Friday, July 4, 2014

Kryptik.vbs.AH: Inovasi Mem-bypass Antivirus

Salah satu hal yang seru pada malware VBS yaitu cara melewati pendeteksian oleh antivirus. Dengan menggunakan teknik enkripsi dan junk code, para pembuat malware bermain dengan pemanggilan sintak dan karakter acak.
Mari lihat Kryptik.vbs.AH, saat dibuka menggunakan teks editor, malah gambar tengkorak yang terlihat:
'´´´´´´´´´´´´´´´´´¶¶¶¶¶¶´´´´´´´´´´´´´¶¶¶¶¶¶¶´´´´´´´ ´´´´´´´´´
'´´´´´´´´´´´´´´¶¶¶¶´´´´´´´´´´´´´´´´´´´´´´´¶¶¶¶´´´´´ ´´´´´´´´´
'´´´´´´´´´´´´´¶¶¶´´´´´´´´´´´´´´´´´´´´´´´´´´´´´¶¶´´´ ´´´´´´´´´
'´´´´´´´´´´´´¶¶´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´¶¶´´ ´´´´´´´´´
'´´´´´´´´´´´¶¶´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´¶¶´ ´´´´´´´´´
'´´´´´´´´´´¶¶´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´¶¶´ ´´´´´´´´´
'´´´´´´´´´´¶¶´¶¶´´´´´´´´´´´´´´´´´´´´´´´´´´´´´¶¶´¶¶´ ´´´´´´´´´
'´´´´´´´´´´¶¶´¶¶´´´´´´´´´´´´´´´´´´´´´´´´´´´´´¶¶´´¶´ ´´´´´´´´´
'´´´´´´´´´´¶¶´¶¶´´´´´´´´´´´´´´´´´´´´´´´´´´´´´¶¶´´¶´ ´´´´´´´´´
'´´´´´´´´´´¶¶´´¶¶´´´´´´´´´´´´´´´´´´´´´´´´´´´´¶¶´¶¶´ ´´´´´´´´´
'´´´´´´´´´´¶¶´´¶¶´´´´´´´´´´´´´´´´´´´´´´´´´´´¶¶´´¶¶´ ´´´´´´´´´
'´´´´´´´´´´´¶¶´¶¶´´´¶¶¶¶¶¶¶¶´´´´´¶¶¶¶¶¶¶¶´´´¶¶´¶¶´´ ´´´´´´´´´
'´´´´´´´´´´´´¶¶¶¶´¶¶¶¶¶¶¶¶¶¶´´´´´¶¶¶¶¶¶¶¶¶¶´¶¶¶¶¶´´ ´´´´´´´´´
'´´´´´´´´´´´´´¶¶¶´¶¶¶¶¶¶¶¶¶¶´´´´´¶¶¶¶¶¶¶¶¶¶´¶¶¶´´´´ ´´´´´´´´´
'´´´´¶¶¶´´´´´´´¶¶´´¶¶¶¶¶¶¶¶´´´´´´´¶¶¶¶¶¶¶¶¶´´¶¶´´´´ ´´¶¶¶¶´´´
'´´´¶¶¶¶¶´´´´´¶¶´´´¶¶¶¶¶¶¶´´´¶¶¶´´´¶¶¶¶¶¶¶´´´¶¶´´´´ ´¶¶¶¶¶¶´´
'´´¶¶´´´¶¶´´´´¶¶´´´´´¶¶¶´´´´¶¶¶¶¶´´´´¶¶¶´´´´´¶¶´´´´ ¶¶´´´¶¶´´
'´¶¶¶´´´´¶¶¶¶´´¶¶´´´´´´´´´´¶¶¶¶¶¶¶´´´´´´´´´´¶¶´´¶¶¶ ¶´´´´¶¶¶´
'¶¶´´´´´´´´´¶¶¶¶¶¶¶¶´´´´´´´¶¶¶¶¶¶¶´´´´´´´¶¶¶¶¶¶¶¶¶´ ´´´´´´´¶¶
'¶¶¶¶¶¶¶¶¶´´´´´¶¶¶¶¶¶¶¶´´´´¶¶¶¶¶¶¶´´´´¶¶¶¶¶¶¶¶´´´´´ ´¶¶¶¶¶¶¶¶
'´´¶¶¶¶´¶¶¶¶¶´´´´´´¶¶¶¶¶´´´´´´´´´´´´´´¶¶¶´¶¶´´´´´¶¶ ¶¶¶¶´¶¶¶´
'´´´´´´´´´´¶¶¶¶¶¶´´¶¶¶´´¶¶´´´´´´´´´´´¶¶´´¶¶¶´´¶¶¶¶¶ ¶´´´´´´´´
'´´´´´´´´´´´´´´¶¶¶¶¶¶´¶¶´¶¶¶¶¶¶¶¶¶¶¶´¶¶´¶¶¶¶¶¶´´´´´ ´´´´´´´´´
'´´´´´´´´´´´´´´´´´´¶¶´¶¶´¶´¶´¶´¶´¶´¶´¶´¶´¶¶´´´´´´´´ ´´´´´´´´´
'´´´´´´´´´´´´´´´´¶¶¶¶´´¶´¶´¶´¶´¶´¶´¶´¶´´´¶¶¶¶¶´´´´´ ´´´´´´´´´
'´´´´´´´´´´´´¶¶¶¶¶´¶¶´´´¶¶¶¶¶¶¶¶¶¶¶¶¶´´´¶¶´¶¶¶¶¶´´´ ´´´´´´´´´
'´´´´¶¶¶¶¶¶¶¶¶¶´´´´´¶¶´´´´´´´´´´´´´´´´´¶¶´´´´´´¶¶¶¶ ¶¶¶¶¶´´´´
'´´´¶¶´´´´´´´´´´´¶¶¶¶¶¶¶´´´´´´´´´´´´´¶¶¶¶¶¶¶¶´´´´´´ ´´´´¶¶´´´
'´´´´¶¶¶´´´´´¶¶¶¶¶´´´´´¶¶¶¶¶¶¶¶¶¶¶¶¶¶¶´´´´´¶¶¶¶¶´´´ ´´¶¶¶´´´´
'´´´´´´¶¶´´´¶¶¶´´´´´´´´´´´¶¶¶¶¶¶¶¶¶´´´´´´´´´´´¶¶¶´´ ´¶¶´´´´´´
'´´´´´´¶¶´´¶¶´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´¶¶´ ´¶¶´´´´´´
'´´´´´´´¶¶¶¶´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´¶¶ ¶¶´´´´´´´


Malware yang dibuat dengan menggunakan program generator ini cukup unik karena menggunakan perintah CHRW untuk mendekrip kode malware. Umumnya malware VBS yang ditemukan selama ini menggunakan perintak CHR yang bersifat ANSI sedangkan Kryptik.vbs.AH menggunakan karakter Unicode sehingga memakai karakter Unicode sebagai kode malware.
Meskipun malware telah didekrip, kode malware pun masih terenkripsi sehingga diperlukan 2x proses dekripsi.
Kryptik.vbs.AH menyebar melalui flashdisk dan membuat registry untuk aktif di setiap startup Windows.
Saat ini, malware VBS tergolong malware yang memiliki resiko tinggi, hal ini dikarenakan malware ini dapat men-download program keylogger atau stealer untuk mencuri data password pada komputer yang terinfeksi.
PCMAV 9.9.3 dengan Update Build 4 mampu membersihkan Kryptik.vbs.AH dan virus terbaru lainnya yang menyebar di Indonesia.

0 comments:

Post a Comment