MorphostLab

Tempat nongkrongnya Morphic dan kawan-kawan

«
»

Analisis Word.Worm alias W32.Worm by Morphic

Ditulis oleh Morphic di/pada September 16, 2008

Kali ini virus yang aku analisa adalah virus Word.Worm alias W32.Word. Kurang lebih inilah hasil analisanya.

(BACA: Hasil analisa berikut tidak sepenuhnya benar, mungkin saja saya salah menganalisa!)

Hasil Analisa

Nama Malware : Word.Worm [Morphost], Mal/SillyFDC-A [Sophos]

Ukuran : 742,400 bytes

Pengirim Virus : Kholis

Icon : Ms.Word.

CRC32 : E84366B4 (berdasarkan file yang dikirim)

MD5 : 0D57C603D11E5E5CFE3B8F1C502779D7 (berdasarkan file yang dikirim)

Dibuat dengan : Visual Basic

Company Name : 100 KB

Internal Name : Readme

Packer : UPX 0.89.6 – 1.02 / 1.05 – 1.24 -> Markus & Laszlo

Library yang berhubungan dengan virus ini antara lain:

- A6.dll (lokasi: ?)

- Kernell32.dll (lokasi: C:\windows\system32)

- Msvbvm60.dll (lokasi: C:\windows\system32)

- 6.OLB (lokasi: ?)

(mungkin untuk yang diatas ini, Kholis gak sadar ya….. Tapi begitulah, hasil analisa kami mengatakan demikian)

Virus ini akan memunculkan kotak dialog seperti dibawah ini:

File-file yang diciptakan oleh virus ini antara lain:

- c:\67Readme.exe

Ukuran: 742,400 bytes

MD5: 0D57C603D11E5E5CFE3B8F1C502779D7

- c:\windows\Readme.exe

Ukuran: 742,400 bytes

MD5: 0D57C603D11E5E5CFE3B8F1C502779D7

- c:\windows\system32\Casper.bmp

Ukuran: 1,896,174 bytes

MD5: E28DA4CA511E7497E3AF433DAC073ED4

- c:\windows\system32\Prisa.bmp

Ukuran: 1,713,534 bytes

MD5: 09ED82E8FEEE1E5F292844F8FE1BFFE6

- c:\windows\system32\Ratatouille.bmp

Ukuran: 1,570,014 bytes

MD5: 6007EC7CFD76E0EA719024622CB989D8

Tapi untuk sejauh ini, kami masih belum bisa menganalisis registry yang dirusak. Ada kemungkinan bahwa virus ini tidak memodifikasi registry.

=============================================================================

Kalau ada penyerangan lainnya silakan beritahu saya.

Signature worm ini sudah saya masukkan ke dalam database Morphost. Jadi kamu sudah bisa menggunakan Morphost untuk menscan Komputermu dari Word.Worm alias W32.Worm

Kalo Word.Worm belum juga pergi dari komputermu. Lakukan langkah berikut:

-Pilih tab settings

-Pilih options ”let users make their database themselves” pada frames “database”

-Lalu masukkan satu saja sampel Word.Worm misalnya yang ada di ”c:\windows\Readme.exe”

-Dan langsung scan!

By: Morphic

http://www.morphic.co.nr (Comment me here)

http://www.friendster.com/morphic (friendster)

http://morphians.wordpress.com (my blog)

karta_morphic@yahoo.co.id (my email)

http://morphic.4shared.com (download Morphost and Morphost database here!)

and don’t forget to join with MorphostLab (FriendsterGroup)

My thanks go to Mas Aat Shadewa, Kholis, Virologi, and Others.

Entri ini dituliskan pada September 16, 2008 pada 2:50 am dan disimpan dalam Uncategorized. Anda bisa mengikuti setiap tanggapan atas artikel ini melalui RSS 2.0 pengumpan. Anda bisa tinggalkan tanggapan, atau lacak tautan dari situsmu sendiri.

Tinggalkan Balasan

XHTML: Anda dapat gunakan tag ini: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <pre> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

«
»