Sabtu, 29 September 2012

Menghapus Worm VBS.Alice.A


Menghapus Worm VBS.Alice.A


VBS.Alice.A . Worm ini memang sedang menyebar. Lebih jauh, worm ini juga memiliki kemampuan menginfeksi file HTML seperti Ramnit. Virus ini hanya memiliki ukuran sekitar 8 KB, dengan eksternsi .vbe. Dari icon memang terlihat seperti virus VBS (.vbs) biasa, tetapi karena ini berekstensi .vbe (VBScript Encoded Script File) maka virus ini berbeda dengan virus .vbs pada umumnya, virus ini terenkripsi sehingga souce codenya tidak bisa terbaca dengan mudah.

Teknik enkripsi VBS.Alice.A membuatnya menjadi sebuah malware yang sangat unik dibandingkan malware VBScript kebanyakan saat ini. Hal ini mengingatkan kita kepada Serviks.vbs yang sempat banyak menyebar tahun 2010 yang lalu. Kini hadir dengan pola baru yang lebih kuat dan tidak mudah membaca kode programnya, yang hampir seluruh tubuhnya berupa karakter acak.

Setelah aktif di memory, VBS.Alice.A akan membuat host di folder:
C:\WINDOWS\system32\drivers\alice.sys dan 
C:\Documents and Settings\[nama user]\Local Settings\Temp\alice.sys
Menyamar sebagai file Driver, yang padahal sebenarnya adalah file VBE. Selain itu, pada setiap root local drive atau flash disk, akan ada 2 buah file companion, autorun.inf dan alice.alc.
Terlihat pada kode autorun.inf bahwa wscript.exe akan meng-encode worm alice agar bisa mengeksekusi seluruh perintah-perintahnya. Untuk mempertahankan dirinya, Alice memodifikasi beberapa key pada registry agar user tidak bisa melihat ekstensi file yang ada, menghilangkan Folder Option, menghilangkan Run, memblok Task Manager, Registry Editor, System Restore, dan sebagainya.
Delete Key dan Value
  • - HKCR\*\shellex\ContextMenuHandlers\Open With\
  • - HKCR\inffile\shell\Install\command\
  • - HKCR\inffile\shell\Install\
  • - HKCR\regfile\shell\open\command\
  • - HKCR\regfile\shell\open\
  • - HKCR\VBEFile\Shell\Open2\command\
  • - HKCR\VBEFile\Shell\Open2\
  • - HKCR\VBEFile\Shell\Edit\command\
  • - HKCR\VBEFile\Shell\Edit\
Add Key dan Value
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFileAssociate
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
  • HKCU\Software\Policies\Microsoft\Windows\System\DisableCMD,2,REG_DWORD
  • HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\RegisteredOwner,ALICE
  • HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\RegisteredOrganization
  • HKLM\SOFTWARE\Policies\Microsoft\WindowsNT\SystemRestore\DisableSR
  • HKLM\SOFTWARE\Policies\Microsoft\WindowsNT\SystemRestore\DisableConfig
  • HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userini
  • C:\WINDOWS\system32\userinit.exe
  • C:\WINDOWS\system32\wscript.exe //e:vbscript.encode
  • C:\WINDOWS\system32\drivers\alice.sys
Pada bagian footer HTML akan ditambahkan source VBS.Alice.A , kemudian untuk memudahkan virus agar tidak menginfeksi file yang sama untuk kedua kalinya adalah dengan cara merubah semua nama file .htm/.html yang sudah di infeksi menjadi .hta (HTML Applications).
Setiap extension file dokumen yang sudah di tentukan seperti *.docx, *.doc, dan *.rtf akan di-hidden/disembunyikan kemudian digantikan dengan menggunakan file yang sebenarnya merupakan worm VBS.Alice.A .
Untuk membersihkan worm VBS.Alice.A bisa menggunakan PCMAV Express for Alice, agar worm tersebut tidak semakin menyebar, menghentikan prosesnya di memory komputer yang terinfeksi, melakukan perbaikan pada file htm/html yang terinjeksi dan mengembalikan atribut dokumen .docx, .doc, .rtf yang di-hidden.
Untuk melakukan scan pada VBS.Alice.A dengan PCMAV Express for Alice, berikut ini langkah-langkahnya:
  1. Simpan PCMAV Express for Alice di Drive D:
  2. Colokan juga flashdisk atau drive lain yang terkena worm VBS.Alice.A
  3. Disconnect-kan pc/laptop dari jaringan internet
  4. Nonaktifkan fungsi Autorun
  5. Masuk ke Safe Mode sebagai Administrator
  6. Jalankan PCMAV Express for Alice, tunggu sampai selesai
  7. Restart komputer/laptop Anda
Secara regular engine utama PCMAV akan di-update mengikuti perkembangan VBS.Alice.A. PCMAV Express for Alice dapat Anda download di sini
Worm VBS.Alice.A juga bisa ditangani dengan Smadav rev. 8.8.4, Smadav akan membunuh virus ini sampai keakarnya, memperbaiki kerusakan pada registry, dan mampu memunculkan kembali file dokumen yang sebelumnya telah disembunyikan oleh virus tadi. Silakan download Smadav di www.smadav.net
Semoga bermanfaat....
Diposting oleh di

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)