Seperti data yang didapatkan dari analisis Vaksincom, virus yang berasal dari keluarga Visual Basic Script (VBS) ini memanfaatkan file [C:\Windows\System32\WSCript.exe] sebagai file pendukung agar dirinya dapat diaktifkan.
Untuk mengelabuhi pengguna, ia menggunakan rekayasa sosial dengan memanfaatkan nama file yang diplesetkan yakni [dekstop.ini], jika diperhatikan secara sepintas pengguna akan beranggapan bahwa file tersebut bukanlah virus.
Pasalnya seperti kita ketahui bahwa Windows juga akan membuat file serupa tetapi dengan nama yang berbeda yakni [desktop.ini]. Tetapi jika dilihat lebih teliti terdapat perbedaan dalam penamaan file serta ukurannya. Untuk [dekstop.ini] yang merupakan file induk virus akan mempunyai ukuran 16 KB (file akan di enkripsi) sedangkan file [desktop.ini] biasanya mempunyai ukuran 1 KB.
Virus ini kemudian menyebar dengan cepat melalui jaringan dan akan membuat file duplikat berupa file shortcut dan [autorun.inf] serta file [dekstop.ini] pada folder yang di share full akses. Selain itu, VBS/Cantix juga menyebar cepat dengan memanfaatkan removable disk dengan melakukan aksi yang sama.
Ajakan Meramaikan Forum
Sebenarnya virus ini tak terlalu berbahaya. Ia hanya akan memblokir beberapa fungsi Windows melaluiRegistry Editor, tanpa memblokir seluruh tools keamanan Windows. Ujung-ujungnya ia bakal membawa pengguna ke situs forum "Album Cyber".
Forum ini salah satunya membahas mengenai antivirus dan tempat bertukar source code antar anggota. Rupanya si Cantix mencoba untuk mempromosikan forumnya agar lebih dikenal umum. Hal ini terlihat karena sampai saat ini forum tersebut masih sepi alias belum mempunyai anggota. Cerdik bukan? Sebuah pembelajaran baru bagi para admin yang forumnya sepi.
Postingan
Tidak ada komentar:
Posting Komentar