Virus ini tergolong keluarga virus Visual
Basic Script (VBS), dengan memanfaatkan file
[C:\Windows\System32\WSCript.exe] sebagai
file pendukung agar dirinya dapat
diaktifkan. Untuk menggelabui user, ia akan
menggunakan rekayasa sosial
denganmemanfaatkan nama file yang di
“plesetkan” yakni [dekstop.ini], jika
diperhatikan secara sepintas user akan
beranggapan bahwa file tersebut bukanlah
virus kerena seperti yang kita ketahui bahwa
Windows juga akan membuat file serupa tetapi
dengan nama yang berbeda yakni
[desktop.ini]. Tetapi jika dilihat lebih
teliti terdapat perbedaan dalam penamaan
file serta ukurannya. Untuk [dekstop.ini]
yang merupakan file induk virus akan
mempunyai ukuran 16 KB (file akan di
enkripsi) sedangkan file [desktop.ini]
biasanya mempunyai ukuran 1 KB.
(lihat gambar 1, 2 dan 3)
Virus ini juga akan melakukan bloking
terhadap beberpa fungsi Windows seperti task
Manager, Registry Editor maupun Folder
Options serta blok terhadap semua aplikasi
berbasis Visual Basic.
Jika user klik tombol [OK] maka akan tampil pertanyaan “Selamat Datang Di Album Cyber By Fandi Erdiansa” (lihat gambar 6). Tetapi jika user klik tombol [Cancel] maka akan muncul pesan “Pergi sana, Gue Juga Ga Butuh Loe!” (lihat gambar 7)
Sekian informasi dari album cyber, semoga bermanfaat.
Gambar 1, Perbedaan nama dan ukuran file
virus
Gambar 2, File
Desktop.ini (File Windows)
Gambar 3,
File Dekstop.ini (file induk serviks)
Virus ini memanfaatkan fitur “autorun”
Windows agar dapat aktif secara otomatis
pada saat user akses ke folder yang berisi
file virus dengan dukungan file autorun.inf
yang telah dibuat oleh virus tersebut. Virus
ini akan menyebar dengan cepat melalui
jaringan dan akan membuat file duplikat
berupa file shortcut
dan
[autorun.inf] serta file [dekstop.ini] pada
folder yang di share full akses, virus ini
juga menyebar dengan cepat dengan
memanfaatkan Removable Disk dengan melakukan
aksi yang sama.
File induk Virus Serviks
Pada saat Virus Serviks menginfeksi komputer
target, ia akan membuat beberapa file induk
berikut yang akan di aktifkan secara
otomatis pada saat komputer booting
-
Dekstop.ini (di semua Drive/folder/subfolder)
-
Folder.lnk (di semua Drive/folder/subfolder)
-
C:\WINDOWS\:Microsoft Office Update for Windows XP.sys
-
C:\Documents and Settings\%user%\My Documents\df5srvc.bfe
-
C:\Documents and Settings\%user%\Local Settings\Application Data\Microsoft\CD Burning\dekstop.ini
-
C:\WINDOWS\system32\serviks.sys
-
C:\windows\svchost.exe
-
C:\windows\tasks\autorun.inf
-
C:\windows\tasks\dekstop.ini
-
C:\windows\tasks\Folder.lnk
-
C:\windows\system32\auto.exe
-
C:\Windows\System32\rad%xx%.tmp (contoh: rad72C8D.Tmp)
Gambar 4, Pesan yang tampil saat
menghilangkan tanda checklist pada opsi
“Hide Protected operating system files (Recommended)”
Album Cyber (bendot.co.nr)
Pada saat user membuka aplikasi Internet
Explorer, ia akan menampilkan beberapa
pertanyaan berikut (lihat gambar 5)
Gambar 5, Pesan pertama
pada
saat membuka aplikasi Internet Explorer
Jika user klik tombol [OK] maka akan tampil pertanyaan “Selamat Datang Di Album Cyber By Fandi Erdiansa” (lihat gambar 6). Tetapi jika user klik tombol [Cancel] maka akan muncul pesan “Pergi sana, Gue Juga Ga Butuh Loe!” (lihat gambar 7)
Gambar 6, Pesan kedua pada saat membuka
aplikasi Internet Explorer
Gambar 7, Pesan ketiga pada saat membuka
aplikasi Internet Explorer
Gambar 8, Pesan yang tampil saat membuka
aplikasi Internet Explorer
Blok aplikasi Visual Basic
Hati-hati bagi Anda yang mempunyai program
yang dibuat dengan Visual Basic, sebaiknya
backup file
[C:\Windows\System32\MSVBVM60.DLL] Anda
karena Virus Serviks akan blok semua program
yang dibuat dengan Visual Basic dengan cara
menghapus file MSVBVM60.DLL dan menggantinya
dengan file MSVBVM60.DLL palsu (ukuran 0
KB). Langkah ini dilakukan sekaligus untuk
mencegah penyebaran virus lokal yang dibuat
dengan menggunakan program bahasa Visual
Basic.
Membuat file duplikat (shortcut)
Aksi lain yang akan dilakukan oleh Virus Serviks ini adalah akan membanjiri setiap
Drive, folder dan subfolder dengan file
duplikat berupa file shortcut yang mempunyai
nama file yang sama dengan nama folder
tersebut. VBS/Cantix juga akan membuat file
[folder.lnk, dekstop.ini dan autorun.inf]
hal ini dimaksudkan agar ia dapat aktif
secara otomatis pada saat user akses
drive/folder tersebut. File duplikat yang
berupa shortcut itu sendiri akan menjalankan
file induk Virus Serviks yakni file
[deksop.ini] pada saat user menjalankan
(klik 2x) file shorctut tersebut. (lihat
gambar 9 dan 10)
Gambar 9, File duplikat Virus Serviks
Gambar 10,
File target yang terdapat pada file shortcut
Sekian informasi dari album cyber, semoga bermanfaat.