Oleh: Ariya Ilham | 28 Maret 2009

BUNGAS.VBS : MENYEMBUNYIKAN DECRYPTOR

Bungas.vbs : Menyembunyikan Decryptor

Beberapa pembuat virus lokal masih mengeksplorasi lebih jauh dari bahasa VBScript. Kali ini, ikuti bagaimana mencari decryptor dari virus VBScript ini.
Memiliki ukuran file sebesar 7222 bytes. virus ini dikenal sebagai Bungas.vbs. Virus berjenis VBScript seperti yang kita kenal memang sangat mudah untuk dilihat source code – nya. Hanya dengan membuka file virus dengan Notepad contohny. Jikalau virus itu dienkripsi, pada tubuhnyapun kita dapat melihat source code dari rutin decryptor untuk membuka enkripsinya. Namun terlihat dari virus ini, sepertinya sang pembuatnya mencoba sebisa mungkin untuk menyembunyikan decryptor dari virusnya, yang kemungkinan besar bertujuan untuk mempersulit proses pendeteksian dan analisis.
Sampai tulisan ini dibuat, dari pengujian yang telah dilakukan terhadap 36 antivirus luar, hanya 3 yang berhasil mendeteksi keberadaan virus ini. Walaupun baru suspected, artinya yang mendeteksi adalah engine heuristic – nya saja. Logikanya, virus VBScript bisa lebih mudah dideteksi oleh heuristic. Jadi, apa saja dan bagaimana yang dilakukan oleh virus ini?
TUBUH TERENKRIPSI
Saat kali pertama membuka jeroan virus ini, terlihat sekilas string – string yang dienkripsi. Bagaimana mengetahuinya? VBScript biasanya merupakan teks murni, jika Anda melihat terdapat karakter – karakter ASCII aneh, kemungkinan besar VBScript tersebut dienkripsi. Lalu, bagaimana cara mendapatkan plaintext (keadaan sebelum terenkripsi)?
Kebanyakan virus VBScript (VBS) yang menggunakan teknik enkripsi yang kami miliki, juga akan terdapat rutin dekripsi pada tubuhnya. Namun, kalau dilihat sekilas dari virus ini, kita tidak akan melihat rutin decryptor-nya. Bagaimana bisa?
Secara visual, jika dilihat dari baris bagian tengah source code-nya terdapat beberapa string yang ditulis terbalik, seperti penggalan berikut ini : “))1,,l,nillA(diM(csA=orplA”, yang jika dibalik akan menjadi seperti ini “Alpro=Asc(Mid(Allin,l,1))”. Terlihat sepertinya ini merupakan permainan karakter, kemungkinan bagian dari rutin decryptor. Untuk mencoba membuktiakannya, maka file virus tersebut kami jalankan. Dengan sekejap, setelah dijalankan, ia membuat seolah file baru dengan nama Strukdat.bgs, tak lama kemudian file tersebut dihapus kembali olehnya. Untuk itu, kami coba menangkap isi dari file tersebut dan benar seperti yang diduga, isinya merupakan rutin decryptor.
File tersebut hanya berisi sebuah function yang ia namakan MPC yang tak lain adalah function untuk melakukan dekripsi. Teknik yang ia gunakan sederhana saja, pertama dia akan mendapatkan nilai ordinal karakter per karakter, pada visual basic instruksinya dikenal dengan nama asc. Yang kedua, nilai tersebut lalu di-mod (modulus, fungsi numeric sisa pembagian) dengan 2, jika hasil mod habis dibagi dengan nol, maka geser karakter ke kiri sebanyak 1, misalkan C menjadi B, dan sebaliknya. Setelah semua karakter ter-decrypt, terakhir ia akan melakukan string reverse, yakni membalikkan string tersebut untuk mendapatkan string asal.
File Strukdat.bgs yang merupakan decryptor tersebut, setelah diextract akan langsung ia execute, jadi rutin utama tubuh virus tersebut dapat memanfaatkan rutin decryptor-nya., pada VBScript hal tersebut memang dapat dilakukan. Cara yang ia gunakan memang ribet, tapi cukup untuk sedikit mengelabui pendeteksian beberap antivirus.
MEMBELAH DIRI
Bukan hanya file decryptor saja yang ia keluarkan dari dalam tubuhnya, namun ada beberapa file lain yang ia extract. Ada dua file lainnya, yakni statistics.bgs, 2656 bytes, dan Molin.bgs yang memiliki ukuran sebesar 3413 bytes. Kedua file tersebut sudah dalam konsisi ter-decrypt. Di kedua file tersebutlah sebenarnya inti dari virus tersebut. Intinya, pada file virus utama, tidak ditemukan atau mencirikan adanya rutin yang membahayakan, dan lagi pada file virus utama kebanyakan string dalam keadaan terenkripsi.
AUTORUN
File statistics.bgs dan Molin.bgs yang bertugas untuk melakukan infeksi. Pertama, virus tersebut akan membuat file induk pada direktori Windows dengan nama bungas.vbs dan Virusmaker.bat. Selain itu, pada dierktori Temp User, C:\Documents and settings\%username\%Local setting\Temp, juga akan ada 3 virus lainnya, yakni bungas.vbs, Virusmaker.bat, dan Virusmaker.bgs. kesemua file tersebut berattribut hidden, read-only, dan system. Jadi, pada settingan Windows default tidak akan terlihat.
Agar aktif otomatis, ia masuk ke registry dengan mencoba membuat item Run baru pada HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run dengan nama bungas, yang diarahkan pada file induknya yang terdapat pada direktori temp. Lalu ia juga mengubah nilai shell explorer, yang juga diarahkan pada file induknya bungas.vbs yang terdapat pad direktori Windows.
RESTRICTION
Untuk mendukung kelangsungan hidupnya, ia akan melumpuhkan dan mendisable beberapa fungsi Windows. Diawali dari settingan Folder Options, ia akan mengeset untuk tidak menampilkan file hidden dan system. Selanjutnya, Regedit (regedit.exe) dan Task Manager (taskmgr.exe) pun tidak luput dari serangannya. Tapi tidak hanya itu saja, beberapa program lain pun tidak dapat dijalankan, seperti rstrui.exe, msconfig.exe, notepad.exe, wordpad.exe, agentsvr.exe, dan windword.exe.
Jika user mencoba menjalankan program ini (yang diblok oleh virus tersebut) yang terjadi adalah muncul kotak Command Prompt yang berisi pesan “Bungas Operating System”, yang tentunya dibuat oleh si pembuat virus. Dan selanjutnya, program yang dituju tidak dapat diakses.
Ia melakukan hal tersebut dengan cara meregisterkan nama file program – program tersebut pada registry HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\, untuk dialihkan ke file pesan virus, yakni Virusmaker.bat yang berada pada direktori Windows.
INFEKSI FLASH DRIVE
Ia akan mencoba untuk mengcopy-kan dirinya ke removable drive, seperti flash disk dengan menggunakan nama random yang menggunakan kombinasi dari Tanggal+Bulan+Tahun, misalkan 29032009.vbs. Selanjutnya, tak lupa ia pun membuat sebuah file autorun.inf, untuk mempermudah virus tersebut menyebar hanya dengan mengakses drive yang dituju. Namun pada file autorun.inf, ia menggunakan cara lain. Beberapa virus yang memanfaatkan file autorun.inf, biasanya akan ada menu baru jika user mengklik kanan drive flash disk yang terinfeksi dengan nama autoplay. Pada virus ini, autorunnya didesain menggunakan field “shell\Properties\command”. Jadi saat user mengklik kanan drive terinfeksi, dan memilih Properties, virusnya akan aktif.
Dan seperti yang terlihat pada source code-nya, virus tersebut juga akan mencoba mendapatkan sharing object yang ada pada jaringan setempat, jika berhasil, ia akan meng-copy-kan file bungas.vbs.
BASMI !!!!!!!
Tenang saja blogger, PCMedia Antivirus sudah dapa mendeteksi dan membasmi virus bungas.vbs. Untuk hasil maksimal, scan seluruh harddisk di komputer Anda termasuk flash disk yang dimiliki.


Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout /  Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout /  Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout /  Ubah )

Connecting to %s

Kategori

%d blogger menyukai ini: