B. Companion atau File yang dibuat
Serviks-JS dalam aksinya membuat file sebagai berikut:
1.) Autorun.inf
Berada pada root drive dan C:\Documents and Settings\%username%\Local Settings\Application Data\Microsoft\CD Burning.
ketika drive dibuka, maka file autorun.inf akan menjalankan file annie.ani, berikut listing file autorun.inf tersebut.
[autorun]
shellexecute=wscript.exe //e:jscript.encode annie.ani /a
shell\open\command=wscript.exe //e:jscript.encode annie.ani /a
shell\explore\command=wscript.exe //e:jscript.encode annie.ani /a
shellexecute=wscript.exe //e:jscript.encode annie.ani /a
shell\open\command=wscript.exe //e:jscript.encode annie.ani /a
shell\explore\command=wscript.exe //e:jscript.encode annie.ani /a
2.) Beautiful_girl_part_1 s/d part_5
Ketika user menjalankan file shortcut tersebut yang sepintas terlihat seperti file Video maka akan menjalankan file windows media player atau wmplayer dan annie.ani
C:\WINDOWS\system32\wscript.exe //e:jscript.encode annie.ani /q:5
3.) Annie.sys
Berada pada direktori C:\WINDOWS\system32\drivers, file ini akan aktif ketika komputer di restart dengan membuat startup pada registry sebagai berikut :
HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Winlogon value=Userinit=C:\WINDOWS\system32\userinit.exe,wscript.exe //e:jscript.encode C:\WINDOWS\system32\drivers\annie.sys /e
4.) Annie.ani
Berada pada root drive dan C:\Documents and Settings\%username%\Local Settings\Application Data\Microsoft\CD Burning. File annie.ani selain di aktifkan oleh file autorun.inf dan shortcut, juga aktif ketika user membuka drive dengan memanfaatkan registry.
C .Aksi
Serviks-JS menyembunyikan file dokumen dengan ekstensi *.doc , *.docx dan *.rtf. File tersebut digantikan dengan file host Serviks-JS dengan extensi *.jse dengan nama yang sama. Ketika file *.jse tersebut dijalankan, file dokumen akan terbuka seperti biasa sekaligus mengaktifkan virus.
Tidak hanya itu, Serviks-JS juga menginfeksi file ber-ekstensi *.htm dan *html
Pada header file *.htm dan *.html, terlihat string dari Serviks-JS sebagai berikut:
lalu menyisipkan kode Serviks-JS sebagai berikut:
Selain itu Serviks-JS melakukan perubahan pada Registry yang mengakibatkan Task Manager, Regedit, CMD , Menu Run ,Folder Options, System Restore terdisable, membuat file hidden tidak bisa terlihat, menyembunyikan ekstensi file, menghilangkan File Associate juga merubah value pada file ber-ekstensi *.reg yaitu (Default)=cmd.exe /c del /q /f �%1?, Serviks-JS juga membuat value pada Image File Execution Options bernama attrib.exe, autoruns.exe, procexp.exe, reg.exe, regalyzer.exe dantaskkil.exe dengan value Debugger=cmd.exe /c del /q /f
D. Varian dua
Baru beberapa hari setelah PCMAV Express for Serviks-JS Beta di publikasikan di forum virusindonesia.com, kami mendapatkan sample varian baru dari Serviks-JS ini, Pada varian baru ini mempunyai kemampuan memblok akses ke situs antivirus dengan memodifikasi file hosts. Metode infeksi masih sama yang mebedakan adalah pada file *.htm dan *.html terinfeksi, kode Virus dalam keadaan ter-encode.
E. Pembersihan/Cara Mengatasi Virus Serviks-JS
Untuk pembersihan tuntas gunakan PCMAV Express for Serviks-JS yang dapat didownload melalui link di bawah ini.
Link Download [updated 27 Mei 2013] : Klik Download
VirusIndonesia
Update Contact :
No Wa/Telepon (puat) : 085267792168
No Wa/Telepon (fajar) : 085369237896
Email : Fajarudinsidik@gmail.com
No Wa/Telepon (puat) : 085267792168
No Wa/Telepon (fajar) : 085369237896
Email: Fajarudinsidik@gmail.com
atau Kirimkan Private messanger melalui email dengan klik tombol order dibawah ini :
