Virus AUTOIT.CA Infeksi Yahoo!Messenger

Om Paijo sangat gemar dengan yang namanya chatting. Pada suatu ketika, teman chatting-nya ada yang mengirimkan pesan kepadanya. Dalam pesannya, Om Paijo disuruh mengklik link yang tertera di pesan tersebut. Tapi apa yang terjadi, tanpa disadari oleh Om Paijo, duuuuuoooooorrrrrrr! Komputernya sudah kemasukan virus!!!!

Ilustrasi diatas bisa saja terjadi. Karena memang hal ini sudah terjadi. Yahoo!Messenger (YM) yang sehari-hari kita pakai untuk berchatting ria, ternyata sangat mudah terinfeksi virus. Cara virus ini menginfeksi YM-pun tidak sesulit yang kita bayangkan. Berikut ini artikel yang saya dapat dari Majalah PC Media, tentang sepak terjang Virus AUTOIT.CA

Beberapa antivirus termasuk PC Media Antivirus mengenali virus ini dengan nama AUTOIT. Virus ini datangnya ga jauh dari negara kita kok, yaitu dari Vietnam. Secara fisik virus ini menyerupai sebuah folder, ukurannyapun bervariasi antara varian yang satu dengan yang lainnya. Karena memang varian dari virus ini sangat banyak dan terus bertambah. Tetapi yang dibahas oleh majalah PC Media kali adalah salah satu variannya, yaitu AUTOIT.CA.

Ciri-ciri Virus

AUTOIT atau lengkapnya Autoit Script, juga merupakan nama aplikasi yang digunakan untuk membuat script otomatisasi, tepatnya automation, hotkey, and scripting. Hal ini sesuai dengan yang tertulis di situsnya. Nah dari sini jelas ada hubungannya antara virus ini dengan aplikasi tersebut. Kok bisa? ya memang bisa, karena virus ini dibuat dengan program Autoit Script, tepatnya Autoit Script versi 3.2.0.1

Sang Pencipta Virus

Thanks to team PC Media yang telah berhasil mengoprek jeroan dari virus. Karena akhirnya mereka bisa siapa pencipta virus ini. Kalau menurut header script dari virus ini, tertulis “Written by Nhatquanglan”, yang diduga sebagai pembuat virus.

cara kerjanya seperti berikut : pada saat virus ini dijalankan, dia akan menciptakan dua file induk pada direktori Windows dan System32 dengan nama RVHOST.EXE. Atribut yang terbaca pada file tersebut adalah read only, hidden dan system. Hebatnya virus ini, dia akan memanipulasi registry Shell default milik Windows sehingga dia akan jalan secara otomatis saat Windows dijalankan. Selain itu dia akan membuat sati item registry lagi dengan nama”Yahoo Messenger” yang terletak pada HKEY_CURRENT_USER\Software\Miscrosoft\Windows\CurrentVersion\Run, yang mana akan diarahkan pada file induk virus yang ada di direktori System32.

Virus ini akan memblok Folder Option, Task Manager dan Registry Editor, agar tidak dapat diakses oleh user. Dengan demikian kelangsungan hidupnya akan terjaga.

Delete Schedule Task

Semua job yang ada di Schedule Task akan dihapus oleh virus ini melalui Command Prompt secara senbunyi-sembunyi, dengan cara menjalankan perintah “AT/delete/yes”. Perintah job baru akan dibuat yaitu “AT 09:00/interactive/EVERY:m,t,w,th,f,s,su C:\Windows\System32\RVHOST.EXE”. yang artinya virus ini akan dijalankan setiap pukul 09:00 setiap hari.

Secara default, setiap job yang dibuat menggunakan perintah AT, akan di stop oleh Windows setelah 72 jam secara otomatis. Untuk menghindari hal ini, maka nilai registry AtTaskMaxHours diubah menjadi 0 (nol), yang artinya tanpa batas.

Auto Update

Virus Autoit ini juga memiliki fungsi update. Ada beberapa alamat situs yang dimilikinya yaitu http://nhatquanglan2.0catch.com dan http://www.freewebs.com/nhattruongquang. Fungsi automatic update virus ini akan jalan secara otomatis setiap 12 jam.

Serbu Yahoo!Messenger

“vao day nghe bai nay di ban http://nhattruongquang.0catch.com” pernahkah anda menerima pesan seperti ini? Yup itu adalah pesan yang dikirimkan oleh virus Autoit. Sebelum melakukan aksinya, virus akan memeriksa terlebih dahulu, apakah aplikasi YM aktif atau tidak. Lalu virus akan memilih pesan mana yang akan dikirimkan dengan cara mengacaknya. Kurang lebih ada 10 jenis pesan yang berbeda, yang disimpan dalam bentuk array. Pesan yang dipilih akan di copy ke clipboard. Selanjutnya layar “Yahoo!Messeng ” akan diaktifkan, lalu mengirimkan keystroke ke program tersebut, berturut-turut [Alt]-m,u,n,[Ctrl]-v,[Enter]. Kalau kita cermati secara seksama, itu adalagh penekanan tombol di YM, yang fungsinya untuk mengubah status messages. Thats right !!! status messages YM berubah menjadi pesan yang dibuat oleh virus.

Kill Process

Program yang membahayakan kelangsungan hidupnya akan dihalang-halangi oleh virus ini, seperti BKAV. BKAV sendiri merupakan program antivirus yang juga berasal dari Vietnam. Jika BKAV aktif, maka dia menutup secara paksa program tersebut, tidak hanya itu saja, registry penting dari program antivirus inipun akan di hapus juga. Perlakuan yang samapun akan dialami oleh aplikasi yang memiliki caption “System Configuration”, “Registry”, “windows Task” dan “[FireLion]“.

copyusb()

Dengan function copyusb() tersebut, maka setiap USB disk atau perangkat removable disk lainnya akan langsung diinfeksi. Tanda-tandanya adalah dengan munculnya file baru dengan nama “New Folder.exe”. Jika virus ini sudah menjangkiti komputer kita, dia akan mempebanyak dirinya.

Thanks to team Majalah PC Media yang udah membedah virus ini. So kita jadi tau seperti apa virus ini. Nah bagi kita-kita yang sering berchatting ria sebaiknya lebih waspada lagi. Jangan menerima pesan yang tidak jelas sumbernya. Karena mungkin saja itu adalah kiriman virus. Dan yang terakhir adalah sering-seringlah mengecek komputer kita denga antivirus.
Semoga Bermanfaat
Lets Make A Better Tomorrow