Pernahkan komputer Anda tiba-tiba berat dan banyak sekali ditemukan sampah berupashortcut dengan nama-nama seperti Mocrosoft.lnk, SuratQ.lnk, New Harry Potter, dan .lnk lainnya? Apabila jawabannya ya, berarti komputer Anda telah terinfeksi worm VBS/Yuyun.A atau juga dikenal sebagai Worm Shortcut.
Worm yang menamakan diri VBS/Yuyun.A ini merupakan salah satu malware yang sedang aktif menjalar dan telah tersebar luas di Indonesia. VBS/Yuyun.A akan menginfeksi komputer dengan cara menggandakan dirinya di setiap drive, media terpasang, dan di setiap direktori bagi pakai (shared directory). Worm ini juga akan membuat hardisk pengguna komputer dipenuhi dengan shortcut dan pesan-pesan payload di setiap drive dan subdirektorinya.
Teknik Infeksi
Teknik infeksi yang digunakan cukup unik dan tidak seperti worm-worm VBS lokal lain pada umumnya. VBS/Yuyun.A secara cerdik menyamarkan file VBS dengan nama menyerupai file thumbnail image cache-nya Windows 'Thumb.db' sehingga tidak mencurigakan. Namun, adanya penyamaran ini bukan berarti tanpa akibat, karena nama ini menyebabkan file VBS tersebut tidak dapat dieksekusi secara langsung sehingga akan menyulitkan proses infeksi dan penyebarannya.
Lalu bagaimana vxer (sebutan bagi pembuat virus/worm-tersebut) mengatasi hal ini? Dengan cerdiknya vxermembuat pemicu berupa shortcut yang akan mengeksekusi setiap baris kode worm di dalam 'Thumb.db'. Shortcuttersebut akan memanggil aplikasi 'wscript.exe' yang merupakan aplikasi untuk menjalankan file/program VBS dengan cara memparse atau mengintepretasi baris per baris perintah-perintah VBS. Apabila kita amati arah tujuanshortcut tersebut, kita akan mengetahui trik jahat dibalik nama manis Yuyun!. Contoh arah tujuan shortcut yang diambil dari salah satu sampel VBS/Yuyun.A adalah:
C:-WINDOWS-system32-wscript.exe //e:VBScript thumb.db "Microsoft"
Untuk mempersulit analisa, worm ini menyembunyikan kode jahat aslinya dengan cara enkripsi. Algoritma enkripsi yang digunakan adalah home made bit XOR cipher. Karena worm ini dibuat menggunakan VBS, maka kita bisa dengan mudah melihat kode sumbernya dengan menggunakan program seperti notepad.
Kita bisa lihat decryptor dari enkripsinya pada baris 36-39:For v=1 To Len(isiQ)
t=Asc(Mid(isiQ,v,1))
hsl=hsl+Chr(t Xor 7)
Next
Contoh data dalam keadaan terenkripsi:
:::::::::::::::::::::::::::::::::::::::::::::::::::::::
'J~'ifjb'='^r~ri'Qbu'6)7
'N'mrts'pfiif'tbb'bqbu~'`nuk'khhlt'indb+'ebssbu+'lnict'btwbdnfkk~'f'jhtkbj'`nuk
'e~='Fihi~jhrtb'ni'Mfsnj+'Ihqbjebu'577?
'Pobi'N'ahric'ihsoni`'ebfrs~'bktb)))'fic'sobi'N'puhsb'sont'tdunws'ahu'fkk
:::::::::::::::::::::::::::::::::::::::::::::::::::::::
Dan setelah didekripsi menjadi:
'=======================================================
' My name : Yuyun Ver 1.0
' I just wanna see every girl looks nice, better, kinds especially a moslem girl
' by: Anonymouse in Jatim, November 2008
' When I found nothing beauty else... and then I wrote this script for all
'=======================================================
Worm ini akan membuat payload dengan cara menampilkan pesan menggunakan Notepad berisi puisi di setiap tanggal 1 selain bulan Maret. Ketika sampai ke tanggal tersebut, VBS/Yuyun.A akan membuat file-file sampah secara masal di setiap drive dan subdirektori berisi pesan-pesan puisi dengan nama 'Baca AQ.rtf' dan 'My name is yuyun.rtf'.
Langkah ini juga akan memicu shortcut di setiap drive dengan nama-nama berikut:
"New Harry Potter and...", "New Folder", "SuratQ", "Rahasia", "Game", "Zvnita",
"Download", "DataQ","DataQ"
Lalu bagaimana solusinya? Gampang saja. Gunakan AVI (AntiVirus InfoKomputer) untuk membersihkan worm ini. Dapatkan AVI terbaru dalam InfoKomputer edisi April 2009.