VBS/Cantix (Virus Shortcut part 2)

Laksana bangkit dari tidur, virus lokal kini kembali menggeliat mencoba untuk mencari mangsa. Setelah beberapa waktu lalu dunia maya dihebohkan dengan sosok virus yang akan membanjiri komputer dengan shortcut disetiap folder/subfolder dengan terlebih dahulu akan menyembunyikan folder/subfolder aslinya dan satu hal yang membuat kita “bangga” bahwa virus lokal besutan Visual Basic ini mampu menyebar dengan cepat memanfaatkan satu celah keamanan Windows serta membuat komputer manjadi lambat pada saat di akses, info lebih lengkap bisa di baca di website http://vaksin.com/2010/0810/VBWorm.BEUA/VBWorm.BEUA.htm.

Kini satu lagi varian virus shortcut telah dilahirkan, walaupun teknik yang dilakukan berbeda tetapi virus ini cukup merepotkan.
Virus ini tergolong keluarga virus Visual Basic Script (VBS), dengan memanfaatkan file [C:\Windows\System32\WSCript.exe] sebagai file pendukung agar dirinya dapat diaktifkan. Untuk menggelabui user, ia akan menggunakan rekayasa sosial denganmemanfaatkan nama file yang di “plesetkan” yakni [dekstop.ini], jika diperhatikan secara sepintas user akan beranggapan bahwa file tersebut bukanlah virus karena seperti yang kita ketahui bahwa Windows juga akan membuat file serupa tetapi dengan nama yang berbeda yakni [desktop.ini]. Tetapi jika dilihat lebih teliti terdapat perbedaan dalam penamaan file serta ukurannya. Untuk [dekstop.ini] yang merupakan file induk virus akan mempunyai ukuran 16 KB (file akan di enkripsi) sedangkan file [desktop.ini] biasanya mempunyai ukuran 1 KB. (lihat gambar 1, 2 dan 3)

Gambar 1, Perbedaan nama dan ukuran file virus

Gambar 2, File Desktop.ini (File Windows)


Gambar 3, File Dekstop.ini (file induk VBS/Cantix)
Virus ini memanfaatkan fitur “autorun” Windows agar dapat aktif secara otomatis pada saat user akses ke folder yang berisi file virus dengan dukungan file autorun.inf yang telah dibuat oleh virus tersebut. Virus ini akan menyebar dengan cepat melalui jaringan dan akan membuat file duplikat berupa file shortcut dan [autorun.inf] serta file [dekstop.ini] pada folder yang di share full akses, virus ini juga menyebar dengan cepat dengan memanfaatkan Removable Disk dengan melakukan aksi yang sama.
Virus ini juga akan melakukan bloking terhadap beberpa fungsi Windows seperti task Manager, Registry Editor maupun Folder Options serta blok terhadap semua aplikasi berbasis Visual Basic.
Norman Security Suite mendeteksi virus ini sebagai VBS/Cantix sedangkan Dr.Web anti-virus mendeteksi virus ini sebagai Win32.HLLW.Cantix (lihat gambar 4 dan 5)

Gambar 4, Hasil deteksi Norman Security Suite

Gambar 5, Hasil deteksi Dr.Web anti-virus
File induk VBS/Cantix
Pada saat VBS/Cantix menginfeksi komputer target, ia akan membuat beberapa file induk berikut yang akan di aktifkan secara otomatis pada saat komputer booting

• 
  Dekstop.ini (di semua Drive/folder/subfolder)
  
• 
  Folder.lnk (di semua Drive/folder/subfolder)
  
• 
  C:\WINDOWS\:Microsoft Office Update for Windows XP.sys
  
• 
  C:\Documents and Settings\%user%\My Documents\df5srvc.bfe
  
• 
  C:\Documents and Settings\%user%\Local Settings\Application Data\Microsoft\CD Burning\dekstop.ini
  
• 
  C:\WINDOWS\system32\serviks.sys
  
• 
  C:\windows\svchost.exe
  
• 
  C:\windows\tasks\autorun.inf
  
• 
  C:\windows\tasks\dekstop.ini
  
• 
  C:\windows\tasks\Folder.lnk
  
• 
  C:\windows\system32\auto.exe
  
• 
  C:\Windows\System32\rad%xx%.tmp (contoh: rad72C8D.Tmp)
  

Registry Auto Start
Agar file tersebut dapat di aktifkan secara otomatis pada saat komputer dinyalakan, ia akan membuat beberapa perubahan pada registri Windows berikut

• 
  HKEY_USER\S-1-5-21-1644491937-113007714-1580818891-1003\software\microsoft\windows\currentversion\run
  
  • 
    Df5serv = Wscript.exe //e:VBScript "C:\Documents and Settings\%user%\My Documents\df5srvc.bfe"
    
  • 
    Svchost = c:\windows\svchost.exe //e:VBScript "C:\WINDOWS\system32\serviks.sys"
    
  • 
    Explorer= Wscript.exe //e:VBScript "C:\Documents and Settings\%user%\Local Settings\Application Data\Microsoft\CD Burning\dekstop.ini"
    

• 
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
  
  • 
    Df5serv = Wscript.exe //e:VBScript "C:\Documents and Settings\%user%\My Documents\df5srvc.bfe"
    
  • 
    Svchost = c:\windows\svchost.exe //e:VBScript "C:\WINDOWS\system32\serviks.sys"
    
  • 
    Explorer= Wscript.exe //e:VBScript "C:\Documents and Settings\%user%\Local Settings\Application Data\Microsoft\CD Burning\dekstop.ini"
    

• 
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
  
  • 
    WinUpdate = Wscript.exe //e:VBScript "C:\WINDOWS\:Microsoft Office Update for Windows XP.sys"
    

• 
  HKEY_LOCAL_MACHINE hkey_local_machine\software\microsoft\windows\currentversion\run
  
  • 
    WinUpdate = Wscript.exe //e:VBScript "C:\WINDOWS\:Microsoft Office Update for Windows XP.sys"
    

Selain dengan cara di atas, agar dirinya dapat aktif secara otomatis pada saat user akses folder/subfolder VBS/Cantix akan memanfaatkan fitur autorun Windows dengan membuat script [autoun.inf] di setiap folder dan subfolder, file [autorun.inf] ini berisi script yang akan menjalankan file [desktop.ini] yang akan di simpan di direktori yang sama. (lihat gambar 6 dan 7)

Gambar 6, Isi script autorun.inf

Gambar 7, Isi script file Desktop.ini
Blok Fungsi Windows
Walaupun tidak begitu banyak tools security yang di blok, tetapi VBS/Cantix akan melakukan blok terhadap beberapa fungsi Windows seperti Task Manager atau Registry Editor serta Folder Options dengan membuat string pada registi berikut:

• 
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
  
  • 
    DisableRegistrytools
    
  • 
    DisableTaskMgr
    

• 
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
  
  • 
    ShowSuperHidden = 0
    
  • 
    SuperHidden = 0
    

• 
  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
  
  • 
    UncheckedValue = 0
    

Sorry Serviks like your Computer
VBS/Cantix akan meninggalkan beberapa jejak yang menjadi ciri khasnya baik pada saat membuka aplikasi Internet Explorer maupun pada saat akan menampilkan file yang tersembunyi (Folder Options). Untuk melakukan hal itu, ia akan membuat perubahan pada registry berikut:

• 
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
  
  • 
    WarningIfNotDefault = sorry serviks like your computer
    

• 
  HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
  
  • 
    Start Page = http://www.bendot.co.nr
    

• 
  HKEY_USER\S-1-5-21-1644491937-113007714-1580818891-1003\software\microsoft\internet explorer\main
  

o Start Page = http://www.bendot.co.nr
(lihat gmbar 8)

Gambar 8, Pesan yang tampil saat menghilangkan tanda checklist pada opsi “Hide Protected operating system files (Recommended)”

Album Cyber (bendot.co.nr)
Pada saat user membuka aplikasi Internet Explorer, ia akan menampilkan beberapa pertanyaan berikut (lihat gambar 9)

Gambar 9, Pesan pertama pada saat membuka aplikasi Internet Explorer
Jika user klik tombol [OK] maka akan tampil pertanyaan “Selamat Datang Di Album Cyber By Fandi Erdiansyah” (lihat gambar 10). Tetapi jika user klik tombol [Cancel] maka akan muncul pesan “Pergi sana, Gue Juga Ga Butuh Loe!” (lihat gambar 11)

Gambar 10, Pesan kedua pada saat membuka aplikasi Internet Explorer

Gambar 11, Pesan ketiga pada saat membuka aplikasi Internet Explorer
Apapun yang dipilih oleh user, hasil akhirnya adalah sama yakni akan menampilkan sebuah website yang berisi forum “Album Cyber”. Forum ini salah satunya membahas mengenai antivirus dan tempat bertukar source code antar anggota, rupanya si Cantix mencoba untuk mempromosikan forumnya agar lebih dikenal umum hal ini terlihat karena sampai saat ini [27 Agustus 2010] forum tersebut masih sepi alias belum mempunyai anggota. (lihat gambar 12 - 14)

Gambar 12, Pesan yang tampil saat membuka aplikasi Internet Explorer

Gambar 13, Pesan yang disampaikan oleh VBS/Cantix

Gambar 14, forum Si Cantix
VBS/Cantix juga akan meninggalkan pesan tersembunyi yang di tuangkan dalam sebuah file yang akan di simpan di direktori [C:\Windows\system32\v.doc] (lihat gambar 15)

Gambar 15, Pesan tersembunyi VBS/Cantix
Blok aplikasi Visual Basic
Hati-hati bagi Anda yang mempunyai program yang dibuat dengan Visual Basic, sebaiknya backup file [C:\Windows\System32\MSVBVM60.DLL] Anda karena VBS/Cantix akan blok semua program yang dibuat dengan Visual Basic dengan cara menghapus file MSVBVM60.DLL dan menggantinya dengan file MSVBVM60.DLL palsu (ukuran 0 KB). Langkah ini dilakukan sekaligus untuk mencegah penyebaran virus lokal yang dibuat dengan menggunakan program bahasa Visual Basic.
Membuat file duplikat (shortcut)
Aksi lain yang akan dilakukan oleh VBS/Cantix ini adalah akan membanjiri setiap Drive, folder dan subfolder dengan file duplikat berupa file shortcut yang mempunyai nama file yang sama dengan nama folder tersebut. VBS/Cantix juga akan membuat file [folder.lnk, dekstop.ini dan autorun.inf] hal ini dimaksudkan agar ia dapat aktif secara otomatis pada saat user akses drive/folder tersebut. File duplikat yang berupa shortcut itu sendiri akan menjalankan file induk VBS/Cantix yakni file [deksop.ini] pada saat user menjalankan (klik 2x) file shorctut tersebut. (lihat gambar 16 dan 17)

Gambar 16, File duplikat VBS/Cantix

Gambar 17, File target yang terdapat pada file shortcut
Media Penyebaran
Virus ini akan menyebar dengan cepat melalui jaringan dengan memanfaatkan folder yang mempunyai hak akses full dengan membuat file duplikat berupa shortcut disetiap folder dan subfolder dan beberapa file induk lainnya seperti [folder.lnk, dekstop.ini dan autorun.inf]. Dengan adanya file tersebut akan semakin memudahkan VBS/Cantix untuk menginfeksi komputer lain pada saat user mengakses folder atau menjalankan file shortcut tersebut.
Selain menyebar dengan dengan menggunakan jaringan (LAN), virus ini juga dapat menyebar dengan cepat melalui Removable Disk seperti Flash Disk dengan melakukan hal yang sama pada saat menyebar melalui jaringan.
Sumber:Vaksin.com

..Terima Kasih. Semoga bermanfaat bagi sobat blogger semua..