Home > Analisa Virus, Antivirus, Pengumuman > XSample.vbs: Aku Berhasil Masuk Ke Komputer Kamu

XSample.vbs: Aku Berhasil Masuk Ke Komputer Kamu

February 11th, 2011 Leave a comment Go to comments

XSample.vbs

XSample.vbs. Gambar di atas adalah salah satu hasil infeksi dari salah satu malware yang kami dapatkan dengan nama XSample.vbs. Worm ini menggunakan rekayasa sosial yang cukup menarik, yaitu dengan menggunakan nama FreeJAV.com_Hot-Student.avi akan membuat beberapa user mengabaikannya atau malah menjalankannya. Dan hasilnya adalah file tersebut tidak akan bisa di putar layaknya file video karena file tersebut adalah file VBS.

A. Info File
Nama Worm : XSample.vbs
Asal : Indonesia
Ukuran File : 17.1 KB (17,564 bytes)
Packer : ~
Pemrograman : VBScript
Icon : AVI
Tipe : Worm

B. About Malware
Seakan mengikuti tren malware tipe worm saat ini, XSample.vbs juga banyak membuat shortcut. Akan tetapi yang menarik adalah justru bukan shortcut yang dibuatnya, melainkan penyamaran yang digunakan oleh worm ini. Pada dasarnya worm ini hanyalah memotong beberapa line codenya yang setelah diteliti lebih jauh adalah line code yang biasa dijadikan signature atau teknik pendeteksian secara heuristik untuk file VBS oleh beberapa antivirus. Sebagai contoh seperti yang terlihat pada gambar di bawah ini.

XSample.vbs
Jarang sekali teknik pemotongan line code yang kemudian di panggil kembali digunakan oleh malware tipe worm yang dibuat dengan menggunakan bahasa pemrograman VBScript. Selain itu, dengan menggunakan parameter //E:VBSCript yang sama seperti Serviks.vbs.B yaitu membuat wscript.exe tetap menjalankan file vbs meskipun tidak berekstensi *.vbs. Penggunaan parameter ini adalah untuk mejalankan malware yang dihasilkan dengan ekstensi .AVI. Rekayasa sosial yang digunakan adalah dengan membawa kata-kata yang mengandung unsur pornografi.

C. Companion/File yang dibuat
Worm XSample.vbs mengcopykan hostnya ke folder Windows dan membuat autorun di setiap drive. Selain itu membuat shortcut pada desktop dengan nama:

  • Int3rn3t Xpl0r3r.lnk
  • L0g 0ff C0mput3r.lnk
  • R3st4T C0mput3r.lnk
  • Turn 0ff C0mput3R.lnk

Membuat folder dengan nama “RECYCLER” di tiap drive yanbg ditemui, dan di dalamnya juga terdapat folder dengan nama “um4K-r3tupm0K-3K-ku54M-l154hr3B-uk4” yang jika diperhatikan membentuk sebuah kalimat :
um4K-r3tupm0K-3K-ku54M-l154hr3B-uk4
4ku-B3rh451l-M45uk-K3-K0mput3r-K4mu
Aku Berhasil Masuk Ke Komputer Kamu

Worm ini juga membuat folder dengan nama “? Smad-Lock (Brankas Smadav) ?” yang di dalamnya terdapat file dengan nama Read Me.txt dan berisi pesan dari malware :

XSample.vbs

Pesan XSample.vbs juga ditunjukkan melalui sebuah file dengan nama “Kedatanganku – X-5ampl3.mp3” dan bukan benar-benar file MP3 melaikan file Text dan isinya adalah :

XSample.vbs

D. Hasil Infeksi
Tidak terlalu banyak registry yang dirubah oleh XSample.vbs, tetapi payload yang dibuatnya cukup merepotkan user yang terinfeksi malware ini.

  • Mendisable File dengan nama seperti:
    1. 123.exe
    2. 12345.exe
    3. 123456.exe
    4. abc.exe
    5. abcd.exe
    6. cmd.exe
    7. install.exe
    8. msconfig.exe
    9. mspaint.exe
    10. notepad.exe
    11. notepad++.exe
    12. PCMAV.exe
    13. processexplorer.exe
    14. processhacker.exe
    15. regedit.exe
    16. regedt32.exe
    17. RegistryEditor.exe
    18. SbieCtrl.exe
    19. setup.exe
    20. Smadav.exe
    21. taskmgr.exe
    22. vmware-vmx.exe
  • Mengcopykan file FreeJAV.com_Hot-Student.avi ke Folder Windows
  • Membuat Startup dengan nama Drives:
  • HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Drives
    wscripT.exe //E:VBScripT C:\WINDOWS\FreeJAV.com_Hot-Student.avi
  • Disable beberapa fungsi windows:
    1. Turn Off
    2. Log Off
    3. Run Command
    4. Search
    5. File Associate
    6. MSI Installer
    7. Limit System Restore dan disable Sysem Restore
  • Merubah nama Properties pada My Computer
  • XSample.vbs

  • Merubah Nama Internet Explorer menjadi:
  • XSample.vbs

  • Membuat file shortcut pengganti untuk Shutdown, Restart, dan Log Off.
  • XSample.vbs

  • Menghapus salah satu key pada registry yang berfungsi untuk membedakan file shortcut dan yang bukan shorcut. Sehingga hasilnya adalah tanda panah ka atas pada file shortcut menjadi hilang.
  • Membuat File shortcut dengan nama yang bisa menipu user.
  • XSample.vbs

  • Jika mouse di arahkan ke dalam folder RECYCER, maka akan ada pesan sepert gambar di bawah ini.
  • XSample.vbs


PCMAV 4.6 Update Build3

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 4.6 Update Build3 telah hadir dengan penambahan 120 pengenal varian virus baru. Bagi Anda pengguna PCMAV 4.6, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.

Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:

SendSpace.com

ZippyShare.com (mirror)

Rapidshare.com (mirror)

Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 4.6 Update Build3:
Acehku.vbs
Amoumain
BlackId
Delp-Shortcut
Delp-Shortcut.lnk.A
Delp-Shortcut.lnk.B
Delp-Shortcut.lnk.C
Delp-Shortcut.lnk.D
Delp-Shortcut.lnk.E
Dhoos
Dhoos.dll
Dhoos.url.A
Dhoos.url.B
Dhoos.url.C
Ebetazijl.A
Ebetazijl.A.inf
Ebetazijl.B
Ebetazijl.B.lnk
FakeAV-Downloader.G
FakeAV-Downloader.H
FakeAV-Downloader.H.job
FakeAV-Downloader.H.lnk.A
FakeAV-Downloader.H.lnk.B
FakeAV-Downloader.H.lnk.C
FakeAV-Downloader.H.msi
FakeAV-Downloader.H.setup
FakeAV-Downloader.H.url
FakeAV-Downloader.H.xml
FakeAV-Downloader.I
FakeAV-Downloader.I.dat
FakeAV-Downloader.I.job
FakeAV-Downloader.I.lnk.
FakeAV-Downloader.I.lnk.A
FakeAV-Downloader.I.lnk.B
FakeAV-Downloader.I.lnk.C
FakeAV-Downloader.I.ref
FakeAV-Downloader.I.rtf
FakeAV-Downloader.I.setup
FakeAV-Downloader.I.unins
FakeAV-Downloader.I.url
FakeAV-Downloader.J.host
FakeAV-Downloader.J.ico
FakeAV-Downloader.J.job
FakeAV-Downloader.J.lnk.A
FakeAV-Downloader.J.lnk.B
FakeAV-Downloader.J.lnk.C
FakeAV-Downloader.J.setup
FakeAV-Downloader.J.url
FakeAV-Downloader.J.xml
FakeAV-Downloader.K
FakeAV-Downloader.K.dat
FakeAV-Downloader.K.dll.A
FakeAV-Downloader.K.dll.B
FakeAV-Downloader.K.dll.C
FakeAV-Downloader.K.job
FakeAV-Downloader.K.lnk.A
FakeAV-Downloader.K.lnk.B
FakeAV-Downloader.K.lnk.C
FakeAV-Downloader.K.lnk.D
FakeAV-Downloader.K.ref
FakeAV-Downloader.K.rtf
FakeAV-Downloader.K.unins
FakeAV-Downloader.K.url
FakeDownloader.A
FakeDownloader.B
FakeDownloader.B.dll.A
FakeDownloader.B.dll.B
FakeDownloader.C
FakeDownloader.C.dll.A
FakeDownloader.C.dll.B
FakeDownloader.D
FakeDownloader.D.dll
FakeDownloader.D.exe
FakeDownloader.E
FakeDownloader.F
FakeDownloader.F.bat
FakeDownloader.F.job
FakeDownloader.G
FakeDownloader.G.DLL
FakeDownloader.H
FakeDownloader.H.bat
FakeDownloader.H.job
FakeDownloader.H.sim
FakeDownloader.I
FakeDownloader.J
FakeDownloader.K
FakeDownloader.L
FakeDownloader.L.exe
FakeDownloader.M
FakeDownloader.N
FakeDownloader.O
HoneyMoon.vbs
HoneyMoon.vbs.inf
Khetex.B
NDI.vbs
NDI.vbs.gen
NDI.vbs.inf
NDI.vbs.txt
NineOClock
Rascal.B
Restore.D
Restore.D.inf
Restore.E
Restore.E.inf
SkyNet.F
Spesial
VB-Shortcut-1.lnk
Vedasetion
Vedasetion.tmp
Vemo-AV
XSample.vbs
XSample.vbs.inf
XSample.vbs.ini
XSample.vbs.lnk.A
XSample.vbs.lnk.B
XSample.vbs.lnk.C
XSample.vbs.lnk.D
XSample.vbs.lnk.E
XSample.vbs.lnk.F
XSample.vbs.mp3

Categories: Analisa Virus, Antivirus, Pengumuman Tags:
  1. nunodedjogja
    February 11th, 2011 at 05:27 | #1

    pertamaxxx….

  2. February 11th, 2011 at 07:05 | #2

    Terima kasih untuk update nya, langsung download gan…

  3. February 11th, 2011 at 09:37 | #3

    Wow pembuat virus pastinya suka yang jorok2.. 😀

  4. February 11th, 2011 at 09:42 | #4

    @iyeh41
    loe tuh yang pikirannya ngeres!ngaco aja! biasain komen yg berpendidikan dong bro!

  5. CyberCrime
    February 11th, 2011 at 09:51 | #5

    yg jelas virus skarang cra krjax msih gtu2 ae. inject registry,buat autorun, pake nama yg hot2x. ehm yg jlas low yg gtu2 pzti newbie yg buat. soalx sama2 aj.

  6. February 11th, 2011 at 15:20 | #6

    mantabszz…………..

    Worm folder dengan nama “? Smad-Lock (Brankas Smadav) ?” yang di dalamnya terdapat file dengan nama Read Me.txt dan berisi pesan dari malware :

    kaya smadav aja Smad-Lock (Brankas Smadav)
    ………..

  7. Herry
    February 11th, 2011 at 15:39 | #7

    Gag masalah si pembuat newbie yg buat virus… kebanyak methode virus menyebar cepat emg melalui cara kea gitu… virus2 luar juga gitu, byk yg mengelabui sbg AV or Crack…
    tp kalo eang make kompi juga dudud mah pazti juga kagak tau cara mengatasi virus dr si pembuat yg newbie… kalo si pengguna Kompi Pro mah kagak perlu make Antivirus apapun d kompinya…. karna udah taw cara ngelakin virus biar gag masuk tanpa Antivirus… n juga pasti udah bisa mencurigai file2 yg gag dikenal yg ada d FD…

  8. icp_zkom
    February 12th, 2011 at 05:26 | #8

    pcmav tolong buat pembersih virus ramnit dkk… kemaren ternyata saya terkena ramnit… dan pcmav gak mendetect apa2. padahal ada aktifitas infeksi ke floppy ataupun usb… walaupun udah sekitar 2 harian clamav bisa mendeteksi, tapi saya lebih percaya pcmav yg langsung berantas… hidup pcmav…

  9. AB
    February 12th, 2011 at 13:28 | #9

    Lumayan 10 besar.. 😀

  10. Edo
    February 12th, 2011 at 16:48 | #10

    @AB:
    please dehhhh jangan nge-JUNK dong komentarnya ya coy!

  11. Edo
    February 13th, 2011 at 00:08 | #11

    @ico_zkom :
    Gimana kalo sampel virus ramnit dkk-nya diupload ke situs pcmav biar dianalisis untuk dibuatin penangkalnya?

  12. Edo
    February 13th, 2011 at 00:42 | #12

    @ico_zkom :
    Kalo bener-bener urgent bisa pake dr.web live cd (versi terakhir) untuk membersihkan secara tuntas.

  13. g4d1ng
    February 13th, 2011 at 06:16 | #13

    kok pcmedia 03\2011 belum keluar sih. 🙁

  14. February 13th, 2011 at 07:25 | #14

    thanks pcmedia…

  15. icp_zkom
    February 13th, 2011 at 09:12 | #15

    @Edo : Itu dia bro, ane gak tau cara uploadnya… gimana? kemaren udah ane zip tapi gak tau kirim kemana… sekarang sih ane yakin semua antivirus luar udah bisa ngilangin ramnit.. kompi ane juga udah bersih pake mse, begitu juga temen2 ane ada yg make avira dan clamav buit in… tapi ane lebih kepengen pcmav punya sendiri..

  16. Wahid si Fans SMADAV
    February 15th, 2011 at 07:02 | #16

    Bener jg tuh kata si virus di recycle bin nya…..

    ” jangan buang sampah sembarangan, nanti bu guru marah lh0 😀 ”

    Kita jg bsa mendapat pelajaran dari ntu virus,, supaya tdk mmbuang sampah smbarangan

    contohin atuh….

    nyahahahahahaha……

  17. joko
    February 15th, 2011 at 13:45 | #17

    @icp_zkom
    bisa upload ke media api atau 4shared,, dsb. copy linkya kemari kalo udah di upload. atau ke redaksi at pcmedia dot co dot id

  18. Anto
    February 16th, 2011 at 08:55 | #18

    @Herry
    weh bahasa apa neh.kok aneh kayak gini yang aja harue eang…….pasti gak lulus bahasa indonesia neh

  19. February 16th, 2011 at 12:34 | #19

    Wah lumayan tuh klo buat iseng

  20. Edo
    February 16th, 2011 at 20:43 | #20

    @Anto & @Bb Team :
    hihihihihihihi

  21. February 17th, 2011 at 10:16 | #21

    coba ditambahin anti kill, n script siluman yg bisa ngecoh AV. ehm keren tuh.
    apalagi low bisa aktifin file virus di usb g’ pake autorun.inf. wah keren banget tuh

  22. sanianisa
    February 17th, 2011 at 18:01 | #22

    virusnya alay ah -_-“

  23. rizkiiq
    February 18th, 2011 at 00:24 | #23

    dah bisa nghapus virus ramnit blum ni gan??

  24. zero
    February 18th, 2011 at 04:51 | #24

    @rizkiiq
    belum bro. mendeteksi aja belum. tapi kita tunggu aja di pcmav 4.7 dengana update buildnya. mudah-mudahan bisa segera diatasi, cos ini virus bener2 nyusahin.

  25. icp_zkom
    February 18th, 2011 at 18:54 | #25

    @ rizkiiq & zero : setahu ane udah lebih dari seminggu ramnit bisa dibersihin ama clamav add on… tapi kalo bersihin memorynya gak tau deh… karna waktu ane kena ramnit memory bersih 100% pake mse… seperti saran2 di forum virusindonesia

  26. zero
    February 18th, 2011 at 19:06 | #26

    @icp_zkom
    ane ga pernah pake plugin clamav. tadi baru nyoba bro update build 4, udah kedeteksi file Ramnit.C.Variant oleh pcmav, tapi yg aneh, file ekstensi .cpl lolos.

  27. Rahman
    February 19th, 2011 at 11:05 | #27

    team pcmav tolong buatin removal virus ramnit, pcmav update terus sampai build 4 tapi belum bisa bersih juga.

  28. dudud
    February 19th, 2011 at 12:02 | #28

    @zero & @Rahman
    Kl Mo bersihin virus ramnit dengan tuntas pake aja Dr. Web ato pake Micr.Essen.Security
    aku pake Dr.Web ma MES bersih total

  29. zero
    February 19th, 2011 at 22:22 | #29

    @dudud
    kalo itu udah coba. ane maunya pcmav juga bisa tuntas bersihin ramnit ini.

  30. Rahman
    February 20th, 2011 at 05:58 | #30

    @dudud:
    please deh bro,disini jangan sebutin nama antivirus lain ya.jadi orang jangan dudud (dodol)

  31. February 20th, 2011 at 23:25 | #31

    ramnit udah bisa ke disable.. nice…

  32. wizardft
    February 21st, 2011 at 00:38 | #32

    @Ramnit: maksud lo apa nak?udah tidur sana, cuci kaki, eiits minum cucu dulu ya

  33. icp_zkom
    February 21st, 2011 at 11:39 | #33

    @Rahman : Bro kita di sini saling membantu informasi temen2 yg memang lagi butuh bantuan… Gw aja terbantu atas saran temen2 di forum ini… Ramnit yg ada di kompi gw semuanya bersih pake mse..
    @dudud : thx atas informasinya.. yg penting solusi…

  34. A.RAHMAN
    February 21st, 2011 at 12:26 | #34

    team pcmav, kmrn z msk di website smadav. ktnya pcmav kalah dlm pendeteksian virus, uji cobanya dr 150 virus smadav bs detec 115 dan pcmav 110. smadav kn AV br koq pcmav bs kalah?

  35. zero
    February 21st, 2011 at 14:31 | #35

    @RAHMAN: ya iya lah!!! orang yg ngujinya itu kan orangnya smadav, pantes aja! coba deh ente mikir dulu.jangan mau terprovokasi oleh tetangga sebelah itu bro!apalagi teamnya yg sok tau semua.

  36. zero
    February 21st, 2011 at 16:02 | #36

    ah nama gw dibajak. tolong pake nick lain lah.

  37. Edo
    February 21st, 2011 at 22:57 | #37

    @A.RAHMAN:
    Kalo soal pendeteksian seh, boleh-boleh aza PCMAV dibilang “kalah” tapi dalam hal pembasmian dan recovery file, tuh lain ceritanya bro….
    Kalo ane sih, yang penting file-file yang terinfeksi bisa balik 99,99% ke kondisi aslinya daripada cuma dikasih peringatan terinfeksi trus di-delete…

  38. February 22nd, 2011 at 04:50 | #38

    @Edo
    Bener Tuh,an pernah download file di forum smadav Eh Ternyata Virus Ketedect sama avira gatau salah deteksi atau apa,yang jelas ane terpaksa install Ulang sistem ane.

    Maju Terus PCMav

  39. santoso
    February 22nd, 2011 at 09:34 | #39

    virus ramnit itu kalau sempat menginfeksi susah dibasmi, karena pada saat sedang cleaning dia terus beranak pinak lebih banyak lagi sampai akhirnya sang anti virus iadi kewalahan sendiri. Pengalaman saya hanya PCMAV yang bisa cleaning sampai tuntas. saya tunggu update pcmavnya yang sudah mengandung anti ramnit.Maju terus PCMAV