Wolf.B: Curahan Hati Melalui Fake Installer

Wolf.B. Jarang sekali di temukan malware dengan tipe worm yang dibuat menggunakan Aplikasi Pemrogramangan FreeBasic. Tanpa di-pack worm ini berukuran 509 KB, sedangkan varian sebelumnya berukuran 510 KB. Setelah dijalankan Wolf.B membuat beberapa file di drive C, antara lain:

C:\3gp players.exe
C:\Cheat Engine.exe
C:\Hentai.exe
C:\Love Calculator.exe
C:\Setup.exe
C:\VistaInspirant.exe
C:\wolf.scr
C:\wolf.html
C:\wolf..jpg
C:\Setup.ico
C:\autorun.inf
C:\desktop.ini
C:\WINDOWS\WolvesDen\Wolf.exe
C:\WINDOWS\system32\scvhost.exe
C:\WINDOWS\system32\service.exe
Di setiap drive dan termasuk removable disk terdapat beberapa file buatan Wolf.B seperti, 3gp players.exe, Cheat Engine.exe, Hentai.exe, Love Calculator.exe, Setup.exe, Vista Inspirant.exe, wolf.scr, wolf.html, wolf.jpg, Setup.ico, autorun.inf, desktop.ini.

Selain itu, worm ini juga menginjeksi dan membuat beberapa key baru pada registry, antara lain sebagai berikut:

• Agar Berjalan di saat startup, Wolf.B membuat String Value seperti:
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\system startup
  C:\WINDOWS\WolvesDen\Wolf.exe
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \startup
  C:\WINDOWS\system32\scvhost.exe
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\system startup
  C:\WINDOWS\WolvesDen\Wolf.exe
  HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\startup
  C:\WINDOWS\system32\scvhost.exe

• Mengaktifkan C:\WINDOWS\WolvesDen\Wolf.exe dengan di jalankannya Userinit.exe.
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
  “Shell”=”Explorer.exe C:\\WINDOWS\\WolvesDen\\wolf.exe”
  “System”=”C:\\WINDOWS\\WolvesDen\\wolf.exe”
  “Userinit”=”C:\\WINDOWS\\system32\\userinit.exe, C:\\WINDOWS\\WolvesDen\\wolf.exe”

• Otomatis menjalankan “C:\WINDOWS\WolvesDen\Wolf.exe” “%1″%*” jika menjalankan beberapa file dengan ekstensi : 3gp, txt, reg, pif, com, cmd, vbs dan js.
  [HKEY_CLASSES_ROOT\cmdfile\shell\open\command]
  [HKEY_CLASSES_ROOT\comfile\shell\open\command]
  [HKEY_CLASSES_ROOT\inffile\shell\Install\command]
  [HKEY_CLASSES_ROOT\JSFile\Shell\Open\Command]
  [HKEY_CLASSES_ROOT\JSFile\Shell\Open2\Command]
  [HKEY_CLASSES_ROOT\piffile\shell\open\command]
  [HKEY_CLASSES_ROOT\regedit\shell\open\command]
  [HKEY_CLASSES_ROOT\regfile\shell\open\command]
  [HKEY_CLASSES_ROOT\txtfile\shell\open\command]
  [HKEY_CLASSES_ROOT\VBSFile\Shell\Open\Command]
  [HKEY_CLASSES_ROOT\VBSFile\Shell\Open2\Command]

• Mengaktifkan C:\WINDOWS\System32\scvhost.exe dan C:\WINDOWS\System32\service.exe sekalipun masuk windows dalam posisi Safe Mode.
  [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
  [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot]
  [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot]
  [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot]

Worm juga menampilkan pesan error palsu setelah program di jalankan seperti pada gambar dibawah ini.

Ia juga akan mengubah tampilan AM dan PM dengan “The Wolf” untuk jam pada Date and Time.

Selain registry, perubahan juga terlihat pada tiap drive dan removable disk seperti yang terlihat pada gambar di atas. Dengan adanya file desktop.ini dan wolf.jpg, Wolf.B merubah background dengan gambar seekor srigala yang sedang melolong layaknya membacakan sebuah puisi cinta di bawah bulan sabit. Tidak hanya itu, pesan lain untuk user di buat pada seubah file HTML dengan nama wolf.html.