ILoveYou adalah sebuah worm yang menyebar pada bulan Mei 2000. Pertama kali worm ini ditemukan di Filipina. ILoveYou ditulis menggunakan bahasa pemrograman tingkat tinggi Visual Basic Script, dan dapat menyebar baik melalui email maupun perpindahan file.
Virus ini memikat para penerima email untuk membuka attachment yang disertakan dalam email tersebut dengan cara-cara:
- memiliki attachment yang bernama “LOVE-LETTER-FOR-YOU.TXT.VBS”.
- email memiliki subject yang bertuliskan “ILOVEYOU”
- pesan yang dalam email bertuliskan “kindly check the attached LOVELETTER coming from me.”
Ketika worm dieksekusi, baik melalui pembukaan attachment email maupun file yang telah terinfeksi, maka worm melakukan berbagai langkah sebagai berikut:
- Mengganti beberapa file dengan salinan dirinya
- Untuk file-file VisualBasic dan Javascript berekstensi vbs atau vbe, akan diganti dengan salinan dari worm tersebut.
- Untuk file-file WindowsShell berekstensi js, jse, css, wsh, sct,atau hta, akan diganti dengan salinan worm dan mendapat penggantian ekstensi dengan vbs (misalnya untuk file a.css akan diganti dengan file baru bernama a.css.vbs)
- Untuk file-file gambar berekstensi jpg atau jpeg, akan diganti dengan salinan worm dan mendapat tambahan ekstensi vbs (misalnya untuk file b.jpg akan diganti dengan file baru bernama b.jpg.vbs).
- Untuk file berekstensi mp3 atau mp2, akan dibuat salinan dari worm dengan nama yang sama. File host tidak dihapus, namun beberapa atribut yang dimiliki akan diganti untuk menyembunyikannya. Karena yang dilakukan oleh worm adalah menulis ulang (overwrite) file-file tersebut, ukan menghapusnya, maka proses recovery file host menjadi hal yang tidak mungkin. Ketika pengguna mengeksekusi file-file yang telah diganti tersebut maka
worm akan kembali menyebar. Ketika worm melakukan proses pemeriksaan dalam untuk mencari file-file di atas, worm juga dapat melakukan pembuatan sebuah file yang berisi script mIRC. Jika dalam proses pencarian ditemuka file-file mirc32.exe, mlink32.exe, mirc.ini, script.ini, atau mirc.hip, maka worm akan membuat sebuah file bernama script.ini pada direktori yang sama. Script ini menyebabkan penyebaran kepada seorang pengguna
lain yang baru bergabung dengan channel IRC tempat pengguna (yang telah terinfeksi) sedang bergabung via DDC.
- Modifikasi Start Page dari aplikasi Internet Explorer
Jika file dari \WinFAT32.exe tidak ada, maka worm akan menset Start Page dari aplikasi Internet Explorer menuju salah satu dari empat URL yang dipilih secara acak. Keempat URL ini bersumber pada file yang bernama WIN-BUGSFIX.exe. Worm akan mencari file ini di dalam direktori dowload pada aplikasi Internet Explorer, jika ditemukan maka file ini akan ditambahkan pada program yang akan dieksekusi pada proses reboot. Kemudian Start Page dari aplikasi Internet Explorer akan di-reset menuju “about:blank”.
- Mengirimkan salinan dirinya melalui email
Hal ini dilakukan dengan tujuan ke seluruh alamat yang terdapat di dalam address book dari aplikasi Microsoft Outlook.
- Modifikasi Registry Key lainnya
Pada dasarnya ILoveYou terdiri atas 4 buah subroutine dasar:
- regruns()
Subroutine ini berfungsi untuk memodifikasi registrasi sistem, yaitu MSKernel32 dan Win32DLL, sehingga jika ada dua buah file VB Script yang ditulis ulang, maka akan secara otomatis dijalankan.
- listadriv()
Merupakan subroutine yang bersifat rekursif dan akan menulis ulang serta mengganti nama dari berbagai file script, file gambar, dan file musik (mp3). Selain itu subroutine ini juga dapat mengganti mapping dari drive komputer yang diserang.
- spreadtoemail()
Merupakan subroutine yang berfungsi untuk mengirimkan email dengan virus sebagai attachment kepada seluruh alamat yang ada di dalam address book dari aplikasi Microsoft Outlook.
- html()
Membangkitkan sebuah file HTML yang bila dieksekusi dapat membangkitkan script dari virus ILoveYou. File HTML ini akan dikirimkan melalui aplikasi mIRC. Terdiri atas quine (program yang membangkitkan selinan dari seource code nya sendiri sebagai output) dua langkah.
0 komentar:
Post a Comment