- Avast. Mendeteksi sebagai VBS:Agent-AWN [Trj]
- Bkav. Mendeteksi sebagai MW.Clodeb5.Trojan.b7a1
- Comodo. Mendeteksi sebagai UnclassifiedMalware
- DrWeb. Mendeteksi sebagai VBS.Siggen.7442
- Emsisoft. Mendeteksi sebagai Trojan-Backdoor.VBS.Agent (A)
- ESET-NOD32. Mendeteksi sebagai VBS/Agent.NDH
- Fortinet. Mendeteksi sebagai VBS/Agent.U!tr.bdr
- Ikarus. Mendeteksi sebagai VBS.Encrypted
- Smadav. mendeteksi sebagai New Hour.
- Microsoft. Mendeteksi sebagai Worm:VBS/Jenxcus.BC
- Panda. Mendeteksi sebagai VBS/Jenxcus.A
- Symantec. Mendeteksi sebagai VBS.Dunihi
- TrendMicro. Mendeteksi sebagai VBS_DUNIHI.BM
- TrendMicro-HouseCall. Mendeteksi sebagai VBS_DUNIHI.BM
- ViRobot. Mendeteksi sebagai VBS.A.Agent.39755
Lalu seandainya anda iseng membuat hash file virus berubah, misalnya
dengan menambahkan spasi, virus akan tetap dapat berjalan dan hanya 6 antivirus yang mampu mengenalinya, yaitu:
- Avast.
- DrWeb.
- ESET-NOD32.
- Fortinet.
- Microsoft.
- Panda.
Lengkapnya di https://www.virustotal.com/en/file/22f3dc5edb15776d98cec46e49dc6378137a17e5fcc28c1b26faa72a18ef76b6/analysis/1384525791/
Hal ini termasuk istimewa untuk sebuah virus yang saat ini cukup
menyebar, dan untuk 6 antivirus yang masih mampu mengenali saat nilai
hash virus berubah, mereka patut diapresiasi dan dalam hal ini lebih
unggul dari antivirus lain yang tidak mendeteksi.
Virus VBScript Encoder
Virus ini memiliki extension .vbe, yang merupakan VBScript yang
terencode, karena itu akan terlihat acak jika file dibuka dengan text
editor. Namun untuk melihat source code VBScript aslinya sangat mudah,
dengan menggunakan tool Microsoft Script Encoder (screnc.exe) atau tool online di http://www.greymagic.com/security/tools/decoder/
Kalau melihat source code aslinya dan menelusuri nama function,
variable, dan pesan-pesan yang ditampilkan semuanya dalam bahasa
Inggris, maka kemungkinan ini adalah virus luar. Namun sebenarnya, ini
belum benar-benar source code asli, karena masih ada script yang
dienkripsi. Bagi yang dapat mendekripsi source code aslinya - caranya
sangat mudah, cukup menambahkan script untuk menulis ke file hasil
dekripsi virus - maka akan terlihat signature pembuatnya yaitu:
'<[ recoder : houdini (c) skype : houdini-fx ]>
Karena itulah antivirus Symantec dan TrendMicro memberi nama virus ini
Dunihi. Kenapa tidak diberi nama Houdini? Baca penjelasan tata cara
pemberian nama virus di link berikut: http://perangvirus.blogspot.com/2013/11/tata-cara-pemberian-nama-virus.html
Seperti juga virus VBScript lain, ia aktif di memory melalui
wscript.exe, ia mengcopykan dirinya sama persis ke folder startup, temp,
dan flashdisk/ removable drive, dan membuat shortcut di flashdisk
sesuai dengan nama folder (jika ada) dan meng-hidden folder asli. Virus
juga membuat registry standar di key Run:
machine\software\microsoft\Windows\CurrentVersion\run\app = wscript.exe //B "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\app.vbe"
user\current\software\Microsoft\Windows\CurrentVersion\run\app = wscript.exe //B "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\app.vbe"
Virus juga mencoba melakukan koneksi ke website http://basss.no-ip.info melalui port 2023.
Menghapus Virus Tanpa Antivirus
Menghapus virus ini cukup mudah, dengan cara sebagai berikut:
- Hentikan process wscript.exe di Task Manager atau gunakan tool seperti Process Explorer.
- Ketik msconfig pada menu Run, lihat pada tab Startup, lihat pada item app, item ini adalah startup virus. Lihat di mana foldernya dan hapus manual file app.vbe.
- Ketik %temp% pada menu Run, hapus manual file app.vbe.
- Restart.
Bisa juga menggunakan program removalnya di: http://perangvirus.blogspot.com/2013/11/removal-untuk-virus-vbscript-dunihi.html
0 komentar:
Posting Komentar