Hati-hati Virus / Malware Terbaru

MsKunti.vbs: Malware Tanpa Rambut Panjang

MsKunti.vbs. Sekilas jika mendengar atau membaca nama “Kunti” sudah jelas apa yang akan di bayangkan oleh banyak orang. Akan tetapi, berbeda dengan malware yang di bahas kali ini. Meskipun bukan sosok menyeramkan yang diketahui orang pada umumnya, setiap user tidak akan menginginkan malware ini ada di komputernya.

Lagi-lagi pesan selalu menjadi ciri utama malware indonesia. Seperti yang pernah di bahas mengenai malware tipe VBScript di http://virusindonesia.com/2010/09/03/satu-pesan-cinta-ribuan-shortcut/ yang menyisipkan pesan di folder system32, sekarang datang lagi malware dengan tipe yang mirip.

Nama: MsKunti.vbs
Asal: Indonesia
Ukuran File: 19.6 KB
Pemrograman : Visual Basic Scripting
Icon : VBS
Tipe : Worm

Yang menarik dari malware ini adalah, beberapa hal yang menunjukan hasil infeksinya, selalu berbentuk seperti sebuah pesan atau mantera kuno. Contohnya seperti :
Autorun.inf


Dengan Autorun.inf buatan MsKunti.vbs, ada beberapa menu yang di tambahkan seperti yang terlihat pada gambar di atas. Selain itu, ia juga merubah icon flash disk maupun hard disk yang sudah terinfeksi worm ini, menjadi Empty Recycle bin. Biasanya malware merubah icon flash disk menjadi folder seperti Conficker, Recycler, bahkan VB-Shortcut. Selain itu, beberapa menu utama seperti Open, Explore, Search dan Properties juga di gunakan sebagai perintah yang dapat menjalankan MsKunti.vbs.
Kala_Malam.ini


Seperti sebuah puisi, file ini akan langsung terbuka setelah user masuk ke Windows. Karena file ini sudah ada di:

?

1	C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Kala_Malam.ini

Di_malam_bulan_purnama.txt

File ini terdapat di Dekstop yang isinya seperti mantera kuno yang di bagian atasnya tertulis pesan pembuat malware:

?

1	Di baca sampai ‘dia’ datang ya….

LingsirWengi.html

Pesan pembuat MsKunti.vbs juga ada pada Desktop dengan nama LingsirWengi.html.

Bukan hanya pesan yang dibuat oleh Worm ini, beberapa fungsi Windows juga di disable. Contohnya antara lain adalah:

1. Folder Options
2. Search
3. Turn off
4. File Associate
5. Hidden File Extension
6. Task Manager

Mendisable file dengan nama-nama seperti:

1. cmd.exe
2. install.exe
3. msconfig.exe
4. regedit.exe
5. regedt32.exe
6. RegistryEditor.exe
7. setup.exe
8. PCMAV.exe

Selain itu worm ini juga mendisable perintah Install Open dan Edit pada file dengan ekstensi (.inf) ,(.reg) dan (.vbs).
Membuat Startup pada registry editor:

?

1 2 3 4

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\JalanBuntu HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Setan HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Iblis HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Lelembut

Merubah home page ke “C:\Documents and Settings\All Users\Desktop\LingsirWengi.html” dan Default Name Internet Explorer menjadi “Don’t make me hurt please…”.

Menambahkan nama MsKunti pada Properties My Computer serta menghapus Organization name.

Menambahkan pesan pada Legal Notice sebelum logon Screen yang isinya seperti gambah di bawah ini:

Worm ini sudah dapat dilumpuhkan oleh PCMAV. Dan terlihat worm ini aktif di memory.


sumber : virusindonesia.com
.