Alabama. Awalnya kami pikir ini hanyalah worm yang sama
seperti VB-Shortcut karena menggunakan icon standar aplikasi Visual Basic.
Namun setelah kami coba melakukan analisa lebih jauh, rupanya karakteristik
worm ini berbeda dengan VB-Shortcut. Terdapat string “ALABAMA” yang terdapat
dalam tubuh worm ViewFiles. Apakah mengindikasikan worm ini berasal dari
Alabama?
Info
Malware
Nama :
ViewFiles
Asal :
kemungkinan dari Alabama
Ukuran File : 168 KB (172,032 bytes)
Packer : -
Pemrograman : Visual Basic
Icon : Aplikasi Visual Basic
Tipe : Worm
Tentang Malware
Selain shortcut yang sedang ramai dibuat oleh beberapa worm
belakangan ini, icon aplikasi Visual Basic juga menjadi salah satu ciri worm
yang mulai banyak di laporkan sejak Agustus 2010 kemarin. Begitu juga yang
dilakukan olah pembuat worm ViewFiles. Namanya diambil dari nama induknya yang
menyebar di flash disk dan diberi nama ViewFiles.exe.
File yang dibuat
Pada komputer yang terinfeksi, worm ViewFiles akan membuat
file autorun dan file companion pada flash disk yang nantinya akan di panggil
oleh autorun.
Isi dari autorun akan selalu berubah seperti contoh di bawah
ini, hal ini di maksudkan untuk mengecoh pendeteksian oleh antivirus akan
tetapi beberapa penting bagian tidak pernah dirubah oleh worm ini.
Add caption
Hasil Infeksi
Worm ViewFiles akan bersembunyi di dalam folder RECYCLER dan
membuat folder yang hampir sama seperti isi folder RECYCLER seperti gambar di
bawah ini.
Agar bisa berjalan saat startup, worm ini membuat key dengan
nama Taksman pada:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\Taskman
Post By: 9F_asrirf
cr: http://9a-tikaadelia.blogspot.com/
Tidak ada komentar:
Posting Komentar