Credit image: Freepix
Virus mengincar file tertentu semakin marak saja, setelah ACAD/Medre yang menyerang file gambar berextensi (.dwg). Sekarang virus dengan target file-file yang berhubungan dengan pekerjaan kembali muncul. Virus yang awal penyebarannya di temukan di Belanda tersebut, awalnya dikenal dengan nama Dorifel atau XDocCrypt. ESET berhasil mendeteksi dan mengidentifikasinya dengan Win32/Quervar.
Dengan mampu mengidentifikasi, maka update akan terdevelop, kemudian tersebar secara real time ke komputer pengguna ESET di seluruh dunia untuk mengantisipasi penyebaran Win32/Quervar.C tersebut.
Virus ini perlu disikapi dengan hati-hati khususnya bagi para user internet karena perilakunya mengincar dan merusak file documents, yang banyak digunakan untuk bekerja, menulis data angka dan tulisan.
Di Belanda, virus ini mengakibatkan masalah yang tidak kecil bagi user karena menyerang file-file: .exe (32 bit), .doc, .docx, .xlsx, dan .xls
Hal yang cukup menarik dari virus Win32/Quervar.C adalah karakteristik yang dimiliki oleh virus ini yang secara spesifik menyerang file-file documents dan executable files dengan menambahkan RC4-yang dienkripsi ke tubuh executable file yang baru.
Sejak awal infeksi virus, Quarver akan mengkopi diri ke dalam lokasi file :
%appdata%\%variable1%\%variable2%.exe
Sedangkan untuk eksekusi di system start, virus tersebut akan men-set Registry entry berikut ini:
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\
Windows]
“load” = “%appdata%\%variable1%\%variable2%.exe.lnk”
Kemudian virus akan membuat Registry entries seperti berikut ini:
[HKEY_CURRENT_USER\Fbsgjner\Zvpebfbsg\Jvaqbjf\PheeragIrefvba\
Vagrearg Frggvatf]
“TybonyHfreBssyvar” = 0
Yudhi kukuh, Technical Consultant dari PT. Prosperita-ESET Indonesia menyampaikan, “Win32/Quervar masuk ke dalam sistem komputer melalui software yang didownload oleh user, dimana, virus Quervar.C terintegrasi di software tersebut”.
Selain dari aksi-aksi jahat yang dilakukan, virus tersebut juga rawan ditunggangi oleh pelaku scammer, dan inilah yang tidak diantisipasi oleh pengembang Quarver.
Indikasi tersebut sudah terlihat di Belanda, yaitu scammer yang “menjual” jasa membersihkan dan menambahkan paket security untuk proteksi sistem, dengan bayaran tertentu.
Hingga saat ini belum ditemukan adanya indikasi keterkaitan maupun kerjasama antara pengembang Quarver dengan scammer, dan dengan penyebar scareware atau Antivirus palsu.
“Infeksi Win32/Quervar.C menimbulkan serangkaian dampak pada sistem komputer termasuk membuka koneksi jaringan, mutasi virus file dan transmisi informasi pribadi tanpa persetujuan pengguna” demikian sambung Yudhi Kukuh. Selanjutnya ia juga berpesan, “Win32/Quervar.C dapat dimasukan dalam kategori sebagai ancaman serius bagi sistem komputer Anda, karena mengancam keamanan data, pekerjaan yang tersimpan dalam file word documents dan excel, jadi langsung dihapus saja saat terdeteksi”.
