Home > Analisa Virus > Kryptik.vbs.AH: Inovasi Mem-bypass Antivirus

Kryptik.vbs.AH: Inovasi Mem-bypass Antivirus

Salah satu hal yang seru pada malware VBS yaitu cara melewati pendeteksian oleh antivirus. Dengan menggunakan teknik enkripsi dan junk code, para pembuat malware bermain dengan pemanggilan sintak dan karakter acak.

Mari lihat Kryptik.vbs.AH, saat dibuka menggunakan teks editor, malah gambar tengkorak yang terlihat:

'´´´´´´´´´´´´´´´´´¶¶¶¶¶¶´´´´´´´´´´´´´¶¶¶¶¶¶¶´´´´´´´ ´´´´´´´´´
'´´´´´´´´´´´´´´¶¶¶¶´´´´´´´´´´´´´´´´´´´´´´´¶¶¶¶´´´´´ ´´´´´´´´´
'´´´´´´´´´´´´´¶¶¶´´´´´´´´´´´´´´´´´´´´´´´´´´´´´¶¶´´´ ´´´´´´´´´
'´´´´´´´´´´´´¶¶´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´¶¶´´ ´´´´´´´´´
'´´´´´´´´´´´¶¶´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´¶¶´ ´´´´´´´´´
'´´´´´´´´´´¶¶´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´¶¶´ ´´´´´´´´´
'´´´´´´´´´´¶¶´¶¶´´´´´´´´´´´´´´´´´´´´´´´´´´´´´¶¶´¶¶´ ´´´´´´´´´
'´´´´´´´´´´¶¶´¶¶´´´´´´´´´´´´´´´´´´´´´´´´´´´´´¶¶´´¶´ ´´´´´´´´´
'´´´´´´´´´´¶¶´¶¶´´´´´´´´´´´´´´´´´´´´´´´´´´´´´¶¶´´¶´ ´´´´´´´´´
'´´´´´´´´´´¶¶´´¶¶´´´´´´´´´´´´´´´´´´´´´´´´´´´´¶¶´¶¶´ ´´´´´´´´´
'´´´´´´´´´´¶¶´´¶¶´´´´´´´´´´´´´´´´´´´´´´´´´´´¶¶´´¶¶´ ´´´´´´´´´
'´´´´´´´´´´´¶¶´¶¶´´´¶¶¶¶¶¶¶¶´´´´´¶¶¶¶¶¶¶¶´´´¶¶´¶¶´´ ´´´´´´´´´
'´´´´´´´´´´´´¶¶¶¶´¶¶¶¶¶¶¶¶¶¶´´´´´¶¶¶¶¶¶¶¶¶¶´¶¶¶¶¶´´ ´´´´´´´´´
'´´´´´´´´´´´´´¶¶¶´¶¶¶¶¶¶¶¶¶¶´´´´´¶¶¶¶¶¶¶¶¶¶´¶¶¶´´´´ ´´´´´´´´´
'´´´´¶¶¶´´´´´´´¶¶´´¶¶¶¶¶¶¶¶´´´´´´´¶¶¶¶¶¶¶¶¶´´¶¶´´´´ ´´¶¶¶¶´´´
'´´´¶¶¶¶¶´´´´´¶¶´´´¶¶¶¶¶¶¶´´´¶¶¶´´´¶¶¶¶¶¶¶´´´¶¶´´´´ ´¶¶¶¶¶¶´´
'´´¶¶´´´¶¶´´´´¶¶´´´´´¶¶¶´´´´¶¶¶¶¶´´´´¶¶¶´´´´´¶¶´´´´ ¶¶´´´¶¶´´
'´¶¶¶´´´´¶¶¶¶´´¶¶´´´´´´´´´´¶¶¶¶¶¶¶´´´´´´´´´´¶¶´´¶¶¶ ¶´´´´¶¶¶´
'¶¶´´´´´´´´´¶¶¶¶¶¶¶¶´´´´´´´¶¶¶¶¶¶¶´´´´´´´¶¶¶¶¶¶¶¶¶´ ´´´´´´´¶¶
'¶¶¶¶¶¶¶¶¶´´´´´¶¶¶¶¶¶¶¶´´´´¶¶¶¶¶¶¶´´´´¶¶¶¶¶¶¶¶´´´´´ ´¶¶¶¶¶¶¶¶
'´´¶¶¶¶´¶¶¶¶¶´´´´´´¶¶¶¶¶´´´´´´´´´´´´´´¶¶¶´¶¶´´´´´¶¶ ¶¶¶¶´¶¶¶´
'´´´´´´´´´´¶¶¶¶¶¶´´¶¶¶´´¶¶´´´´´´´´´´´¶¶´´¶¶¶´´¶¶¶¶¶ ¶´´´´´´´´
'´´´´´´´´´´´´´´¶¶¶¶¶¶´¶¶´¶¶¶¶¶¶¶¶¶¶¶´¶¶´¶¶¶¶¶¶´´´´´ ´´´´´´´´´
'´´´´´´´´´´´´´´´´´´¶¶´¶¶´¶´¶´¶´¶´¶´¶´¶´¶´¶¶´´´´´´´´ ´´´´´´´´´
'´´´´´´´´´´´´´´´´¶¶¶¶´´¶´¶´¶´¶´¶´¶´¶´¶´´´¶¶¶¶¶´´´´´ ´´´´´´´´´
'´´´´´´´´´´´´¶¶¶¶¶´¶¶´´´¶¶¶¶¶¶¶¶¶¶¶¶¶´´´¶¶´¶¶¶¶¶´´´ ´´´´´´´´´
'´´´´¶¶¶¶¶¶¶¶¶¶´´´´´¶¶´´´´´´´´´´´´´´´´´¶¶´´´´´´¶¶¶¶ ¶¶¶¶¶´´´´
'´´´¶¶´´´´´´´´´´´¶¶¶¶¶¶¶´´´´´´´´´´´´´¶¶¶¶¶¶¶¶´´´´´´ ´´´´¶¶´´´
'´´´´¶¶¶´´´´´¶¶¶¶¶´´´´´¶¶¶¶¶¶¶¶¶¶¶¶¶¶¶´´´´´¶¶¶¶¶´´´ ´´¶¶¶´´´´
'´´´´´´¶¶´´´¶¶¶´´´´´´´´´´´¶¶¶¶¶¶¶¶¶´´´´´´´´´´´¶¶¶´´ ´¶¶´´´´´´
'´´´´´´¶¶´´¶¶´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´¶¶´ ´¶¶´´´´´´
'´´´´´´´¶¶¶¶´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´¶¶ ¶¶´´´´´´´


Malware yang dibuat dengan menggunakan program generator ini cukup unik karena menggunakan perintah CHRW untuk mendekrip kode malware. Umumnya malware VBS yang ditemukan selama ini menggunakan perintak CHR yang bersifat ANSI sedangkan Kryptik.vbs.AH menggunakan karakter Unicode sehingga memakai karakter Unicode sebagai kode malware.

Meskipun malware telah didekrip, kode malware pun masih terenkripsi sehingga diperlukan 2x proses dekripsi.

Kryptik.vbs.AH menyebar melalui flashdisk dan membuat registry untuk aktif di setiap startup Windows.

Saat ini, malware VBS tergolong malware yang memiliki resiko tinggi, hal ini dikarenakan malware ini dapat men-download program keylogger atau stealer untuk mencuri data password pada komputer yang terinfeksi.

PCMAV 9.9.3 dengan Update Build 4 mampu membersihkan Kryptik.vbs.AH dan virus terbaru lainnya yang menyebar di Indonesia.

Categories: Analisa Virus Tags:
  1. PC Ranger
    June 13th, 2014 at 19:45 | #1

    Langsung menuju TKP!

  2. Xivaln
    June 14th, 2014 at 14:43 | #2

    sippp… langsund donlod!
    thanks PCMAV Team!!

  3. June 14th, 2014 at 18:55 | #3

    WAh keren nih Worm VBS tapi bisa ng download… :v

  4. sinchanlovers
    June 16th, 2014 at 09:37 | #4

    Versi clamav udah 0.98.3, sementara referensi dari PCMAV masih 0.98.0 Gimana ya cara update-nya dan akankah PCMAV menyesuaikan diri dengan versi clamav terbaru itu ? tq

  5. PC Ranger
    June 16th, 2014 at 12:46 | #5

    @sinchanlover: Ditest aza dulu masbro, trial and error gitu. Kalo aman-aman wae, yo wis.

  6. Calon Mantu
    June 18th, 2014 at 15:05 | #6

    @sinchan, @PCRanger : Integrasi PCMAV dengan CLAMAV terbaru (baik yang 0.98.3 dan 0.98.4), terutama di modul libeay32.dll dan ssleay32.dll walaupun setelah kedua modul tersebut saya coba copykan ke folder PCMAV berada….

    Sementara link yang ada di oss.netfarm.it sepertinya sudah tidak update lagi…. 🙁

  7. sinchanlovers
    June 18th, 2014 at 15:20 | #7

    Modul libeay32.dll dan ssleay32.dll itu di dalam folder apa ya tepatnya ? Terima kasih bung Calon Mantu… Hasilnya wokey khan ? Ga bermasalah gituw.. 🙂

  8. sinchanlovers
    June 19th, 2014 at 14:05 | #8

    @sinchanlovers
    maaf, sudah ketemu modulnya ehehe… mo coba dulu ah…

  9. Anthon Rose
    June 21st, 2014 at 20:58 | #9

    Wuah Mantab ini pembuat virus nay bener² dia bikin dengan mateng bisa sampe membentuk tengkorak gitu hasil enkripsi nya huFh… sukses lah buat PC Media yg udah kerja keras melacak keberadaan virus ini.. ^_^

  10. pangeran
    June 22nd, 2014 at 10:37 | #10

    buat agan2 dapat membantu mengembangkan alternatif antivirus lokal freeware dapat share sample virus di http://submit.malware.web.id

  11. pancaparamudafm
    July 7th, 2014 at 03:50 | #11

    Jangan terlalu banyak cakap kau orang tua