Namanya diambil dari judul lagu yang kini kembali dipopulerkan. Selain mengubah fungsi Folder Options, Kupu-kupu Malam juga membawa pesan pada tanggal-tanggal tertentu.
Virus Kupu-kupu Malam dibangun menggunakan bahasa pemrograman Visual Basic. Ukuran file-nya sekitar 88 KB dengan memakai icon Visual basic dan tipe file Application. Kehadiran virus Kupu-kupu Malam ini memanfaatkan kepopuleran lagu yang dinyanyikan kembali oleh salah satu band papan atas tanah air. Menggunakan Norman Security Suite, virus ini teridentifikasi dengan nama W32/VBTroj.CXXT. Saat file virus diaktifkan oleh pengguna PC, virus ini akan memutar file video menggunakan Windows Media Player. Namun, file video tersebut tidak dapat diputar dan yang ditampilkan hanyalah aplikasi player-nya saja.
File induk yang dibangun
Setelah virus Kupu-kupu Malam aktif di PC korban, virus akan membuat beberapa file induk yang selanjutnya akan di simpan di beberapa folder. File induk yang dibuat antara lain BACA!!!.txt yang disimpan dalam drive C:\; Video~1.mpg.exe yang disimpan dalam folder C:\Temp; file scvhost.exe, csrsc.exe, smsc.exe, dan lsasc.exe yang disimpan ke dalam folder C:\Windows\inf\84nd0t8r080t; file Blaut.exe dan lsasc.exe yang tersimpan ke dalam direktori C:\Windows\system32obe; file BandotBrobot.exe yang di simpan ke dalam folder C:\Windows; file Exblorer.exe, Regedit.pif, Cmd.pif, dan Ble’e.exe yang disimpan ke dalam folder C:\Windows\System32; dan file Ble’e.exe yang disimpan ke dalam direktori C:\Windows\system32\Drivers.
Manipulasi registry Windows
Agar seluruh file induk tersebut dapat di aktifkan secara otomatis saat PC dihidupkan, virus Kupu-kupu Malam akan memanipulasi sejumlah data yang terdapat di dalam system registry, antara lain
RHKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
–BandotOye = C:\WINDOWS\BandotBrobot.exe
–WindowsLogon = C:\WINDOWS\Inf\84nd0t8r080t\scvhost.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
–LocalServices = C:\WINDOWS\Inf\84nd0t8r080t\lsasc.exe
–WinExblorerXX = C:\WINDOWS\system32\Exblorer.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
–Shell = explorer.exe “C:\WINDOWS\system32\Oobe\Blaut.exe”
–Userinit = C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\Drivers\Ble’e.exe
Masalah yang ditampilkan
Tidak seperti kebanyakan virus lokal lainnya, virus Kupu-kupu Malam atau W32.VBTroj.CXXT tidak banyak melakukan aksi pemblokiran terhadap fungsi atau tools yang ada di dalam Windows, seperti Task Manager, Regedit, atau pun System Restore. Hal ini dilakukan agar tidak mengundang kecurigaan pengguna PC.
Walupun demikian, virus ini berhasil melakukan sedikit perubahan pada fungsi Folder Options, yaitu Anda atau pengguna PC tidak dapat menampilkan file yang tersembunyi. Tidak hanya itu, virus ini juga berhasil memblokir fungsi Command Prompt di Windows (CMD.EXE), sehingga ketika Anda menjalankan file cmd.exe yang muncul justru Windows Media Player.
Gangguan lainnya adalah membuat shortcut dengan nama bandot. Jika shortcut tersebut di-klik, secara otomatis PC akan logoff. Untuk melancarkan aksinya, virus tersebut akan memanipulasi system registry dengan membuat sebuah string baru seperti di bawah ini
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shell\Bandot\command
–[Default] = logoff
Ada yang menarik dari virus Kupu-kupu Malam. Virus ini tidak hanya berhasil memanipulasi system registry dan mengubah fungsi Folder Options serta Command Prompt di Windows. Ia juga dapat mematikan proses beberapa virus lokal, seperti virus W32/Tabaru.A (Riyani Jangkaru) dan Kangen.A dengan melakukan perintah
taskkill /f /im xpshare.exe
taskkill /f /im riyani_jangkaru.exe
taskkill /f /im systray.exe
Jan 1, 2011
Subscribe to:
Post Comments (Atom)
0 komentar:
Post a Comment