kunci registry yang dibuatnya antara lain:

* “MSLARISSA” => mengarah pada: “[system-dir]\MSLARISSA.pif”
* “Command Prompt32” => mengarah pada: “[system-dir]\CmdPrompt32.pif”
* "(L4r1$$4) (4nt1) (V1ruz)" => mengarah pada: “[win-dir]\SP00Lsv32.pif”
* Mencoba membuka browser yang langsung diarahkan ke alamat tujuan “http://roattack.go.ro”.
* Mencoba menyampaikan pesan kepada pengguna dan pembuat antivirus dengan cara menuliskan pesan pada file “C:\MESSAGE_TO_USER.txt”, “C:\MESSAGE_TO_AVs.txt”, dan “C:\MESSAGE_TO_BROPIA.txt” yang berisi:
C:\MESSAGE_TO_USER.txt:
Greetz to infected user!
I will survive
In this moment in time.
Your computer will crash,
So, you will be mine.
I will not crash,
I will not fail.
So, in this moment in time,
I will survive...
– LARISSA AUTHOR

C:\MESSAGE_TO_AVs.txt:
Greetz to AVs!
I wanna be in AV industry when I grow up :-)
  ---------------------------------------- 
       - LARISSA AUTHOR

C:\MESSAGE_TO_BROPIA.txt:
Hey Bropia.. stop making MSN worms it's stupid...
... lol -- Larissa Anti Bropia... -- Saving the world from BROPIA!!!
         - LARISSA AUTHOR

0 comments:

Post a Comment

Popular Posts