Dorifel. Virus yang dapat menginfeksi file dokumen
Microsoft Word (*.doc), Microsoft Excel (*.xls), dan executable file
(*.exe). Pada file yang terinfeksi, file asli dienkripsi oleh virus
dengan menggunakan metode enkripsi RC4.
A. Tentang Virus
Nama: Dorifel, beberapa antivirus mengenalinya dengan nama Quervar atau DocCrypt.
Ukuran: bervariasi tergantung variannya, kurang lebih berkisar dari 100KB – 300KB
Info : Menginfeksi dokumen *.doc, *.xls, dan file executable.
Ukuran: bervariasi tergantung variannya, kurang lebih berkisar dari 100KB – 300KB
Info : Menginfeksi dokumen *.doc, *.xls, dan file executable.
B. Companion/File yang dibuat
Dorifel menciptakan file dropper dengan nama acak pada folder
Application Data, juga terdapat file *.ini dan shortcut *.lnk pada
komputer yang terinfeksi. Pada varian tertentu Dorifel juga menciptakan
file DLL dengan nama xpsp2res.dll (mengikuti nama salah satu file DLL
Windows) yang diletakkan pada folder Windows jika komputer korban
menggunakan sistem operasi Windows XP. DLL dari virus ini menginjeksi
explorer.exe dan berusaha mempertahankan dirinya agar tetap aktif.
C .Aksi
Dorifel menginfeksi file targetnya dengan cara menaruh file asli
dalam keadaan terenkripsi pada akhir file executable Dorifel, sehingga
pada setiap file yang telah terinfeksi Dorifel akan memiliki data
overlay yang menyimpan file asli. Dorifel menggunakan marker khusus
sebagai penanda mulainya byte yang merupakan file asli yang terenkripsi
dengan algortima RC4, marker tersebut berbeda-beda tergantung varian
Dorifel, antara lain adalah:
[+++scarface+++]
[---zxfgthbv---]
[---deadline---]
[---zxfgthbv---]
[---deadline---]
Agar file dokumen yang terinfeksi tetap dapat dieksekusi oleh user,
maka Dorifel mengubah extensionnya menjadi *.scr (khusus untuk file
*.exe yang terinfeksi, extension tidak berubah). Dorifel juga
menambahkan karakter unicode tertentu yang membuat nama file yang
terinfeksi tidak terlihat extensionnya di Windows Explorer Windows Vista
atau yang lebih baru, sehingga user tidak menyadari bahwa file tersebut
adalah file executable dengan extension *.scr. Contoh file dokumen yang
telah terinfeksi terlihat pada gambar berikut:
D. Pembersihan
Untuk pembersihan tuntas termasuk mengembalikan file-file yang
terinfeksi seperti semula, gunakan PCMAV Express for Dorifel yang dapat
didownload melalui link di bawah ini.
Link Download: http://www.sendspace.com/file/06kz0d
