Home > Analisa Virus, Antivirus, PCMAV Express > PCMAV Express for Serviks-JS

PCMAV Express for Serviks-JS

May 15th, 2013


Serviks-JS pertama kali kami dapatkan samplenya dari user yang berada di Jakarta kemudian dari daerah-daerah lainnya, masing-masing user mengeluhkan hal yang sama yaitu kemunculan file bernama annie.ani, file shortcut bernama beautiful_girl_part 1 sampai part 5  dan file dokumen mereka berubah menjadi file ber-ekstensi *.jse dengan ukuran file berkisar 9KB.

A. About Virus

Nama : annie.ani

Ukuran : 9,201 bytes

Info : Java Script Encoded File

B. Companion atau File yang dibuat

Serviks-JS dalam aksinya membuat file sebagai berikut:

1.) Autorun.inf

berada pada root drive dan C:\Documents and Settings\%username%\Local Settings\Application Data\Microsoft\CD Burning.

ketika drive dibuka, maka file autorun.inf akan menjalankan file annie.ani, berikut listing file autorun.inf tersebut.

[autorun]
shellexecute=wscript.exe //e:jscript.encode annie.ani /a
shell\open\command=wscript.exe //e:jscript.encode annie.ani /a
shell\explore\command=wscript.exe //e:jscript.encode annie.ani /a

2.)  Beautiful_girl_part_1  s/d part_5

ketika user menjalankan file shortcut tersebut yang sepintas terlihat seperti file Video maka akan menjalankan file windows media player atau wmplayer dan  annie.ani

C:\WINDOWS\system32\wscript.exe //e:jscript.encode annie.ani /q:5

3.) Annie.sys

berada pada direktori C:\WINDOWS\system32\drivers, file ini akan aktif ketika komputer di restart dengan membuat startup pada registry sebagai berikut :

HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Winlogon value=Userinit=C:\WINDOWS\system32\userinit.exe,wscript.exe //e:jscript.encode C:\WINDOWS\system32\drivers\annie.sys /e

4.) Annie.ani

berada pada root drive dan C:\Documents and Settings\%username%\Local Settings\Application Data\Microsoft\CD Burning. File annie.ani selain di aktifkan oleh file autorun.inf dan shortcut, juga aktif ketika user membuka drive dengan memanfaatkan registry.

C .Aksi

Serviks-JS menyembunyikan file dokumen dengan ekstensi *.doc , *.docx dan *.rtf. File tersebut digantikan dengan file host Serviks-JS dengan extensi *.jse dengan nama yang sama. Ketika file *.jse tersebut dijalankan, file dokumen akan terbuka seperti biasa sekaligus mengaktifkan virus.

Tidak hanya itu, Serviks-JS juga menginfeksi file ber-ekstensi *.htm dan *html

Pada header file *.htm dan *.html, terlihat string dari Serviks-JS sebagai berikut:

lalu menyisipkan kode Serviks-JS sebagai berikut:

Selain itu Serviks-JS  melakukan perubahan pada Registry yang mengakibatkan Task Manager, Regedit, CMD , Menu Run ,Folder Options, System Restore terdisable, membuat file hidden tidak bisa terlihat, menyembunyikan ekstensi file, menghilangkan File Associate juga merubah value pada file ber-ekstensi *.reg yaitu (Default)=cmd.exe /c del /q /f “%1″,  Serviks-JS juga membuat value pada  Image File Execution Options bernama attrib.exe, autoruns.exe, procexp.exe, reg.exe, regalyzer.exe dan taskkil.exe dengan value Debugger=cmd.exe /c del /q /f

D. Varian dua

Baru beberapa hari setelah PCMAV Express for Serviks-JS Beta di publikasikan di forum virusindonesia.com, kami mendapatkan sample varian baru dari Serviks-JS ini, Pada varian baru ini mempunyai kemampuan memblok akses ke situs antivirus dengan memodifikasi file hosts. Metode infeksi masih sama yang mebedakan adalah pada file *.htm dan *.html terinfeksi, kode Virus dalam keadaan ter-encode.

E. Pembersihan

Untuk pembersihan tuntas gunakan PCMAV Express for Serviks-JS yang dapat didownload melalui link di bawah ini.

Link Download [updated 17 Oct 2013] : http://www.sendspace.com/file/uaki6p

facebooktwittergoogle_plusredditpinterestlinkedinmail
Categories: Analisa Virus, Antivirus, PCMAV Express Tags:
  1. PC Ranger
    May 15th, 2013 at 14:51 | #1

    Mantapz! Ini dia yg ane perlukan untuk memberantas Serviks-JS yg bercokol di pc sohib ane. Thanks PCMAV! Semoga varian virusnya bisa segera diatasi.

  2. Amri
    May 16th, 2013 at 15:04 | #2

    mantap……
    ini udah seminggu lebih saya tunggu2…
    brengsek emg nih virus, bikin berat sistem!!!
    HIDUP PCMAV!!!!

  3. zro
    May 17th, 2013 at 05:41 | #3

    nah, thx pcmedia untuk pcmav expressnya

  4. nightmare
    May 17th, 2013 at 08:05 | #4

    @PC Ranger : variannya udah bisa di atasi kok ^^ ada nama’a Serviks-JS.A sama Serviks-JS.B

  5. anne
    May 17th, 2013 at 10:51 | #5

    Great…, berhasil ngedelete virus. Mantab mantab..

    Btw, tp ko file doc yg hiden gak bisa di unhide? Trus gak lama si virus muncul lg stlh jse berhasil di clean…, help me please…

  6. anne
    May 17th, 2013 at 10:52 | #6

    @nightmare

    gmn klo virus muncul lg setelah di delete???

  7. michi
    May 17th, 2013 at 14:07 | #7

    @anne
    coba aja di scan 2x, pas scan yg kedua seharusnya process di memory gak ada yg terminated (karena sudah diterminated di scan yg pertama), kemungkinan virus masuk lagi dari flashdisk, atau LAN.

    tp kalo ada yg diterminated (saat scan kedua), berarti virus masih nyangkut di memory. Konsultasikan aja ke forum http://virusindonesia.com/forum

  8. one
    May 17th, 2013 at 17:18 | #8

    untuk versi 64 bit wind 7 kok tidak bisa?

  9. michi
    May 17th, 2013 at 22:03 | #9

    @one
    ada pesan errornya? saya juga pakai win 7 64bit dan jalanin programnya lancar2 saja.

  10. anne
    May 18th, 2013 at 09:54 | #10

    @michi @one

    udh di scan berkali2.
    Tiap kali selesai scan minta restart, after restart si jse udah gak ada tu. Tp file doc msh hiden. Gak lama kemudian si jse muncul lg. Kyaknya msh ada yg bercokol, but i dont know where…
    kasusnya mungkin mirip “one”, leppy 64 bit win 7.

    hxhxhxhx…, poor of my leppy,,

  11. michi
    May 18th, 2013 at 10:42 | #11

    @anne
    coba aja bersihin via safe mode, kalo masih ada aja konsultasikan di forum, siapa tau perlu data lain seperti screenshot, log file, sampel file virusnya, dll.

  12. orang tolol
    May 20th, 2013 at 02:26 | #12

    orang tolol jaman udah pada make windows 7 ama 8 masih kena virus aja komputernya!!!

  13. nightmare
    May 20th, 2013 at 08:24 | #13

    @ orang tolol : gan,jadi org jgn jujur-jujur banget napa :ngakak
    @ anne : yup,coba di diskusikan di forum =)

  14. zero
    May 21st, 2013 at 08:00 | #14

    @anne
    upload aja sampel virusnya, terus lapor ke forum, biar lebih cepat ditangani

  15. Kuli Proyek
    May 25th, 2013 at 13:50 | #15

    antivirus ekspressnya hanya membersihkan virusnya saja kan, tidak menghapus file aslinya?

  16. michi
    May 25th, 2013 at 14:36 | #16

    @Kuli Proyek
    betul betul betul

  17. ophie
    June 4th, 2013 at 09:57 | #17

    pc ane banget nih kna beginian juga… ini lagi proses scaning pakai PCMAV, semoga bs amblas tuntas virus nya … thanks PCMAV

  18. @yusrondwi
    June 10th, 2013 at 12:27 | #18

    ane udah scan 2x, tapi tetep aja pas udah kelar dan restart, si virus gak lama muncul lagi
    penanganannya gimana ya? mohon info :)

    windows 7 64bit

  19. June 13th, 2013 at 09:26 | #19

    pas banget gan ini dia yang ane cari , ,
    smoga aja bisa ilang nih virus jembling. . hidup pcMAV

Comments are closed.