Waspada Alice | Generasi Baru Worm VBScript Dan Cara Mengatasinya

Share on :

Alice adalah generasi baru worm VBScript dengan kemampuan injeksi file HTML yang menghantui setiap komputer di Indonesia.

Alice bukanlah worm VBS pertama, sebelumnya sudah pernah menyebar kemasyarakat worm seprti Alice ini. Tahun 2006 (SlowButSure.vbs), tahun 2007 (Ezrael.vbs), tahun 2008 (TukulNdeso.vbs), tahun 2009 (Yuyun.vbs dan Virunika.vbs) serta tahun 2010 (Serviks.vbs) adalah generasi worm VBS yang pernah ada.

Setiap worm memiliki karakteristik dan kemampuan tersendiri. Ada yang menggukan teknik enkripsi atau playload yang bervariasi setelah aktif dimemori. Alice memiliki keunikan lain, karena juga merupakan virus yang dapat menginjeksi file.

Penyebaran

Alice mampu melewati teknik heuristik beberapa antivirus lokal, secara umum file alice bukan merupakan file dengan instruksi-instruksi layaknya malware dan sama sekali tidak berbahaya. Pada kenyataannya, Alice merupakan malware tipe worm yang memiliki kemampuan menginfeksi file HTML yang mirip dengan virus Qvot atau Ramnit. Yang membedakan Alice dengan virus-virus tersebut adalah Alice melakukan pengecekan apakah file sudah terinfeksi. Untuk melakukannya, Alice mengubah ekstensi file tersebut. File yang diinfeksi adalah file dengan ekstensi *.htm / *.html, kemudian diubah menjadi file *.hta (HTML Application).

Encode dan Decode Alice

Tipe file Alice yang sebenarnya adalah ScrEnc (Script Encode), yakni tipe file VBS yang sudah di-encode. Tool Script Encode sendiri disediakan oleh Microsoft dengan tujuan agar script web tidak dapat dilihat kode sumbernya dan tidak dapat dimodifikasi. Namun hal itu tidak berarti file *.vbe yang sudah di-encode tidak bisa di-decode atau dikembalikan menjadi VBS. Dengan algoritma tertentu, script aslinya mungkin bisa didapatkan.

Sembunyikan File Dokumen

Alice juga memiliki kemampuan menyembunyikan (hidden) file dokumen kemudian menggantikannya dengan file Alice yang namanya menyerupai dokumen. Untuk lebih jelasnya lihat gambar berikut :

Registry

Pertahanan yang paling utama dilakukan Alice adalah pada registry. Alice cukup banyak membuat value key yang baru, bahkan Alice menghapus beberapa entri registry yang ada. Hal ini dimaksudkan untuk men-disable beberapa sistem windows yang bisa digunakan untuk menghentikan aktifitas/payload Alice. Seperti Folder Options, Regedit Command Prompt, Task Manager, MsConfig, Run Command dan Sytem Restore. Registry yang dihapus antara lain :

HKEY_CLASSES_ROOT \ * \ shellex \ ContextMenuHandlers \ Open With
HKEY_CLASSES_ROOT \ inffile \ shell \ Install \ command
HKEY_CLASSES_ROOT \ inffile \ shell \ Install
HKEY_CLASSES_ROOT \ regfile \ shell \ open \ command
HKEY_CLASSES_ROOT \ regfile \ shell \ open
HKEY_CLASSES_ROOT \ VBEFile shell \ Open2 \ command
HKEY_CLASSES_ROOT \ VBEFile shell \ Open2
HKEY_CLASSES_ROOT \ VBEFile shell \ Edit \ command
HKEY_CLASSES_ROOT \ VBEFile shell \ Edit

Agar Alice dapat berjalan saat startup, Alice menyisipkan alamat dari host yang terdapat pada folder C:/WINDOWS\sytem32\driver\alice.sys kemudian dengan parameter C:\WINDOWS\sytem32\wscipt.exe //e:vbscript.encode kesalah satu value key yang terdapat di HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\userinit "C:\WINDOWS\sytem32\userinit.exe, C:\WINDOWS\sytem32\wscript.exe //e:vbscript.encode C:\WINDOWS\sytem32\drivers\alece.sys".

Infeksi HTML
Alasan utama Alice termasuk malware tipe virus adalah salah satu payload nya dapat melakukan infeksi ke dalam source file *.htm atau *.html.

Penanggulangan

Untuk menanggulangi masalah virus yang satu ini, anda bisa menggunakan PCMAV Express For Alice.

<--- Download PCMAV Express For Alice --->

Semoga info diatas bermanfaat....

Sumber : PC Media Magazine (Januari 2012)

Share on :

Pages

Thursday, February 16, 2012