Selasa, 12 Oktober 2010

Worm Vobfus : Serangan dari Celah Shortcut

Di Indonesia saat ini sedang marak oleh serbuan berbagai varian virus yang memanfaatkan celah keamanan pada file shortcut (.lnk) di sistem operasi Microsoft Windows, hal ini menurut perusahaan antivirus Vaksincom. Alfons Tanujaya, analis antivirus dari Vaksincom mengakui telah menerima puluhan jenis sampel virus yang memanfaatkan celah itu. Worm Vobfus adalah salah satu worm dengan peredaran cukup pesat di Indonesia saat ini.

Worm Vobfus akan melakukan beberapa hal di komputer yang sudah terinfeksi. Berikut adalah beberapa contoh yang mungkin dilakukan oleh worm ini:

Melindungi proses worm dan mencegah proses aplikasi/program keamanan: Worm mencoba memonitor proses yang berjalan di memori dan memastikan agar proses worm tidak dimatikan oleh program/aplikasi keamanan seperti antivirus dan removal. Jika ada program/aplikasi keamanan yang berjalan, maka worm akan mencoba menginfeksi dan membuat error pada program tersebut.

Menyembunyikan folder dan membuat file shortcut: ini adalah salah satu aksi worm yang mampu membuat pengguna komputer pusing karena worm akan menyembunyikan seluruh isi folder "My Documents" dan menggantinya dengan file shortcut. Celakanya file shortcut tersebut diarahkan ke salah satu file virus dengan nama yang diacak. Tetapi beberapa varian lain hanya menyembunyikan folder dan membuat file shortcut pada removable drive/disk.

Koneksi Remote Server dan mendownload file virus lain: Dengan memonitor proses yang berjalan, worm mencoba melakukan koneksi ke IP remote server yang dituju melalui file system yang diinfeksi seperti file explorer.exe atau svchost.exe. Setelah terkoneksi, worm mendownload varian malware lain agar tidak mudah terdeteksi dari antivirus atau removal tool.

Modifikasi key Folder Options: Secara umum, worm ini tidak akan melakukan blok terhadap beberapa program Windows seperti regedit, Task Manager, Folder Options, dll. Tetapi worm menggunakan cara lain agar file virus tidak mudah dilihat atau dihapus, untuk itu virus memodifikasi fitur Folder Options dengan menghapus salah satu key yang ada yaitu 'Hide protected operating system files (recommended)'. Dengan selalu mengaktifkan key tersebut, pengguna komputer tidak dapat melihat file virus bahkan menghapusnya.

sumber: detiknet

1 komentar: