Autoit-ReplaceIcon. Worm unik ini berbasis script AutoIt dan memiliki kemampuan polymorphic. Ukuran filenya dapat bervariasi, demikian pula file autorun.inf yang diciptakan. Bahkan keterangan bahasa pada saat klik kanan – Properties – Version – Language, juga dapat berbeda-beda pada masing-masing file worm yang tercipta. Nama file worm yang menyebar melalui media disk juga tampak acak walaupun selalu berekstensi *.exe dan terdiri dari 6 karakter. Contohnya:brgzdt.exe
civfap.exe
hissyn.exe
naigpy.exe
uxjxhp.exe
Uniknya, icon yang digunakan juga beraneka ragam, beberapa contoh file worm dengan icon yang berbeda-beda terlihat seperti pada gambar diatas. Nama Autoit-ReplaceIcon diambil dari salah satu objek function (ImageList_ReplaceIcon) yang terbaca pada tubuh worm. File yang aktif di memory bernama csrcs.exe (terletak pada lokasi WINDOWS\System32), sekilas terlihat seolah file csrss.exe milik sistem Windows.
Comments
Post a Comment