a. Deskripsi Virus
Nama : annie.ani
Ukuran : 9,201 bytes
Info : JavaScript Encoded File
b. Companion atau File yang dibuat
Serviks-JS dalam aksinya membuat file sebagai berikut:
1.) Autorun.inf
berada pada root drive dan C:\Documents and Settings\%username%\Local Settings\Application Data\Microsoft\CD Burning.
ketika drive dibuka, maka file autorun.inf akan menjalankan file annie.ani, berikut listing file autorun.inf tersebut.
[autorun]
shellexecute=wscript.exe //e:jscript.encode annie.ani /a
shell\open\command=wscript.exe //e:jscript.encode annie.ani /a
shell\explore\command=wscript.exe //e:jscript.encode annie.ani /a
2.) Beautiful_girl_part_1 s/d part_5
ketika user menjalankan file shortcut tersebut yang sepintas terlihat seperti file Video maka akan menjalankan file windows media player atau wmplayer dan annie.ani
C:\WINDOWS\system32\wscript.exe //e:jscript.encode annie.ani /q:5
3.) Annie.sys
berada pada direktori C:\WINDOWS\system32\drivers, file ini akan aktif ketika komputer di restart dengan membuat startup pada registry sebagai berikut :
HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Winlogon value=Userinit=C:\WINDOWS\system32\userinit.exe,wscript.exe //e:jscript.encode C:\WINDOWS\system32\drivers\annie.sys /e
4.) Annie.ani
berada pada root drive dan C:\Documents and Settings\%username%\Local Settings\Application Data\Microsoft\CD Burning. File annie.ani selain di aktifkan oleh file autorun.inf dan shortcut, juga aktif ketika user membuka drive dengan memanfaatkan registry.
c. Aksi
Serviks-JS menyembunyikan file dokumen dengan ekstensi *.doc , *.docx dan *.rtf. File tersebut digantikan dengan file host Serviks-JS dengan extensi *.jse dengan nama yang sama. Ketika file *.jse tersebut dijalankan, file dokumen akan terbuka seperti biasa sekaligus mengaktifkan virus.
Tidak hanya itu, Serviks-JS juga menginfeksi file ber-ekstensi *.htm dan *html
Pada header file *.htm dan *.html, terlihat string dari Serviks-JS sebagai berikut:
lalu menyisipkan kode Serviks-JS sebagai berikut:
Selain itu Serviks-JS melakukan perubahan pada Registry yang mengakibatkan Task Manager, Regedit, CMD , Menu Run ,Folder Options, System Restore terdisable, membuat file hidden tidak bisa terlihat, menyembunyikan ekstensi file, menghilangkan File Associate juga merubah value pada file ber-ekstensi *.reg yaitu (Default)=cmd.exe /c del /q /f “%1″, Serviks-JS juga membuat value pada Image File Execution Options bernama attrib.exe, autoruns.exe, procexp.exe, reg.exe, regalyzer.exe dan taskkil.exe dengan value Debugger=cmd.exe /c del /q /f
d. PCMAV Express for Serviks-JS
PCMAV Express for Serviks-JS ini mempunyai kemampuan memblok akses ke situs antivirus dengan memodifikasi file hosts. Metode infeksi masih sama yang mebedakan adalah pada file *.htm dan *.html terinfeksi, kode Virus dalam keadaan ter-encode.
e. Pembersihan
Untuk pembersihan tuntas gunakan PCMAV Express for Serviks-JS yang dapat didownload melalui link di bawah ini.
Link Download: http://www.sendspace.com/file/erg1j8
Sekian. Semoga bermanfaat, Terima kasih.