Worm VBS merupakan cerita lampau? Jika Anda setuju maka Anda salah. Baru-baru ini marak worm VBS
yang diobfuscate dengan berbagai cara. Dari menggunakan teknik encoding Base64 hingga teknik sederhana dengan mengganti string menjadi bilangan heksa.
Beberapa laporan malware yang masuk ke kami pun adalah worm VBS. Ciri unik pada worm VBS ini yaitu terdapat tulisan “< Safa7_22 >”. Worm VBS lokal seperti Serviks pun pernah memakai teknik yang serupa dengan Safa7_22, bedanya teknik obfuscate yang ditawarkan VBS Crypter Safa7_22 lebih beragam.
Tidak ada yang menarik karena ini semua merupakan teknik lama yang menjadi tren baru dalam teknologi VBS crypting. Kilas balik ke era tahun 2000, ada teknik yang bahkan lebih canggih yang dipopulerkan oleh Vxer asal Bekasi yang memiliki nick Malworm. Teknik yang diusung yaitu polymorphic alias setiap file VBS baru yang dibuat tidak akan sama dengan file VBS ketika tereksekusi.
Kembali lagi ke worm VBS yang dilaporkan oleh pengguna Anjav. Secara umum, worm ini membuat 2 registry startup yaitu di HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ dan HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\. Selain itu, lokasi startup lainnya yaitu di folder c:\Documents and Settings\Administrator\Start Menu\Programs\Startup\.
Berikut contoh startup yang dibuat oleh worm:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\“tlktkovwwq”=”wscript.exe //B C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tlktkovwwq.vbe”HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\“tlktkovwwq”=”wscript.exe //B C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\tlktkovwwq.vbe”File name C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\tlktkovwwq.vbe
Anjav 5.3 Build 6 dengan Update build2 telah dapat mendeteksi varian dari worm VBS yang di-obfuscated dengan VBS Crypter Safa7_22.