Senin, 05 Desember 2011

Pengertian Dan Cara Kerja Virus Worm ALABAMA

Alabama. Awalnya kami pikir ini hanyalah worm yang sama seperti VB-Shortcut karena menggunakan icon standar aplikasi Visual Basic. Namun setelah kami coba melakukan analisa lebih jauh, rupanya karakteristik worm ini berbeda dengan VB-Shortcut. Terdapat string “ALABAMA” yang terdapat dalam tubuh worm ViewFiles. Apakah mengindikasikan worm ini berasal dari Alabama?


Info Malware

Nama : ViewFiles
Asal : kemungkinan dari Alabama
Ukuran File : 168 KB (172,032 bytes)
Packer : -
Pemrograman : Visual Basic
Icon : Aplikasi Visual Basic
Tipe : Worm

Tentang Malware

Selain shortcut yang sedang ramai dibuat oleh beberapa worm belakangan ini, icon aplikasi Visual Basic juga menjadi salah satu ciri worm yang mulai banyak di laporkan sejak Agustus 2010 kemarin. Begitu juga yang dilakukan olah pembuat worm ViewFiles. Namanya diambil dari nama induknya yang menyebar di flash disk dan diberi nama ViewFiles.exe.

File yang dibuat

Pada komputer yang terinfeksi, worm ViewFiles akan membuat file autorun dan file companion pada flash disk yang nantinya akan di panggil oleh autorun.


Isi dari autorun akan selalu berubah seperti contoh di bawah ini, hal ini di maksudkan untuk mengecoh pendeteksian oleh antivirus akan tetapi beberapa penting bagian tidak pernah dirubah oleh worm ini.


Hasil Infeksi

Worm ViewFiles akan bersembunyi di dalam folder RECYCLER dan membuat folder yang hampir sama seperti isi folder RECYCLER seperti gambar di bawah ini.


Agar bisa berjalan saat startup, worm ini membuat key dengan nama Taksman pada:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman

Tidak ada komentar:

Posting Komentar