Top 10 Virus, July 2009

Virus Malingsi yang termasuk dalam jajaran virus baru, masuk ke dalam peringkat pertama virus yang paling banyak dilaporkan di periode ini. Diikuti oleh virus Autoit yang merupakan pemain lama, dan virus Doremi yang termasuk virus baru. Dan memang sebagian besar virus yang masuk dalam daftar sepuluh besar kali ini merupakan virus baru. Berikut daftar selengkapnya:

1. Malingsi

Virus Malingsi menyerang virus lain.

Virus bertubuh gemuk dengan ukuran 705.312 bytes ini dibuat menggunakan Visual Basic yang di-pack menggunakan PECompact. Sepertinya virus ini ditujukan untuk menyerang virus lain, ini terlihat dari pesan yang ada di tubuhnya. Virus ini berkembang biak dan menyebar menggunakan perantara mIRC, yang bertindak sebagai Bot..

2. Autoit varian

Kebanyakan varian Autoit menggunakan icon folder dalam penyamarannya.

Ciri khas virus yang satu ini adalah dibuat menggunakan program automation scripting. Yang jika di compile menjadi sebuah file executable, yang juga di-pack menggunakan UPX. Dan hampir 90% virus autoit beserta semua varian yang kami miliki, menggunakan icon mirip folder dalam penyamarannya. Virus ini juga biasanya akan membuat sebuah file autorun.inf pada saat menyerang disk drive ataupun flash drive.

3. Doremi

Isi file teks yang hadir satu paket bersama file virus.

Dalam database virus yang kami miliki, kami telah menemukan 4 varian dari virus ini yakni Doremi.A, B, C dan D. Ketiganya hampir tidak memiliki perbedaan dari segi coding. Varian A menggunakan icon mirip PCMAV, B dan C menggunakan icon yang mirip sebuah gambar kunci, dan varian D menggunakan icon bergambar kaca pembesar. Kesemuanya menggunakan teknik social engineering, agar seolah-olah seperti layaknya sebuah file program biasa.

File virus yang dibuat menggunakan Visual Basic ini sepertinya memang sengaja ditaruh di internet untuk mengelabui user yang men-download-nya. Tidak ada teknik briliant yang ia terapkan, tapi pembuatnya telah menyediakan rutin jahat yang bertindak di tanggal tertentu, seperti tanggal 14 atau 8. Apa yang terjadi? Ia akan mencoba menghapus semua data yang ada di harddisk tanpa sepengetahuan user. Disaat komputer restart, yang tampil hanyalah “NTLDR is missing”. Bersamaan dengan file virus, biasanya Anda juga akan dapat menemukan sebuah file teks dengan nama Do-Re-Mi.txt yang isinya: “by Midnight Joker”.

4.Formalin

File properties virus Formalin.

Pada update kali ini sudah dikenal 2 varian dari virus Formalin. Icon yang digunakan oleh virus ini menyerupai layaknya folder, dan ia dibuat menggunakan Visual Basic. Pada Formalin.D, ukuran filenya sebesar 18.432 bytes, dengan kondisi di-pack menggunakan UPX. Virus ini menciptakan folder “samaran” dengan nama seperti Bocoran soal UAN dan UAS, My Completed Downloads, Wallpaper Picture, Crack Program, Jgn dibuka !!!, Nitip Data (jgn dihapus), dan lain sebagainya.

Pada komputer terinfeksi, caption di Internet Explorer akan berubah menjadi “Your computer has been infected virus Formalin”. Ia juga mencoba untuk melumpuhkan “safe-mode” dengan cara menghapus beberapa registry terkait. Dan pada file properties sang virus, di bagian description milik version information akan ada tulisan seperti “Kasian dch loe”.

5. Purwo.B

Menyamar menggunakan icon mirip dokumen MsWord.

Dibuat menggunakan Visual Basic, dengan badan berukuran sekitar 36KB, murni tanpa di-pack.Saat menginfeksi ia menciptakan sebuah folder dengan nama “Purwokerto Under Cover” yang diberi attribut hidden, dan sebuah file bernama “PurwokertoKotaSatria.exe” pada setiap drive yang ia temukan. Di dalam folder C:\Windows\System32\system juga ada file windows.exe, dan di C:\Windows\Shell\services.exe.

6. Plolonk

Plolonk mengubah wallpaper komputer terinfeksi.

Virus produksi lokal yang satu ini dibuat menggunakan Visual Basic, dengan ukuran sebesar 67.072 byte dengan kondisi di-packscramble. Di registry, ia menciptakan item run baru di HKLM, dengan nama service yang menunjuk pada salah satu file induknya yang ada di direktori Windows dengan nama dllhost.exe. Selain itu, pada direktori tersebut dapat ditemukan pula sebuah file gambar yang akan dijadikan wallpaper olehnya dengan nama Pl0Lonx.jpg.

Jadi pada komputer terinfeksi, wallpaper desktop dari komputer tersebut akan ia ubah menjadi gambar bertemakan “Linux SuSE”. Selain itu, untuk dapat aktif otomatis, ia juga menempatkan dirinya pada folder StartUp dengan nama Empty.pif. yang kemungkinan besar menggunakan UPX

7. Recycler varian

File virus bersembunyi dibalik Recycle Bin palsu.

Yang menjadi ciri khas dari virus ini adalah teknik bagaimana ia menyebar. Dari semua varian yang kami miliki, cara yang dilakukannya adalah sama, yakni menyamar seperti layaknya Recycle Bin. Contohnya disaat virus ini menyerang flash disk. Di flash disk korban akan terdapat folder dengan nama Recycler yang di dalamnya terdapat folder yang menggunakan nama alpha numeric contohnya

“S-1-5-21-1482476501-1644491937-682003330-1013″ dengan icon mirip dengan icon Recycle Bin. Jika folder ini di-klik atau diakses dari Explorer, file virus tidak akan nampak. Untuk melihatnya, Anda bisa masuk ke command prompt dengan perintah “dir /a”.

8. Buxto varian

Pesan dari virus Buxto.

Virus ini dibuat menggunakan Visual basic. Pada salah satu variannya, seperti contohnya Buxto.C, ia memiliki ukuran tubuh sebesar 266.240 bytes, tanpa di-pack. Icon virus ini menyerupai icon aplikasi browser Mozilla Firefox. Virus ini dikenal dapat membuat autorun di setiap drive yang ia temui untuk dapat menyebar. Dan satu hal, pesan yang disampaikan oleh virus ini cukup nyeleneh, seperti layaknya sebuah pesan iklan.

9. Minerva

Minerva mengalihkan perhatian user dengan memberikan games.

Virus berukuran sekitar 340.981 bytes untuk Minerva.A dan 347.965 bytes untuk Minerva.B ini menggunakan tipuan sebagai flash games, dengan menggunakan icon yang mirip standar file flash. Jika user tergoda, dan tanpa sengaja mengaktifkan virus ini, yang muncul memang sebuah games. Dan games nya acak, bisa Mario Bros, Single Puzzle Hangman, atau yang lainnya. Ia memang menyimpan beberapa games pada tubuhnya. Yang tentunya ia lakukan untuk mengalihkan perhatian, padahal disatu sisi virus itu telah merasuki komputer sang korban, disaat user sedang asik memainkan games-nya.

Virus ini mencoba masuk, dan me-registerrunning sebagai services. Anda pun bisa menemukan file induknya dengan mudah pada folder StartUp dengan nama minerva.com. So, hati-hati jika mendapatkan file games berbentuk flash games, periksa terlebih dahulu. dirinya pada HKLM\System\CurrentControlSet\Services dengan nama Minerva, berharap bisa

10. Windx-Maxtrox

Tampilan wallpaper desktop setelah diubah oleh virus Windx-Maxtrox.

Virus yang dibuat dengan Visual Basic ini memiliki ukuran tubuh asli sekitar 77Kb, tanpa di-pack. Virus yang diduga kuat berasal dari daerah Sulawesi Utara ini memiliki kemampuan infeksi file executable. Tepatnya, ia akan menginfeksi program yang ada di direktori Program Files. Teknik infeksi yang cukup cerdik ia terapkan untuk menghindari pendeteksian engine heuristic dari antivirus. Ciri khas yang dapat dikenali pada komputer terinfeksi adalah berubahnya gambar wallpaper dari desktop menjadi gambar animasi.