Home > Analisa Virus, Antivirus, Pengumuman > MsKunti.vbs: Malware Tanpa Rambut Panjang

MsKunti.vbs: Malware Tanpa Rambut Panjang

December 10th, 2010 Leave a comment Go to comments

MsKunti.vbs

MsKunti.vbs. Sekilas jika mendengar atau membaca nama “Kunti” sudah jelas apa yang akan di bayangkan oleh banyak orang. Akan tetapi, berbeda dengan malware yang di bahas kali ini. Meskipun bukan sosok menyeramkan yang diketahui orang pada umumnya, setiap user tidak akan menginginkan malware ini ada di komputernya.

Lagi-lagi pesan selalu menjadi ciri utama malware indonesia. Seperti yang pernah di bahas mengenai malware tipe VBScript di http://virusindonesia.com/2010/09/03/satu-pesan-cinta-ribuan-shortcut/ yang menyisipkan pesan di folder system32, sekarang datang lagi malware dengan tipe yang mirip.

Nama: MsKunti.vbs
Asal: Indonesia
Ukuran File: 19.6 KB
Pemrograman : Visual Basic Scripting
Icon : VBS
Tipe : Worm

Yang menarik dari malware ini adalah, beberapa hal yang menunjukan hasil infeksinya, selalu berbentuk seperti sebuah pesan atau mantera kuno. Contohnya seperti :

Autorun.inf

MsKunti.vbs Autorun.inf

Dengan Autorun.inf buatan MsKunti.vbs, ada beberapa menu yang di tambahkan seperti yang terlihat pada gambar di atas. Selain itu, ia juga merubah icon flash disk maupun hard disk yang sudah terinfeksi worm ini, menjadi Empty Recycle bin. Biasanya malware merubah icon flash disk menjadi folder seperti Conficker, Recycler, bahkan VB-Shortcut. Selain itu, beberapa menu utama seperti Open, Explore, Search dan Properties juga di gunakan sebagai perintah yang dapat menjalankan MsKunti.vbs.

Kala_Malam.ini

MsKunti.vbs Kala_Malam.ini

Seperti sebuah puisi, file ini akan langsung terbuka setelah user masuk ke Windows. Karena file ini sudah ada di:

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Kala_Malam.ini

Di_malam_bulan_purnama.txt

MsKunti.vbs Di_malam_bulan_purnama.txt

File ini terdapat di Dekstop yang isinya seperti mantera kuno yang di bagian atasnya tertulis pesan pembuat malware:

Di baca sampai ‘dia’ datang ya….

LingsirWengi.html

MsKunti.vbs LingsirWengi.html

Pesan pembuat MsKunti.vbs juga ada pada Desktop dengan nama LingsirWengi.html.

MsKunti.vbs

Bukan hanya pesan yang dibuat oleh Worm ini, beberapa fungsi Windows juga di disable. Contohnya antara lain adalah:

  1. Folder Options
  2. Search
  3. Turn off
  4. File Associate
  5. Hidden File Extension
  6. Task Manager

Mendisable file dengan nama-nama seperti:

  1. cmd.exe
  2. install.exe
  3. msconfig.exe
  4. regedit.exe
  5. regedt32.exe
  6. RegistryEditor.exe
  7. setup.exe
  8. PCMAV.exe

Selain itu worm ini juga mendisable perintah Install Open dan Edit pada file dengan ekstensi (.inf) ,(.reg) dan (.vbs).

Membuat Startup pada registry editor:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\JalanBuntu
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Setan
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Iblis
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Lelembut

Merubah home page ke “C:\Documents and Settings\All Users\Desktop\LingsirWengi.html” dan Default Name Internet Explorer menjadi “Don’t make me hurt please…”.

MsKunti.vbs Internet Explorer

Menambahkan nama MsKunti pada Properties My Computer serta menghapus Organization name.

MsKunti.vbs  Properties MyComputer

Menambahkan pesan pada Legal Notice sebelum logon Screen yang isinya seperti gambah di bawah ini:

MsKunti.vbs  Legal Notice

Worm ini sudah dapat dilumpuhkan oleh PCMAV. Dan terlihat worm ini aktif di memory.

MsKunti.vbs  Clean Memory

MsKunti.vbs  Clean File


PCMAV 4.2 Update Build4

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 4.2 Update Build4 telah hadir dengan penambahan 153 pengenal varian virus baru. Bagi Anda pengguna PCMAV 4.2, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet (non-proxy). Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV.

Namun bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:

SendSpace.com

ZippyShare.com (mirror)

Rapidshare.com (mirror)

Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 4.2 Update Build4:
Aksika-Kere.E
Aksika-Kere.E.txt
ArieLiverMartilina
ArieLiverMartilina.inf
ArieLiverMartilina.msg
Autoit.FB
Autoit.FC
Autoit.FC.ini
Autoit-ReplaceIcon.B
Autoit-ReplaceIcon.C
Baidu
Baidu.dll
Baidu.dns
Baidu.host
Baidu.inf
BassAlac
BassAlac.dll
Bekol
BlankBin
BlankBin.inf
Boller
Boller.inf
BudiLuhur.C
BudiLuhur.C.inf
CintaFitri
CintaFitri.bat
ColdHot
ColdHot.inf
CyborgBrondong
Defecha
DelPS
DelPS.ini
DEnkrip
DigitalCat
DigitalCat.html.A
DigitalCat.html.B
DigitalCat.inf
DirLock.A
DirLock.A.inf
DirLock.B
DirLock.B.inf
DirLock.B.inf.dll
FullHouse.D
Funva
Hakif
Intimidate
Julia
Julia.cmd.A
Julia.cmd.B
Julia.cmd.C
Julia.html
Julia.vbs.A
Julia.vbs.B
Kanigalindo
Kanigalindo.inf
Kanigalindo.txt
Kopat
Kopat.exe
Malingsi.AA
Malingsi.Y
Malingsi.Z
Malingsi.Z.dll
Malingsi.Z.exe
Malingsi.Z.ini
Malingsi.Z.mrc
Momo
Mshearts.vbs.C
MsIps
MsIps.inf
MsIps.ocx.A
MsIps.ocx.B
MsIps.vbs
MsKunti.vbs
MsKunti.vbs.html
MsKunti.vbs.inf
MsKunti.vbs.ini
MsKunti.vbs.txt
MyPCMD.B
MyVideo
MyVideo.exe
MyVideo.txt
Out-MGRX
Out-MGRX.txt
PC-Team
PC-Team.bat
PC-Team.inf.A
PC-Team.inf.B
Poet-Kompti
Poet-Kompti.txt
Priza
Priza.bmp
Priza.htm
Priza.inf
Proggy
Ramz
Ramz.inf
Recycler.AX
Recycler.AX.inf
Recycler.AY
Recycler.AY.inf
Recycler.AZ
Recycler.AZ.inf
Recycler.BA
Recycler.BA.inf
Recycler.BB
Recycler.BB.inf
Recycler.BC
Recycler.BC.inf
Recycler.BD
Recycler.BD.inf
Recycler.BE
Recycler.BE.inf
Recycler.BF
Recycler.BF.inf
Recycler.BG
Recycler.BG.inf
Recycler.BH
Recycler.BH.inf
Recycler.BI
Recycler.BI.inf
Recycler.BJ
Recycler.BJ.inf
RedWines.B
Rieysha-Jogja.D
Rieysha-Jogja.D.txt
Rieysha-Jogja.ini
Sabotage.C
Sabotage.C.inf
Sabotage.C.ini
Sabotage.C.job
Sabotage.C.txt
Samok.vbs
Samok.vbs.bat
Samok.vbs.inf
Serviks.D
Serviks.D.html
Serviks.D.inf
Serviks.D.vbs
Sherry
Tondano
Tondano.bat
Tondano.inf
Tondano.txt
TripleBox
VB-Shortcut-WinLogon.A
VB-Shortcut-WinLogon.B
VB-Shortcut-WinLogon.C
VB-Shortcut-WinLogon.D
VB-Shortcut-WinLogon.E
VB-Shortcut-WinLogon.F
VB-Shortcut-WinLogon.G
YDU.vbs
YDU.vbs.inf

Categories: Analisa Virus, Antivirus, Pengumuman Tags:
  1. Calon Mantu
    December 10th, 2010 at 19:08 | #1

    Sip dah, keluar update baru untuk PCMAV 4.2. Mantap …

    Cuma, alamat buruk nih, berarti majalah lambat terbit. Biasanya tiap bulan minggu pertama sudah di tangan ….

  2. Calon Mantu
    December 10th, 2010 at 19:10 | #2

    Berarti PCMAV versi baru lambat dirilis …..

    Padahal sudah nunggu fitur-fitur baru yang dijanjikan di forum ….

  3. Calon Mantu
    December 10th, 2010 at 19:14 | #3

    Fitur yang paling saya tunggu sebenarnya :
    – Fitur “update now” karena akses internet biasanya jalan setelah PCMAV run di startup, jadi dianggap “no internet network”
    – Kalau PCMAV dimatikan dulu, berarti ada jeda kompie kita nggak ada proteksinya.

  4. Calon Mantu
    December 10th, 2010 at 19:18 | #4

    O, ya, lupa,
    – Fitur integrasi dengan clam-av agar diperluas, sehingga selain PCMAV bisa membaca virus defs *.CVD, juga bisa membaca *.CLD.

    Alasannya, karena update *.CLD lebih praktis dan cepat dengan menggunakan freshclam, bawaan dari clam-av itu sendiri.

  5. December 10th, 2010 at 19:56 | #5

    wkwkwkwkwaaa…
    lucu juga ya.. hmmm…

  6. Biru
    December 10th, 2010 at 21:24 | #6

    Pertamax Gan..
    ijin duluan..

  7. December 10th, 2010 at 21:26 | #7

    PERTAMAX!

    keren! sukses terus ya pcmav..!!

  8. yuribanget
    December 11th, 2010 at 02:38 | #8

    amankan pertamaxxxx

  9. Yugi
    December 11th, 2010 at 02:40 | #9

    Pertamax…!!!

    Mangstab gan…!! pi udah updet duluan…hoho..
    thanks PCMAV…!!

  10. anonim
    December 11th, 2010 at 06:05 | #10

    PERTAMAX

  11. p0kerm4nia
    December 11th, 2010 at 09:44 | #11

    walah cpek2 lu pada bikin virus klo ujung2 lari kepcmav sia2 virus lu, mendingan pd tobat deh buat virus, mendingan bikin bikin aplikasi yg bermanfaat, good job pcmav 😉

  12. Ayah
    December 11th, 2010 at 09:52 | #12

    Kalo pcmav.exe di blok gimana ngejalaninnya maaf oon.

  13. 0x69
    December 11th, 2010 at 12:04 | #13

    wihhhh lagi² vbs …

  14. December 11th, 2010 at 14:01 | #14

    Terima kasih untuk updatenya..

  15. Edo
    December 11th, 2010 at 16:16 | #15

    Salute….
    Keep going PCMAV…!
    Be No.1 Local Antivirus in Indonesia

  16. dh1art
    December 11th, 2010 at 17:27 | #16

    pertamax ga ya? salute dah build 4 euy

  17. icp_zkom
    December 11th, 2010 at 18:43 | #17

    pertama…

  18. santi
    December 11th, 2010 at 22:50 | #18

    masih untung virus, bukannya kunti beneran

  19. michi
    December 11th, 2010 at 23:15 | #19

    well.. update baru lagi, ini yang ditunggu-tunggu.

  20. December 12th, 2010 at 05:16 | #20

    Oh sudah ada ta updatenya .? makasih ya… PCMAV Anti virus kepercayaan ku…

  21. penggemarmu
    December 12th, 2010 at 07:18 | #21

    tambah banyak databasenya, mantapp!

  22. veno
    December 12th, 2010 at 10:53 | #22

    bagussss keren

  23. December 20th, 2010 at 13:37 | #23

    mantabz bro, btw mau nanya juga nich. Virus PC_01.eml udah bisa dibasmi belom ??
    Klo udah kok, aku pake PCMAV 4.5 Update 1 ini masih ga’ ke hapus ??

    Tolong ya