Virus Autoit Menyamar Sebagai Web Cam

Autoit merupakan sebuah bahasa pemrograman scripting basic seperti VBS Script, awalnya  Autoit di buat untuk memudahkan para developer software dalam menagani permasalahan secara otomatis, dengan Autoit para pengembang sofware bisa dengan mudah memanipulasi gerakan mouse, tuts keyboard dan windows aplikasi yang berjalan, Dari kemudahan yang ditawarkan oleh Autoit membuat segelintir orang iseng untuk membuat virus menggunakan Autoit, apalagi Autoit menggunakan bahasa basic, mirip seperti Visual Basic, memudahkan para Pembuat virus untuk memperlajari Autoit dengan cepat,

Salah satunya adalah virus Autoit ini, Virus ini dapat menyebar dengan memanfaatkan Aplikasi Instan Messaging seperti Yahoo Messenger, Google Talk, dan Skype. sebenarnya virus ini bukanlah hal baru sebelumnya beberapa tahun yang lalu sudah ditemukan virus yang hampir sama yakni Virus Sohanad, virus Sohanad juga memanfaatkan Yahoo Messenger sebagai media penyebaran, kuat dugaan virus ini masih satu varian dengan virus sohanad, dari beberapa teknik yang dia gunakan hampir sama dengan virus sohanad, yang membedakan hanyalah virus ini dapat menyebar dengan memanfaatkan banyak aplikasi Instan Messaging (YM, Gtalk, Skype).

 
Karakteristik Virus

Ukuran : 659 Kb
Icon : WebCam
File Version : 3.3.6.1
Dibuat Menggunakan : Autoit v3

Aksi Virus

Saat korban menjalankan file virus, virus akan membuat file induknya di system :

• HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell = “Explorer.exe “C:\windows\system32_.exe
• HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Yahoo Messengger = “C:\windows\system32\system32_.exe”

file induk inilah yang digunakan virus untuk aktif di memory saat komputer di hidupkan.

Duplikat Virus di setiap Drive & Folder

Disetiap drive bisa ditemukan 2 duplikat virus dengan nama :

• New Folder.exe (Attribut Normal)
• system32_.exe (Attribut Hidden)

Jika menemukan ada nya file mencurigakan seperti diatas dengan ciri” menggunakan ikon WebCam, bisa dipastikan itu adalah virus Autoit, Jangan pernah tertarik untuk membuka file mencurigakan seperti diatas, apalagi dengan ikon seperti itu, banyak pengguna komputer yg terinfeksi virus akibat dari kecerobohan nya  menjalankan file” tak dikenal.

Disetiap Folder yang terdapat di drive juga tak luput dari serangan virus, kita bisa menemukan duplikat virus ini disetiap folder dengan nama mengikuti folder yang di infeksi, Contoh jika foldernya bernama Data maka duplikat virus akan bernama Data.exe didalam folder tersebut.

Shortcut URL Virus

Virus saat aktif juga menciptakan sebuah shortcut yang mengarah langsung ke website virus, shortcut URL ini bisa kita temuin dibeberapa lokasi dibawah ini :

• %Startup%\Gogle.lnk (http://www.todaygoogle.com)
• %Startup%\Google.lnk (http://www.todaygoogle.com)
• %Desktop%\Sioril.lnk (http://www.sioril.com)
• %MyDocument%\New Jobs info.lnk (http://www.smsopen.com)
• %AppData%\Microsoft\Internet Explorer\Quick Launch\Make Friends.lnk (http://www.sioril.com)

Menyebar Via Instan Messaging

Virus akan memonitoring beberapa Aplikasi Instan Messaging seperti Yahoo Messenger, Google Talk, dan Skype, jika virus menemukan salah satu proses aktif maka secara otomatis virus akan mengendalikan program tersebut, dengan mengirimkan Link Virus ke teman chat kita yang sedang aktif.

Beberapa pesan virus yang akan dikirim antara lain :

• “Hey what are you doing Please test my new webcam using private application %UrlVirus%”
• “Hey Please help me to test my new cam, (use deepika213 as passcode)  %UrlVirus%”
• “The wisest mind has something yet to learn %UrlVirus%”
• “Hey Please help me to test my new cam application %UrlVirus%”
• “I was checking out yahoo members ENTER and i saw your page   yahoo says you are my top match        view my private cam via secured connection Luse password pass      %UrlVirus% Waiting for you, view my private cam via secured connection BIN”
• “Happiness is not a destination. It is a method of life %UrlVirus%”
• “View my private cam via secured connection %UrlVirus%”
• “If you want truly to understand something, try to change it %UrlVirus%”
• “asl please  I am 21 Female, Mumbai (India) and you  Hey View my private cam via secured connection %UrlVirus%”

Virus juga akan menambahkan akun si pembuat virus dengan ID foxjones9 didaftar kontak kita,

Kill Process

Berikut beberapa proses yang akan di kill prosenya :

• game_y.exe
• Bkav2006
• System Configuration (Caption)
• Registry (Caption)
• [FireLion] (Caption)
• cmd.exe

Menghapus Semua Restore Point

Agar virus dapat bertahan lama di komputer korban, virus juga menghapus semua restore point yang ada di dalam daftar System Restore, akibatnya apabila korban ingin mengembalikan keadaan komputernya seperti semula, tidak akan bisa karena restore pointnya sudah dihapus oleh virus.

Pembersihan

Download SMADAV revisi terbaru untuk mendeteksi variant virus ini, apabila Smadav belum mendeteksi keberadaan virus ini, gunakan cara” seperti dibawah ini L

• Buka SMADAV, kemudian klik TAB Tools > One Virus By User, di situ akan terlihat file induk virus dengan nama System32_.exe kemudian klik kanan pilih Add As Virus. Lihat contohnya seperti gambar dibawah ini.

• Kemudian menuju ke TAB Scanner  pilih Full Scan.  Jika sudah tinggal klik tombol SCAN >>

• Tunggu hingga proses scanning selesai, dan terakhir tinggal klik Tombol Bersihkan

Sekarang Kompter bersih dari virus ini, jangan lupa Scan juga semua media penyimpanan yg kamu miliki, seperti Flashdisk dan  HD External.

Keep Using Local Antivirus ^^