Virus ini mempunyai ukuran yang super jumbo. File yang di usung cukup besar dan tidak wajar untuk ukuran virus yakni sekitar 30,426 KB alias 30 MB sehingga pantas lah kalau menyebut diri dengan nama Mahadewa. Virus Mahadewa dikembangkan dari bahasa sederhana setingkat VBScript (VBS], virus ini mempunyai daya serang yang tak kalah dengan virus yang dibuat dengan Visual Basic.
Virus ini dapat aktif dengan didukung oleh wscript.exe. Pada saat dirinya aktif akan mencoba untuk membuat beberapa file berikut sebagai file induk yang akan dijalankan pertama kali saat komputer diaktifkan. Masing-masing C:-Windows-system32-WinXp.vbs dan C:-MaHaDeWa.dll.vbs serta di setiap drive. Untuk memastikan agar dirinya dapat aktif secara otomatis setiap kali komputer dinyalakan, ia akan membuat string tertentu pada registry. Selain dengan membuat string registry tersebut, agar dirinya dapat aktif secara otomatis saat user akses Flash Disk atau Drive lain di komputer, ia juga akan memanfaatkan fitur autoplay Windows dengan membuat file autorun.inf dimana file ini akan secara otomatis menjalankan file MaHaDeWa.dll.vbs tanpa perlu menjalankan file tersebut. File autorun.inf ini akan dibuat disetiap Drive termasuk pada Flash Disk.
Tujuan dari VM adalah mencoba untuk mengembalikan registri yang sudah di acak-acak oleh virus sejenis yakni Nita.dll.vbs. Dan ataukah antara MaHaDeWa dan Nita ini mempunyai hubungan khusus karena jika dilihat pada string yang dibuat maka akan membentuk kata-kata N Love You Forever, hanya mereka berdua yang tahu.
VBS/Autorun.AM tidak akan melakukan blok terhadap fungsi-fungsi Windows atau security tetapi justru sebaliknya akan mencoba untuk mengembalikan fungsi Windows seperti Regedit/Task Manager/Folder Options. Sayangnya ada beberapa string yang justru akan membuat fungsi “System Restore” menjadi tidak berfungsi.
Virus ini akan menorehkan beberapa jejak pada komputer target seperti merubah Header Internet Explorer / merubah halaman utama Internet Explorer / merubah nama pemilik komputer target atau memunculkan pesan dari sang VM sebelum user login Windows.
Media yang digunakan dalam penyebarannya adalah Flash Disk sebagai salah satu alternatif oleh VBS/Autorun.AM dalam menyebarkan dirinya dengan membuat 2 buah file yakni autorun.inf dan MaHaDeWa.dll.vbs. File autourun.inf ini juga dimaksudkan agar dirinya dapat aktif secara otomatis saat user akses ke Flash Disk tersebut.
Ciri-Ciri Mahadewa antara lain:
- Merubah Judul internet Explorer menjadi MaHaDeWa Labkom UBL
- Merubah start page Internet Explorer menjadi http://webkom
- Merubah nama komputer dan nama pemilik Windows
- RegisteredOrganization = Your pc has been clean from Nita Virus by MaHaDeWa
- RegisteredOwner = MaHaDeWa
- RegisteredOrganization = Your pc has been clean from Nita Virus by MaHaDeWa
- Merubah Walpaper Windows.
Mau tahu cara mencegahnya....! Tunggu posting selanjutnya....
Tidak ada komentar:
Posting Komentar