Mungkin anda pernah mendapati dokumen world anda berubah menjadi .vbs, akhir-akhir ini virus varian Alice ini sudah menyebar sangat cepat.Saya sempat kesal saat laptop saya terinfeksi virus ini, file-file web yang berkektensi .hta , .html banyak yang terinjek oleh virus ini.
Kemudian beberapa sampel banyak di dapat di daerah Bekasi, bahkan ada juga user yang menceritakan aksi worm Alice di daerah saya (Lampung). Ya, bisa dikatakan bahwa Worm ini memang sedang menyebar. Lebih jauh, worm ini juga memiliki kemampuan menginfeksi file HTML seperti Ramnit.
Tentang Malware
Teknik enkripsi Alice membuatnya menjadi sebuah malware yang sangat unik dibandingkan malware VBScript kebanyakan saat ini. Hal ini mengingatkan kita kepada Serviks.vbs yang sempat banyak menyebar tahun 2010 yang lalu. Kini hadir dengan pola baru yang lebih kuat dan tidak mudah membaca kode programnya, yang hampir seluruh tubuhnya berupa karakter acak.
Info File
Nama Worm: Alice
Asal: Jakarta (pertama kali dilaporkan)
Ukuran File: 7.63 KB (7,816 bytes)
Packer: ~
Pemrograman: Visual Basic Script (VBS)
Icon: VBS File
Tipe: Worm, Virus
Hasil Infeksi
Modifikasi Registry
Untuk mempertahankan dirinya, Alice memodifikasi beberapa key pada registry.
Delete Key dan Value
- HKCR\*\shellex\ContextMenuHandlers\Open With\
- HKCR\inffile\shell\Install\command\
- HKCR\inffile\shell\Install\
- HKCR\regfile\shell\open\command\
- HKCR\regfile\shell\open\
- HKCR\VBEFile\Shell\Open2\command\
- HKCR\VBEFile\Shell\Open2\
- HKCR\VBEFile\Shell\Edit\command\
- HKCR\VBEFile\Shell\Edit\
Add Key dan Value
- HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
- HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt
- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFileAssociate
- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind
- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions
- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun
- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools
- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
- HKCU\Software\Policies\Microsoft\Windows\System\DisableCMD,2,REG_DWORD
- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOwner,ALICE
- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOrganization
- HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableSR
- HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig
- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\wscript.exe //e:vbscript.encode C:\WINDOWS\system32\drivers\alice.sys
Injeksi file HTM/HTML
Pada bagian footer HTML akan ditambahkan source Alice, kemudian untuk memudahkan virus agar tidak menginfeksi file yang sama untuk kedua kalinya adalah dengan cara merubah semua nama file .htm/.html yang sudah di infeksi menjadi .hta (HTML Applications).
Hidden file Docx, Doc, RTF
Setiap extension file dokumen yang sudah di tentukan seperti *.docx, *.doc, dan *.rtf akan di-hidden/disembunyikan kemudian digantikan dengan menggunakan file yang sebenarnya merupakan worm Alice.
Cara Pembasmian :
PCMAV Express for Alice dibuat untuk membersihkan worm Alice agar tidak semakin menyebar, menghentikan prosesnya di memory komputer yang terinfeksi, melakukan perbaikan pada file htm/html yang terinjeksi dan mengembalikan atribut dokumen .docx, .doc, .rtf yang di-hidden.
Aturan Penggunaan:
- Jalankan PCMAV for Alice.
- Pastikan user Anda memiliki hak setara Administrator.
- Nonaktifkan fungsi Autorun ini cara mematikan Autorun.
- Pasang flashdisk yang terinfeksi pada komputer agar ikut dibersihkan.
- Disarankan sebaiknya komputer Anda *tidak* terkoneksi ke jaringan atau Internet selama proses scan.
- Setelah selesai, sangat disarankan untuk melakukan restart dan scan ulang (jika perlu).
- Pastikan seluruh PC yang telah terhubung di dalam jaringan juga telah bebas S3xY, sebelum PC Anda kembali terkoneksi ke jaringan.