MsKunti.vbs: Malware Tanpa Rambut Panjang
MsKunti.vbs. Sekilas jika mendengar atau membaca nama “Kunti” sudah jelas apa yang akan di bayangkan oleh banyak orang. Akan tetapi, berbeda dengan malware yang di bahas kali ini. Meskipun bukan sosok menyeramkan yang diketahui orang pada umumnya, setiap user tidak akan menginginkan malware ini ada di komputernya.
Lagi-lagi pesan selalu menjadi ciri utama malware indonesia. Seperti yang pernah di bahas mengenai malware tipe VBScript di http://virusindonesia.com/2010/09/03/satu-pesan-cinta-ribuan-shortcut/ yang menyisipkan pesan di folder system32, sekarang datang lagi malware dengan tipe yang mirip.
Nama: MsKunti.vbs
Asal: Indonesia
Ukuran File: 19.6 KB
Pemrograman : Visual Basic Scripting
Icon : VBS
Tipe : Worm
Yang menarik dari malware ini adalah, beberapa hal yang menunjukan hasil infeksinya, selalu berbentuk seperti sebuah pesan atau mantera kuno. Contohnya seperti :
Autorun.inf
Dengan Autorun.inf buatan MsKunti.vbs, ada beberapa menu yang di tambahkan seperti yang terlihat pada gambar di atas. Selain itu, ia juga merubah icon flash disk maupun hard disk yang sudah terinfeksi worm ini, menjadi Empty Recycle bin. Biasanya malware merubah icon flash disk menjadi folder seperti Conficker, Recycler, bahkan VB-Shortcut. Selain itu, beberapa menu utama seperti Open, Explore, Search dan Properties juga di gunakan sebagai perintah yang dapat menjalankan MsKunti.vbs.
Kala_Malam.ini
Seperti sebuah puisi, file ini akan langsung terbuka setelah user masuk ke Windows. Karena file ini sudah ada di:
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Kala_Malam.ini
Di_malam_bulan_purnama.txt
File ini terdapat di Dekstop yang isinya seperti mantera kuno yang di bagian atasnya tertulis pesan pembuat malware:
Di baca sampai ‘dia’ datang ya….
LingsirWengi.html
Pesan pembuat MsKunti.vbs juga ada pada Desktop dengan nama LingsirWengi.html.
Bukan hanya pesan yang dibuat oleh Worm ini, beberapa fungsi Windows juga di disable. Contohnya antara lain adalah:
- Folder Options
- Search
- Turn off
- File Associate
- Hidden File Extension
- Task Manager
Mendisable file dengan nama-nama seperti:
- cmd.exe
- install.exe
- msconfig.exe
- regedit.exe
- regedt32.exe
- RegistryEditor.exe
- setup.exe
- PCMAV.exe
Selain itu worm ini juga mendisable perintah Install Open dan Edit pada file dengan ekstensi (.inf) ,(.reg) dan (.vbs).
Membuat Startup pada registry editor:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\JalanBuntu HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Setan HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Iblis HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Lelembut
Merubah home page ke “C:\Documents and Settings\All Users\Desktop\LingsirWengi.html” dan Default Name Internet Explorer menjadi “Don’t make me hurt please…”.
Menambahkan nama MsKunti pada Properties My Computer serta menghapus Organization name.
Menambahkan pesan pada Legal Notice sebelum logon Screen yang isinya seperti gambah di bawah ini:
Worm ini sudah dapat dilumpuhkan oleh PCMAV. Dan terlihat worm ini aktif di memory.
PCMAV 4.2 Update Build4
Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 4.2 Update Build4 telah hadir dengan penambahan 153 pengenal varian virus baru. Bagi Anda pengguna PCMAV 4.2, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.
Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet (non-proxy). Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV.
Namun bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:
ZippyShare.com (mirror)
Rapidshare.com (mirror)
Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.
Daftar tambahan virus hingga PCMAV 4.2 Update Build4:
Aksika-Kere.E
Aksika-Kere.E.txt
ArieLiverMartilina
ArieLiverMartilina.inf
ArieLiverMartilina.msg
Autoit.FB
Autoit.FC
Autoit.FC.ini
Autoit-ReplaceIcon.B
Autoit-ReplaceIcon.C
Baidu
Baidu.dll
Baidu.dns
Baidu.host
Baidu.inf
BassAlac
BassAlac.dll
Bekol
BlankBin
BlankBin.inf
Boller
Boller.inf
BudiLuhur.C
BudiLuhur.C.inf
CintaFitri
CintaFitri.bat
ColdHot
ColdHot.inf
CyborgBrondong
Defecha
DelPS
DelPS.ini
DEnkrip
DigitalCat
DigitalCat.html.A
DigitalCat.html.B
DigitalCat.inf
DirLock.A
DirLock.A.inf
DirLock.B
DirLock.B.inf
DirLock.B.inf.dll
FullHouse.D
Funva
Hakif
Intimidate
Julia
Julia.cmd.A
Julia.cmd.B
Julia.cmd.C
Julia.html
Julia.vbs.A
Julia.vbs.B
Kanigalindo
Kanigalindo.inf
Kanigalindo.txt
Kopat
Kopat.exe
Malingsi.AA
Malingsi.Y
Malingsi.Z
Malingsi.Z.dll
Malingsi.Z.exe
Malingsi.Z.ini
Malingsi.Z.mrc
Momo
Mshearts.vbs.C
MsIps
MsIps.inf
MsIps.ocx.A
MsIps.ocx.B
MsIps.vbs
MsKunti.vbs
MsKunti.vbs.html
MsKunti.vbs.inf
MsKunti.vbs.ini
MsKunti.vbs.txt
MyPCMD.B
MyVideo
MyVideo.exe
MyVideo.txt
Out-MGRX
Out-MGRX.txt
PC-Team
PC-Team.bat
PC-Team.inf.A
PC-Team.inf.B
Poet-Kompti
Poet-Kompti.txt
Priza
Priza.bmp
Priza.htm
Priza.inf
Proggy
Ramz
Ramz.inf
Recycler.AX
Recycler.AX.inf
Recycler.AY
Recycler.AY.inf
Recycler.AZ
Recycler.AZ.inf
Recycler.BA
Recycler.BA.inf
Recycler.BB
Recycler.BB.inf
Recycler.BC
Recycler.BC.inf
Recycler.BD
Recycler.BD.inf
Recycler.BE
Recycler.BE.inf
Recycler.BF
Recycler.BF.inf
Recycler.BG
Recycler.BG.inf
Recycler.BH
Recycler.BH.inf
Recycler.BI
Recycler.BI.inf
Recycler.BJ
Recycler.BJ.inf
RedWines.B
Rieysha-Jogja.D
Rieysha-Jogja.D.txt
Rieysha-Jogja.ini
Sabotage.C
Sabotage.C.inf
Sabotage.C.ini
Sabotage.C.job
Sabotage.C.txt
Samok.vbs
Samok.vbs.bat
Samok.vbs.inf
Serviks.D
Serviks.D.html
Serviks.D.inf
Serviks.D.vbs
Sherry
Tondano
Tondano.bat
Tondano.inf
Tondano.txt
TripleBox
VB-Shortcut-WinLogon.A
VB-Shortcut-WinLogon.B
VB-Shortcut-WinLogon.C
VB-Shortcut-WinLogon.D
VB-Shortcut-WinLogon.E
VB-Shortcut-WinLogon.F
VB-Shortcut-WinLogon.G
YDU.vbs
YDU.vbs.inf
Sip dah, keluar update baru untuk PCMAV 4.2. Mantap …
Cuma, alamat buruk nih, berarti majalah lambat terbit. Biasanya tiap bulan minggu pertama sudah di tangan ….
Berarti PCMAV versi baru lambat dirilis …..
Padahal sudah nunggu fitur-fitur baru yang dijanjikan di forum ….
Fitur yang paling saya tunggu sebenarnya :
- Fitur “update now” karena akses internet biasanya jalan setelah PCMAV run di startup, jadi dianggap “no internet network”
- Kalau PCMAV dimatikan dulu, berarti ada jeda kompie kita nggak ada proteksinya.
O, ya, lupa,
- Fitur integrasi dengan clam-av agar diperluas, sehingga selain PCMAV bisa membaca virus defs *.CVD, juga bisa membaca *.CLD.
Alasannya, karena update *.CLD lebih praktis dan cepat dengan menggunakan freshclam, bawaan dari clam-av itu sendiri.
wkwkwkwkwaaa…
lucu juga ya.. hmmm…
Pertamax Gan..
ijin duluan..
PERTAMAX!
keren! sukses terus ya pcmav..!!
amankan pertamaxxxx
Pertamax…!!!
Mangstab gan…!! pi udah updet duluan…hoho..
thanks PCMAV…!!
PERTAMAX
walah cpek2 lu pada bikin virus klo ujung2 lari kepcmav sia2 virus lu, mendingan pd tobat deh buat virus, mendingan bikin bikin aplikasi yg bermanfaat, good job pcmav
Kalo pcmav.exe di blok gimana ngejalaninnya maaf oon.
wihhhh lagi² vbs …
Terima kasih untuk updatenya..
Salute….
Keep going PCMAV…!
Be No.1 Local Antivirus in Indonesia
pertamax ga ya? salute dah build 4 euy
pertama…
masih untung virus, bukannya kunti beneran
well.. update baru lagi, ini yang ditunggu-tunggu.
Oh sudah ada ta updatenya .? makasih ya… PCMAV Anti virus kepercayaan ku…
tambah banyak databasenya, mantapp!
bagussss keren
mantabz bro, btw mau nanya juga nich. Virus PC_01.eml udah bisa dibasmi belom ??
Klo udah kok, aku pake PCMAV 4.5 Update 1 ini masih ga’ ke hapus ??
Tolong ya