Alice: Kebangkitan Worm VBS
Alice. Sampelnya pertama kami dapat dari user yang berada di Jakarta. Kemudian beberapa sampel banyak di dapat di daerah Bekasi, bahkan ada juga user yang menceritakan aksi wormAlice di daerah Lampung. Ya, bisa dikatakan bahwa Worm ini memang sedang menyebar. Lebih jauh, worm ini juga memiliki kemampuan menginfeksi file HTML seperti Ramnit.
A. Info File
Nama Worm: Alice
Asal: Jakarta (pertama kali dilaporkan)
Ukuran File: 7.63 KB (7,816 bytes)
Packer: ~
Pemrograman: Visual Basic Script (VBS)
Icon: VBS File
Tipe: Worm, Virus
Nama Worm: Alice
Asal: Jakarta (pertama kali dilaporkan)
Ukuran File: 7.63 KB (7,816 bytes)
Packer: ~
Pemrograman: Visual Basic Script (VBS)
Icon: VBS File
Tipe: Worm, Virus
B. Tentang Malware
Teknik enkripsi Alice membuatnya menjadi sebuah malware yang sangat unik dibandingkan malware VBScript kebanyakan saat ini. Hal ini mengingatkan kita kepada Serviks.vbs yang sempat banyak menyebar tahun 2010 yang lalu. Kini hadir dengan pola baru yang lebih kuat dan tidak mudah membaca kode programnya, yang hampir seluruh tubuhnya berupa karakter acak.
Teknik enkripsi Alice membuatnya menjadi sebuah malware yang sangat unik dibandingkan malware VBScript kebanyakan saat ini. Hal ini mengingatkan kita kepada Serviks.vbs yang sempat banyak menyebar tahun 2010 yang lalu. Kini hadir dengan pola baru yang lebih kuat dan tidak mudah membaca kode programnya, yang hampir seluruh tubuhnya berupa karakter acak.
Namun setelah enkripsinya dapat di-decode, maka akan terlihat source tubuhnya adalah seperti ini:
C. Companion/File yang Dibuat
Setelah aktif di memory, Alice akan membuat host di folder:
Setelah aktif di memory, Alice akan membuat host di folder:
C:\WINDOWS\system32\drivers\alice.sys
dan
C:\Documents and Settings\[nama user]\Local Settings\Temp\alice.sys
dan
C:\Documents and Settings\[nama user]\Local Settings\Temp\alice.sys
Selain itu, pada setiap root local drive atau flash disk, akan ada 2 buah file companion, autorun.inf dan alice.alc.
Terlihat pada kode autorun.inf di atas bahwa wscript.exe akan meng-encode worm alice agar bisa mengeksekusi seluruh perintah-perintahnya.
D. Hasil Infeksi
D.1. Modifikasi Registry
Untuk mempertahankan dirinya, Alice memodifikasi beberapa key pada registry.
Untuk mempertahankan dirinya, Alice memodifikasi beberapa key pada registry.
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
| Delete Key dan Value - HKCR\*\shellex\ContextMenuHandlers\Open With\ - HKCR\inffile\shell\Install\command\ - HKCR\inffile\shell\Install\ - HKCR\regfile\shell\open\command\ - HKCR\regfile\shell\open\ - HKCR\VBEFile\Shell\Open2\command\ - HKCR\VBEFile\Shell\Open2\ - HKCR\VBEFile\Shell\Edit\command\ - HKCR\VBEFile\Shell\Edit\ Add Key dan Value - HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden - HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFileAssociate - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr - HKCU\Software\Policies\Microsoft\Windows\System\DisableCMD,2,REG_DWORD - HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOwner,ALICE - HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOrganization - HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableSR - HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig - HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\wscript.exe //e:vbscript.encode C:\WINDOWS\system32\drivers\alice.sys |
D.2. Injeksi file HTM/HTML
Pada bagian footer HTML akan ditambahkan source Alice, kemudian untuk memudahkan virus agar tidak menginfeksi file yang sama untuk kedua kalinya adalah dengan cara merubah semua nama file .htm/.html yang sudah di infeksi menjadi .hta (HTML Applications).
D.3. Hidden file Docx, Doc, RTF
Setiap extension file dokumen yang sudah di tentukan seperti *.docx, *.doc, dan *.rtf akan di-hidden/disembunyikan kemudian digantikan dengan menggunakan file yang sebenarnya merupakan worm Alice.
PCMAV Express for Alice
PCMAV Express for Alice dibuat untuk membersihkan worm Alice agar tidak semakin menyebar,menghentikan prosesnya di memory komputer yang terinfeksi, melakukan perbaikan pada file htm/html yang terinjeksi dan mengembalikan atribut dokumen .docx, .doc, .rtf yang di-hidden.
Aturan Penggunaan:
- Jalankan PCMAV for Alice.
- Pastikan user Anda memiliki hak setara Administrator.
- Nonaktifkan fungsi Autorun (link referensi: http://support.microsoft.com/kb/967715).
- Pasang flashdisk yang terinfeksi pada komputer agar ikut dibersihkan.
- Disarankan sebaiknya komputer Anda *tidak* terkoneksi ke jaringan atau Internet selama proses scan.
- Setelah selesai, sangat disarankan untuk melakukan restart dan scan ulang (jika perlu).
- Pastikan seluruh PC yang telah terhubung di dalam jaringan juga telah bebas S3xY, sebelum PC Anda kembali terkoneksi ke jaringan.
Secara regular engine utama PCMAV akan di-update mengikuti perkembangan Alice.
Pada halaman ini kami juga menyediakan PCMAV Express for Alice untuk di-download pada link dibawah ini.