Virus Alice (Visual Basic Encoded)

Virus ini tergolong virus baru karena menyebar di bulan December 2011, virus ini dibuat dengan menggunakan visual basic dan kemudian di enkripsi sehingga tidak mudah untuk membaca script di dalamnya. virus ini meng-infeksi file yang ber-ekstensi .doc dan .htm. hati-hati dengan file data anda jangan sampai terkecoh, pastikan sebelum membuka data dokumen anda lihat dulu besarnya file tersebut apabila ukuran filenya 76,3 kb maka dipastikan bahwa komputer anda sudah terserang virus ini. untuk memastikan lihat semua data anda yang berekstensi .doc dan liat ukuran filenya apabila ukurannya 76,3 kb maka komputer anda harus segera di bersihkan. 

Teknik enkripsi Alice membuatnya menjadi sebuah malware yang sangat unik dibandingkan malware VBScript kebanyakan saat ini. Hal ini mengingatkan kita kepada Serviks.vbs yang sempat banyak menyebar tahun 2010 yang lalu. Kini hadir dengan pola baru yang lebih kuat dan tidak mudah membaca kode programnya, yang hampir seluruh tubuhnya berupa karakter acak.

Namun setelah enkripsinya dapat di-decode, maka akan terlihat source tubuhnya adalah seperti ini:

C.    Companion/File yang Dibuat
Setelah aktif di memory, Alice akan membuat host di folder:
C:\WINDOWS\system32\drivers\alice.sys
dan
C:\Documents and Settings\[nama user]\Local Settings\Temp\alice.sys
Selain itu, pada setiap root local drive atau flash disk, akan ada 2 buah file companion,  autorun.inf dan alice.alc.

Terlihat pada kode autorun.inf di atas bahwa wscript.exe akan meng-encode worm alice agar bisa mengeksekusi seluruh perintah-perintahnya.
D. Hasil Infeksi
D.1. Modifikasi Registry
Untuk mempertahankan dirinya, Alice memodifikasi beberapa key pada registry.

Delete Key dan Value

- HKCR\*\shellex\ContextMenuHandlers\Open With\

- HKCR\inffile\shell\Install\command\

- HKCR\inffile\shell\Install\

- HKCR\regfile\shell\open\command\

- HKCR\regfile\shell\open\

- HKCR\VBEFile\Shell\Open2\command\

- HKCR\VBEFile\Shell\Open2\

- HKCR\VBEFile\Shell\Edit\command\

- HKCR\VBEFile\Shell\Edit\

     

Add Key dan Value

- HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden

- HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt

- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFileAssociate

- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFind

- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions

- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoRun

- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools

- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr

- HKCU\Software\Policies\Microsoft\Windows\System\DisableCMD,2,REG_DWORD

- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOwner,ALICE

- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\RegisteredOrganization

- HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableSR

- HKLM\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig

- HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit

C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\wscript.exe //e:vbscript.encode C:\WINDOWS\system32\drivers\alice.sys

D.2. Injeksi file HTM/HTML
Pada bagian footer HTML akan ditambahkan source Alice, kemudian untuk memudahkan virus agar tidak menginfeksi file yang sama untuk kedua kalinya adalah dengan cara merubah semua nama file .htm/.html yang sudah di infeksi menjadi .hta (HTML Applications).


D.3. Hidden file Docx, Doc, RTF
Setiap extension file dokumen yang sudah di tentukan seperti *.docx, *.doc, dan *.rtf akan di-hidden/disembunyikan kemudian digantikan dengan menggunakan file yang sebenarnya merupakan worm Alice.

untuk membersihkan virus ini bisa menggunakan cleaner dari pc media 

PCMAV Express for Alice dibuat untuk membersihkan worm Alice agar tidak semakin menyebar, menghentikan prosesnya di memory komputer yang terinfeksi, melakukan perbaikan pada file htm/html yang terinjeksi dan mengembalikan atribut dokumen .docx, .doc, .rtf yang di-hidden.
Aturan Penggunaan:

1. Jalankan PCMAV for Alice.
2. Pastikan user Anda memiliki hak setara Administrator.
3. Nonaktifkan fungsi Autorun (link referensi: http://support.microsoft.com/kb/967715).
4. Pasang flashdisk yang terinfeksi pada komputer agar ikut dibersihkan.
5. Disarankan sebaiknya komputer Anda *tidak* terkoneksi ke jaringan atau Internet selama proses scan.
6. Setelah selesai, sangat disarankan untuk melakukan restart dan scan ulang (jika perlu).
7. Pastikan seluruh PC yang telah terhubung di dalam jaringan juga telah bebas S3xY, sebelum PC Anda kembali terkoneksi ke jaringan.

link Download : pcmav-express-for-alice
Sumber : virusindonesia.com