Home > Analisa Virus, Antivirus, Pengumuman > Dini.vbs: im sorry my english bad

Dini.vbs: im sorry my english bad

Dini.vbs

Dini.vbs. Sudah tidak asing jika malware lokal hadir dengan ciri-ciri yang selalu menampilkan pesan berupa curahan hati. Pesan tersebut bukan hanya ada di hasil companionnya saja, akan tetapi pada tubuh dari malware itu sendiri. Malware seperti ini mengingatkan kita pada worm Serviks.vbs yang cukup banyak menyebar pertengahan tahun 2010.

A. Info Malware
Nama: Dini.vbs
Asal: Indonesia
Ukuran File: 24.5 KB (25,096 bytes)
Packer: –
Pemrograman: Visual Basic Script
Icon: VBS file
Tipe: Worm

B. Tentang Malware
Meskipun malware tipe VBS termasuk memiliki banyak varian dan mudah dimodifikasi, akan tetapi beberapa teknik heuristik antivirus sudah mampu mendeteksi malware tipe VBS seperti ini. Sebut saja SlowButSure.vbs, Mahadewa.vbs, atau Kalong.vbs yang source codenya banyak di share di forum, blog atau website personal. Dini.vbs juga temasuk salah satu worm VBS yang sebenarnya memodifikasi source code worm lain. Terdapat pola umum yang mungkin bisa menjadi acuan bahwa worm tersebut adalah modifikasi.

Dini.vbs

1. Setelah baris pendeklarasian variabel (DIM), biasanya pada baris berikutnya berisi source code autorun.inf
2. Pembuatan file induk di folder WINDOWS / system32
3. Membuat Worm dan autorun.inf di setiap drive termasuk flash disk.
4. Membuat pertahan atau membuat value key baru pada registry
5. Hentikan Script tiap 2 menit sekali
6. Jalankan Explorer.exe jika menjalankan worm.

Pola seperti ini hampir sudah pasti terdeteksi oleh antivirus luar negeri ataupun antivirus lokal. Ada juga teknik pengenkripsian code namun teknik seperti ini juga tidak selalu berhasil.

C. Companion/File yang dibuat

Dini.vbs tidak banyak membuat companionterhitung hanya 3 buah file yang di drop jika worm ini di eksekusi.
1. Membuat host di folder system32 dengan nama VHCK3D.vbs, “C:\WINDOWS\system32\VHCK3D.vbs”
2. Menyebarkan file “VHCK3D.vbs” dan “Autorun.inf” di setiap drive dan flash disk yang terhubung dengan komputer yang terinfeksi.

D. Hasil Infeksi

Setelah aktif di memory, worm ini banyak melakukan pertahan terutama penginjeksian dan penulisan value key di registry:

Disable Show Super Hidden Field
Disable Perubahan Wallpaper
Disable Search dan Folder Options
Disable Run Command
Disable Burning CD/DVD
Disable Klik kanan
Disable TrayIkon
Disable Shortkey dan Menghilangkan Shortcut termasuk file-file pada dekstop
Disable System Information
Menghilangkan tombol Logoff dan Turnoff
Disable Control Panel
Disable Task Manager, Registy Editor, dan Command Prompt
Disable System Restore dan install MSI File

Worm ini juga otomatis menjalankan aplikasi “Notepad.exe” jika menjalankan file dengan nama:

cmd.exe, install.exe, msconfig.exe, regedit.exe, regedt32.exe, RegistryEditor.exe, setup.exe, avscan.exe, avcenter.exe, ashAvast.exe, viremoval.exe, PCMAV-CLN.exe, PCMAV-RTP.exe, PCMAV.exe, SMP.exe, SmadAV 3.4.exe, GAV.exe, nod32.exe, evest.exe, nod32kui.exe, Opera.exe, power remover.exe, power live protector.exe, mawar-av.exe, cav-0.94.exe, CCleaner.exe, procexp.exe, Norman VC.exe, NVC.exe, norman.exe, 123456.exe, 12345.exe, 1234.exe, 123.exe

Tidak ketinggalan Dini.vbs membuat pesan sebelum proses logon.

Dini.vbs

Worm juga akan mengubah title pada Internet Explorer.

Dini.vbs

E. Pembersihan

Worm ini telah dikenali dan dapat dibersihkan pada PCMAV 5.0 Update Build2 ini berikut ini.

PCMAV 5.0 Update Build2

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 5.0 Update Build2 telah hadir dengan penambahan 68 pengenal varian virus baru. Bagi Anda pengguna PCMAV 5.0, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.

Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:

SendSpace.com

ZippyShare.com (mirror)

Rapidshare.com (mirror)

Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 5.0 Update Build2:

Arzon.C
Autoit-ReplaceIcon.D
Autoit-ReplaceIcon.E
Autoit-ReplaceIcon.F
Autoit.FF
Autoit.FF.inf
Autoit.FG
Autoit.FG.bat
Autoit.FH
Autoit.FH.inf
CoolFace-Mutant.I
Crazya
Crazya.inf
Cronograma.A
Cronograma.A.dropper
Cronograma.A.hosts
Cronograma.B
Cronograma.B.dropper
Cronograma.B.hosts
DHelp
DHelp.exe
Dini.vbs.A
Dini.vbs.B
Dini.vbs.inf
FakeCalc
FakeCalc.exe.A
FakeCalc.exe.B
Fanny.lnk.G
Gen.VBVimaker.setup
Gen.VBVimaker.setup.SN
Gen.VBVimaker.setup.txt.A
Gen.VBVimaker.setup.txt.B
Gen.VirVBS.B
Locatory.B
MehranRasa
MehranRasa.jpg
Ramnit.A.Variant
Ramnit.B.Variant
Ramnit.C.Variant
Ramnit.D.Variant
Ramnit.E.Variant
Ramnit.F.variant
Ronkor.C
Ronkor.C.htt
Ronkor.C.txt
Rrlf.exe
SennaSpy
SennaSpy.dat
SennaSpy.exe.A
SennaSpy.exe.B
SennaSpy.lnk
SennaSpy.txt
Seppeto
SystemTools
ViewFiles
XSample.vbs
XSample.vbs.inf
XSample.vbs.ini
XSample.vbs.lnk.A
XSample.vbs.lnk.B
XSample.vbs.lnk.C
XSample.vbs.lnk.D
XSample.vbs.lnk.E
XSample.vbs.lnk.F
XSample.vbs.mp3
Zed-Macro
ZeroTolerance.A
ZeroTolerance.B

Categories: Analisa Virus, Antivirus, Pengumuman Tags:
  1. zero
    April 11th, 2011 at 21:44 | #1

    wah, baru nongol

  2. alpha
    April 11th, 2011 at 22:55 | #2

    ups… buruan nyedot neh untuk memperkuat my valhalla…
    makasih tim pcmav…

  3. brian
    April 11th, 2011 at 23:02 | #3

    asikk. donlot trus scan ah.
    ane pake AVG IS.
    tapi kalo mau scan2 atau apa PCMAV tetep siap.
    tanpa clamav biar ga berat, lagian kalo virus luar udah ada AVG nya.
    kalo PCMAV udah cukup mumpuni untuk jadi AV Primary baru deh ganti.
    kira2 kapan ya. 😀

  4. Why
    April 12th, 2011 at 00:23 | #4

    Ya… shell lagiii…inf Dcom

  5. April 12th, 2011 at 09:53 | #5

    langsung ke tekape…….

  6. hanya sebuah nama
    April 12th, 2011 at 10:49 | #6

    mantap gan, update terus virus2 lainnya…

  7. [AB]
    April 12th, 2011 at 13:31 | #7

    Lama banget nongolnya..??
    update nya uda ada dari 7 hari yang lalu..

  8. registered
    April 13th, 2011 at 08:38 | #8

    gimana nih updatenya selalu di karantina sama kis… ada solusi terbaik gak?

  9. [AB]
    April 13th, 2011 at 12:36 | #9

    @registered
    Pake fitur kaya semacam Exception List kaya di Avira gan..

  10. CyberCrime
    April 13th, 2011 at 12:57 | #10

    Gak ada yang lbih extrime lagi ya Virusx ….

  11. Fredika
    April 13th, 2011 at 13:21 | #11

    cakep PC Media

    ane kena serviks.vbs.b 275 detected,semuanya keapus dan normal lagi,thx PCMAV Team

  12. registered
    April 13th, 2011 at 13:25 | #12

    [AB] :
    @registered
    Pake fitur kaya semacam Exception List kaya di Avira gan..

    sebetulnya masukan ke exclusion sih gak masalah,,,, tapi masak seterusnya mau begini… update pcmav di karantina sama kis…. 🙁

  13. Andi
    April 13th, 2011 at 20:39 | #13

    CyberCrime :
    Gak ada yang lbih extrime lagi ya Virusx ….

    Pengen lebih extreme? sini aku buatkan virusnya wkkwkwkw

  14. alpha
    April 14th, 2011 at 02:25 | #14

    @CyberCrime:
    pengen yang lebih “extreme”? yah bikin antivirus-nya dunk…

  15. Why
    April 14th, 2011 at 14:59 | #15

    Gimana dengan injection via html soalnya IE 9 tembus tuhhhh… Spy trusss…..

  16. Why
    April 14th, 2011 at 15:04 | #16

    !! The best 5 AV-Comparatives Maret 2011 !!
    1.AVIRA…. 2.Avast….. 3.KIS…… 4.MSE…….. 5.ESET

  17. alpha
    April 14th, 2011 at 17:18 | #17

    @Why:
    Compare by WHO?

  18. benny
    April 14th, 2011 at 17:35 | #18

    Ramnit bisa ngerusak OS WINDOWS 7 gak????

  19. April 14th, 2011 at 19:31 | #19

    @benny
    kalau anda execute tanpa sengaja ketikan memilih yes pada UAC. atau UAC anda dimatikan.

  20. Why
    April 14th, 2011 at 22:20 | #20

    Hati-hati Si Ular Python….Bisa ngerubah jadi Injection system.
    Bukan kendaraan aja sekarang yang mesin-nya injeksi. WebTheBlackH….cgi….autopwn.
    Ngeri mainannya Attack, mendingan pake Rinso aje bersih Anti noda Lagi.

  21. April 17th, 2011 at 09:31 | #21

    @ Chief/Admin:
    Teman saya kena virus W32/Sality. PCMAV Express For sality sudah keluar yang lebih baru?
    Kalau sudah bisa didownload dimana? Atau harus membeli majalah PC Media dulu? Thanks.

  22. michi
    April 17th, 2011 at 10:11 | #22

    @hendra, pilih aja category PCMAV Express di bagian kanan website ini, tapi setau saya belum ada yang lebih baru. siapin beberapa pilihan removal: pcmav express, sality killer dari kaspersky, avg juga ada kayaknya.

  23. fir
    April 18th, 2011 at 13:30 | #23

    @all:mkan tu avira..pke yg brklas kasper pure atau bitdfnder total secure wkwkwk

  24. April 19th, 2011 at 00:54 | #24

    mbak dini…. pacarmu nakal mbak

  25. Why
    April 19th, 2011 at 01:44 | #25

    !!! Warning !!!
    windows >>>> Font temp !!!
    exploit BHO clsid:CAFEEFAC-DEC7-0000-0000-ABCDEFFEDCBA >>>>>java + dep_toolkit
    dari HijackThis

  26. CyberCrime
    April 20th, 2011 at 10:49 | #26

    @benny
    pastinyaaaaaaaaaaaaaaaaa…..

  27. santoso
    April 22nd, 2011 at 08:55 | #27

    setiap akan membuka aplikasi ulead seperti video studio, studio express atau lainnya saya harus selalu mendisable pcmav karena program tersebut selalu diblok oleh pcmav versi 5 maupun yang sebelumnya.

  28. prayitno
    April 24th, 2011 at 08:57 | #28

    Komputer ane kena virus!!! neh…… tiap kali nyalain komputer selalu minta delete file atau folder untuk dimasukin ke recycle bin, apa lagi kalo buka explorer trus nge’clik folder pasti suruh delete itu folder biar masuk recycle bin… kira-kira virus apa ya…. dah coba pake pcmav 5.0+clamav 0.97 ng’gak ada yg kebaca/detek virus. pake option /regclean trus tampilan suruh ng’delete folder/filenya sudah hilang tapi tiap kali restart komputer(setelah proses POST) selalu muncul bib panjang dan lama trus baru masuk windows, tiap jalanin Run menu selalu ada tanda “=” berulang-ulang/memanjang dan sewaktu sutdown suara sound seperti tombol ditekan lama berulang-ulang trus baru sutdown. Spek komputer Aspire 4740 (laptop)

  29. Andi
    April 24th, 2011 at 14:49 | #29

    @prayitno: kalau Laptop anda itu ada bep panjang itu bukan ulah virus, hardware anda failure …….. jadi tidak ada hubungannya dengan virus (software), mungkin hardware anda bermasalah.

    @santoso: apakah aplikasi tersebut illegal pakai patch atau lainnya? XD

    @why : jangan ngespam kagak jelas ==” lama lama aku jengkel dengan anda ………

  30. prayitno
    April 25th, 2011 at 08:29 | #30

    @andi : bukan bip panjang tapi bip-bip-bip berulang-ulang (seperti tombol yg ditekan)

  31. prayitno
    April 25th, 2011 at 08:36 | #31

    tapi kalo sudah masuk windows bip nya hilang, dan sewaktu avira mendeteksi ada file yg terdeteksi virus TR/Rootkit.Gen Trojan (mchInjDrv.sys) kalo kita clik pilihan Ignore atau yg lainnya suara bip nya (seperti suara tut yg ditekan) muncul lagi, begitu ditekan OK suaranya otomatis hilang

  32. prayitno
    April 26th, 2011 at 14:34 | #32

    @all : Yups! laptonya dah beres… keyboardnya ERROR…. sekarang mw d’jual sama yg punya 3,5 jt-an…. Ada yg berminat…?
    @ teimakasih untuk saran dan informasi yg diberikan untuk rekan-rekan semua

  33. May 5th, 2011 at 12:57 | #33

    lagi lagi ada virus yang tercipta karena cinta. hahahaha =))