Apakah anda terinfeksi varian baru worm shortcut/random ??? Walaupun anda sudah meng-update antivirus, tetapi tetap saja worm tersebut mampu menyambangi komputer anda.
Dengan maraknya penyebaran malware denga varian yang berbeda-beda, terkadang menyulitkan bagi antivirus untuk mendeteksi varian yang sama sehingga dibutuhkan sample dari virus tersebut. Tetapi ada pula beberapa antivirus yang memiliki teknologi khusus untuk mengatasi malware tanpa membutuhkan sample, sehingga dengan mudah mendeteksi dan menambahkan sendiri sesuai database yang dimiliki tanpa memerlukan update.
Malware pengguna celah Keamanan .LNK (shortcut)
Hingga saat ini, telah banyak varian malware yang menggunakan celah keamanan .LNK (shortcut) untuk melakukan penyebaran secara cepat. Beberapa malware yang telah menggunakan celah tersebut diantaranya sebagai berikut:
Sality (Tanatos). Varian virus polymorphic yang melakukan infeksi file executable, dan juga ternyata menggunakan celah keamanan ini untuk melakukan penyebaran. Selain melalui file yang di-infeksi, Sality membuat 2 file (1 file autorun.inf dan 1 file executable dengan nama acak) melalui media USB dan jaringan yang menggunakan full sharing (dengan menyertakan pula ratusan file executable sampah dengan nama acak). Anda dapat membaca artikel virus Sality.
Zeus (Zbot atau botnet). Varian trojan yang melakukan infeksi pada web-web bank dan finansial. Dengan menambahkan keylogger pada halaman web tersebut dengan maksud mendapatkan username dan password. Worm ini mampu menginfeksi komputer melalui celah pada browser seperti Internet Explorer dan Mozilla Firefox. Worm ini juga dapat melakukan broadcast spam kepada alamat e-mail tertentu.
Chymine (worm YM atau conime/secupdat). Worm yang sangat populer menginfeksi komputer melalui media Yahoo Messenger. Dengan teknik penyebaran yang sama seperti Zeus/Zbot dan Sality, dan memiliki varian yang berbeda-beda. Anda dapat membaca selengkapnya pada artikel virus google dan virus YM.
Stuxnet. Trojan yang baru-baru ini menyebar dengan cepat dengan memanfaatkan koneksi jaringan dan media USB. Trojan ini membuat space harddisk kita menjadi habis. Selengkapnya dapat anda baca pada artikel stuxnet.
VBNA/Hllw.Autoruner (worm Vobfus atau Shortcut/Random)
Worm shortcut yang memiliki karakter seperti worm YM. Dengan menggunakan banyak file acak dan ukuran yang berbeda-beda, maka tak jarang tidak semua antivirus mampu mendeteksi varian virus worm ini. Saat ini worm ini cukup populer dan mampu menyebar dengan pesat. Anda dapat membaca salah satu artikel shorcut.
File Worm
Worm Vobfus (Visual basic Obfuscated) atau shortcut/random dibuat menggunakan bahasa pemrograman Visual Basic dan memiliki ukuran yang bervariasi tergantung varian worm. File worm juga menggunakan icon Visual Basic dengan ekstensi file exe (application) dan scr (Screen Saver). (lihat gambar 2)
Gambar 2, File worm shortcut/random
Saat menginfeksi komputer korban, worm akan membuat beberapa file induk diantaranya:
- C:\Documents and Settings\%user%\alg.exe atau x.exe (Windows 2000/XP/2003)
- C\Documents and Settings\%user%\[nama_acak].exe (Windows 2000/XP/2003)C:\User\%user%\alg.exe atau x.exe (Vista/7/2008) ΓΌ C\User\%user%\[nama_acak].exe (Vista/7/2008)
- [nama_acak].exe
- [nama_acak].scrSelain itu, worm akan membuat file shortcut yang disesuaikan dengan nama folder yang telah disembunyikan
Selain itu worm akan akan membuat file shortcut yang lain yaitu:
- Documents.lnkMusic.lnk
- New Folder.lnk
- Passwords.lnk
- Pictures.lnk
- Video.lnk[nama_acak].lnk (hingga beberapa file)
Gejala Efek Worm
Beberapa gejala dan efek yang terjadi jika anda terinfeksi worm ini yaitu sebagai berikut:
1. Melindungi proses worm dan mencegah proses aplikasi/program keamanan
Worm mencoba memonitor proses yang berjalan di memori dan memastikan agar proses worm tidak dimatikan oleh program/aplikasi keamanan seperti antivirus dan removal. Jika ada program/aplikasi keamanan yang berjalan, maka worm akan mencoba menginfeksi dan membuat error pada program tersebut. (lihat gambar 3)
Gambar 3, Program/aplikasi keamanan yang di injeksi oleh worm menjadi error
2. Menyembunyikan folder dan membuat file shortcut
Salah satu aksi worm ini mampu membuat pengguna komputer dag dig dug (kerepotan) karena menyembunyikan seluruh isi folder "My Documents" user dan menggantinya dengan file shortcut. File shortcut tersebut justru diarahkan ke salah satu file virus dengan nama acak. Beberapa varian lain hanya menyembunyikan folder dan membuat file shortcut pada removable drive/disk. (lihat gambar 4)
Gambar 4, Menyembunyikan folder pada removable dan membuat file shortcut
3. Koneksi Remote Server dan mendownload file virus lain
Dengan memonitor proses yang berjalan, worm mencoba melakukan koneksi ke IP remote server yang dituju melalui file system yang diinfeksi seperti file explorer.exe atau svchost.exe. Setelah terkoneksi, worm mendownload varian malware lain agar tidak mudah terdeteksi dari antivirus atau removal tool. (lihat gambar 5)
Gambar 5,Worm melakukan koneksi ke remote server dan mendownload varian virus lain
4. Modifikasi key Folder Options
Secara umum, ini tidak akan melakukan blok terhadap bebrapa program Windows seperti Task Manager, Folder Options, dll. Tetapi worm menggunakan cara lain agar file virus tidak mudah dilihat atau dihapus, untuk itu virus memodifikasi fitur Folder Options dengan menghapus salah satu key yang ada yaitu : (lihat gambar 6)
Hide protected operating system files recommended)
Gambar 6, Fitur Folder Options sebelumworm aktif
Dengan selalu mengaktifkan key tersebut, pengguna komputer tidak dapat melihat file virus bahkan menghapusnya.(lihat gambar 7)
Gambar 7, Fitur Folder Options setelah worm aktif
Metode Penyebaran
Sama seperti worm YM (conime/secupdat) dan Stuxnet, metode awal penyebaran worm ini berasal pada link website yang mengandung trojan dan link spam pada e-mail. Tetapi setelah komputer pengguna terinfeksi, worm mulai melakukan penyebaran menggunakan media removable drive/disk.
Selain itu, dalam jaringan akan memanfaatkan file sharing (full) dan mapping drive dengan membuat beberapa file virus dan shortcut. (lihat gambar 8)
Gambar 8, Worm infeksi jaringan
