Serviks.I: Naruto.exe Mendeface File HTML

 

Serviks.I. Rupanya varian worm Serviks belum berhenti untuk mencoba membuat “kejutan” secara tiba-tiba pada komputer user yang tentunya tidak pernah mengharapkan kedatangan malware. Berbagai teknik dilakukan untuk melewati teknik heuristik antivirus lokal dan menyebar layaknya varian dari malware seperti Serviks.vbs yang cukup merepotkan dan menyebar di Indonesia beberapa bulan yang lalu, sampel yang kami terima berasal dari beberapa daerah seperti Balikpapan, Malang dan Bekasi. Meskipun PCMAV sudah bisa mengatasi malware ini, terkadang ada saja user yang tidak mengupdate PCMAV dan masih menggunakan versi yang lama atau versi yang belum mampu mengenali Serviks.vbs.

A. Info Malware
Nama: Serviks.I
Asal: Indonesia
Ukuran File: 116 KB (118,784 bytes)
Packer: -
Pemrograman: Visual Basic 6.0
Icon: Folder Windows XP
Tipe: Worm
B. Tentang Malware

Masih dugaan bahwa source code worm ini hasil modifikasi dari worm Aksika yang memang source codenya banyak di share di beberapa personal website/blog. Bahkan source code dari worm Serviks sendiri memang sengaja di share oleh pembuatnya, sehingga bagi beberapa orang yang ingin mencoba membuat malware tipe worm sudah tidak perlu bersusah payah membuat kode program dari awal karena dapat memodifikasinya dari source code tersebut. Hal ini menyebabkan bisa saja Serviks.I bukan buatan asli orang yang menyebut dirinya Serviks Maker.
Tanpa di-pack, seluruh isi dari worm ini dapat terlihat dengan jelas. Tetapi ada beberapa fungsi yang tidak berjalan dengan baik, misalnya file autorun.inf yang harusnya ada di removable disk justru tidak ada. Worm ini membuat banyak file, tidak aneh jika komputer yang terinfeksi terasa begitu lambat.
C. Companion/File yang dibuat

Seperti yang terlihat pada gambar di atas, worm ini akan membuat beberapa companion seperti:
C:\Naruto.exe
C:\Documents and Settings\[nama user]\SendTo\f&i.exe
C:\Documents and Settings\[nama user]\f&i.exe
C\Documents and Settings\[nama user]\Start Menu\Programs\Startup\desktop.exe
File-file di bawah ini akan dibuat jika tidak di temukan pada directory-nya. Contohnya seperti file twain_16.exe yang sebelumnya tidak ada, maka akan dibuat oleh Serviks.I, begtu pula dengan file notepad.exe jika sebelumnya tidak ada, maka akan dibuat juga akan tetapi file tersebut bukan file notepad.exe yang sebenarnya, melainkan file malware.
C:\WINDOWS\notepad.exe
C:\WINDOWS\regedit.exe
C:\WINDOWS\srchfnd.exe
C:\WINDOWS\twain_16.exe
C:\WINDOWS\system32\regedit32.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\write.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\unicorn.exe
C:\WINDOWS\system32\msvbv60m60.dll
C:\WINDOWS\system32\ msvbv60m50.dll
C:\WINDOWS\system32\dll\svchost.exe
C:\WINDOWS\system32\Restore\rstrue.exe
D. Hasil Infeksi
Ada beberapa hal yang paling terlihat jika worm ini sudah menginfeksi komputer korban. Semua file tipe HTML dan PHP yang ada di drive C:\ akan di-overwrite dengan file baru yang berisi pesan provokatif. File text pun akan di hapus dan digantikan dengan companion dari Serviks.I. Ciri lainnya adalah seluruh tampilan menu Windows berubah menjadi hitam.

Serviks.I juga akan membuka beberapa website yang URL-nya terlihat pada tubuh worm ini.
E. Pembersihan
Worm ini telah dikenali dan dapat dibersihkan pada PCMAV 5.1 Update Build1 ini berikut ini.
PCMAV 5.1 Update Build1
Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 5.1 Update Build1 telah hadir dengan penambahan 47 pengenal varian virus baru. Bagi Anda pengguna PCMAV 5.1, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.
Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.
Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:
SendSpace.com
ZippyShare.com (mirror)
Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

sumber : pcmedia