.webp)
Dengan pancingan file bernama 'Beautiful Girl', program jahat ini sukses menarik perhatian calon korban sehingga berhasil menjadi salah satu malware yang paling banyak dibicarakan di komunitas online Indonesia.
Malware ini memiliki aksi yang cukup sakti karena memiliki kemampuan injeksi html dan infeksi korban melalui file html seperti malware Ramnit.
SCROLL TO CONTINUE WITH CONTENT
File autorun.inf ini berisi perintah untuk menjalankan file annie.ini dengan menggunakan sricpt sebagai berikut :
[autorun]
shellexecute=wscript.exe //e:jscript.encode annie.ani /a
shellopencommand=wscript.exe //e:jscript.encode annie.ani /a
shellexplorecommand=wscript.exe //e:jscript.encode annie.ani /a
Selain itu, virus ini juga akan membuat 5 (lima) buah file shortcut di setiap drive termasuk removable media/usb flash dengan nama beautiful_girl_part_1.lnk s/d beautiful_girl_part_5.lnk, file ini berisi script
(C:Windowssystem32wscript.exe //e:jscript.encode annie.ani /q:%x%) untuk menjalankan file annie.ani yang berada di drive yang sama (%x% menunjukan angka 1 - 5).
Jika file shortcut tersebut (beautiful_girl_part_1.lnk s/d beautiful_girl_part_1.lnk) dijalankan, maka akan menjalankan program windows media player (wmplayer) dan akan menjalankan file virus annie.ini.
Menyebar Lewat CD/DVD
Malware ini juga menyebarkan dirinya melalui CD/DVD dengan cara menyimpan dua buah file yakni autorun.inf dan annie.ini ke folder (%LOCALAPPDATA%MicrosoftCD Burning) dengan membaca lokasi registry berikut sehingga pada saat anda melakukan burn CD/DVD file tersebut akan ikut terkopi secara otomatis.
Pembuat malware ini kelihatannya tidak bermaksud jahat dan menghancurkan data komputer korbannya. Jika berhasil menginfeksi komputer korbannya, Annie.sys tidak akan bertingkah seperti Megan Young, tetapi sebaliknya ia akan merepotkan korbannya dengan menyembunyikan file yang mempunyai ekstensi *.DOC/*.RTF/*.DOCX.
Untuk mengelabui user dan mencari korban lebih banyak lagi ia akan membuat file duplikat yang mempunyai nama yang sama dengan nama file yang disembunyikan (hidden).
Berikut ciri-ciri file duplikat Trojan.JS.Autorun.A:
-. Mempunyai nama file yang sama dengan nama file yang di sembunyikan
-. Mempunyai ekstensi file *.JSE (JavaScript Encode), ekstensi ini akan disembunyikan
-. Mempunyai ukuran 9 KB
Anda tentu masih ingat dengan kasus virus Ramnit yang akan menginjeksi file HTM / HTML untuk menyebarkan dirinya, hal ini juga akan dilakukan oleh Trojan.JS.Autorun.A dengan menambahkan baris penanda pada header () dan kode virus pada footer sehingga jika user menjalankan file HTM/HTML yang sudah terinfeksi tersebut akan langsung mengaktifkan virus tersebut.
Anda bisa membayangkan jika virus ini menginjeksi file HTM / HTML pada web server, hal inilah yang menyebabkan virus ini dapat menyebar dengan cepat.
(ash/ash)
