Diberdayakan oleh Blogger.

Blogger news

« »
« »
« »

Virus Yuyun

|| || || Leave a komentar
Masih ingatkah Anda dengan nama virus yuyun? yap, virus yang diyakini menyebar luas di Indonesia pada tahun 2009. Walaupun kecanggihan dan tingkat penyebarannya tidak separah Conficker, tapi kali ini kita akan meneliti virus ini sampai ke jantungnya.
Diperkirakan , Yuyun dirilis pada November 2008 seperti yang tertera pada bodi virus tersebut, ia dibuat menggunakan Bahasa VBScript dengan ukuran 9 kb dengan script yang terenskripsi. Virus jenis script memang relatif cukup mudah dianalisis walaupun dengan teknik obfuscate/enkripsi sekalipun dan walau tanpa menggunakan tools apapun.


Thumbs.db Bukan Thumb.db
Untuk para pengguna Windows tentu familiar dengan file yang satu ini. File Thumbs.db digunakan windows sebagai file cache yang menyimpan informasi thumbnail dari setiap file gambar yang terdapat pada direktori tempat file itu berada. Biasanya file thumbs.db memiliki atribut hidden yang artinya file tersebut tidak akan kelihatan pada windows Explorer dengan settingan default. Virus Yuyun juga menggunakan nama file yang hampir sama, yakni Thumb.db (bukan Thumbs.db).

Saat sebuah Flashdisk terinfeksi oleh virus ini, akan terdapat beberapa file virus didalamnya, yakni autorun.inf, thumb.db, Microsoft.lnk, dan New Folder.lnk .Inti dari virus tersebut sebenarnya berada di thumb.db ,tapa ketiga file pendukungnya itu,virus tersebut tidak akan bisa aktif. Memang yuyun berbeda dengan kebanyakan virus VBScript lainnya yang jelas-jelas menggunakan extention VBS. Cara yang digunakannya ini memang dirasakan cukup ampuh untuk menipu mata user karena itu dianggap suatu hal yang wajar.

Jika anda sengaja membuka file thumb.db tersebut dengan notepad misalnya, didepan atas akan terlihat tulisan "www.muslimah.or.id" dan "my name:Yuyun 1.0".
Dengan sedikit pencarian di situs tersebut, ternyata didapati pernyataan dari admin situs yang bersangkutan yang menyatakan keras bahwa virus yang menyebar mengatasnamakan situs tersebut bukanlah anggotanya yang membuat.


Enkripsi XOR
Lanjut dibagian bawahnya terdapat script yang terlihat sebagai decryptor, dan dibawahnya lagi terdapat script yang sudah dalam kondisi ter-enscrypt. Enkripsi yang digunakan sangat sederhana, hanya menggunakan XOR dengan kunci 7. Untuk mendenscrypt-nya cukup meng-XOR-kan lagi 7.

Tapi sebenarnya Anda tidak perlu lagi medenscrypt-nya lagi, karena virus ini akan melakukannya sendiri. Saat aktif atau dijalankan, ia akan meng-ekstrak script yang sudah dalam kondisiter-descrypt pada direktori temporary user yang bersangkutan. Nama filenya random, karena yuyun menggunakan perintah GetTempName untuk menentukan namanya. ukuran filenya yang telah terdeskripsi sekitar 8 kb.


Banyak Shortcut
Pada header file yang telah ter-descrypt terlihat dengan jelas sedikit pesan yang ingin disampaikan oleh si pembuat virus seperti yang tertera diatas. Dengan mempelajari script yang telah ter-descrypt ini kita dapat mengetahui alur kerja virus ini. Hal pertama yang dia lakukan adalah pembuatan file induk dan temporary ynag pekerjaan ini dia lakukan pada direktori temporary. dia membuat file auto.exe yang isinya merupakan script untuk autorun.inf, autorun.inf ini akan dicopykan ke setiap folder yang ia serang termasuk perangkat removable drive. selain itu juga terdapat file dengan nama v.doc dan yuyun.Q.

Selanjutnya membuat file induk lagi pada direktori C:\Dokuments and Setting\%username%\Lokal Setting\Application Data\Microsoft\CD Burning yang berisi file autorun.inf dan thumb.db .Serata membuat file database.mdb yang sebenarnya merupakan file script virus pada folder My Dokuments. Setelah itu, ia akan membuat shortcut yang menggunakan nama setiap direktori yang ada pada direktori My Documents. Jika tanggal 3, ia akan melakukan pembuatan secara rekursif terhadap setiap subdirektori yang ia temukan.

Yuyun menggunakan beberapa nama dalam membuat shortcut diantaranya "New Harry Potter and...", "New Folder", "Surat Q", "Rahasia", "Game", "Z vnita", "Download", dan "DataQ".
Jika dalam komputer Anda terdapat nama shortcut tersebut tanpa Anda yang membuatnya, bisa dipastikan komputer Anda terinfeksi virus ini.
Dia juga diketahui mencoba menyebarkan diri pada folder Nethood. Folder Nethod digunakan windows untuk menyimpan shortcut terhadap object yang di share di jaringan.


Registry Autorun
Agar dapat aktif secara otomatis serta menjaga kelangsungan hidupnya, dia melakukan modifikasi terhadap registry. Tools seperti Regedit tidak akan bisa dijalankan karena dikunci oleh virus ini. Seperti yang kita ketahui pada ikon shortcut terdapat gambar panah kecil. Nah, agar user tidak curiga dan masuk kedalam perangkapnya, yuyun menghapus item HKCR\lnkfile\isShortcut agar windows tidak menampilkan ikon panah kecil tersebut.
Sebuah item baru juga dibuat pada HKCR\lnkfile\Software\Microsoft\Windows\CurenVersion\Run\ dengan nama Explorer yang diarahkan ke wscript.exe untuk menjalankan file induk virus. Uniknya, virus ini juga mencoba membuat sebuah file stream menggunakan Alternate Data Stream (ADS) pada direktori windowsdengan nama "Microsoft Office Update for Windows XP.sys" dengan sebelumnya memastikan bahwa sistem partisi adalah NTFS. Setelah itu, mengeset registry HKCR\lnkfile\Software\Microsoft\Windows\CurenVersion\Run\WinUpdate untuk menjalankan file stream itu.


Dibalik Shortcut
Apa yang terjadi jika shortcut yang dibuat oleh virus ini di klik? jawabannya virus itu akan aktif. Shortcut yang dibuat telah dirancang sedemikian mungkin agar langsug mengarah ke file virus. Jika Anda lihat Properties dari file shortcut tersebut, pada bagian target terlihat jelas bahwa virus ini menjalankan program wscript.exe dengan parameter thumb.db, yang artinya memerintahkan wscript.exe untuk menjalankan script thumb.db seperti yang dijelaskan sebelumnya file thumb.db ini adalah file virusnya.


Yuyun_Cantix



Pada setiap tanggal 1 dan nilai hasil moduus dengan 3 bulan tersebut adalah (Januari, April, Juli, dan Oktober), disetiap folder yang ia infeksi akanterdapat pula file dengan nama "BacaAQ.rtf" dan "My name is Yuyun.rtf" file ini akan terbuka secara otomatis pada notepad, tidak hanya itu, ia pun langsung mem-printnya. Disetiap tanggal 1 bulan apapun akan terdapat satu icon baru dengan nama Yuyun_Cantix.


Cara Basmi Yuyun



Gunakan PCMAV yang telah disempurnakan agar dapat menghapus Yuyun.vbs beserta variannya secara tuntas hingga ke akar-akarnya.
Untuk hasil maksimal, sebelum menggunakan PCMAV, pastikan tidak ada antivirus lain yang running, scan seluruh hardisk termasuk perangkat removable drive.