Alabama. Awalnya kami pikir ini hanyalah worm yang sama seprti VB-Shortcut karena menggunakan icon standart aplikasi Visual Basic. Namun setelah kami coba melakukan analisa lebih jauh, rupanya karakteristik worm ini berbeda dengan VB-Shortcut. terdapat string "ALABAMA" yang terdapat dalam tubuh worm ViewFiles. Aplikasi mengindikasikan worm ini berasal dari Alabama?
Info Malware
Nama : ViewFiles
Asal : kemungkinan dari Alabama
Ukuran File : 168 KB (172,032 bytes)
Pemrograman : Visual Basic
Icon : Aplikasi Visual Basic
Tipe : Worm
Tentang Malware
Selain shortcut yang sedang ramai dibuat oleh beberapa worm belakangan ini, icon aplikasi Visual Basic juga menjadi salah satu ciri Worm yang mulai banyak di laporkan sejak agustus 2010 kemarin. Begitu juga yang dilakukan oleh pembuat worm ViewFilws. Namanya diambil dari nama induknya yang menyebar di flash disk dan diberi nama ViewFilws.exe.
File yang dibuat
pada komputer yang terinfeksi, worm FiewFiles akan membuat file autorun dan file companion pada flash disk yang nantinya akan di panggil oleh autorun.
Isi dari autorun akan selalu berubah seperti contoh di bawah ini, hal ini di maksudkan untuk mengecoh pendeteksian oleh antivirus akan tetapi beberapa penting bagian tidak diubah oleh worm ini.
Hasil Infeksi
Worm ViewFiles akan bersembunyi di dalam folder RECYCLER dan membuat folder yang hampir sama seperti isi folder RECYCLER seperti gambar di bawah ini.
Agar bisa berjalan saat startup, worm ini membuat key dengan nama Taskman pada:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows
NT/CurrentVersion/Winlogon/Taskman
