W32/Email-Worm.Assiral Cacing Kecil Penantang Antivirus - Penyebaran & Penyerangan
Penyebaran dan Penyerangan
Walaupun kecil, worm ini memiliki kemampuan menyebarkan diri melalui media penyimpanan USB Flash, direktori bagi-pakai (shared directory), dan e-mail. Selain itu dia juga akan mencoba menghajar antivirus dengan cara menghentikan (kill) setiap proses yang memiliki salah satu nama berikut:
AGENTSVR.EXE, ANTI-TROJAN.EXE, ANTIVIRUS.EXE, ANTS.EXE, APIMONITOR.EXE, APLICA32.EXE, APVXDWIN.EXE, ATCON.EXE, ATGUARD.EXE, ATRO55EN.EXE, ATUPDATER.EXE, ATWATCH.EXE, AUPDATE.EXE, AUTODOWN.EXE, AUTOTRACE.EXE, AUTOUPDATE.EXE, AVCONSOL.EXE, AVGSERV9.EXE, AVLTMAIN.EXE, AVPUPD.EXE, AVSYNMGR.EXE, AVWUPD32.EXE, AVXQUAR.EXE, AVprotect9x.exe, Au.exe, BD_PROFESSIONAL.EXE, BIDEF.EXE, BIDSERVER.EXE, BIPCP.EXE, BIPCPEVALSETUP.EXE, BISP.EXE, BLACKD.EXE, BLACKICE.EXE, BOOTWARN.EXE, BORG2.EXE, BS120.EXE, CCAPP.exe, CDP.EXE, CFGWIZ.EXE, CFIADMIN.EXE, CFIAUDIT.EXE, CFINET.EXE, CFINET32.EXE, CLEAN.EXE, CLEANER.EXE, CLEANER3.EXE, CLEANPC.EXE, CMGRDIAN.EXE, CMON016.EXE, CPD.EXE, CPF9X206.EXE, CPFNT206.EXE, CV.EXE, CWNB181.EXE, CWNTDWMO.EXE, D3dupdate.exe, DEFWATCH.EXE, DEPUTY.EXE, DPF.EXE, DPFSETUP.EXE, DRWATSON.EXE, DRWEBUPW.EXE, ENT.EXE, ESCANH95.EXE, ESCANHNT.EXE, ESCANV95.EXE, EXANTIVIRUS-CNET.EXE, FAST.EXE, FIREWALL.EXE, FLOWPROTECTOR.EXE, FP-WIN_TRIAL.EXE, FRW.EXE, FSAV.EXE, FSAV530STBYB.EXE, FSAV530WTBYB.EXE, FSAV95.EXE, GBMENU.EXE, GBPOLL.EXE, GUARD.EXE, HACKTRACERSETUP.EXE, HTLOG.EXE, HWPE.EXE, IAMAPP.EXE, IAMSERV.EXE, ICLOAD95.EXE, ICLOADNT.EXE, ICMON.EXE, ICSSUPPNT.EXE, ICSUPP95.EXE, ICSUPPNT.EXE, IFW2000.EXE, IPARMOR.EXE, IRIS.EXE, JAMMER.EXE, KAVLITE40ENG.EXE, KAVPERS40ENG.EXE.
Daftar nama program antivirus di atas hanyalah sebagian kecil saja, sebenarnya masih sangat banyak demi menghemat halaman maka tidak semua ditulis di sini. Namun jika Anda perhatikan, proses yang dibunuh adalah proses-proses yang berkaitan dengan anti virus. Jadi sepertinya cacing ini ingin menonaktifkan aplikasi antivirus untuk kemudian melakukan penyerangan yang lebih besar.
Selain mencoba menyerang program-program antivirus, worm ini juga mencoba menghajar teman seperjuangannya yakni W32/Worm.Bropia yang memiliki nama lain IM-Worm.Win32.VB.a. W32/Worm.Bropia juga merupakan worm mancanegara yg memiliki kemampuan menyebarkan diri melalui pengirim pesan instan atau Intant Messenger. Inilah mengapa terdapat tanda “IM-Worm” pada awal namanya, tanda yang biasanya diberikan oleh developer antivirus untuk menandai karakteristik suatu program jahat.
Ketika pertama kali berjalan, W32/Email-Worm.Assiral akan membuat penanda dirinya berupa mutex (Mutual Exclusion) dengan nama "-)(-=|L4r1$$4|=-)(-". Perlu diketahui mutex biasanya digunakan untuk singkronisasi antar aplikasi atau thread yg kebanyakan terdapat pada aplikasi multi threading. Namun di sini, mutex digunakan worm Assiral untuk menandai dirinya dengan maksud agar tidak terjadi infeksi ulang (reinfection) pada komputer yg telah terinfeksi.
Demi menjaga dirinya agar tetap berjalan setiap kali komputer dihidupkan, worm ini akan membuat 3 pemicu dengan menambahkan nilai pada alamat registry: HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Kunci registry yang dibuatnya antara lain:
* “MSLARISSA” => mengarah pada: “[system-dir]\MSLARISSA.pif”
* “Command Prompt32” => mengarah pada: “[system-dir]\CmdPrompt32.pif”
* "(L4r1$$4) (4nt1) (V1ruz)" => mengarah pada: “[win-dir]\SP00Lsv32.pif”
* Mencoba membuka browser yang langsung diarahkan ke alamat tujuan “http://roattack.go.ro”.
* Mencoba menyampaikan pesan kepada pengguna dan pembuat antivirus dengan cara menuliskan pesan pada file “C:\MESSAGE_TO_USER.txt”, “C:\MESSAGE_TO_AVs.txt”, dan “C:\MESSAGE_TO_BROPIA.txt” yang berisi:C:\MESSAGE_TO_USER.txt:
Greetz to infected user!
I will survive
In this moment in time.
Your computer will crash,
So, you will be mine.
I will not crash,
I will not fail.
So, in this moment in time,
I will survive...
– LARISSA AUTHOR
C:\MESSAGE_TO_AVs.txt:
Greetz to AVs!
I wanna be in AV industry when I grow up :-)
----------------------------------------
- LARISSA AUTHOR
C:\MESSAGE_TO_BROPIA.txt:
Hey Bropia.. stop making MSN worms it's stupid...
... lol -- Larissa Anti Bropia... -- Saving the world from BROPIA!!!
- LARISSA AUTHOR
Penyebaran dan Penyerangan
Walaupun kecil, worm ini memiliki kemampuan menyebarkan diri melalui media penyimpanan USB Flash, direktori bagi-pakai (shared directory), dan e-mail. Selain itu dia juga akan mencoba menghajar antivirus dengan cara menghentikan (kill) setiap proses yang memiliki salah satu nama berikut:
AGENTSVR.EXE, ANTI-TROJAN.EXE, ANTIVIRUS.EXE, ANTS.EXE, APIMONITOR.EXE, APLICA32.EXE, APVXDWIN.EXE, ATCON.EXE, ATGUARD.EXE, ATRO55EN.EXE, ATUPDATER.EXE, ATWATCH.EXE, AUPDATE.EXE, AUTODOWN.EXE, AUTOTRACE.EXE, AUTOUPDATE.EXE, AVCONSOL.EXE, AVGSERV9.EXE, AVLTMAIN.EXE, AVPUPD.EXE, AVSYNMGR.EXE, AVWUPD32.EXE, AVXQUAR.EXE, AVprotect9x.exe, Au.exe, BD_PROFESSIONAL.EXE, BIDEF.EXE, BIDSERVER.EXE, BIPCP.EXE, BIPCPEVALSETUP.EXE, BISP.EXE, BLACKD.EXE, BLACKICE.EXE, BOOTWARN.EXE, BORG2.EXE, BS120.EXE, CCAPP.exe, CDP.EXE, CFGWIZ.EXE, CFIADMIN.EXE, CFIAUDIT.EXE, CFINET.EXE, CFINET32.EXE, CLEAN.EXE, CLEANER.EXE, CLEANER3.EXE, CLEANPC.EXE, CMGRDIAN.EXE, CMON016.EXE, CPD.EXE, CPF9X206.EXE, CPFNT206.EXE, CV.EXE, CWNB181.EXE, CWNTDWMO.EXE, D3dupdate.exe, DEFWATCH.EXE, DEPUTY.EXE, DPF.EXE, DPFSETUP.EXE, DRWATSON.EXE, DRWEBUPW.EXE, ENT.EXE, ESCANH95.EXE, ESCANHNT.EXE, ESCANV95.EXE, EXANTIVIRUS-CNET.EXE, FAST.EXE, FIREWALL.EXE, FLOWPROTECTOR.EXE, FP-WIN_TRIAL.EXE, FRW.EXE, FSAV.EXE, FSAV530STBYB.EXE, FSAV530WTBYB.EXE, FSAV95.EXE, GBMENU.EXE, GBPOLL.EXE, GUARD.EXE, HACKTRACERSETUP.EXE, HTLOG.EXE, HWPE.EXE, IAMAPP.EXE, IAMSERV.EXE, ICLOAD95.EXE, ICLOADNT.EXE, ICMON.EXE, ICSSUPPNT.EXE, ICSUPP95.EXE, ICSUPPNT.EXE, IFW2000.EXE, IPARMOR.EXE, IRIS.EXE, JAMMER.EXE, KAVLITE40ENG.EXE, KAVPERS40ENG.EXE.
Daftar nama program antivirus di atas hanyalah sebagian kecil saja, sebenarnya masih sangat banyak demi menghemat halaman maka tidak semua ditulis di sini. Namun jika Anda perhatikan, proses yang dibunuh adalah proses-proses yang berkaitan dengan anti virus. Jadi sepertinya cacing ini ingin menonaktifkan aplikasi antivirus untuk kemudian melakukan penyerangan yang lebih besar.
Selain mencoba menyerang program-program antivirus, worm ini juga mencoba menghajar teman seperjuangannya yakni W32/Worm.Bropia yang memiliki nama lain IM-Worm.Win32.VB.a. W32/Worm.Bropia juga merupakan worm mancanegara yg memiliki kemampuan menyebarkan diri melalui pengirim pesan instan atau Intant Messenger. Inilah mengapa terdapat tanda “IM-Worm” pada awal namanya, tanda yang biasanya diberikan oleh developer antivirus untuk menandai karakteristik suatu program jahat.
Ketika pertama kali berjalan, W32/Email-Worm.Assiral akan membuat penanda dirinya berupa mutex (Mutual Exclusion) dengan nama "-)(-=|L4r1$$4|=-)(-". Perlu diketahui mutex biasanya digunakan untuk singkronisasi antar aplikasi atau thread yg kebanyakan terdapat pada aplikasi multi threading. Namun di sini, mutex digunakan worm Assiral untuk menandai dirinya dengan maksud agar tidak terjadi infeksi ulang (reinfection) pada komputer yg telah terinfeksi.
Demi menjaga dirinya agar tetap berjalan setiap kali komputer dihidupkan, worm ini akan membuat 3 pemicu dengan menambahkan nilai pada alamat registry: HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Kunci registry yang dibuatnya antara lain:
* “MSLARISSA” => mengarah pada: “[system-dir]\MSLARISSA.pif”
* “Command Prompt32” => mengarah pada: “[system-dir]\CmdPrompt32.pif”
* "(L4r1$$4) (4nt1) (V1ruz)" => mengarah pada: “[win-dir]\SP00Lsv32.pif”
* Mencoba membuka browser yang langsung diarahkan ke alamat tujuan “http://roattack.go.ro”.
* Mencoba menyampaikan pesan kepada pengguna dan pembuat antivirus dengan cara menuliskan pesan pada file “C:\MESSAGE_TO_USER.txt”, “C:\MESSAGE_TO_AVs.txt”, dan “C:\MESSAGE_TO_BROPIA.txt” yang berisi:C:\MESSAGE_TO_USER.txt:
Greetz to infected user!
I will survive
In this moment in time.
Your computer will crash,
So, you will be mine.
I will not crash,
I will not fail.
So, in this moment in time,
I will survive...
– LARISSA AUTHOR
C:\MESSAGE_TO_AVs.txt:
Greetz to AVs!
I wanna be in AV industry when I grow up :-)
----------------------------------------
- LARISSA AUTHOR
C:\MESSAGE_TO_BROPIA.txt:
Hey Bropia.. stop making MSN worms it's stupid...
... lol -- Larissa Anti Bropia... -- Saving the world from BROPIA!!!
- LARISSA AUTHOR
Tidak ada komentar:
Posting Komentar