Delp-Shortcut. Rupanya teror worm yang mengeksploitasi shortcut belum berakhir meskipun tahun 2010 telah dilewati. Kami mendapat banyaknya laporan dari user mengenai adanya file shorcut yang tidak bisa di hapus dan ada file mencurigakan dengan nama mso.sys.

A. File Info

Nama: Delp-Shortcut
Asal: Brazil (masih dugaan)
Ukuran File: 25.5 KB (26,112 bytes)
Packer: UPX
Pemrograman: Delphi
Icon: Menyerupai system file
Tipe: Worm

B. Tentang Malware

Bebeda dengan kerabat dekatnya yaitu VB-Shorcut yang juga mengeksploitasi shortcut, worm Delp-Shortcut dibuat menggunakan Delphi. Dengan menggunakan ekstensi *.sys, worm yang sebenarnya adalah file DLL32, mampu menyebar begitu cepat dengan bantuan shortcut yang diciptakannya. Agar bisa berjalan di memory, worm ini akan menempel pada file Run32dll.exe.

Kami menduga worm ini berasal dari Brazil, karena Delp-Shortcut mencoba mengakses sebuah alamat IP melalui port 1036, yang jika di trace berasal dari Brazil . Walau tidak tertutup kemungkinan IP tersebut hanyalah IP dari domain / hosting yang sengaja dibuat oleh virus maker-nya dan kebetulan berada di Brazil.

C. Companion/File yang dibuat

Delp-shortcut akan membuat 5 buah file shortcut dengan nama Documment and Settings.lnk, Program Files. lnk, RECYCLER.lnk, System Volume Information.lnk dan WINDOWS.lnk seperti yang terlihat pada gambar di atas. Shortcut yang diciptakan worm ini hanya menginfeksi Drive C, D, E, F, dan G.

Selain itu semua file shortcut yang dibuat akan mengarah kepada file mso.sys yang kemudian mengaktifkan Run32DLL.exe agar bisa berjalan di memory.

D. Hasil Infeksi

Beberapa kali kami mendapatkan Delp-Shortcut mencoba membuat hang explorer.exe setelah mengakses IP yang sudah di jelaskan di atas. Agar bisa berjalan saat startup, worm ini membuat Startup pada registry dan membuat companion dengan nama Microsoft Update.lnk di folder Startup.

Selain itu, companion dari malware ini juga terdapat pada folder:
• C:\Documents and Settings\-ede\Favorites\Microsoft update.lnk
• C:\Documents and Settings\All Users\Start Menu\Internet Explorer.lnk

E. Pembersihan
Gunakan PCMAV 4.6 Update Build1 untuk membersihkan Delp-Shortcut.

PCMAV 4.6 Update Build1

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 4.6 Update Build1 telah hadir dengan penambahan 60 pengenal varian virus baru. Bagi Anda pengguna PCMAV 4.6, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.

Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:

SendSpace.com

ZippyShare.com (mirror)

Rapidshare.com (mirror)

Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 4.6 Update Build1:
Delp-Shortcut
Delp-Shortcut.lnk.A
Delp-Shortcut.lnk.B
Delp-Shortcut.lnk.C
Delp-Shortcut.lnk.D
Delp-Shortcut.lnk.E
Ebetazijl.A
Ebetazijl.A.inf
Ebetazijl.B
Ebetazijl.B.lnk
FakeAV-Downloader.G
FakeDownloader.A
FakeDownloader.B
FakeDownloader.B.dll.A
FakeDownloader.B.dll.B
FakeDownloader.C
FakeDownloader.C.dll.A
FakeDownloader.C.dll.B
FakeDownloader.D
FakeDownloader.D.dll
FakeDownloader.D.exe
FakeDownloader.E
FakeDownloader.F
FakeDownloader.F.bat
FakeDownloader.F.job
FakeDownloader.G
FakeDownloader.G.DLL
FakeDownloader.H
FakeDownloader.H.bat
FakeDownloader.H.job
FakeDownloader.H.sim
FakeDownloader.I
FakeDownloader.J
FakeDownloader.K
FakeDownloader.L
FakeDownloader.L.exe
FakeDownloader.M
FakeDownloader.N
FakeDownloader.O
HoneyMoon.vbs
HoneyMoon.vbs.inf
Khetex.B
NDI.vbs
NDI.vbs.gen
NDI.vbs.inf
NDI.vbs.txt
NineOClock
Rascal.B
Restore.D
Restore.D.inf
Restore.E
Restore.E.inf
SkyNet.F
Spesial
VB-Shortcut-1.lnk.A
VB-Shortcut-1.lnk.B
VB-Shortcut-1.lnk.C
VB-Shortcut-1.lnk.D
Vedasetion
Vedasetion.tmp

Seperti tidak ada habisnya serangan dari malware yang berasal dari dalam maupun luar negeri. Antara lain Conficker yang mengawali serangan pada tahun 2008, dan berbagai varian worm VB-Shortcut yang memulai aksinya di pertengahan 2010, serta berbagai malware lainnya, berhasil memberikan teror di sampai akhir tahun 2010 karena tingkat penyebarannya.

Berdasarkan data yang kami kumpulkan yang sebagian besar dari kiriman pengguna PCMAV, 10 malware teratas yang paling banyak menyebar adalah:
1. Sality Variant
2. VB-Shortcut
3. Alman
4. Virut
5. Serviks.vbs Variant
6. 74BE16
7. Conficker
8. Autoit-ReplaceIcon Variant
9. Saphira.A
10. Autoit.EA

Malware lain yang juga banyak dilaporkan:
- EsTeh
- Stuxnet
- Runouce
- Nebula
- Delp-Shortcut
- TripleBox
- Bebek.A
- Malingsi Variant

Selain itu, berikut beberapa review malware yang relatif merupakan nama-nama baru yang menghebohkan di tahun 2010 ini.

1. Zhola.

Worm Zhola sebenarnya merupakan hasil edit dari malware tipe worm yang source codenya banyak beredar. Dengan merubah bentuk icon dan isi autorunnya, worm ini membuat banyak pengguna salah satu antivirus lokal terinfeksi karenanya, terlebih karena worm ini sengaja diletakkan pada website yang menyediakan Free File Sharing sehingga dapat di-download siapa saja. Pertama kali ditemukan worm ini menggunakan nama “Smadav 7.3”. Worm Zhola akan memperbanyak companion-nya jika menemukan file dengan ekstensi *.doc *.jpg *.mp3 *.avi *.mpeg *.3gp *.flv *.mpg *.mov *.wmv *.wav *.3gp2 dan membuat file dengan nama yang sama.

2. EsTeh.

Dibuat dengan menggunakan bahasa pemrograman Visual Basic 6.0 tanpa di- pack, memiliki icon yang beragam pada setiap file yang dibuatnya. Worm ini membuat banyak file pada flash disk dengan menggunakan icon yang sudah terdapat pada komputer yang sudah terinfeksi sebelumnya dan terdapat pada folder:

C:\Documents and Settings\[nama user]\Local Settings\Temp\doc.ico
C:\Documents and Settings\[nama user]\Local Settings\Temp\folder.ico
C:\Documents and Settings\[nama user]\Local Settings\Temp\mptre.ico
C:\Documents and Settings\[nama user]\Local Settings\Temp\rar.ico
C:\Documents and Settings\[nama user]\Local Settings\Temp\txt.ico
C:\Documents and Settings\[nama user]\Local Settings\Temp\wmp.ico
C:\Documents and Settings\[nama user]\Local Settings\Temp\xls.ico

Selain itu, worm ini juga membuat file yang dijadikan hostnya seperti:

C:\WINDOWS\system32\32rc.exe
C:\WINDOWS\system32\3dPAD.exe
C:\WINDOWS\system32\Epen.exe
C:\WINDOWS\system32\sym32.exe
C:\WINDOWS\system32\temp32.exe
C:\WINDOWS\system32\userinity.exe
C:\Documents and Settings\[nama user]\Local Settings\Temp\Usbconeted.exe

Worm ini juga membuat file Autorun.inf seperti pada gambar di atas.

3. MyLovely.

Malware tipe worm, memiliki icon menyerupai file image tipe jpg. Hasil infeksi worm MyLovely akan ditemukan pada setiap drive dengan nama Gambar Lucu.exe, Kasihku.exe, Photo 01.exe, Wallpaper.exe.  Beberapa aplikasi dengan nama di bawah ini akan diubah sehingga menjalankan file malware di C:\wallpaper.exe:

1. ansav.exe
2. ansav32.exe
3. BLUESOLEIL.exe
4. call.exe
5. Ccapp.exe
6. cclaw.exe
7. cmd.exe
8. dfrg.exe
9. DXDIAG.exe
10. Fixinstall.exe
11. FORMAT.exe
12. freecell.exe
13. GRAPH.exe
14. IEXPLORE.exe
15. install.exe
16. keygen.exe
17. mplayer.exe
18. msconfig.exe
19. MSPAINT.exe
20. Nip.exe
21. Nipsvc.exe
22. Niu.exe
23. Njeeves.exe
24. nod32.exe
25. NOD32krn.exe
26. notepad.exe
27. Nvccf.exe
28. Nvcoas.exe
29. Nvcod.exe
30. Nvcsched.exe
31. OIS.exe
32. PCMAV.exe
33. PCMV-CLN.exe
34. PCMV-RTP.exe
35. ppclean.exe
36. Procexp.exe
37. regedit.exe
38. RemoteCmdSvc.exe
39. Restore my files.exe
40. RSTRUI.exe
41. save.exe
42. SCRNSAVE.exe
43. setup.exe
44. shutdown.exe
45. Taskkill.exe
46. tasklist.exe
47. taskmgr.exe
48. Unins000.exe
49. Uninstall.exe
50. unlocer.exe
51. unlocker.exe
52. Update.exe
53. vb6.exe
54. VFP9.exe
55. VPREVIEW.exe
56. VProConsole.exe
57. VProConsole_.exe
58. wmplayer.exe
59. ypsr.exe
60. ypsrru.exe
61. Zanda.exe
62. Zlh.exe

Selama beberapa detik worm ini akan membuat layar menjadi black screeen yang jika di double click akan muncul gambar dibawah ini:

4. SetRun.

Berikut ini adalah gambar simulasi worm SetRun yang seakan mencirikan sebuah virus padahal termasuk tipe worm.

Dengan menggunakan icon menyerupai Microsoft Word, worm SetRun dibuat menggunakan bahasa pemrograman Delphi tanpa di-pack dan memiliki ukuran yang selalu berubah agar menyulitkan antivirus untuk mendeteksinya. Sesuai dengan gambar di atas, jika worm SetRun menemukan file *.doc, *.xls, dan *.pdf, ia akan merename file aslinya mulai dari belakang, kemudia di tambahkan karakter “pns” dan kondisinya ter-hidden. Sedangkan nama file dijadikan replika dari worm SetRun.

5. Nebula.

Gambar di atas adalah pesan yang dibuat oleh malware tipe virus bernama Nebula. Kemampuannya menginfeksi beberapa file dengan tipe seperti, *.doc, *.docx, *.xls, *.xlsx, *.avi, *.3gp , *.exe (hanya untuk file *.exe tertentu, seperti YahooMessenger.exe, Firefox.exe, Iexplore.exe, Opera.exe) hampir sama seperti virus Kspoold. Virus ini merubah file dengan ekstensi yang sudah di jelaskan di atas menjadi exe. Beberapa antivirus mampu mengenali malware ini, akan tetapi sebagian besar menghapus file yang sudah terinfeksinya, padahal virus ini belum menghapus file asli, hanya menyimpan di dalam tubuhnya dengan enkripsi tertentu.

6. Serviks.vbs.B.

Menggunakan enkripsi dan manipulasi ekstensi, worm ini menyebar dengan cepat. Diduga dibuat oleh orang yang membuat worm Vinurika.vbs dan Yuyun.vbs. keistimewaan lain worm ini adalah shortcut yang dibuatnya. Berbeda dengan worm shortcut yang lain, Serviks.vbs.B ini mampu menyebarkan shortcut sampai ke sub folder sampai 4 level kedalaman. dan didalam shortcutnya sudah dibuat agar mampu menjalankan malware tipe VBScript yang ekstensinya bukan *.vbs dengan perintah:

Wscript.exe //E:VBScript [nama malware]

7. Runouce.

Beberapa malware memiliki payload yang destruktif, seperti menghapus, mengenkripsi, atau merusak data. Salah satunya adalah virus Runouce ini. Selain nama Runouce, virus ini juga dikenal oleh antivirus luar dengan nama lain seperti: Chir.B, ChiHack, Runonce, atau EmailWorm. Virus ini berasal dari luar (diduga dari China). Walaupun bukan termasuk virus baru, Runouce masih menyebar cukup luas termasuk di Indonesia. Ia memiliki karakteristik worm karena dapat menyebar melalui e-mail dengan mengirimkan dirinya sebagai attachment, Runouce juga merupakan sebuah virus yang menginfeksi executable file, yang terdapat pada komputer lokal maupun jaringan.

8. Nami-Ternate.

Beberapa pengguna suka dengan tampilan yang berbeda. Tetapi waspadai jika tahu-tahu Anda mendapatkan tampilan seperti pada gambar di atas, karena bisa jadi itu merupakan indikasi bahwa malware Nami-Ternate telah aktif. Dibuat menggunakan Visual Basic tanpa di-pack, worm ini dapat membuat flash disk dan semua drive pada komputer Anda memiliki background seperti pada gambar. Worm juga mendisable beberapa fungsi seperti Task Manager, Regedit, dan lain lain.

9. VB-Shortcut-WinLogon.

Dari sebagian banyak worm VB-Shortcut, VB-Shortcut-WinLogon adalah salah satu varian yang paling merepotkan pengguna yang terinfeksi. Kemampuan meng-kill beberapa tools dan perlindungan diri dari antivirus membuat worm ini tidak mudah dilumpuhkan. Begitu banyak registry yang di rubah worm ini, berikut adalah nama-nama program yang di-block oleh VB-Shortcut-WinLogon.

a2servic.exe, ackwin32.exe, acs.exe, advxdwin.exe, agentsvr.exe, agentw.exe, ahnsd.exe, alerter.exe, alertsvc.exe, alogserv.exe, amon.exe, amon9x.exe, anti-trojan.exe, antigen.exe, antivirus.exe, ants.exe, apimonitor.exe, aplica32.exe, apvxdwin.exe, ashWebSv.exe, atcon.exe, atguard.exe, atro55en.exe, atupdater.exe, atwatch.exe, aupdate.exe, autodown.exe, autotrace.exe, autoupdate.exe, avcenter.exe, avconfig.exe, avconsol.exe, ave32.exe, avgcc32.exe, avgctrl.exe, avgemc.exe, avgnt.exe, avgserv.exe, avgserv9.exe, avguard.exe, avgw.exe, avkpop.exe, avkserv.exe, avkservice.exe, avkwcl9.exe, avkwctl9.exe, avnotify.exe, avnt.exe, avp.exe, avp32.exe, avpcc.exe, avpdos32.exe, avpexec.exe, avpinst.exe, avpm.exe, avpmon.exe, avpnt.exe, avptc32.exe, avpupd.exe, avrescue.exe, avscanavshadow.exe, avsched32.exe, avsynmgr.exe, avupgsvc.exe, avwebloader.exe, avwin95.exe, avwinnt.exe, avwsc.exe, avwupd32.exe, avxmonitor9x.exe, avxmonitornt.exe, avxquar.exe, avxw.exe, azonealarm.exe, bd_professional.exe, bidef.exe, bidserver.exe, bipcp.exe, bipcpevalsetup.exe, bisp.exe, blackd.exe, blackice.exe, boot.exe, bootwarn.exe, borg2.exe, bs120.exe, BullGuard.exe, callmsi.exe, ccapp.exe, ccevtmgr.exe, cclaw.exe, ccpxysvc.exe, ccsetmgr.exe, ccshtdwn.exe, cdp.exe, cfgwiz.exe, cfiadmin.exe, cfiaudit.exe, cfind.exe, cfinet.exe, cfinet32.exe, chrome.exe, ChromeSetup.exe, clamauto.exe, claw95.exe, claw95cf.exe, claw95ct.exe, clean.exe, cleaner.exe, cleaner3.exe, cleanpc.exe, cmd.exe, cmgrdian.exe, cmon016.exe, connectionmonitor.exe, consent.exe, cpd.exe, cpdclnt.exe, cpf.exe, cpf9x206.exe, cpfnt206.exe, crashreporter.exe, csinject.exe, csinsm32.exe, css1631.exe, ctfmon.exe, ctrl.exe, cv.exe, cwnb181.exe, cwntdwmo.exe, defalert.exe, defscangui.exe, defwatch.exe, deputy.exe, Diskmon.exe, doors.exe, dpf.exe, drvins32.exe, drwatson.exe, drweb32.exe, dumphive.exe, dv95.exe, dv95_o.exe, dvp95.exe, dvp95_0.exe, earthagent.exe, ecengine.exe, ecls.exe, ecmd.exe, edi.exe, efinet32.exe, efpeadm.exe, egui.exe, EHttpSrv.exe, ekrn.exe, ent.exe, esafe.exe, escanh95.exe, escanhnt.exe, escanv95.exe, espwatch.exe, etrustcipe.exe, evpn.exe, ewido.exe, exantivirus-cnet.exe, exit.exe, expert.exe, explored.exe, f-agnt95.exe, f-prot.exe, f-prot95.exe, f-stopw.exe, fa-setup.exe, fact.exe, fameh32.exe, fast.exe, fch32.exe, fih32.exe, Filemon.exe, findviru.exe, firefox.exe, firewall.exe, FirewallControlPanel.exe, FirewallSettings.exe, fix-it.exe, flowprotector.exe, fnrb32.exe, fp-win.exe, fp-win_trial.exe, FPAVServer.exe, fprot.exe, fprot95.exe, frw.exe, fsaa.exe, fsav.exe, fsav32.exe, fsav530stbyb.exe, fsav530wtbyb.exe, fsav95.exe, fsave32.exe, fsgk32.exe, fslaunch.exe, fsm32.exe, fsma32.exe, fsmb32.exe, fssm32.exe, fwenc.exe, fwinstall.exe, gbmenu.exe, gbpoll.exe, GenericRenosFix.exe, generics.exe, gibe.exe, GoogleToolbarInstaller_download_signed.exe, gpedit.exe, guard.exe, guarddog.exe, guardgui.exe, guardhlp.exe, hacktracersetup.exe, helper.exe, HiJackThis.exe, HJTInstall.exe, HostsChk.exe, htlog.exe, hwpe.exe, iamapp.exe, iamserv.exe, iamstats.exe, ibmasn.exe, ibmavsp.exe, icload95.exe, icloadnt.exe, icmon.exe, icmoon.exe, icssuppnt.exe, icsupp.exe, icsupp95.exe, icsuppnt.exe, IEDFix.exe, iface.exe, ifw2000.exe, iomon98.exe, iparmor.exe, iris.exe, isrv95.exe, jammer.exe, jed.exe, jedi.exe, kav8.0.0.357es.exe, kavlite40eng.exe, kavpers40eng.exe, kavsvc.exe, kerio-pf-213-en-win.exe, kerio-wrl-421-en-win.exe, kerio-wrp-421-en-win.exe, killprocesssetup161.exe, kis8.0.0.506latam.exe, kpf.exe, kpfw32.exe, ldnetmon.exe, ldpro.exe, ldpromenu.exe, ldscan.exe, licmgr.exe, localnet.exe, lockdown.exe, lockdown2000.exe, lookout.exe, lsetup.exe, luall.exe, luau.exe, lucomserver.exe, luinit.exe, luspt.exe, mbam.exe, mbamgui.exe, mbamservice.exe, mcagent.exe, mcmnhdlr.exe, mcshield.exe, mctool.exe, mcuimgr.exe, mcupdate.exe, mcvsrte.exe, mcvsshld.exe, mdll.exe, mfw2en.exe, mfweng3.02d30.exe, mgavrtcl.exe, mgavrte.exe, mghtml.exe, mgui.exe, minilog.exe, monitor.exe, monsys32.exe, monsysnt.exe, monwow.exe, moolive.exe, mpfagent.exe, mpfservice.exe, mpftray.exe, mrflux.exe, MSASCui.exe, msblast.exe, msconfig.exe, msinfo32.exe, msn.exe, mspatch.exe, mssmmc32.exe, mu0311ad.exe, mwatch.exe, mxtask.exe, n32scan.exe, n32scanw.exe, nai_vs_stat.exe, nav32_loader.exe, nav80try.exe, navap.exe, navapsvc.exe, navapw32.exe, navauto-protect.exe, navdx.exe, naveng.exe, navengnavex15.exe, navex15.exe, navlu32.exe, navnt.exe, navrunr.exe, navsched.exe, navstub.exe, navw.exe, navw32.exe, navwnt.exe, nc2000.exe, ncinst4.exe, nd98spst.exe, ndd32.exe, ndntspst.exe, neomonitor.exe, neowatchlog.exe, netarmor.exe, netcfg.exe, netinfo.exe, netmon.exe, netscanpro.exe, Netscape.exe, netspyhunter-1.2.exe, netstat.exe, netutils.exe, nisserv.exe, nisum.exe, nmain.exe, nod32.exe, normist.exe, norton_internet_secu_3.0_407.exe, notstart.exe, npf40_tw_98_nt_me_2k.exe, npfmessenger.exe, nprotect.exe, npscheck.exe, npssvc.exe, nsched32.exe, ntdetect.exe, ntrtscan.exe, ntxconfig.exe, nui.exe, nupdate.exe, nupgrade.exe, nvapsvc.exe, nvarch16.exe, nvc95.exe, nvlaunch.exe, nvsvc32.exe, nwinst4.exe, nwservice.exe, nwtool16.exe, offguard.exe, ogrc.exe, opera.exe, Opera_964_int_Setup.exe, ostronet.exe, outpost.exe, outpostinstall.exe, outpostproinstall.exe, padmin.exe, panixk.exe, pathping.exe, pavcl.exe, pavproxy.exe, pavsched.exe, pavw.exe, pcc2002s902.exe, pcc2k_76_1436.exe, pccclient.exe, pccguide.exe, pcciomon.exe, pccmain.exe, pccntmon.exe, pccpfw.exe, pccwin97.exe, pccwin98.exe, pcdsetup.exe, pcfwallicon.exe, pcip10117_0.exe, pcscan.exe, pcscanpdsetup.exe, penis32.exe, periscope.exe, persfw.exe, perswf.exe, pf2.exe, pfwadmin.exe, ping.exe, pingscan.exe, platin.exe, pop3trap.exe, poproxy.exe, popscan.exe, portdetective.exe, portmon.exe, portmonitor.exe, ppinupdt.exe, pptbc.exe, ppvstop.exe, prckiller.exe, Process.exe, processmonitor.exe, procexp.exe, procexplorerv1.0.exe, Procmon.exe, programauditor.exe, proport.exe, protectx.exe, pspf.exe, purge.exe, pview.exe, pview95.exe, qconsole.exe, qserver.exe, rapapp.exe, rav.exe, rav7.exe, rav7win.exe, rav8win32eng.exe, realmon.exe, regedit.exe, regedt32.exe, Regmon.exe, rescue.exe, rescue32.exe, Restart.exe, route.exe, routemon.exe, rrguard.exe, rshell.exe, rstrui.exe, rtvscn95.exe, rulaunch.exe, Safari.exe, safeweb.exe, SandboxieBITS.exe, SandboxieCrypto.exe, SandboxieDcomLaunch.exe, SandboxieRpcSs.exe, SandboxieWUAU.exe, SbieCtrl.exe, SbieSvc.exe, sbserv.exe, scan32.exe, scan95.exe, scanpm.exe, sched.exe, schedapp.exe, scrscan.exe, scvhosl.exe, sd.exe, sdclt.exe, serv95.exe, setupvameeval.exe, setup_flowprotector_us.exe, sgssfw32.exe, sh.exe, sharedaccess.exe, shellspyinstall.exe, shn.exe, smc.exe, SmitfraudFix.exe, sofi.exe, spf.exe, sphinx.exe, spider.exe, spysweeper.exe, spyxx.exe, SrchSTS.exe, srwatch.exe, ss3edit.exe, st2.exe, supftrl.exe, supporter5.exe, sweep.exe, sweep95.exe, sweepnet.exe, sweepsrv.sys.exe, swnetsup.exe, swsc.exe, swxcacls.exe, symproxysvc.exe, symtray.exe, sysdoc32.exe, syshelp.exe, taskkill.exe, tasklist.exe, taskmgr.exe, taskmon.exe, taumon.exe, tauscan.exe, tbscan.exe, tc.exe, tca.exe, tcm.exe, tcpsvs32.exe, tds-3.exe, tds2-98.exe, tds2-nt.exe, tds2.exe, tfak.exe, tfak5.exe, tftpd.exe, tgbob.exe, titanin.exe, titaninxp.exe, tmlisten.exe, tmntsrv.exe, tracerpt.exe, tracert.exe, trjscan.exe, trjsetup.exe, trojantrap3.exe, UCCLSID.exe, UI0Detect.exe, undoboot.exe, unzip.exe, update.exe, updater.exe, UserAccountControlSettings.exe, VACFix.exe, vbcmserv.exe, vbcons.exe, vbust.exe, vbwin9x.exe, vbwinntw.exe, vccmserv.exe, vcleaner.exe, vcontrol.exe, vcsetup.exe, vet32.exe, vet95.exe, vet98.exe, vettray.exe, vfsetup.exe, vir-help.exe, virusmdpersonalfirewall.exe, vmsrvc.exe, vnlan300.exe, vnpc3000.exe, vpc32.exe, vpc42.exe, vpcmap.exe, vpfw30s.exe, vptray.exe, vscan.exe, vscan40.exe, vscenu6.02d30.exe, vsched.exe, vsecomr.exe, vshwin32.exe, vsisetup.exe, vsmain.exe, vsmon.exe, vsscan40.exe, vsstat.exe, vswin9xe.exe, vswinntse.exe, vswinperse.exe, vvstat.exe, w32dsm89.exe, w9x.exe, watchdog.exe, webscan.exe, webscanx.exe, webtrap.exe, WerFault.exe, wfindv32.exe, wgfe95.exe, whoswatchingme.exe, wimmun32.exe, wingate.exe, winhlpp32.exe, wink.exe, winmgm32.exe, winppr32.exe, winrecon.exe, winroute.exe, winservices.exe, winsfcm.exe, wmias.exe, wmiav.exe, wnt.exe, wradmin.exe, wrctrl.exe, WS2Fix.exe, wsbgate.exe, wuauclt.exe, wyvernworksfirewall.exe, xpf202en.exe, xscan.exe, zapro.exe, zapsetup3001.exe, zatutor.exe, zatutorzauinst.exe, zauinst.exe, zlh.exe, zonalarm.exe, zonalm2601.exe, zonealarm.exe, _avp.exe, _avp32.exe, _avpcc.exe, _avpm.exe, _findviru.exe

http://virusindonesia.com/2010/11/16/vb-shortcut-winlogon-virus-shortcut-yang-semakin-canggih/

10. Aisyalam.vbs.

Worm tipe VBScript yang dibuat dengan sangat rapi tanpa di-enkripsi ini sama seperti hasil edit dari beberapa worm VBS. Aisyalam.vbs membuat 4 file di tiap drive, Ibab-AisyalaM.Iat, autoruN.inF, Mp3-AisyalaM.mp3, dan desktOp.ini. Tidak ada system yang di disable, hanya perbedaan pada tampilan Windows seperti, icon pada start menu yang berubah menjadi besar, dan warna dasar windows yang berubah menjadi hijau muda (default putih).