Home > Analisa Virus, Pengumuman, Update PCMAV > VBS Crypter Safa7_22: Old New Things

VBS Crypter Safa7_22: Old New Things

VBS Crypter Safa7_22 Old New Things

Worm VBS merupakan cerita lampau? Jika Anda setuju maka Anda salah. Baru-baru ini marak worm VBS yang di-obfuscate dengan berbagai cara. Dari menggunakan teknik encoding Base64 hingga teknik sederhana dengan mengganti string menjadi bilangan heksa.

Beberapa laporan malware yang masuk ke kami pun adalah worm VBS. Ciri unik pada worm VBS ini yaitu terdapat tulisan “< Safa7_22 >”. Worm VBS lokal seperti Serviks pun pernah memakai teknik yang serupa dengan Safa7_22, bedanya teknik obfuscate yang ditawarkan VBS Crypter Safa7_22 lebih beragam.

Tidak ada yang menarik karena ini semua merupakan teknik lama yang menjadi tren baru dalam teknologi VBS crypting. Kilas balik ke era tahun 2000, ada teknik yang bahkan lebih canggih yang dipopulerkan oleh Vxer asal Bekasi yang memiliki nick Malworm. Teknik yang diusung yaitu polymorphic alias setiap file VBS baru yang dibuat tidak akan sama dengan file VBS ketika tereksekusi.

Kembali lagi ke worm VBS yang dilaporkan oleh pengguna PCMAV. Secara umum, worm ini membuat 2 registry startup yaitu di HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ dan HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\. Selain itu, lokasi startup lainnya yaitu di folder c:\Documents and Settings\Administrator\Start Menu\Programs\Startup\.

Berikut contoh startup yang dibuat oleh worm:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\
“tlktkovwwq”=”wscript.exe //B C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tlktkovwwq.vbe”

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
“tlktkovwwq”=”wscript.exe //B C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tlktkovwwq.vbe”

File name C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\tlktkovwwq.vbe

PCMAV 9.6 dengan Update build2 telah dapat mendeteksi varian dari worm VBS yang di-obfuscated dengan VBS Crypter Safa7_22.

  1. rahman
    January 4th, 2014 at 12:33 | #1

    Mas Fajar, Link download update manualnya belum di post.

  2. January 4th, 2014 at 12:44 | #2

    @rahman
    Di tulisan ini memang tidak disediakan link download. Kemungkinan, daftar virus baru pada update build akan diumumkan di forum.

  3. rahman
    January 4th, 2014 at 12:52 | #3

    @Fajar Anggiawan
    Oh iya mas Fajar, Klu bgt nanti di lihat di forum. Kirain tadi lupa posting link di Blognya, karena biasanya langsung tersedia Link downloadnya. Mksh..

  4. PC Ranger
    January 6th, 2014 at 00:09 | #4

    Update pertama di 2014. Keep going PCMAV!