VBS/Repulik.A                     21 April 2008

 

Akan muncul di akhir umatku, wanita-wanita yang berpakaian namun pada hakikatnya bertelanjang.

Diatas mereka terdapat suatu penaka punuk unta.

Mereka tidak akan memasuki surga dan tidak juga akan mencium aroma surga.

Padahal bau surga itu dapat dicium dari jarak sekian dan sekian (H.R. Muslim)

By Repvblik

 

Kalau kemarin pernah muncul virus yang diilhami oleh lagu Ari Lasso, hari ini kami ingin mengenalkan anda pada satu virus baru yang disinyalir penggemar group musik Repvblik dan mengingatkan pada merek terkenal branded Bvlgari.


Kita tentu masih ingat dengan kasus virus Kespo (kspoold) yang sempat booming dengan target utama file MS Office khususnya MS.Word dan MS.Excel serta beberapa program database. Virus ini berupaya untuk menginjeksi file dengan tetap menggunakan icon asli dari file yang di injeksi sehingga cukup ampuh untuk mengelabui user, walaupun antivirus berhasil “clean” virus tersebut tetapi sayangnya belum mampu untuk mengembalikan icon dan ekstensi file tersebut (file yang di clean masih berekstensi exe dan icon application) sehingga user beranggapan bahwa file tersebut sudah rusak, alhasil muncul lah beberapa tools alternatif untuk split file yang sudah terinfeksi virus tersebut seperti Chanal Splitter (yayat_dhn), Doc/XLS Recovery (Husni), PCMedia Antivirus yang “mengaku” sebagai antivirus terbaik di dunia. Selain Kespo Gultung/Tunggul Kawung juga ikut meramaikan dunia maya dengan target utama menghapus isi dari file yang di infeksi dan menggantinya dengan soal ujian negara, sehingga walaupun virus berhasil di clean tetapi isi dari file tersebut sudah di ganti dengan isi file lain.


Tak mau kalah dengan pendahulunya, baru-baru ini telah muncul virus sejenis Kespo dimana virus ini juga akan berupaya untuk menginjeksi file Office (MS Word dan Excel). Walaupun demikian virus ini masih tergolong baik karena ia hanya akan menginjeksi file Office yang ada di Flash Disk saja.


Sebenarnya tidaklah terlalu sulit untuk mengetahui file yang telah terinfeksi virus ini, yakni “hanya” dengan melihat icon dan ekstensi file tesebut. Biasanya file yang sudah terinfeksi virus ini akan mempunyai icon VBS dengan ekstensi .DOC.VBS, seperti terlihat pada gambar 1 di bawah ini.


Gambar 1, File induk VBS/Repulik.A

 

Dengan update terbaru Norman sudah dapat mendeteksi virus ini dengan nama VBS/Repulik.A (lihat gambar 2)

Gambar 2, Hasil Scan Norman Virus Control mendeteksi Worm:VBS/Repulik.A

 

Ciri-Ciri VBS/Repulik.A

Berikut beberapa ciri-ciri dari VBS/Repulik.A

  • Icon VBS

  • Ekstensi VBS

  • Ukuran 5 KB

  • Type file “VBScript script file”

  • Injeksi file EXE/DOC dengan menambahkan ukuran file sebesar 5 KB dan memepunyai ekstensi .DOC.VBS. File yang di injeksi ini akan mempunyai icon VBS.

Pada saat virus ini aktif, ia akan membuat file induk yang akan dijalankan setiap kali komputer booting. Berbeda dengan virus lokal lainnya, ia tidak akan membuat string pada registry editor sehingga tidak terlalu mencurigakan, virus ini juga tidak akan blok fungsi Windows dan software security sehingga lebih mudah untuk dibersihkan.

Berikut file induk yang akan di drop oleh VBS/Repulik.A

  • C:\Documents and Settings\%user%\Start Menu\Programs\Startup\Repvblik.vbs

Selain membuat file induk tersebut, VBS/Repulik.A juga akan menyimpan file injeksi yang dijalankan oleh user dan file Repvblik.txt ke folder C:\Repvblik, seperti terlihat pada gambar 3 dibawah ini:

 

Gambar 3, File drop VBS/Repulik.A

Pesan dari sang VM

 

Akan muncul di akhir umatku, wanita-wanita yang berpakaian namun pada hakikatnya bertelanjang.

Diatas mereka terdapat suatu penaka punuk unta.

Mereka tidak akan memasuki surga dan tidak juga akan mencium aroma surga.

Padahal bau surga itu dapat dicium dari jarak sekian dan sekian (H.R. Muslim)

By Repvblik

 

Jika Anda buka file Repvblik.txt yang berada di direktori C:\Repvblik, maka akan muncul pesan tersembunyi yang dibuat oleh sang VM. (lihat gambar 4)

Gambar 4, Pesan tersembunyi sang VM

 

Merubah volume (nama) Flash Disk

VBS/Repulik.A juga akan mencoba untuk merubah volume (nama) Flash Disk menjadi REPVBLIK. (lihat gambar 5)

Gambar 5, VBS/Repulik.A merubah nama Flash Disk

 

Injeksi MS.Word dan MS.Excel

Target utama VBS/Repulik.A tidak lain adalah data khususnya MS.Word dan MS.Excel dengan cara menginjeksi dengan menambahkan code virus pada header file. File yang sudah di injeksi akan bertambah 5 KB dari ukuran semula. File yang sudah di injeksi ini sebenarnya tidak terlalu sulit untuk dikenali karena ia akan tetap menggunakan icon VBS dengan ekstensi .DOC.VBS lain halnya jika icon tersebut menggunakan icon MS.Word atau MS.Excel serta ekstensi file tersebut disembunyikan, sehingga dapat dipastikan user akan mudah terkecoh untuk menjalankan file tersebut.

 

Kabar baiknya Virus ini hanya mengincar data yang ada di Removable Disk (Flash Disk) saja.

 

Berikut ciri-ciri file yang sudah di injeksi oleh VBS/Repulik.A (lihat gambar 6)

  • Icon VBS

  • Ukuran “berbeda-beda” (terjadi penambahan ukuran file sebensar 5 KB dari ukuran semula)

  • Ekstensi .DOC.VBS

Gambar 6, File yang di injeksi oleh VBS/Repulik.A

 

Jika file yang sudah terinjeksi tersebut di jalankan maka pada folder yang sama akan membuat file temporary dengan ukuran 6 KB dan menggunakan icon VBS, perhatikan gambar 7 dibawah ini :

 

Gambar 7, Temporary file yang dibuat oleh Repulik.A

 

Menyebar melalui Flash Disk

Untuk mempermudah menyebaranya, ia akan menggunakan Disket / Flash Disk dengan cara drop file virus serta injeksi semua file MS.Word dan MS.Excel yang ada, berikut beberapa file yang akan di buat oleh VBS/Repulik.A

  • I am So Sorry.txt.vbs

  • Indonesian and their corruption!!.txt.vbs

  • Make U lofty.txt.vbs

  • NenekSihir and her Secrets.txt.vbs

  • Never be touched!!.txt.vbs

  • SMS Gratis via GPRS.txt.vbs

  • Thank U Ly.txt.vbs

Cara mengatasi VBS/Repulik.A

  1. Nonaktifkan “Sytem Restore” selama proses pembersihan (jika menggunakan Windows ME/XP)

  2. Matikan proses virus yang mempunyai nama file Wscript.exe. Untuk mematikan proses ini Anda dapat menggunakan tools CurrProses.

  3. Hapus file yang dibuat oleh virus

    • C:\Documents and Settings\%user%\Start Menu\Programs\Startup\Repvblik.vbs

    • C:\Repvblik

Hapus juga file yang didrop di Flash Disk

    • I am So Sorry.txt.vbs

    • Indonesian and their corruption!!.txt.vbs

    • Make U lofty.txt.vbs

    • NenekSihir and her Secrets.txt.vbs

    • Never be touched!!.txt.vbs

    • SMS Gratis via GPRS.txt.vbs

    • Thank U Ly.txt.vbs

  1. Ubah Volume/nama Flash Disk secara manual dengan cara:

    1. Klik kanan Flash Disk

    2. Klik Rename

    3. Ganti nama “Repvblik” dengan nama yang Anda inginkan

  1. Untuk antisipasi dan mencegah infeksi ulang, silahkan install dan scan dengan antivirus yang dapat mendeteksi virus ini dengan baik.

  1. Jika antivirus yang Anda install tidak berhasil “repair” file yang sudah di injeksi oleh VBS/Repulik.A. Anda dapat menggunakan tools “Spliter VBS2DOC/XLS”. Silahkan download tools tersebut di alamat berikut

http://www.4shared.com/file/43727532/dda23d77/_2__Splitter_VBS2DOC_XLS.html?dirPwdVerified=3c4e3b82

 

Catatan:

Spliter VBS2DOC/XLS ini merupakan pengembangan dari tools Chanal Splitter YAV (Yayat_dhn). Chanal Spliter YAV adalah tools yang digunakan untuk repair file yang sudah di injeksi oleh Kespo (kspoold), silahkan download tools Chanal Spitter YAV di alamat berikut: http://chanal.biz/blog/?p=17


Salam,

Aj Tau

info@vaksin.com


PT. Vaksincom

Jl. Tanah Abang III / 19E

Jakarta 10160


Ph : 021 345 6850

Fx : 021 345 6851