Serba-Serbi

VBScript Ganas Infeksi Dokumen | 23 Maret 2009

Bagaiman sebuah virus VBScript dapat menginfeksi file dokumen Office anda? Bagaimanakah cara menanggulanginya? Ikuti bahasan selengkapnya di bawah ini…

Tren Virus jenis VBScript memang belum selesai, tida henti para pembuat virus lokal melakukan aksinya. Kali ini saya akan mencoba membahas salah satu virus lokal terkenal yang berjenis VBScript, dikenal dengan nama Repvblik.vbs. Virus ini memang bukan keluaran terbaru, namun masih banyak teman2 yang mengeluh dikarenakan virus tsb. Virus ini biasanya memiliki ukuran file 5915 bytes. Cukup kecil sih. Tapi inilah keunggulannya, sehingga virus ini bisa menyebar dengan sangat cepat.

Virus ini berjalan mulus pada Windows XP. Jika kita lihat secara sekilas melalui Notepad, jenis virus yang memiliki extension .VBS ini hadir dalam kondisi ter-enkripsi. Namun, tidaklah sulit untuk melakukan deskripsi atas tubuh virus tsb. Enkripsi yang ia lakukan hanya sekedar permainan karakter saja, hanya memaju-mundurkan karakter saja, biasa dikenal dengan Caesar Cipher. Saat seluruh tubuh virus berhasil di-deskripsi, tepat di bagian atas source script tersebut, terlihat beberapa string comment yang bertuliskan seperti “Repvblik Ver 2.0 ^_^!”, dan juga beberapa pesan yang ia sampaikan.

Yang pertama ia lakukan adalah tentunya menciptakan file induk. jadi, saat virus dieksekusi oleh komputer yang bersih, ia akan menciptakan sebuah file induk asli yang ia tempatkan pada direktori Start Up yang bisa anda temukan pada Start Menu > Start Up dengan nama Repvblik.vbs. Bagaimana ia mengenali dirinya sendiri, apakah file tersebut merupakan file induk atau file yang sudah terinfeksi? Ia memiliki pengenal di bagian paling atas source script-nya, yakni “RPVBLK” yang bisa bernilai True atau False. File induk virus ini juga akan running otomatis pada saat memulai Windows.

Bersamaan dengan itu pula, ia akan menciptakan direktori baru pada drive C:\ dengan nama Repvblik. Di dalam direktori atau folder tsb, anda akan menemukan sebuah file teks yang merupakan pesan dari sang pembuat virus, yang bernama Repvblik.txt. Tidak hanya di situ saja, karena di setiap direktori tingkat pertama yang ia temukan pun pasti akan terdapat file Repvblik.txt.

Dan saat aktif di memory, jika dilihat menggunakan Task Manager, user tidak akan dapat menemukan proses virus dengan nama menyerupai file VBS, karena saat sebuah file VBS diklik atau di akses, Windows secara otomatis akan menjalankan program wscript.exe yang bisa dibilang sebagai penerjemah dari script tersebut. Jadi, saat virus aktif, proses virus yang terlihat di Task Manager hanyalah wscript.exe. Memang sulit menemukannya, namun jika menggunakan program yang lebih advanced, misalnya Explorer, anda bisa lebih detail menelusuri setiap proses yang ada. Hanya dengan mengklik kanan proses yang diinginkan, lalu klik Properties, anda akan menemukan informasi script apa yang dijalankan oleh wscript.exe itu pada editbox Command Line di Explorer.

Setelah file induk berhasil dibuat, ia pun segera melancarkan jurus pamungkas, yakni menginfeksi dokumen anda yang terdapat pada direktori My Documents. File yang akan diinfeksi oleh virus-virus ini adalah file dengan ekstensi .doc, .xls, .ppt, .pps, .rtf yang pasti sudah tidak asing lagi di mata anda.

Caranya menginfeksi adalah dengan cara meng-append file dokumen yang akan diinfeksi di bagian bawah tubuh sang virus. Jadi apabila anda memiliki file dokumen dengan mana misalnya skripsi.doc, maka virus ini akan membaca keseluruhan isi dari file tsb, lalu ditaruhnya isi dari file tsb di bagian paling bawah tubuh sang virus dan memberikan tanda berupa string “RPVBLK=False” di bagian awal tubuh sang virus, yang artinya virus tersebut sudah menginfeksi file, sehingga nama file tersebut berubah menjadi Skripsi.doc.vbs. Dan file dokumen yang asli pun akan dihapus. Tentu saja kini file dokumen anda sudah menjadi file VBScript, yang sudah tidak bisa lagi dibuka dengan Mic. Word.

Virus Repvblik ini pun akan dengan cerdik mencoba untuk mengubah default icon dari setiap file VBS agar menggunakan icon Mic. Word, serta mengubah file type-nya menjadi “Microsoft Word Document”, dan menghilangkan tampilan extension .vbs pada explorer dengan menambahkan item NeverShowExt pada key VBSFile di Registry Windows. Tentunya jika sudah begini, user awam tidak akan bisa membedakan antara file asli dengan file virus.

Tidak hanya menginfeksi dokumen, ia pun mulai mengerjai file musik MP3 koleksi anda. Setiap file MP3 yang ia temukan akan di-rename olehnya. Yang ia lakukan adalah menambahkan string “Repvblik_” di depan nama file MP3 yang akan ia kerjai.

Berhati-hatilah jika menemukan file dengan nama-nama seperti “I am So Sorry.txt.vbs”, “SMS Gratis via GPRS.txt.vbs”, “Indonesian and Their Corruption!!.txt.vbs”, atau “NenekSihir and Her Secrets.txt.vbs” pada perangkat removable disk anda, itu adalah nama file yang biasa ia gunakan untuk menyebar.

Bagi anda yang komputernya terinfeksi dan atau dokumen penting anda telah dirusak, silakan gunakan PCMAV terbaru yang telah disempurnakan….

About these ads

Ditulis dalam Komputer

Tinggalkan sebuah Komentar »

Berikan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Logout / Ubah )

Twitter picture

You are commenting using your Twitter account. Logout / Ubah )

Facebook photo

You are commenting using your Facebook account. Logout / Ubah )

Google+ photo

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

    Kalender

    Maret 2009
    S S R K J S M
        Apr »
     1
    2345678
    9101112131415
    16171819202122
    23242526272829
    3031  

    Berbagi Itu Baik

    Di dalam Blog ini, saya paparkan segala informasi yang kuketahui dan yang kudapatkan. Memang hanyalah Blog sederhana, namun akan sangat berarti bagi beberapa orang. Kirimkanlah komentar, saran dan kritik anda, sehingga Blog saya akan menjadi lebih baik lagi ke depannya... Terima Kasih....

    Klik tertinggi

    • Tidak ada

    Statistik Blog

    • 7,193 hits
Ikuti

Get every new post delivered to your Inbox.

%d blogger menyukai ini: