Home > Analisa Virus, Antivirus, PCMAV Express > PCMAV Express for Alice

PCMAV Express for Alice

December 7th, 2011

Alice: Kebangkitan Worm VBS
Alice

Alice. Sampelnya pertama kami dapat dari user yang berada di Jakarta. Kemudian beberapa sampel banyak di dapat di daerah Bekasi, bahkan ada juga user yang menceritakan aksi worm Alice di daerah Lampung. Ya, bisa dikatakan bahwa Worm ini memang sedang menyebar.  Lebih jauh, worm ini juga memiliki kemampuan menginfeksi file HTML seperti Ramnit.

A.    Info File
Nama Worm: Alice
Asal: Jakarta (pertama kali dilaporkan)
Ukuran File: 7.63 KB (7,816 bytes)
Packer: ~
Pemrograman: Visual Basic Script (VBS)
Icon: VBS File
Tipe: Worm, Virus

B.    Tentang Malware
Teknik enkripsi Alice membuatnya menjadi sebuah malware yang sangat unik dibandingkan malware VBScript kebanyakan saat ini. Hal ini mengingatkan kita kepada Serviks.vbs yang sempat banyak menyebar tahun 2010 yang lalu. Kini hadir dengan pola baru yang lebih kuat dan tidak mudah membaca kode programnya, yang hampir seluruh tubuhnya berupa karakter acak.

Enkripsi / Encode

Namun setelah enkripsinya dapat di-decode, maka akan terlihat source tubuhnya adalah seperti ini:

Dekripsi / Decode

C.    Companion/File yang Dibuat
Setelah aktif di memory, Alice akan membuat host di folder:

C:\WINDOWS\system32\drivers\alice.sys
dan
C:\Documents and Settings\[nama user]\Local Settings\Temp\alice.sys

Selain itu, pada setiap root local drive atau flash disk, akan ada 2 buah file companion,  autorun.inf dan alice.alc.

Autorun

Terlihat pada kode autorun.inf di atas bahwa wscript.exe akan meng-encode worm alice agar bisa mengeksekusi seluruh perintah-perintahnya.

D. Hasil Infeksi

D.1. Modifikasi Registry
Untuk mempertahankan dirinya, Alice memodifikasi beberapa key pada registry.

Delete Key dan Value
- HKCR\*\shellex\ContextMenuHandlers\Open With\
- HKCR\inffile\shell\Install\command\
- HKCR\inffile\shell\Install\
- HKCR\regfile\shell\open\command\
- HKCR\regfile\shell\open\
- HKCR\VBEFile\Shell\Open2\command\
- HKCR\VBEFile\Shell\Open2\
- HKCR\VBEFile\Shell\Edit\command\
- HKCR\VBEFile\Shell\Edit\

Add Key dan Value
- HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
- HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt
- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFileAssociate
- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind
- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions
- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun
- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools
- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
- HKCU\Software\Policies\Microsoft\Windows\System\DisableCMD,2,REG_DWORD
- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOwner,ALICE
- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOrganization
- HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableSR
- HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig
- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\wscript.exe //e:vbscript.encode C:\WINDOWS\system32\drivers\alice.sys

D.2. Injeksi file HTM/HTML

Pada bagian footer HTML akan ditambahkan source Alice, kemudian untuk memudahkan virus agar tidak menginfeksi file yang sama untuk kedua kalinya adalah dengan cara merubah semua nama file .htm/.html yang sudah di infeksi menjadi .hta (HTML Applications).

HTML Applications

D.3. Hidden file Docx, Doc, RTF

Setiap extension file dokumen yang sudah di tentukan seperti *.docx, *.doc, dan *.rtf akan di-hidden/disembunyikan kemudian digantikan dengan menggunakan file yang sebenarnya merupakan worm Alice.

Dokumen Alice


PCMAV Express for Alice

PCMAV Express for Alice

PCMAV Express for Alice dibuat untuk membersihkan worm Alice agar tidak semakin menyebar, menghentikan prosesnya di memory komputer yang terinfeksi, melakukan perbaikan pada file htm/html yang terinjeksi dan mengembalikan atribut dokumen .docx, .doc, .rtf yang di-hidden.

Aturan Penggunaan:

  1. Jalankan PCMAV for Alice.
  2. Pastikan user Anda memiliki hak setara Administrator.
  3. Nonaktifkan fungsi Autorun (link referensi: http://support.microsoft.com/kb/967715).
  4. Pasang flashdisk yang terinfeksi pada komputer agar ikut dibersihkan.
  5. Disarankan sebaiknya komputer Anda *tidak* terkoneksi ke jaringan atau Internet selama proses scan.
  6. Setelah selesai, sangat disarankan untuk melakukan restart dan scan ulang (jika perlu).
  7. Pastikan seluruh PC yang telah terhubung di dalam jaringan juga telah bebas S3xY, sebelum PC Anda kembali terkoneksi ke jaringan.

Secara regular engine utama PCMAV akan di-update mengikuti perkembangan Alice.

Pada halaman ini kami juga menyediakan PCMAV Express for Alice untuk di-download pada link dibawah ini.

Download PCMAV Express for Alice

facebooktwittergoogle_plusredditpinterestlinkedinmail
Categories: Analisa Virus, Antivirus, PCMAV Express Tags:
  1. Jempo-X
    December 7th, 2011 at 18:03 | #1

    kenapa sih, database pengenalan virus ini tidak digabung aja sama PCMAV 6.x ? Kalau setiap ada virus baru dan tim PCMAV membuat cleanernya sendiri, saya rasa itu kurang efisien dan sedikit banyak akan membingungkan user.

  2. PC Ranger
    December 7th, 2011 at 21:35 | #2

    Mungkin untuk emergency aza bro. Ditunggu aza, pasti nanti di-combine ke PCMAV.
    Bahkan Norton, Norman dan ESSET az jg bikin yg kayak ginian kok untuk malware-malware tertentu.

  3. Toge
    December 8th, 2011 at 12:12 | #3

    baru kemaren kena virus ini udh keluar expressnya. wkakakak

  4. [AB]
    December 8th, 2011 at 17:48 | #4

    Ijin unduh gan.. :)

  5. hari
    December 8th, 2011 at 18:45 | #5

    Akhirnya… :) Dibikin juga pembersih untuk virus ini :D

    Nanti dimasukkan juga ke update build -nya PCMAV 6.2 yaa ? ;)

  6. December 9th, 2011 at 08:56 | #6

    ngeri juga nih malware

  7. GR39O
    December 9th, 2011 at 10:56 | #7

    PCMAV kok lama ga update?

  8. danapipi
    December 9th, 2011 at 19:10 | #8

    alice ane nih masa file vbsscriptnya 0 kb bukan 8 kb.di C:\WINDOWS\system32\drivers\alice.sys juga enggak ada alice.sys nya @.@

  9. Origin
    December 9th, 2011 at 23:59 | #9

    Pake Windows Ori + Anti virus yang Free asal up to date jg gk kena virus kec. Human Error….

  10. alhamas
    December 10th, 2011 at 22:11 | #10

    mantap gan ditunggu versi 6.2 nya..

  11. December 11th, 2011 at 08:56 | #11

    semoga worm ini ga sampai menyebar ke tempat kita…..

  12. December 11th, 2011 at 11:29 | #12

    mantap gan ditunggu versi 6.2 nya.. untuk mengusir virus baru dan tambahkan firewall internet

  13. December 11th, 2011 at 11:31 | #13

    mantap mas tolong pcmav 6.2 tambahkan firewall

  14. Timothy
    December 11th, 2011 at 18:28 | #14

    1Apakah ada PCMAV untuk ubuntu, kalau ada diberitahu yah..

  15. December 12th, 2011 at 13:05 | #15

    Terima Kasih PC MEDIA sudah di analisa dan dibuatkan penawarnya. sample virus yang baru sudah saya kirimkan lagi :D

    SUKSES TERUS BUAT PC MEDIA :D

  16. Reza
    December 13th, 2011 at 07:47 | #16

    Mantaap…. betul apa kata bung farid. klo bisa jadi firewallnya juga. Terus… palagi ya? Oh ya… klo bisa sih masuk ke dalam sistem yang nggak bisa diblokir lagi ma deepfreeze kayak AV yang lain… Bisa khan? Terima kasih untuk dedikasinya selama ini. Maju terus antivirus Indonesia!!! Caiyo…

  17. budi
    December 13th, 2011 at 11:12 | #17

    Mas broe yang pake ubuntu, setahu ane sampai saat ini masih aman dari virus, karena virus rata-rata dibuat untuk sistem operasi windows

  18. December 15th, 2011 at 15:08 | #18

    Halaman Resmi PC Media Di Facebook Apa ya…..
    Dan Sebelumnya Alice Teknik Penyebaranya Lewat Social Engineering juga kah…… ?
    dan PC Media yang extra 04 bisa beli dimana ya… ?

  19. Indra
    December 15th, 2011 at 18:52 | #19

    @Frost AV: PCMAV Official @ Facebook belum dibuat.
    PCMedia Extra yg Tentang Anti Virus dan Virus? Bisa didapatkan di Toko Buku Gramedia. 2 Bulan yang Lalu sih stoknya banyak di tempat saya, gak tau dah klo sekarang. Klo kehabisan, sebaiknya dipesan terlebih dahulu..

  20. A.RAHMAN
    December 16th, 2011 at 05:55 | #20

    kapan ya Majalah PC Media terbit, sekarang udah tanggal 16.

  21. upik
    December 16th, 2011 at 10:59 | #21

    aq dah 2 kali bolak balik k toko majalah, kpn yg nmr 12 nyampe k Pbun-Kalimantan Tengah???? takut kehabisan nehhhh….. :(

  22. prayitno
    December 17th, 2011 at 12:37 | #22

    AQ baru 1 x terbitan GK beli 11/2011…Moga2 ada perbaikan…

  23. December 17th, 2011 at 13:44 | #23

    Terimakasih buat info dan pencerahannya soal virus/worm Alice varian baru yang terbilang lumayan ganas ini. Maju terus PC Media.. salam sukses dari Mediatech

  24. hari
    December 17th, 2011 at 19:45 | #24

    Majalah PC Media Edisi 12/2011 beserta PCMAV Asgard 6.2 & PCMAV Express for Qvod (banyak dikenali juga sebagai virus Slugin): telah terbit hari ini.

    Segera dapatkan di toko buku dan kios majalah langganan anda :)

  25. December 18th, 2011 at 15:04 | #25

    Kenapa ebook majalah pc Media edisi Desember 2011 sudah keluar awal bulan, tetapi majalah dan DVD riil-nya baru muncul hari ini? bocor ya?

  26. January 6th, 2012 at 14:41 | #26

    kpd oom or tante yg mbikin “AliceKiller.EXE”:

    1. Trims yg se-luas2nya, PCMAV jagonya disinfeksi dan recovery akibat ulah virus lokal.

    2. Untuk ALICE (7816 bytes) yg mewabah di Win 2003 sy, itu kan “HTM” dan “HTA” setelah scanning pertama sudah “CURED”, koq pada scanning kedua masih terdeteksi terinfeksi dan muncul status “CURED” kembali ya. Mohon penjelasan teknis dan logis-nya.

    Bravo PCMAV..!! :)

Comments are closed.