Ada yang aneh janggal dengan virus komputer yang saat ini mulai memperlihatkan taringnya karena ukurannya yang super jumbo. Betapa tidak, file yang di usung cukup besar dan tidak wajar untuk ukuran virus yakni sekitar 30,426 KB alias 30 MB sehingga pantas lah kalau menyebut diri dengan nama Mahadewa.
Anda bisa membayangkan jika virus tersebut mempunyai ukuran lebih dari 1 MB maka membutuhkan waktu yang lama untuk mengkopikan dirinya kedalam sistem komputer yang menjadi target. Proses penyebarannya pun akan terhambat. Biasanya virus komputer mempunyai ukuran yang ramping sekitar 22 kb hingga 1 MB. Semakin kecil ukuran file virus, tempat yang dibutuhkan oleh virus untuk menginfeksi kecil dan waktu penyebaran lebih cepat sehingga secara otomatis penyebarannya akan lebih mudah dan meluas.
Karena itu, memang memerlukan orang yang memiliki pemikiran "agak" berbeda dan berani menerobos pakem biasa di mana daripada menerapkan pakem yang sama bahwa small is wonderful. Pembuat virus yang satu ini lebih memilih big is beautiful.
Namun, hebatnya, menurut pengamatan Vaksincom, perusahaan security lokal di Jakarta, virus Mahadewa sempat menyebar dengan tingkat infeksi cukup tinggi walaupun belum sampai menjadi virus Top 10 di Indonesia. Norman Security Suite, yang digunakan Vaksincom, mendeteksi virus Mahadewa sebagai VBS.Autorun.AM
Meski dibuat dari bahasa sederhana setingkat VBScript (VBS], virus ini mempunyai daya serang yang tak kalah dengan virus yang dibuat dengan Visual Basic. Virus ini di sinyalir dibuat oleh salah seorang mahasiswa dari UBL (Universitas Budi Luhur) atau kalau tidak minimal simpatisannya jika dilihat dari script dan jejak yang ditinggalkan oleh virus tersebut.
Sama seperti file yang dibuat dengan menggunakan program bahasa Visual Basic, agar dirinya dapat di aktifkan ia membutuhkan file pendukung yakni wscript.exe. Pada saat dirinya aktif ia akan mencoba untuk membuat beberapa file berikut sebagai file induk yang akan dijalankan pertama kali saat komputer diaktifkan. Masing-masing C:\Windows\system32\WinXp.vbs dan C:\MaHaDeWa.dll.vbs serta di setiap drive.
Untuk memastikan agar dirinya dapat aktif secara otomatis setiap kali komputer dinyalakan, ia akan membuat string tertentu pada registry. Selain dengan membuat string registry tersebut, agar dirinya dapat aktif secara otomatis saat user akses Flash Disk atau Drive lain di komputer, ia juga akan memanfaatkan fitur autoplay Windows dengan membuat file autorun.inf dimana file ini akan secara otomatis menjalankan file MaHaDeWa.dll.vbs tanpa perlu menjalankan file tersebut. File autorun.inf ini akan dibuat disetiap Drive termasuk pada Flash Disk.
Sebenarnya apa tujuan sang VM membuat virus ini jika kita bongkar isi script yang ada pada file MaHaDeWa.dll.vbs sangat jelas terlihat bahwa dia (VBS/Autorun.AM) ini mempunyai tujuan baik yang akan mencoba untuk mengembalikan registri yang sudah di acak-acak oleh virus sejenis yakni Nita.dll.vbs. Ataukah antara MaHaDeWa dan Nita ini mempunyai hubungan khusus karena jika kita lihat pada string yang dibuat maka akan membentuk kata-kata N Love You Forever, hanya mereka berdua yang tahu.
VBS/Autorun.AM tidak akan melakukan blok terhadap fungsi-fungsi Windows atau security tetapi justru sebaliknya akan mencoba untuk mengembalikan fungsi Windows seperti Regedit/Task Manager/Folder Options. Sayangnya ada beberapa string yang justru akan membuat fungsi “System Restore” menjadi tidak berfungsi.
Agar apa yang telah dilakukan oleh sang VM terus dikenang, ia akan menorehkan beberapa jejak pada komputer target seperti merubah Header Internet Explorer / merubah halaman utama Internet Explorer / merubah nama pemilik komputer target atau memunculkan pesan dari sang VM sebelum user login Windows.
Flash Disk masih digunakan sebagai salah satu alternatif yang akan digunakan oleh VBS/Autorun.AM untuk menyebarkan dirinya dengan membuat 2 buah file yaknis autorun.inf dan MaHaDeWa.dll.vbs. File autourun.inf ini juga dimaksudkan agar dirinya dapat aktif secara otomatis saat user akses ke Flash Disk tersebut.
Ciri-Ciri Mahadewa antara lain:
1.Merubah Judul internet Explorer menjadi MaHaDeWa Labkom UBL (lihat gambar 3)
2. Merubah start page Internet Explorer menjadi http://webkom
3. Merubah nama komputer dan nama pemilik Windows
a. RegisteredOrganization = Your pc has been clean from Nita Virus by MaHaDeWa
b. RegisteredOwner = MaHaDeWa
4. Merubah Walpaper Windows.
0 comment:
Post a Comment