"Moonlight", begitu program jahat berjenis worm ini menamai dirinya. Worm lokal ini sebenarnya sudah ada sejak jamannya W32/Brontok atau W32/Rontokbro, tetapi masih tetap eksis sampai sekarang. Ini karena variannya yang terus bermunculan hingga sekarang, bahkan masih banyak laporan dari pengguna AVI yang komputernya terinfeksi oleh worm ini.
Karakteristik
W32/Moonlight dibuat menggunakan compiler andalan vxer (sebutan bagi pembuat program jahat) lokal yakni VB6 (Visual Basic 6) dan dimampatkan menggunakan program PE packer FSG. Ukuran aslinya sebesar 324 KB, lalu setelah dimampatkan menjadi 144 KB. Identitasnya sendiri menggunakan icon folder Windows XP standar.
Cara Virus ini berjalan
Ketika pertama kali berjalan, W32/Moonlight.L akan membuat file “systear.dll” pada direktori system, contoh: “C:\WINDOWS\system32\systear.dll”. File ini merupakan file inisialisasi agar worm dapat mengenali dirinya dan sebagai penanda posisi di mana worm telah disebarkan. Setelah itu, Moonlight membuat file penunjang berbentuk dynamic link library (DLL) “moonlight.dll” pada direktori Windows (contoh: “C:\WINDOWS\moonlight.dll”) dan mengekstraksi file musik berformat MIDI “onceinabluemoon.mid” ke direktori Windows. Setelah itu, worm ini membuat direktori dengan nama acak pada subdirektori Windows dan System dengan format “C:\WINDOWS\[acak]”. Maksud “[acak]” disini berisi nama acak misalnya:
“C:\WINDOWS\FLR1S4G”
“C:\WINDOWS\system32\LDF6I7R”
Penggunaan nama acak tersebut kemungkinan dimaksudkan untuk mempersulit proses investigasi dan pembersihan.
Kemudian worm akan menggandakan dirinya pada tempat-tempat berikut:
* C:\WINDOWS\[acak]\service.exe
* C:\WINDOWS\[acak]\smss.exe
* C:\WINDOWS\[acak]\system.exe
* C:\WINDOWS\[acak]\winlogon.exe
* C:\WINDOWS\lsass.exe
* C:\WINDOWS\system32\[acak]\[acak].cmd
* C:\WINDOWS\[acak].exe
* C:\WINDOWS\system32\[acak].exe
* C:\WINDOWS\[acak]\[acak].com
W32/Moonlight.L sengaja menggandakan dirinya dengan nama-nama mirip servis bawaan Windows seperti “smss.exe”, “service.exe” dengan maksud agar prosesnya tidak mudah dihentikan menggunakan Task manager bawaan Windows. Perlu diketahui, Task manager akan menolak menghentikan proses dengan nama meliputi: “service.exe”, “smss.exe”,”system.exe”,”winlogon.exe”, dan “lsass.exe”.
Karena worm dibuat menggunakan VB6, dan karena setiap aplikasi VB6 membutuhkan runtime yang bernama “msvbvm60.dll”, worm ini melakukan strategi cerdik agar file runtime tersebut tidak dihapus atau terhapus (yang membuat worm tidak bisa berjalan). Caranya, dengan membuat backup file runtime tersebut ke “C:\WINDOWS\system\msvbvm60.dll”.
Hal lain yang dilakukan Moontime adalah membuat file bernama “MooNlight.txt” pada direktori Windows (contoh: “C:\Windows\MooNlight.txt”). File ini berisi pesan dari pembuatnya yang mengaku bernama nick “Lunalight” alias “Moonlight”:
Penyebaran
Cara penyebaran W32/Moonlight.L sangat mirip dengan worm legendaris W32/Brontok alias W32/Rontokbro, yaitu dengan menggandakan dirinya ke setiap direktori dengan nama sama dengan direktori induknya.
No comments:
Post a Comment