Generic.ScriptWorm.8730EFFC (Suspicious_Gen.SYUC)

09 Mei 2012
Generic.ScriptWorm.8730EFFC (Suspicious_Gen.SYUC)
Wonderland atau Umbrella ? Milla or Johnny ?
Kalau anda mendapatkan file dengan nama : “Alice”. Kira-kira apa yang muncul pertama kali di benak anda ? Kalau yang menerima filenya perempuan, kemungkinan besar yang muncul di benaknya adalah kelinci, cermin, wonderland, queen of heart atau Johnny Depp :p. Tetapi kalau yang menerima file tersebut laki-laki .... dan penggemar game, kemungkinan besar yang terlintas pertama kali di benaknya adalah Umbrella Corporation, zombie atau ... Milla Jovovich :P.

Kira-kira apa yang ada di benak pembuat virus lokal yang satu ini ? Apakah Wonderland atau Umbrella ? Milla atau Johnny ? J. Kami persembahkan untuk anda anlisa virus “Alice”.

Jika Anda pengguna komputer sebaiknya perlu berhati-hati jika sering bertukar file melalui media external storage seperti Flashdisk atau External harddisk, karena akhir-akhir ini banyak pengguna komputer di Indonesia yang sudah terinfeksi oleh serangan malware ini, dan varian tersebut terdeteksi oleh Vaksincom sebagai Generic.ScriptWorm.8730EFFC (Suspicious_Gen.SYUC). (lihat gambar 1)
20120509I_virusalice01
Gambar 1, Virus Alice terdeteksi oleh G Data sebagai Generic Worm

Aksi “Alice”
Beberapa gejala yang terjadi jika anda sudah terinfeksi yaitu :
  • Alice mencoba menyembunyikan file dokumen (doc, docx, rtf) dan mengganti-nya dengan membuat file virus dengan nama yang sama (duplikasi file). Tetapi file tersebut memiliki ekstensi file yang berbeda jika dilihat menggunakan Windows Explorer yang lain. Selain itu ukuran file virus yang semua sama. (lihat gambar 2)
20120509I_virusalice02
Gambar2, Alice memalsukan diri sebagai file MS Office dengan menyembunyikan file asli
  • Alice mencoba melakukan injeksi file htm/html dengan menambahkan kode file virus. Setelah di-injeksi maka dilakukan perubahan pada ekstensi file htm/html menjadi file hta (html application). Hal ini dilakukan agar file yang sudah dirubah tidak dapat diinjeksi oleh virus yang sama dan agar tidak mudah dilihat kode yang telah ditambahkan. (lihat gambar 3)
20120509I_virusalice03
Gambar 3, File html yang sudah di injeksi oleh Alice

  • Alice juga akan melakukan perubahan pada icon file virus yang berekstensi *.vbe (VBScript Encode) dan juga mencoba melakukan perubahan pada tipe file virus tersebut menjadi file Microsoft Word (atau Wordpad jika belum ter-install MS Word). (lihat gambar 4)
20120509I_virusalice04
Gambar 4, File .vbe dipermak menjadi MS Word
  • Alice akan mencoba mempertahankan diri-nya dengan menonaktifkan beberapa fungsi Windows yang digunakan oleh administrator komputer. Beberapa fungsi yang di-nonaktifkan yaitu diantaranya System Restore, Folder Option, Run, Search, Task Manager dan Command Prompt. (lihat gambar 5)
20120509I_virusalice05
Gambar 5, Bloking yang dilakukan Alice pada fungsi2 administrasi komputer

  • Alice juga akan mencoba mempertahankan diri-nya dengan menghilangkan ekstensi file pada semua file yang ada di komputer. Selain itu juga akan menghilangkan beberapa fungsi pada menu klik kanan seperti merge, install, edit, dan open with. (lihat gambar 6)
20120509I_virusalice06
Gambar 6, Beberapa menu pada klik kanan dihilangkan oleh Alice

  • Alice merupakan jenis malware yang menggunakan file Windows VBScript agar dapat aktif, sehingga file proses yang berjalan adalah file wscript.exe.
  • Alice juga meninggalkan sebuah jejak dengan mencoba merubah nama pemilik komputer dan menghapus nama organisasi pemilik komputer. Hal ini dilakukan pada System Properties komputer. (lihat gambar 7)
20120509I_virusalice07
Gambar 7, Perubahan pada System Properties yang dilakukan Alice

File malware Alice

Berikut ciri-ciri file Alice sebagai berikut :

-          Memiliki ukuran file 8 kb

-          Type file “VBScript Encode”.

-          Memiliki ekstensi file “vbe”

-          Berbentuk icon “VBScript” (lihat gambar 8)
20120509I_virusalice08
Gambar 8, Ciri file virus Alice

Malware Alice memiliki 3 file induk yaitu :

·         C:\WINDOWS\system32\drivers\alice.sys

·         Alice.calc (pada semua drive komputer)

·         Autorun.inf (pada semua drive komputer)

Selain itu, malware Alice akan membuat duplikasi terhadap seluruh file yang memiliki ekstensi file doc, docx, rtf, dan akan melakukan injeksi file pada htm dan html, dengan membuat file yang sama dan berukuran 8 kb.

Modifikasi Registri
Modifikasi registri yang dilakukan oleh malware Alice antara lain sebagai berikut :
  • Menambah Registri
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows

HKEY_CLASSES_ROOT\VBEFile

NeverShowExt


HKEY_ CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

NofileAssociate = 1

NoFInd = 1

NoFolderOptions = 1

NoRun = 1


HKEY_ CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

DisableTaskMgr = 1


HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\System Restore

  • Merubah Registri
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Userinit = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\wscript.exe //e:vbscript.encode C:\WINDOWS\system32\drivers\alice.sys


HKEY_CLASSES_ROOT\VBEFile

(Default) = Microsoft Word Document

Friendly TypeName = Microsoft Word Document


HKEY_CLASSES_ROOT\VBEFile\DefaultIcon

(Default) = C:\WINDOWS\Installer\{90110409-6000-11D3-8CFE-0150048383C9}\wordicon.exe,1

  • Menghapus Registri

HKEY_CLASSES_ROOT\regfile\shell\open


HKEY_CLASSES_ROOT\inffile\shell\Install


HKEY_CLASSES_ROOT\VBEFile\shell\edit


HKEY_CLASSES_ROOT\VBEFile\shell\Open2

Metode Penyebaran

Cara malware Alice melakukan penyebaran yaitu memanfaatkan media storage seperti USB Flashdisk atau harddisk external. Bisa juga menyebar melalui media storage lain yang terkoneksi pada komputer yang telah terinfeksi. (lihat gambar 9)
20120509I_virusalice09
Gambar 9, Alice menyebar melalui USB Flash Disk

Malware Alice membuat 2 file yaitu autorun.inf dan alice.alc. Kedua file tersebut lah yang akan aktif menyebarkan kedalam komputer lain secara otomatis (jika fitur autoplay Windows tidak dimatikan).

Pembersihan malware Alice

1. Putuskan koneksi jaringan/internet.
2. Lakukan pembersihan malware Alice pada mode “safe mode”.
Lakukan langkah-langkah berikut :

a) Restart komputer (jika  dalam keadaan mati tinggal tekan tombol power)

b) Saat akan booting tekan tombol F8 pada keyboard secara secara terus menerus hingga muncul layar “Safe Mode” (lihat gambar 10)

20120509I_virusalice10
Gambar 10, Lakukan pembersihan pada Safe Mode

c)       Pilih mode “Safe Mode”, dan klik [Enter]

d)      Biarkan berjalan hingga masuk menu Login Windows.

3. Matikan proses malware Alice

Lakukan langkah-langkah berikut :

a)      Download removal tools (pada komputer yang bersih) pada komputer yang belum terinfeksi pada link berikut : (lihat gambar 11)
20120509I_virusalice11
Gambar 11, Gunakan Ice Sword untuk mengidentifikasi dan menghentikan proses virus

b)      Kopi file tersebut dan letakkan dimana saja pada komputer yang terinfeksi.

c)       Klik 2x file yang zip tersebut dan jalankan file-nya (icesword.exe), kemudian klik Run.

d)      Klik pada menu Function à Process, pilih wscript.exe, kemudian pilih “Terminate Process”.

4. Repair registry yang telah di modifikasi oleh malware Alice menggunakan IceSword.

a)      Jalankan IceSword, pilih menu Registry. (lihat gambar 12)
20120509I_virusalice12
Gambar 12, Repair regirti

 
b)      Hapus beberapa string berikut :
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows

HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\System Restore

HKEY_CLASSES_ROOT\VBEFile (hapus pada key NeverShowExt)

HKEY_ CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer (hapus pada key NoFIleAssociate, NoFind, NoFolderOptions, NoRun)

HKEY_ CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System (hapus pada key DisableTaskMgr)

 
c)       Rubah beberapa string berikut  :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon (pada userinit hanya menjadi C:\WINDOWS\system32\userinit.exe,)

HKEY_CLASSES_ROOT\VBEFile (pada Default menjadi VBScript Encoded Script File)

HKEY_CLASSES_ROOT\VBEFile (pada Friendly TypeName menjadi @%SystemRoot%\System32\wshext.dll,-4803)

HKEY_CLASSES_ROOT\VBEFile\DefaultIcon (pada Default menjadi %SystemRoot%\System32\WScript.exe,2)
 

d)      Restart komputer agar efek registri kembali normal.

 
5. Hapus file malware Alice menggunakan IceSword.

-          C:\autorun.inf

-          C:\alice.alc

-          C:\WINDOWS\system32\drivers\alice.sys

-          D:\autorun.inf

-          D:\alice.alc

-          Serta hapus semua file duplikasi yang dibuat.

 6. Munculkan kembali file dokumen yang sudah di sembunyikan oleh malware alice.

-          Klik Start Menu

-          Klik Run

-          Ketik “CMD”, kemudian klik OK

-          Pindah posisi pada folder atau directory dokumen yang disembunyikan, misal D:\

-          Kemudian ketik attrib –s –h /s /d , kemudia klik enter.

7. Untuk file htm/html lakukan penghapusan footer malware alice secara manual melalui aplikasi notepad.

8. Bersihkan temporary file dari jejak malware Alice.

Lakukan langkah-langkah berikut :

a)      Klik Menu Start -> Run

b)      Ketik perintah pada kotak open : cleanmgr , kemudian klik OK.

c)       Pada drive system (C) klik OK, biarkan proses scan drive.

d)      Setelah muncul jendela Disk Cleanup, beri tanda file yang akan di hapus (terutama Temporary Files), kemudian klik OK.

e)      Tunggu hingga selesai.
9. Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mengenali malware Alice dengan baik.
Salam,

Adi Saputra
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: