Jumat, 24 September 2010

Autoit-ReplaceIcon: Worm Dengan Icon yang Beragam

Autoit-ReplaceIcon
Autoit-ReplaceIcon.
Worm unik ini berbasis script AutoIt dan memiliki kemampuan polymorphic. Ukuran filenya dapat bervariasi, demikian pula file autorun.inf yang diciptakan. Bahkan keterangan bahasa pada saat klik kanan – Properties – Version – Language, juga dapat berbeda-beda pada masing-masing file worm yang tercipta. Nama file worm yang menyebar melalui media disk juga tampak acak walaupun selalu berekstensi *.exe dan terdiri dari 6 karakter. Contohnya:
brgzdt.exe
civfap.exe
hissyn.exe
naigpy.exe
uxjxhp.exe

Uniknya, icon yang digunakan juga beraneka ragam, beberapa contoh file worm dengan icon yang berbeda-beda terlihat seperti pada gambar diatas. Nama Autoit-ReplaceIcon diambil dari salah satu objek function (ImageList_ReplaceIcon) yang terbaca pada tubuh worm. File yang aktif di memory bernama csrcs.exe (terletak pada lokasi WINDOWS\System32), sekilas terlihat seolah file csrss.exe milik sistem Windows.

0 komentar:

Posting Komentar

SOTW © 2008 Template by:
SkinCorner