Virus Shemale kembali menebar ancaman di kalangan pengguna komputer. Adalah Shemale jilid 2 yang merupakan regenerasi dari virus sebelumnya, kini mencoba untuk menutup beberapa celah yang mungkin bisa dimanfaatkan oleh user untuk mematikan dirinya.
Masih seperti pendahulunya, virus ini dibuat dengan menggunakan Visual Basic Script (VBS). Ia akan mengenkripsi dirinya agar user tidak mudah membaca isi script dari virus tersebut. Virus ini berukuran 195 KB dengan icon VBS. Pada saat menginfeksi komputer, ia akan membuat cukup banyak file yang akan di simpan di direktori yang berbeda-beda.
Untuk mengelabui user, virus ini akan menggunakan rekayasa sosial dengan membuat sebuah folder dengan nama [Album BOKEP (New Release)] di setiap Drive termasuk di Flash Disk. Nama folder tersebut diharapkan dapat menarik user untuk menjalankan salah satu dari file shortcut yang berada didalamnya. File shortcut yang dibuat oleh virus ini akan mempunyai ekstensi Mpeg.lnk.
File bericon Windows Media Player ini seolah-olah merupakan file video mesum yang jika dijalankan maka akan mengaktifkan dirinya. Selain itu agar penyamarannya lebih sempurna ia akan mengubah tipe file LNK (shortcut) tersebut menjadi “Movie Clip” sehingga seolah-olah merupakan file Video, untuk lebih meyakinkan ia akan menyembunyikan ekstensi yang kedua dari file tersebut [.LNK].
Beberapa ciri-ciri yang dapat ditemui pada saat menginfeksi komputer user:
1. Muncul folder dengan nama “BOKEP (New Release)”, folder ini berisi beberapa file shortcut untuk menjalankan file induk yang telah ditentukan yang akan dibuat di semua drive.
2. Muncul file “Membership of Shemale Lover” yang akan dibuat di setiap drive dengan icon “Internet Explorer”.
3. Tidak dapat mengakses folder ‘C:\Windows’, jika user mengakses folder tersebut maka akan membuka My Computer.
4. Muncul pesan ‘SHEMALE Ver. 2.0.1 by CRY’ pada saat screen saver Windows aktif.
5. Muncul pesan error saat menjalankan tools security tertentu.
6. Terjadi perubahan pada nama pemilik Windows.
7. Mengubah tipe file “Shortcut” [.lnk] mejadi “Movie Clip”.
Seperti kebanyakan virus lokal, salah satu aksi yang dilakukan adalah meninggalkan jejak berupa pesan di komputer target. VBS/Autorun juga akan meningalkan beberepa pesan yang dikemas dalam sejumlah file diantara pesan terebut akan di tampilan secara otomatis saat komputer di nyalakan dan saat menjalankan program Internet Explorer atau saat screen saver Windows aktif. Selain itu VBS/Autorun juga akan mencoba untuk blok akses terhadap beberapa website security.
Untuk menenyebarkan dirinya, ia akan memanfaatkan flash disk dengan cara membuat file folder berikut:
- Data-data Tugasku NITIP Jangan Dihapus.lnk
- Membership of Shemale Lover.lnk
- Fotoq Imoets – http-facebook.com-profiles-123442-photos-15595.jpeg.lnk
- Michael Jackson ternyata belum mati – Detik.com.lnk
- Michael Jackson – one day in your life.mp4.lnk
- Naughty America Album (locked folder, desktop.ini, my friends hot mom – Jennifer Miller.wmv.lnk, my friends hot mom – sativa rose.wmv.lnk, My Sister Hot Friend – Courtney Dani.wmv.lnk, Naughty America 2009 – Vicky Vette.Mpeg.lnk)
- Autorun.inf
Agar dirinya dapat aktif secara otomatis, ia akan memanfaatkan fitur autorun dengan nama [autorun.inf] yang akan menjalankan file induk yang telah ditentukan.
Sumber: Vaksincom
