geolocation database
THIS BLOG WILL GET A GOOD VIEW IF YOU USE OPERA 9.64 OR SAFARI 4.0 WITH THE NEW FLASH PLAYER.

ABANG HACKER TOOLBAR (New)

toolbar powered by Conduit

Abang hacker telah meluncurkan layanan baru di blog ini, yaitu "ABANG HACKER TOOLBAR" gratis untuk Anda download dan install di browser web Anda. Tujuan dari layanan toolbar ini adalah agar Anda dapat lebih mudah mengakses berita - berita di blog ini secara langsung. Untuk mencobanya, silahkan klik link banner di atas untuk mendownloadnya !.

IKLAN / PROMO

Review: AVI (Antivirus InfoKomputer) Hajar Worm Shortcut


Pernahkan anda menemukan komputer Anda tiba-tiba berat dan banyak sekali ditemukan
sampah berupa shortcut dengan nama-nama seperti Mocrosoft.lnk, SuratQ.lnk, New Harry Potter, dan .lnk lainnya? Apabila jawabannya ya, berarti komputer Anda telah terinfeksi worm VBS/Yuyun.A atau juga dikenal sebagai worm shortcut. Worm yang menamakan diri VBS/Yuyun.A ini merupakan salah satu malware yang sedang aktif menjalar dan telah tersebar luas di Indonesia. VBS/Yuyun.A akan menginfeksi komputer dengan cara menggandakan dirinya di setiap drive, media terpasang, dan di setiap direktori bagi pakai (shared directory). Worm ini juga akan membuat hardisk pengguna komputer dipenuhi dengan shortcut dan pesan-pesan payload di setiap drive dan subdirektorinya.

Teknik infeksi yang digunakan cukup unik dan tidak seperti worm-worm VBS lokal lain

pada umumnya. VBS/Yuyun.A secara cerdik menyamarkan file VBS dengan nama menyerupai file thumbnail image cache-nya Windows 'Thumb.db' sehingga tidak tampak mencurigakan. Namun adanya penyamaran ini bukan berarti tanpa akibat, karena nama ini menyebabkan file VBS tersebut tidak dapat dieksekusi secara langsung sehingga akan menyulitkan proses infeksi dan penyebarannya.



Lalu bagaimana vxer–sebutan bagi pembuat virus/worm-tersebut mengatasi hal

ini? Dengan cerdiknya vxer membuat pemicu berupa shortcut yang akan mengeksekusi setiap baris kode worm di dalam 'Thumb.db'. Shortcut tersebut akan memanggil applikasi wscript.exe yang merupakan aplikasi untuk menjalankan file/program VBS dengan cara memparse atau mengintepretasi baris per baris perintah-perintah VBS. Apabila kita amati arah tujuan shortcut tersebut, kita akan mengetahui trik jahat dibalik nama manis Yuyun!. Contoh arah tujuan shortcut yang saya ambil dari salah satu sampel VBS/Yuyun.A adalah:



C:-WINDOWS-system32-wscript.exe //e:VBScript thumb.db "Microsoft"



Untuk mempersulit analisa, worm ini menyembunyikan kode jahat aslinya dengan cara

enkripsi. Algoritma enkripsi yang digunakan adalah home made bit XOR cipher. Karena worm ini dibuat menggunakan VBS, maka kita bisa dengan mudah melihat kode sumbernya dengan menggunakan program editor seperti notepad.



Kita bisa lihat decryptor dari enkripsinya pada baris 36-39:



For v=1 To Len(isiQ)

t=Asc(Mid(isiQ,v,1))

hsl=hsl+Chr(t Xor 7)

Next



Contoh data dalam keadaan terenkripsi:



:::::::::::::::::::::::::::::::::::::::::::::::::::::::

'J~'ifjb'='^r~ri'Qbu'6)7

'N'mrts'pfiif'tbb'bqbu~'`nuk'khhlt'indb+'ebssbu+'lnict'btwbdnfkk~'f'jhtkbj'`nuk

'e~='Fihi~jhrtb'ni'Mfsnj+'Ihqbjebu'577?

'Pobi'N'ahric'ihsoni`'ebfrs~'bktb)))'fic'sobi'N'puhsb'sont'tdunws'ahu'fkk

:::::::::::::::::::::::::::::::::::::::::::::::::::::::



Dan setelah didekripsi menjadi:

'=======================================================

' My name : Yuyun Ver 1.0

' I just wanna see every girl looks nice, better, kinds especially a moslem girl

' by: Anonymouse in Jatim, November 2008

' When I found nothing beauty else... and then I wrote this script for all

'=======================================================



Worm ini akan membuat payload dengan cara menampilkan pesan menggunakan notepad

berisi puisi di setiap tanggal 1 selain bulan Maret. Ketika sampai ke tanggal tersebut, VBS/Yuyun.A akan membuat file-file sampah secara masal di setiap drive dan subdirektori berisi pesan-pesan puisi dengan nama 'Baca AQ.rtf' dan 'My name is yuyun.rtf'.



Langkah ini juga akan memicu shortcut di setiap drive dengan nama-nama berikut:



"New Harry Potter and...", "New Folder", "SuratQ", "Rahasia", "Game", "Zvnita",

"Download", "DataQ","DataQ"

Jadi solusi terbaik untuk membasmi virus ini ya hanya dengan menggunakan AVI (Antivirus Infokomputer).

DOWNLOAD ANTIVIRUS INFOKOMPUTER SEKARANG

Sumber: www.infokomputer.com

0 komentar:

Posting Komentar

DOWNLOAD EVERYTHING HERE...

DOWNLOAD EVERYTHING HERE...
Click the picture to download !

click the picture to try !

Click the picture to try !