Home > Analisa Virus > Analisa Virus Wmplayerc

Analisa Virus Wmplayerc

January 22nd, 2010 Leave a comment Go to comments

Tampilan Wmplayerc

Wmplayerc merupakan worm lokal yang sudah dikenal sejak PCMAV 2.2a Update Build3 dan dilaporkan menyebar luas di Indonesia. Kali ini akan ditampilkan analisa lebih lengkapnya. Efek merugikan dari virus ini adalah menghapus file-file multimedia yang dikenali dari daftar ekstensi file yang disimpan pada tubuh virus. File-file multimedia yang ditemukan akan digantikan dengan file virus yang siap dijalankan dan menyebar.

Daftar Ekstensi File
Berikut adalah daftar ekstensi file multimedia yang dapat menjadi korban virus ini adalah:
.AVI
.3GP
.MP4
.FLV
.ASF
.M4V
.MPE
.VMV
.M1V
.M2V
.VOB
.MOV
.WVX
.MKV
.MPA
.MPV
.DIV
.M2P
.3G2
.DAT
.MPEG
.DIVX
.REAL

Manipulasi Folder
Dalam upayanya menyembunyikan diri dan kembali aktif (seandainya Anda berhasil mematikan prosesnya di memory), virus ini membuat duplikat folder-folder yang ada pada root drive dalam bentuk shortcut/link, dan menyembunyikan folder asli dengan atribut sistem/superhidden.

Alhasil, sekilas komputer Anda tampak baik-baik saja, hanya saja kalau diperhatikan melalui Windows Explorer, Anda akan melihat folder yang ada pada root drive (misalnya Windows, Program Files) memiliki size 2 KB. Sementara, folder yang sesungguhnya tidak
mencantumkan ukuran pada Windows Explorer. Untuk melihat kondisi sebenarnya, atur konfigurasi Windows Explorer dengan memilih menu Tools – Folder Options, pililh “Show hidden files and folders”, dan hapus tanda centang pada pilihan “Hide extensions for known file types” dan “Hide protected operating system files (Recommended)”.

Apa yang terjadi saat Anda meng-klik folder bohongan tersebut? Yang dijalankan adalah perintah berikut:

%WINDIR%\system32\rundll32.exe Shell32.dll,ShellExec_RunDLL “RÊCYCLÊR\  .com”  “NamaFolder”

“NamaFolder” adalah folder sebenarnya. Folder tersebut tetap terbuka, tetapi sebelumnya virus telah dieksekusi, terlihat bahwa induk virus disimpan dengan nama “ .com” (tanpa tanda kutip) pada folder RÊCYCLÊR.

Folder Bohongan Wmplayerc

Pembedahan Virus
Virus ini memiliki beberapa “daftar cekal” berupa URL website-website porno lokal, jadi saat komputer yang terinfeksi melakukan browsing ke beberapa website porno tersebut, komputer akan shutdown dengan sendirinya.

Virus juga melakukan pengecekan terhadap program yang berjalan, dengan mendeteksi caption yang terdapat pada program tersebut. Kembali beberapa kata berkonotasi porno dicekal oleh virus. Selain itu, string Norman Malware Cleaner, PROCEXPL, PeiD v0.95, PeiD v0.94, dan OLLYDBG juga termasuk daftar string yang akan membuat sang virus melakukan shutdown pada komputer.

Komputer dapat terinfeksi virus ini melalui flash disk yang telah terinfeksi, yaitu saat pengguna meng-klik folder bohongan pada flash disk atau media storage yang sebenarnya berupa link pemanggil virus. Selain itu, ketidakwaspadaan juga dapat membuat Anda mengklik file virus yang menyamar sebagai file multimedia, lengkap dengan icon media player untuk menjebak pengguna.

Selain menciptakan file induk yang berukuran sekitar 66 KB pada folder  RÊCYCLÊR, file induk juga diciptakan pada folder Program Files\Windows Media Player dengan nama Wmplayerc.exe atau Xvidshow.exe (jika komputer Anda terinstal codec XviD). Pengambilan  string dengan membedah dan memetakan kembali tubuh virus divisualisasikan pada gambar berikut.

Bedah virus

Pada tubuh virus juga terdapat perintah shutdown.exe -r -f -t 00, yang besar kemungkinannya merupakan perintah yang akan dieksekusi saat virus mendeteksi pengaksesan website porno atau caption tertentu. Parameter -r memberikan instruksi shutdown dan restart, parameter -f memaksa aplikasi lain tertutup, dan parameter -t 00 merupakan timeout untuk melakukan proses shutdown, dalam hal ini diset 0 detik.

Saat aktif, virus ini memuat file dropper ke memory dengan nama svchost.exe, yang berfungsi untuk memonitor traffic TCP/IP sehingga dapat mendeteksi saat Anda menjalankan URL yang termasuk dalam daftar web porno yang disimpan oleh dropper. File dropper ini dibuat dengan VisualBasic dan berukuran sekitar 9 KB. Selain itu, string bertuliskan “Tak gendong kemana-mana.. Enak Tau !!! Ha Ha Ha Ha” juga tampak pada tubuh file ini.

Gunakan PCMAV terbaru untuk pembersihan secara tuntas virus Wmplayerc. Perhatikan jika terdapat file yang Anda yakini adalah  nama file multimedia milik Anda –  tetapi terdeteksi sebagai virus Wmplayerc –  maka file tersebut sudah bukan file video yang asli lagi, tetapi file virus yang menyamar (silakan cek ukuran dan ekstensi file tersebut jika Anda masih ragu-ragu), sedangkan file video yang asli telah raib dihapus oleh virus tersebut. Lakukan recovery sebisanya jika Anda terlanjur mengalami hal ini.

Categories: Analisa Virus Tags:
  1. January 22nd, 2010 at 16:34 | #1

    —PERTAMAX—
    Maju terus virus lokal

  2. carma
    January 22nd, 2010 at 17:29 | #2

    OK lah kalo begitu….
    Virus ini bahaya tidak? Kan kerjanya hanya mencekal akses ke situs porno atau aplikasi porno + beberapa antivirus.

  3. nobody
    January 22nd, 2010 at 19:45 | #3

    weleh, ada2 saja pake acara ngehapus video orang…

  4. Satryacode
    January 22nd, 2010 at 20:23 | #4

    Perkembangan dari VM sekarang,
    VM dulu “semua karena cinta”
    VM sekarang ingin memperbaikin mental anak muda sepertinya..
    Hehehehe…

  5. Xcube
    January 22nd, 2010 at 22:20 | #5

    Hahaha mampus tuh bagi Yang punya koleksi video porno.. Bagus juga neh virus.. Biar moral anak ini tidak rusak karena pornografi..

  6. andre
    January 23rd, 2010 at 03:21 | #6

    duh..gawat juga kena neh virus…bisa2 gw kaga bisa nton bokep lagi…tp gpp lah..org kya gw emg harus dgtuin…hahaha

  7. Anticheat
    January 23rd, 2010 at 12:20 | #7

    wew….
    Ada aja virus yg mencegah orang ke situs2 porno.
    Tapi caranya harusnya jgn kyk gini.
    Kan ada aja folder multimedia yg bkn porno tapi stringnya kyk yg tercatat di atas tadi….

  8. January 23rd, 2010 at 12:20 | #8

    komputer saya pernah kena virus Autoit.EE
    Basminya pake PCMAV yang mana neh

  9. January 24th, 2010 at 13:41 | #9

    Nih virus dah nyebar diwarnet-warnet kalsel,
    bikin stress aja waktu saya ngakses situs yang gak porno tapi ada tulisan pornnya.

  10. tom-tom
    January 25th, 2010 at 12:06 | #10

    Sialan nih virus!!! gara2 dia semua hasil jerih payah animasi 3D (*.avi) utk presentasi Tugas Akhir habis…. Jadi ngulang bikin dari zero lg… hiks..hiks…hiks…

  11. January 26th, 2010 at 08:37 | #11

    Virus ini antara kejam dan tdk kejam….kenapa data yg tidak …ehm… harus dihapus juga???

  12. January 28th, 2010 at 07:21 | #12

    hmm, virus yg unik, hanya menghapus file2 video, file audio tidak termasuk, jadi .mp3 aman 🙂

  13. HK
    February 2nd, 2010 at 09:59 | #13

    Waduh… Film2 anime & film layar lebar yang kusimpan bisa ilang dong kalau kena virus ini. Hmm, nggak salah berarti kalau aku kepikiran untuk download pcmav lagi setelah sekian lama vakum dari pcmav… humm……