MorphostLab

Tempat nongkrongnya Morphic dan kawan-kawan

Arsip untuk Agustus, 2008

Analisis Rieysha-Local.Worm

Ditulis oleh Morphic di/pada Agustus 28, 2008

Buat bro Anharku, ini adalah artikel yang mengulas analisis virusmu yang kedua. Ga pa pa kan?.

(BACA: Hasil analisa berikut tidak sepenuhnya benar, mungkin saja saya salah menganalisa!)

Hasil Analisa

Nama Malware : Rieysha-Local.Worm [Morphost], sampai tanggal 26 Agustus 2008 Antivirus Kaspersky, McAfee dan TrendMicro belum bisa mendeteksi virus ini

Ukuran : 172,032 bytes

Pengirim Virus : Anharku

Icon : icon folder dengan panah hijau.

CRC32 : 65B88607 (berdasarkan file yang dikirim)

MD5 : 271C86624DCD2F75B13FF4477ACB3FF6 (berdasarkan file yang dikirim)

Dibuat dengan : Visual Basic

Direktori projek saat pembuatan virus ini adalah:

E:\rieysha\awas\v1r\baRuV\Virus_Start_Kiddies\Viru Kejar DakuEDITANQ\Becanda.vbp

Membuat registry key berikut:

* [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile]

* Default = “File Folder”

* [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]

* Notepad = “%System%\win34.exe”

* [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies]

* Explorer = 0×00000001

* [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

* NoClose = 0×00000001

* NoRun = 0×00000001

* NoFolderOptions = 0×00000001

* NoDrives = 0×00000004

* NoFind = 0×00000001

* [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

* DisableTaskMgr = 0×00000001

* DisableCMD = 0×00000001

* DisableRegistryTools = 0×00000001

* [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

* r13y5h4.exe = “%Windir%\r13y5h4.exe”

*

* Memodifikasi registry value:

* [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

* DefaultValue = 0×00000001

* [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]

* RegisteredOrganization = “kamu kembali”

* RegisteredOwner = “sayang kapan”

* [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

* Shell = “%System%\win34.exe”

* Userinit = “%System%\win34.exe”

* [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot]

* AlternateShell = “%System%\win34.exe”

* [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]

* AlternateShell = “%System%\win34.exe”

* [HKEY_CURRENT_USER\Control Panel\International]

* s1159 = “rieysha”

* s2359 = “rieysha”

* [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

* Start Page = “http://h1.ripway.com/anharku”

* [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

* NoDriveTypeAutoRun = 0×00000000

*

=============================================================================

Ada dikit kemiripan (menurut saya) dengan Rieysha-Desa. Yah, pembuatnya juga sama! Anharku!

Signature worm ini sudah saya masukkan ke dalam database Morphost. Jadi kamu sudah bisa menggunakan Morphost untuk menscan Komputermu dari Rieysha-Local.Worm.

Kalo Rieysha-Local.Worm belum juga pergi dari komputermu. Lakukan langkah berikut:

-Pilih tab settings

-Pilih options ”let users make their database themselves” pada frames “database”

-Lalu masukkan satu saja sampel Rieysha-Local.Worm

-Dan langsung scan!

By: Morphic

http://www.morphic.co.nr (Comment me here)

http://www.friendster.com/morphic (friendster)

http://morphians.wordpress.com (my blog)

karta_morphic@yahoo.co.id (my email)

http://morphic.4shared.com (download Morphost and Morphost database here!)

and don’t forget to join with MorphostLab (FriendsterGroup)

My thanks go to Anharku, MorphostLab, anak-anak Permata Setia Budi, anak-anak Smansa Medan, anak-anak kelas XII IPA 10 Smansa Medan, and others.

Ditulis dalam Uncategorized | Leave a Comment »

Analisis Amburadul.Worm

Ditulis oleh Morphic di/pada Agustus 28, 2008

Analisis virus berikutnya adalah virus Amburadul. Ini hanyalah analisis sederhana saja. Kalau ada yang salah mohon maaf!.

(BACA: Hasil analisa berikut tidak sepenuhnya benar, mungkin saja saya salah menganalisa!)

Hasil Analisa

Nama Malware : Amburadul.Worm [Morphost], Virus.Win32.VB.ki [Kaspersky], W32/Autorun.worm.e [McAfee], WORM_AUTORUN.AYV [Trend Micro]

Ukuran : 128,000 bytes

Pengirim Virus : Eky

Icon : kira-kira seperti gambar.

CRC32 : C8824FD2 (berdasarkan file yang dikirim)

MD5 : 8E813F2C4003EA6233DDC7621864CE11 (berdasarkan file yang dikirim)

Dibuat dengan : Diduga Visual Basic

Company Name : JPEG Image

File Description : 1024 x 768

Virus ini akan membuat direktorinya sendiri di:

“C:\windows\system32\~A~m~B~u~R~a~D~u~L~\”

Membuat registry key berikut:

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile]

NeverShowExt = “”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]

EnableLUA = 0×00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

AVManager = “%System%\~A~m~B~u~R~a~D~u~L~\csrss.exe”

NarmonVirusAnti = “%System%\~A~m~B~u~R~a~D~u~L~\smss.exe”

NviDiaGT = “%System%\~A~m~B~u~R~a~D~u~L~\lsass.exe”

ConfigVir = “%System%\~A~m~B~u~R~a~D~u~L~\services.exe”

PaRaY_VM = “%System%\~A~m~B~u~R~a~D~u~L~\winlogon.exe”

File-file di atas akan aktif bila Windows diaktifkan

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\install.exe]

Debugger = “cmd.exe /c del

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe]

Debugger = “cmd.exe /c del

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ansav.exe]

Debugger = “cmd.exe /c del

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Ansavgd.exe]

Debugger = “cmd.exe /c del

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\boot.exe]

Debugger = “cmd.exe /c del

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cmd.exe]

Debugger = “rundll32.exe”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HOKAGE4.exe]

Debugger = “cmd.exe /c del

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\HokageFile.exe]

Debugger = “cmd.exe /c del

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Instal.exe]

Debugger = “cmd.exe /c del

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KakashiHatake.exe]

Debugger = “cmd.exe /c del

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kspool.exe]

Debugger = “cmd.exe /c del

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\kspoold.exe]

Debugger = “cmd.exe /c del

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mmc.exe]

Debugger = “rundll32.exe”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe]

Debugger = “rundll32.exe”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msiexec.exe]

Debugger = “rundll32.exe”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Obito.exe]

Debugger = “cmd.exe /c del

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-CLN.exe]

Debugger = “cmd.exe /c del

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCMAV-RTP.exe]

Debugger = “cmd.exe /c del

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\procexp.exe]

Debugger = “cmd.exe /c del

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rin.exe]

Debugger = “cmd.exe /c del

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\rstrui.exe]

Debugger = “rundll32.exe”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SMP.exe]

Debugger = “cmd.exe /c del

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\taskkill.exe]

Debugger = “rundll32.exe”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\tasklist.exe]

Debugger = “rundll32.exe”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\wscript.exe]

Debugger = “rundll32.exe”

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]

LimitSystemRestoreCheckpointing = 0×00000001

DisableMSI = 0×00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore]

DisableConfig = 0×00000001

DisableSR = 0×00000001

mendisable System Restore

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

Window Title = “++++ Hey, Hokage/babon (Anbu*Team*Sampit), Is this My places, Wanna start a War ++++”

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

NoFind = 0×00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

DisableRegistryTools = 0×00000001

Menghapus registry value:

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]

(Default) = “DiskDrive”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]

(Default) = “System”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]

(Default) = “Volume”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}]

(Default) = “Human Interface Devices”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}]

(Default) = “DiskDrive”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E97D-E325-11CE-BFC1-08002BE10318}]

(Default) = “System”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]

(Default) = “Volume”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}]

(Default) = “Human Interface Devices”

Memodifikasi registry value:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt]

UncheckedValue = 0×00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]

Type = “checkbok”

UncheckedValue = 0×00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

Shell = “Explorer.exe, %System%\~A~m~B~u~R~a~D~u~L~\winlogon.exe”

=============================================================================

Kalau ada penyerangan lainnya silakan beritahu saya.

Signature worm ini sudah saya masukkan ke dalam database Morphost. Jadi kamu sudah bisa menggunakan Morphost untuk menscan Komputermu dari Amburadul.Worm.

Kalo Amburadul.Worm belum juga pergi dari komputermu. Lakukan langkah berikut:

-Pilih tab settings

-Pilih options ”let users make their database themselves” pada frames “database”

-Lalu masukkan satu saja sampel Amburadul.Worm

-Dan langsung scan!

By: Morphic

http://www.morphic.co.nr (Comment me here)

http://www.friendster.com/morphic (friendster)

http://morphians.wordpress.com (my blog)

karta_morphic@yahoo.co.id (my email)

http://morphic.4shared.com (download Morphost and Morphost database here!)

and don’t forget to join with MorphostLab (FriendsterGroup)

My thanks go to Mas Aat Shadewa, Virologi, and Others.

Ditulis dalam Uncategorized | Leave a Comment »

Analisa Rieysha-Desa.Worm

Ditulis oleh Morphic di/pada Agustus 23, 2008


Neh, analisa tentang virus Rieysha-Desa.Worm. Makan neh hasil analisa!

Hasil Analisa
Nama Malware : Rieysha-Desa.Worm [Morphost], (Sampai tanggal 16 Agustus Kaspersky, McAfee, TrendMicro belum mendeteksi worm ini)
Ukuran : 151,552 bytes
Pengirim Virus : Anharku
Icon : kira-kira seperti gambar kaset.
CRC32 : 5ABCD818 (berdasarkan file yang dikirim)
MD5 : 20314572D08FF530618E0A86C056A344 (berdasarkan file yang dikirim)
Dibuat dengan : tanya ama Anharku. He he he

Proses virus yang muncul:
-andai_kau_tahu.exe
-anuku_milikbersama.exe
-alcmtrr.exe
-alman.exe
-alcwizrd.exe

Membuat Registry Value:
o [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
§ nikmatnya_gadis_desa = “C:\nikmatnya_gadis_desa.exe”
o [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies]
§ Explorer = “NoClose”
o [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
§ NoRun = 0×00000001
§ NoFolderOptions = 0×00000001
§ NoDrives = 0×00000004
§ NoViewOnDrive = 0×00000004
§ NoFind = 0×00000001
§ NoStarMenuMorePrograms = 0×00000001
§ NoClose = 0×00000001
o [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
§ DisableTaskMgr = 0×00000001
§ DisableCMD = 0×00000001
§ DisableRegistryTools = 0×00000001
§
· Memodifikasi registry value:
o [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
§ DefaultValue = 0×00000001
o [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
§ RegisteredOrganization = “GAWEAN JOGJA”
§ RegisteredOwner = “KOMPUTER IKI”
o [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot]
§ AlternateShell = “filmBokep.exe”
o [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
§ AlternateShell = “filmBokep.exe”
o [HKEY_CURRENT_USER\Control Panel\International]
§ s1159 = “rieysha”
§ s2359 = “rieysha”
o [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
§ Start Page = “http://h1.ripway.com/anharku”
o [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
§ NoDriveTypeAutoRun = 0×00000000

=============================================================================

Signature worm ini sudah saya masukkan ke dalam database Morphost. Jadi kamu sudah bisa menggunakan Morphost untuk menscan Komputermu dari Rieysha-Desa.Worm.
Kalo Rieysha-Desa.Worm belum juga pergi dari komputermu. Lakukan langkah berikut:
-Pilih tab settings
-Pilih options ”let users make their database themselves” pada frames “database”
-Lalu masukkan satu saja sampel Rieysha-Desa.Worm
-Dan langsung scan!

By: Morphic
http://www.morphic.co.nr (Comment me here)
http://www.friendster.com/morphic (friendster)
http://morphians.wordpress.com (my blog)
karta_morphic@yahoo.co.id (my email)
http://morphic.4shared.com (download Morphost and Morphost database here!)
and don’t forget to join with MorphostLab (FriendsterGroup)
My thanks go to ThreatExpert, Virologi, SoulHacker, Axer, FireboltDave, Smansa Medan, MorphostLab!

Ditulis dalam Analisis Virus | 2 Komentar »

Analisa Nita.Worm

Ditulis oleh Morphic di/pada Agustus 16, 2008


Kali ini saya menulis tutorial mengenai hasil analisa Nita.Worm di MorphostLab. Lebih kurang analisanya adalah sebagai berikut.
(BACA: Hasil analisa berikut tidak sepenuhnya benar, mungkin saja saya salah menganalisa!)

Hasil Analisa
Nama Malware : Nita.Worm [Morphost], Trojan.Win32.VB.cmn [Kaspersky], Generic.dx [McAfee], TROJ_VB.GFW [Trend Micro]
Ukuran : 110,592 bytes
Pengirim Virus : Unknown (Maaf saya lupa siapa yang mengirim ke My4shared saya)
Icon : Icon Folder
CRC32 : B315CC41 (berdasarkan file yang dikirim)
MD5 : 407EBDB02C92EAE9ECA53FEC10167290 (berdasarkan file yang dikirim)
Dibuat dengan : Visual Basic

Direktori file vbp virus:
G:\Project1.vbp Code\Visual Basic Virus Code\Source Code(WORM)\WSar.9\WSar.vbp

Membuat registry key berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\A-VIGen32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\A-VSafeRun.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\A2HIJACKFREE.EXE
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ansav.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CMD.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dxdiag.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32kui.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Notepad.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ProMo.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TaskMgr.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VB6.EXE

Membuat Registry Value:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes]
sysfile = “NITA_WORM”
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile]
FriendlyTypeName = “NITA_WORM”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer]
ShowDriveLettersFirst = 0×00000004
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
HideFileExt = 0×00000001
Hidden = 0×00000000
ShowSuperHidden = 0×00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
loader = “\WinSys.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\A-VIGen32.exe]
debugger = “explorer.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\A-VSafeRun.exe]
debugger = “explorer.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\A2HIJACKFREE.EXE]
debugger = “explorer.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ansav.exe]
debugger = “explorer.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CMD.exe]
debugger = “explorer.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\dxdiag.exe]
debugger = “explorer.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe]
debugger = “explorer.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\nod32kui.exe]
debugger = “explorer.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Notepad.exe]
debugger = “explorer.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ProMo.exe]
debugger = “explorer.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit.exe]
debugger = “explorer.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Regedit32.exe]
debugger = “explorer.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TaskMgr.exe]
debugger = “explorer.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VB6.EXE]
debugger = “explorer.exe”
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Window Title = ” (^_^)NITA_WORM ==> Infected Your PC ..again..!!!”
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoViewContextMenu = 0×00000001
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
loader = “\shell.exe”

Menghapus registry value:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\inffile]
FriendlyTypeName = “@%SystemRoot%\System32\setupapi.dll,-2000″

Memodifikasi registry value:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile]
InfoTip = “Folder is Empty”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion]
ProgramFilesDir = “NITA_WORM was here.exe”
[HKEY_CURRENT_USER\Control Panel\Desktop]
CursorBlinkRate = “50″
=============================================================================

Lebih kurang demikian hasil analisa mengenai Nita.Worm.
Signature worm ini sudah saya masukkan ke dalam database Morphost. Jadi kamu sudah bisa menggunakan Morphost untuk menscan Komputermu dari Nita.Worm.
Kalo Nita.Worm belum juga pergi dari komputermu. Lakukan langkah berikut:
-Pilih tab settings
-Pilih options ”let users make their database themselves” pada frames “database”
-Lalu masukkan satu saja sampel Nita.Worm
-Dan langsung scan!

By: Morphic
http://www.morphic.co.nr (Comment me here)
http://www.friendster.com/morphic (friendster)
http://morphians.wordpress.com (my blog)
karta_morphic@yahoo.co.id (my email)
http://morphic.4shared.com (download Morphost and Morphost database here!)
and don’t forget to join with MorphostLab (FriendsterGroup)
My thanks go to ThreatExpert, Virologi, SoulHacker, Axer, FireboltDave, Smansa Medan, MorphostLab!

Ditulis dalam Uncategorized | 5 Komentar »

Morphost AV2 (August 2008) Version is Coming!!!

Ditulis oleh Morphic di/pada Agustus 3, 2008

Morphost AV2 (August 2008) Version is Coming!!!

What’s New in Morphost AV2 (August 2008)

Morphost ver.2 merupakan merupakan pengembangan dari Morphost terdahulu (meski di ver.2 ini masih ditemukan bug). Beberapa fitur baru ditambahkan pada versi 2 ini. Dan beberapa code pada Morphost AV1 telah diperbaiki dan ditambah sehingga menjadi Morphost 2. Ada 3 metoda scanning yang ditambahkan pada Morphost AV2, 1 metode scanning diperbaiki dan scanengine juga ikut diperbaiki.

3 Metode scanning yang ditambahkan merupakan metode heuristik yang belum ada di Morphost pertama. Penjelasannya akan dibahas di bawah.

Sedangkan 1 metode scanning yang diperbaiki merupakan metode heuristik (juga) namun belum sempurna pada versi terdahulu. Metode heuristik ini berfungsi untuk membaca string sensitif (signature) pada virus. Morphic menyadari bahwa dada yang cacat saat pembacaan string file. Dan metode ini telah diperbaiki.

Warisan dari Yang Terdahulu

Banyak fitur yang diwariskan dari Morphost yang terdahulu ke Morphost yang baru. Namun ada beberapa fitur yang dihilangkan karena dianggap tidak berguna. Fitur yang masih bertahan sampai saat ini antara lain; Registry Tweaker, Scanning based on User Database (tehnik KillerMachine), Context Menu For Morphost, dll.

Fitur baru pada Morphost 2. Dimana terdapat pertanyaan yang sering ditanyakan (seputar malware atau masalah mengenai komputer yang terkena malware) beserta jawabannya.

Empat Bulan Uji Coba

Sejak Morphost diluncurkan bulan Maret yang lalu, Morphic telah mempelajari beberapa hal yang salah pada Morphost AV1. Uji coba dilakukan selama 4 bulan (sampai bulan Juli ini) di MorphostLab. 4 bulan lamanya source code Morphost disusun. Dan akhirnya Morphost AV2 selesai.

3 Metode Heuristik yang Simple!!!

Morphic menemukan 3 metode Heuristik yang sangat simple, sehingga penjelasan mengenai ketiga metode ini tidak akan dibahas secara mendetail karena akan ada AV lain yang akan meniru. Bukan pelit ilmu tetapi sekedar untuk membangkit para AV Maker lain untuk bersaing. Ketiga metode heuristik ini ditambahkan pada versi kali ini, dan ketiga metode tersebut adalah X-Morphost Heuristic Method, Y-Morphost Heuristic Method, dan Z-Morphost Heuristic Method. Metode-metode ini akan dieksekusi pada saat awal scanning. Dan metode ini terbukti sangat ampuh 75% untuk virus-virus baru, terutama virus yang menyebarkan dirinya ke setiap direktori/folder, (yang membuat nama file virus sama dengan nama folder).

Caption program Morphost disesuaikan dengan nama file Morphost

Kamu tidak perlu takut pada virus yang menangkap caption program. Beberapa virus sekarang ini akan menutup program apa saja yang mengandung string: “anti”, “virus”, “proc”, “av”, dll.

Morphost antivirus memberikan kebebasan untuk menentukan sendiri caption Program Morphost sehingga Virus manapun tidak akan pernah bisa menangkap caption Morphost!

Berikut tahap perkembangan Antivirus Morphost

Nama Antivirus

Metode Scanning

Waktu Pembuatan

Status

Morphic Antivirus

Basis CRC32

Agustus 2006

Tidak Diluncurkan

Morphic Antivirus2007

Basis CRC32

Januari 2007

Beredar terbatas Januari 2007

Morphost

Basis MD5

Agustus 2007

Beredar terbatas Agustus 2007

Morphost

Basis MD5 + 1 heuristik

Februari 2008

Diluncurkan Maret 2008

Morphost AV2(August2008)

Basis MD5 + 4 heuristik

Juli 2008

Diluncurkan Agustus 2008

Morphost generasi terbaru

Untuk Morphost ver2. ini peluncuran akan dilakukan pada bulan Agustus 2008 nanti. Morphost untuk saat ini akan diberikan kepada para tester atau sebut saja anggota yang tergabung pada MorphostLab alias teman-teman Morphic. Selama sebulan Morphost akan diuji coba. Link untuk download ver2 ini sama dengan link Morphost yang pertama. Di: http://morphic.4shared.com

By: Morphic

Special Thanks to:

-God

-Both of My Parents

-Both of My Sisters

-D.T. (Miss you so much)

-Aat Shadewa

-Virologi site and all its member

-Teman-temanku di Smansa Medan

-Anak-anak kelas XII IPA 10 Smansa Medan

-Anak-anak Permata Setia Budi

-SoulHacker, FireBoltDave, Axer dan anak-anak MorphostLab lainnya

-Ram_Zex

-Luccian and Yesaya

-mbak Eko_X

-Anharku (bro, virusmu dah aku masukin ke database morphost! Ga pa pa kan)

-Hakz (kalo ada virus baru, kasih tahu aku)

-Deeriee (Yo, kembangkan terus skillmu)

-annelida

-cantigi (Thanks dah mau ngasih comment di blog-ku)

-Poet (thanks atas pen-decompile-an atas Morphost pertama. Morphost kedua udah aku Packed)

-Semua orang yang udah ngirim virus ke aku… (thanks atas virusnya, udah aku analisa semuanya…)

-dan lainnya

Ditulis dalam Uncategorized | 5 Komentar »