Dorifel. Virus yang dapat menginfeksi file dokumen Microsoft Word (*.doc), Microsoft Excel (*.xls), dan executable file (*.exe). Pada file yang terinfeksi, file asli dienkripsi oleh virus dengan menggunakan metode enkripsi RC4.
A. Tentang Virus
Nama: Dorifel, beberapa antivirus mengenalinya dengan nama Quervar atau DocCrypt.
Ukuran: bervariasi tergantung variannya, kurang lebih berkisar dari 100KB – 300KB
Info : Menginfeksi dokumen *.doc, *.xls, dan file executable.
Ukuran: bervariasi tergantung variannya, kurang lebih berkisar dari 100KB – 300KB
Info : Menginfeksi dokumen *.doc, *.xls, dan file executable.
B. Companion/File yang dibuat
Dorifel menciptakan file dropper dengan nama acak pada folder Application Data, juga terdapat file *.ini dan shortcut *.lnk pada komputer yang terinfeksi. Pada varian tertentu Dorifel juga menciptakan file DLL dengan nama xpsp2res.dll (mengikuti nama salah satu file DLL Windows) yang diletakkan pada folder Windows jika komputer korban menggunakan sistem operasi Windows XP. DLL dari virus ini menginjeksi explorer.exe dan berusaha mempertahankan dirinya agar tetap aktif.
C .Aksi
Dorifel menginfeksi file targetnya dengan cara menaruh file asli dalam keadaan terenkripsi pada akhir file executable Dorifel, sehingga pada setiap file yang telah terinfeksi Dorifel akan memiliki data overlay yang menyimpan file asli. Dorifel menggunakan marker khusus sebagai penanda mulainya byte yang merupakan file asli yang terenkripsi dengan algortima RC4, marker tersebut berbeda-beda tergantung varian Dorifel, antara lain adalah:
[+++scarface+++]
[---zxfgthbv---]
[---deadline---]
[---zxfgthbv---]
[---deadline---]
Agar file dokumen yang terinfeksi tetap dapat dieksekusi oleh user, maka Dorifel mengubah extensionnya menjadi *.scr (khusus untuk file *.exe yang terinfeksi, extension tidak berubah). Dorifel juga menambahkan karakter unicode tertentu yang membuat nama file yang terinfeksi tidak terlihat extensionnya di Windows Explorer Windows Vista atau yang lebih baru, sehingga user tidak menyadari bahwa file tersebut adalah file executable dengan extension *.scr. Contoh file dokumen yang telah terinfeksi terlihat pada gambar berikut:
D. Pembersihan
Untuk pembersihan tuntas termasuk mengembalikan file-file yang terinfeksi seperti semula, gunakan PCMAV Express for Dorifel yang dapat didownload melalui link di bawah ini.
Sumber berita ini dari : PCMEDIA
Sumber berita ini dari : PCMEDIA
Silakan Download Link : PCMAV Express
0 komentar:
Posting Komentar