Top 10 Virus Januari 2009

Top 10 Virus, Januari 2009
Posted on January 14th, 2009 in Pengumuman, Analisa Virus by

admin
Tak diragukan lagi, virus Windx-Maxtrox yang sebelumnya

masuk ke dalam peringkat sepuluh besar namun mendapat urutan

paling akhir, kali ini ia langsung melesat ke urutan

pertama. Selebihnya, masih terjadi kejar-kejaran antar

masing-masing virus. Hanya ada satu virus baru yakni

Fdshield, yang masuk peringkat kali ini, selebihnya adalah

varian atau virus lama. Berikut ini daftar selengkapnya:
1. Windx-Maxtrox
Virus yang dibuat dengan Visual Basic ini memiliki ukuran

tubuh asli sekitar 77Kb, tanpa di-pack. Virus yang diduga

kuat berasal dari daerah Sulawesi Utara ini memiliki

kemampuan infeksi file executable. Tepatnya, ia akan

menginfeksi program yang ada di direktori Program Files.

Teknik infeksi yang cukup cerdik ia terapkan untuk

menghindari pendeteksian engine heuristic dari antivirus.

Ciri khas yang dapat dikenali pada komputer terinfeksi

adalah berubahnya gambar wallpaper dari desktop menjadi

gambar animasi.
2. Autoit varian
Ciri khas virus yang satu ini adalah dibuat menggunakan

program automation scripting. Yang jika di compile menjadi

sebuah file executable, yang juga di-pack menggunakan UPX.

Dan hampir 90% virus autoit beserta semua varian yang kami

miliki, menggunakan icon mirip folder dalam penyamarannya.

Virus ini juga biasanya akan membuat sebuah file autorun.inf

pada saat menyerang disk drive ataupun flash drive.
3. Malingsi
Virus bertubuh gemuk dengan ukuran 705.312 bytes ini dibuat

menggunakan Visual Basic yang di-pack menggunakan PECompact.

Sepertinya virus ini ditujukan untuk menyerang virus lain,

ini terlihat dari pesan yang ada di tubuhnya. Virus ini

berkembang biak dan menyebar menggunakan perantara mIRC,

yang bertindak sebagai Bot.
4. Recycler varian
Yang menjadi ciri khas dari virus ini adalah teknik

bagaimana ia menyebar. Dari semua varian yang kami miliki,

cara yang dilakukannya adalah sama, yakni menyamar seperti

layaknya Recycle Bin. Contohnya disaat virus ini menyerang

flash disk. Di flash disk korban akan terdapat folder dengan

nama Recycler yang di dalamnya terdapat folder yang

menggunakan nama alpha numeric contohnya

“S-1-5-21-1482476501-1644491937-682003330-1013″ dengan icon

mirip dengan icon Recycle Bin. Jika folder ini di-klik atau

diakses dari Explorer, file virus tidak akan nampak. Untuk

melihatnya, Anda bisa masuk ke command prompt dengan

perintah “dir /a”.
5. Fdshield
Virus yang dibuat menggunakan bahasa Delphi ini menggunakan

icon yang menyerupai Internet Explorer. Memiliki ukuran file

sebesar 553.472 bytes, tanpa di-pack. Satu hal yang mencolok

dari virus ini adalah dari nama yang digunakan saat

menyebar, yang bertuliskan “17++ Sexs & Rahasia Wanita artis

Indonesia (foto2_kamera tersembunyi_liputan).exe”. Bagi user

yang tidak hati - hati, akan menyangka file tersebut

merupakan file HTML. Jika Anda lihat pada direktori

C:\Windows\System32, akan ditemukan sebuah file induk dengan

nama “rundl32.exe”. Jangan tertipu lagi! Itu bukanlah file

bagian dari Windows, tapi itu memang adalah file virus.

Perhatikan huruf “L” yang cuma satu. Dan sekarang lihat pada

Schedule Task, ada Job baru dengan nama “Windows FD Shield”

yang akan mengeksekusi file virus diwaktu yang telah ia

tentukan.
6. Purwo variant
Satu lagi varian baru, Purwo.C, masih dibuat menggunakan

Visual Basic, dengan badan berukuran sekitar 56KB, murni

tanpa di-pack. Virus ini menggunakan icon mirip dokumen Word

milik MsOffice untuk menipu calon korbannya. Saat

menginfeksi ia menciptakan sebuah folder dengan nama

“Purwokerto Under Cover” yang diberi attribut hidden, dan

berisi sebuah file bernama “KoruptorPurwokerto.exe” pada

setiap drive yang ia temukan. Di dalam folder

C:\Windows\System32\system juga ada file windowss.exe, dan

di C:\Windows\javaa\service.exe. Di waktu tertentu ia akan

menampilkan layar hitam yang berisi teks pesan dari

pembuatnya. Dan hati-hati, virus ini juga akan menghapus

beberapa file milik Anda yang ia temui.
7.Formalin
Icon yang digunakan oleh virus ini menyerupai layaknya

folder, dan ia dibuat menggunakan Visual Basic. Pada

Formalin.D, ukuran filenya sebesar 18.432 bytes, dengan

kondisi di-pack menggunakan UPX. Virus ini menciptakan

folder “samaran” dengan nama seperti Bocoran soal UAN dan

UAS, My Completed Downloads, Wallpaper Picture, Crack

Program, Jgn dibuka !!!, Nitip Data (jgn dihapus), dan lain

sebagainya. Pada komputer terinfeksi, caption di Internet

Explorer akan berubah menjadi “Your computer has been

infected virus Formalin”. Ia juga mencoba untuk melumpuhkan

“safe-mode” dengan cara menghapus beberapa registry terkait.

Dan pada file properties sang virus, di bagian description

milik version information akan ada tulisan seperti “Kasian

dch loe”.
8. Raider.vbs variant
Virus jenis VBScript ini jika file virusnya dibuka dengan

Notepad, tidak banyak string yang bisa dibaca karena dalam

kondisi ter-enkripsi. Ini sudah menjadi kebiasaan dalam

setiap variannya. Biasanya, pada Registry, ia akan

memberikan pengenal dengan membuat key baru di HKLM\Software

dengan nama sama seperti nama pada computer name, dengan

isinya berupa string value seperti nama virus tersebut,

Raider, serta tanggal komputer tersebut kali pertama

terinfeksi.
8. Autorunme variant
Virus yang bukan produksi programer lokal ini pack

menggunakan PECompact. Ia tidak memiliki icon, hanya

menggunakan icon standar applications dari Windows. Saat

menginfeksi, ia mencoba untuk menanamkan file induknya pada

direktori C:\Windows\System dengan nama msvc32s.exe dan

dengan attribut hidden dan system, serta membuat autorun

baru di registry dengan nama “Windows msvc Control Centers”.

Virus yang dapat menyebar melalui media penyimpan data

seperti flash disk ini juga dapat menyebar melalui aplikasi

Instant Messaging. Pada flash disk, ia akan membuat folder

tiruan Recycle Bin yang berisi file dengan nama

autorunme.exe, lalu mengarahkan autorun.inf untuk

menjalankan file virus tersebut. Jadi, saat user mencolokan

flash disk tersebut lalu mengakses drive yang dimaksud,

virus tersebut akan aktif.
10. Rieysha variant
Ditemukan lagi varian dari Rieysha, kali ini dengan nama

Rieysha-Sma. Seperti varian sebelumnya, ia masih dibuat

menggunakan Visual Basic. Ukuran kali ini sekitar 104KB,

dengan icon yang menyerupai file Real Media Player. Saat

menginfeksi, ia akan membuat duplikat file exe, mp3, doc,

dan 3gp yang digantikan dengan dirinya. Selain itu,

setidaknya ada 2 buah file virus pada root drive, dengan

nama “sma3gp.exe” dan “CeritaSeru.vbs”.