MorphostLab

MorphostLab siap menerima semua masalah anda!

Analisa Susanti.Worm

Kali ini saya akan membahas Susanti.Worm. Thanks special khusus buat D3mon

(BACA: Hasil analisa berikut tidak sepenuhnya benar, mungkin saja saya salah menganalisa!)

Hasil Analisa

Nama Malware : Susanti.Worm [Morphost], sampai sejauh belum ada antivirus yang saya coba yang bisa mendeteksi virus ini.

Ukuran : 2,062,848 bytes

Pengirim Virus : D3mon

Icon : kira-kira seperti love.

CRC32 : 63446DAC (berdasarkan file yang dikirim)

MD5 : 8CFEAE2DF9A6B81DF10DB2E52D2926C2 (berdasarkan file yang dikirim)

Company Name : susanti software home, inc.

Virus ini membuat direktori:

%AppData%\Microsoft\Speech

%AppData%\Microsoft\Speech\Files

%AppData%\Microsoft\Speech\Files\UserLexicons

Virus ini menghapus folder/direktori:

%AllUsersProfile%\Desktop

%CommonDocuments%\My Music\My Playlists

Virus ini menghapus file:

c:\AUTOEXEC.BAT

c:\CONFIG.SYS

c:\contacts.html

%CommonDocuments%\My Music\Sample Music\Beethoven’s Symphony No. 9 (Scherzo).wma

%CommonDocuments%\My Music\Sample Music\New Stories (Highway Blues).wma

%MyDocuments%\My Music\Sample Music.lnk

%MyDocuments%\My Pictures\Sample Pictures.lnk

c:\main.wab

%Windir%\explorer.exe

Note: “%CommonDocuments%” maksudnya C:\Documents and Settings\All Users\Documents.

Membuat registry key berikut:

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\JSFile\Shell\Open\Command]

(Default) = “:: Win32\Hira.A – eCORE[GEDZAC] – I AlwAyS WilL LoVE YoU BeA ::”

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\Shell\Open\Command]

(Default) = “:: Win32\Hira.A – eCORE[GEDZAC] – I AlwAyS WilL LoVE YoU BeA ::”

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmfile\shell\open\command]

(Default) = “:: Win32\Hira.A – eCORE[GEDZAC] – I AlwAyS WilL LoVE YoU BeA ::”

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\jpgfile\shell\open\command]

(Default) = “:: Win32\Hira.A – eCORE[GEDZAC] – I AlwAyS WilL LoVE YoU BeA ::”

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\service\CLSID]

(Default) = “:: Win32\Hira.A – eCORE[GEDZAC] – I AlwAyS WilL LoVE YoU BeA ::”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\DriveIcons\D\DefaultLabel]

(Default) = “IKA-IKO”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\DriveIcons\E\DefaultLabel]

(Default) = “IKA-IKO”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\DriveIcons\F\DefaultLabel]

(Default) = “IKA-IKO”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\DriveIcons\G\DefaultLabel]

(Default) = “IKA-IKO”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\DriveIcons\H\DefaultLabel]

(Default) = “IKA-IKO”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\DriveIcons\I\DefaultLabel]

(Default) = “IKA-IKO”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\DriveIcons\J\DefaultLabel]

(Default) = “IKA-IKO”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\DriveIcons\K\DefaultLabel]

(Default) = “IKA-IKO”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\DriveIcons\L\DefaultLabel]

(Default) = “IKA-IKO”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\DriveIcons\M\DefaultLabel]

(Default) = “IKA-IKO”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\DriveIcons\N\DefaultLabel]

(Default) = “IKA-IKO”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\DriveIcons\O\DefaultLabel]

(Default) = “IKA-IKO”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\DriveIcons\P\DefaultLabel]

(Default) = “IKA-IKO”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\DriveIcons\Q\DefaultLabel]

(Default) = “IKA-IKO”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\DriveIcons\R\DefaultLabel]

(Default) = “IKA-IKO”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\DriveIcons\S\DefaultLabel]

(Default) = “IKA-IKO”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\DriveIcons\T\DefaultLabel]

(Default) = “IKA-IKO”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\DriveIcons\U\DefaultLabel]

(Default) = “IKA-IKO”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\DriveIcons\V\DefaultLabel]

(Default) = “IKA-IKO”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\DriveIcons\W\DefaultLabel]

(Default) = “IKA-IKO”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\DriveIcons\X\DefaultLabel]

(Default) = “IKA-IKO”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\DriveIcons\Y\DefaultLabel]

(Default) = “IKA-IKO”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\DriveIcons\Z\DefaultLabel]

(Default) = “IKA-IKO”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

botcfg = “”%System%\Susanti.exe”"

LadyKiller = “”%Windir%\system\LadyKiller.bmp”"

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

NoTrayContextMenu = 0×00000001

ClearRecentDocsOnExit = 0×00000001

NoSetTaskbar = 0×00000001

NoRecentDocsHistory = 0×00000001

NoTaskGrouping = 0×00000001

NoStartMenuPinnedList = 0×00000001

NoStartMenuMFUprogramsList = 0×00000001

HideClock = 0×00000001

NoToolbarsOnTaskbar = 0×00000001

NoSMConfigurePrograms = 0×00000001

NoWinKeys = 0×00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

DisableTaskMgr = 0×00000001

DisableRegistryTools = 0×00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

ServiceOption = “”%Windir%\WinDonJuan.dll.exe”"

AUTOEXEC = “”%Windir%\system\Susanti.exe”"

[HKEY_CURRENT_USER\Software\Microsoft\Speech\CurrentUserLexicon\{C9E37C15-DF92-4727-85D6-72E5EEB6995A}\Files]

Datafile = “%1a%\Microsoft\Speech\Files\UserLexicons\SP_C773A75EA96642BC8B71654F5470E5F8.dat”

[HKEY_CURRENT_USER\Software\Microsoft\Speech\Voices]

DefaultTokenId = “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Speech\Voices\Tokens\MSSam”

[HKEY_CURRENT_USER\Software\Microsoft\Speech\PhoneConverters]

DefaultTokenId = “HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Speech\PhoneConverters\Tokens\English”

[HKEY_CURRENT_USER\Software\Microsoft\Speech\CurrentUserLexicon]

CLSID = “{C9E37C15-DF92-4727-85D6-72E5EEB6995A}”

(Default) = “Current User Lexicon”

FlushRate = “10″

Menghapus registry value:

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\JSFile\Shell\Open\Command]

(Default) = “%SystemRoot%\System32\WScript.exe “%1″ %*”

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\Shell\Open\Command]

(Default) = “%SystemRoot%\System32\WScript.exe “%1″ %*”

Memodifikasi registry value:

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command]

(Default) = “:: Win32\Hira.A – eCORE[GEDZAC] – I AlwAyS WilL LoVE YoU BeA ::”

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command]

(Default) = “:: Win32\Hira.A – eCORE[GEDZAC] – I AlwAyS WilL LoVE YoU BeA ::”

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]

(Default) = “:: Win32\Hira.A – eCORE[GEDZAC] – I AlwAyS WilL LoVE YoU BeA ::”

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\htmlfile\shell\open\command]

(Default) = “:: Win32\Hira.A – eCORE[GEDZAC] – I AlwAyS WilL LoVE YoU BeA ::”

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\mp3file\shell\open\command]

(Default) = “:: Win32\Hira.A – eCORE[GEDZAC] – I AlwAyS WilL LoVE YoU BeA ::”

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\piffile\shell\open\command]

(Default) = “:: Win32\Hira.A – eCORE[GEDZAC] – I AlwAyS WilL LoVE YoU BeA ::”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders]

Common Desktop = “”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]

RegisteredOrganization = “SOLO MEMORI 2-12-2″

RegisteredOwner = “FOR : SUSANTI”

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\ServiceCurrent]

(Default) = 0×0000000C

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\ServiceCurrent]

(Default) = 0×0000000C

[HKEY_CURRENT_USER\Control Panel\International]

sTimeFormat = “SUSANTI HH:mm:ss”

=============================================================================

Kalau ada penyerangan lainnya silakan beritahu saya.

Signature worm ini sudah saya masukkan ke dalam database Morphost yang ke-14. Jadi kamu sudah bisa menggunakan Morphost untuk menscan Komputermu dari Susanti.Worm.

Ingat! Karena ukuran file virus ini tergolong ukuran file yang besar, jadi sebelum kamu menscan komputermu, kamu harus mengganti setting scanning ukuran filenya ya…

Untuk mengubah scaning ukuran file nya, dengan cara:

-pilih tab settings

-lalu pilih option “big size”

[Kalo kamu tidak memilih option “big size” maka sia-sialah usaha scanningmu…]

Kalo Susanti.Worm belum juga pergi dari komputermu. Lakukan langkah berikut:

-Pilih tab settings

-Pilih options ”let users make their database themselves” pada frames “database”

-Lalu masukkan satu saja sampel Susanti.Worm

-Dan langsung scan!

Message to D3mon:

Mudah-mudahan virus yang ada dikomputermu bisa bersih yaaa….

By: Morphic

http://www.morphic.co.nr (Comment me here)

http://www.friendster.com/morphic (friendster)

http://morphians.wordpress.com (my blog)

karta_morphic@yahoo.co.id (my email)

http://morphic.4shared.com (download Morphost and Morphost database here!)

and don’t forget to join with MorphostLab (FriendsterGroup)

My Thanks go to D3mon and Gonzhack!

Tehnik Mutasi Virus

Yoooo
Aku sarankan bagi kalian yang udah master jangan baca tutorial ini.
Just for newbie!

Oke langsung aja. Aku akan menjelaskan bagaimana sebuah virus memiliki lebih dari satu crc32. Dan yang pasti virus ini akan lolos dari cengkeraman antivirus yang berbasis crc32. (Nampaknya artikel ini bikin kontroversi aja!)

Agar sebuah virus punya banyak crc32 dan md5, virus tak membutuhkan ”Filecopy” untuk berduplikasi atau dengan katalain beranak-cucu.

Sekarang tinggalkan kebiasaanmu menggunakan ”Filecopy” untuk duplikasi virus. Sekarang ada cara baru dan aku yakin udah banyak master virus yang tahu soal ini.
Biasanya dulu kamu diajari oleh ”nenek moyangmu” untuk menduplikasikan virus dengan kode berikut ini:

Filecopy App.path & ”\” & App.EXEName & ”.exe”, bla bla bla & ”.exe”

Otomatis dengan cara itu, virus cuma punya satu crc32 saja!
Tapi gimana kalau dengan kode dibawah ini:

Function MutasiKe (Lokasi As String)
ReDim KodeVirus(FileLen(App.Path & “\” & App.EXEName & “.exe”))As Byte
Open App.Path & “\” & App.EXEName & “.exe” For Binary As #1
Get #1, , KodeVirus
Close #1
Open Lokasi For Binary As #1
Put #1, , KodeVirus
Close #1
End Function
Private Sub Form_Load()
Bla bla bla….
MutasiKe Environ$(“windir”) & “\Yooooo.exe”
End Sub

Dengan kode ini pasti crc32 virus induk dengan virus anak punya crc32 yang berbeda. Memang kejahatan IT selalu berkembang, Bung!! (Aku ngutip omongan seseorang(aku lupa orangnya siapa))
Tapi selalu saja ada yang bisa menangkal kejahatan!
Misalnya untuk mengatasi masalah virus (yang udah pake cara diatas) bisa dengan cara MD5. Meskipun crc32 berbeda, tapi MD5-nya tetap sama!
Bahkan lebih dari 10 crc32 sekalipun, tetap saja MD5-nya sama!

Mungkin sekian tutorial saya, Thanks buat newbie dan para master yang udah baca!!

Download Morphost Antivirus [ http://morphic.4shared.com ]
Download database Morphost dan konco-konconya [ http://morphic.4shared.com ]
Download tutorial Morphic [ http://morphic.4shared.com ]

My Friendster [ www.friendster.com/morphic ]
My Email + My YM [ karta_morphic@yahoo.co.id ]
My website [ www.morphostlab.co.nr ]

By: Morphic

Hadapi virus baru dengan Morphost baru!

Judul artikel ini sengaja dibuat begini supaya semua orang tahu kalo sekarang Morphost versi Revision sudah launching!!!

Sekaligus promosi juga seeehh.

Artikel ini juga fungsinya untuk memberikan tutorial bagaimana membasmi virus-virus yang saat ini sedang beristirahat di komputer anda. Intinya, kalau anda menguasai tutorial saya ini, dijamin virus-virus top ten minggu ini (seperti: blueventhexi, apong, alzhemeir, amburadul, dll) pasti beres!!!

Oke, saya persembahkan Morphost Antivirus versi Revision!

Secara kasat mata, hampir tidak ada perbedaan dengan Morphost AV2 August 2008. Memang versi kali ini adalah perbaharuan dari Morphost sebelumnya. Tapi jangan dilihat dari luar!!! Dalamnya wooaaahh….

Maklumlah antivirus buatan anak SMA, tampilannya jelek.

Udah baca kan artikel saya sebelum ini? Mengenai “Morphost versi Revision siap launching”? Kalo belum baca dulu ya, cari aja di google atau di virologi. Oke.

———begin here ————

Sekarang anggaplah anda sudah mendownload Morphost dan database terbarunya. Lalu saat ini anda berada di depan komputer anda yang sedang dihuni oleh virus-virus bajingan.

Maka tugas anda sekarang adalah menghidupkan Morphost (dengan dua kali klik tentunya. Hi hi hi )

-Tunggu hingga sampai tampilannya seperti di atas.

-Kemudian scan komputer anda. Terserah anda mau pilih ”scan drives” atau ”scan directories”. (dah tahu kan perbedaan dari keduanya ini?)

-Kalau misalnya hasilnya mengatakan “0” (nol) alias tidak ditemukan virus, maka ada dua kesimpulan.

Yang pertama, komputer anda tidak bervirus.

Yang kedua, Morphost Antivirus belum menemukannya.

Jadi cara menemukannya adalah:

Klik tab “settings”

Pilih options ”Let users make their database themselves” hingga muncul gambar dibawah ini:

Klik tombol “Browse to add database” dan cari satu sampel virusnya….

Kalau sudah sekarang balik lagi ke tab “scan”

(Ingat: Jangan ubah pilihan “Let users make their database themselves” menjadi pilihan “Use Morphost’s Database”. Karena kita sedang memanfaatkan virus tadi sebagai definisi nya)

Tehnik ini sama dengan Tehnik Killer Machine. Bedanya Killer Machine hanya memungkinkan satu sampel saja untuk dijadikan signature, sedangkan Morphost membolehkan usernya untuk memasukkan lebih dari satu bahkan banyak varian virus untuk dijadikan signature!

Kemudian Scan komputer anda.

Lihat gambar dibawah ini. Bila virus ditemukan, kira-kira akan terlihat seperti itu.

Tugas kita belum selesai. Sekarang tekan tombol “Select All” lalu tekan lagi “Delete Selected” untuk menghapus virusnya atau tekan tombol “Quarantine Selected” untuk memenjarakan virusnya.

Oke sekian dulu tutorial nya…

Untuk download Morphost dan database terbarunya silakan ke:

http://morphic.4shared.com

thanks to:

-all my best friend

-anak-anak kelas XII IPA 10 Smansa Medan

-anak-anak Permata_SetiaBudi

-Mas Aat Shadewa

-Anharku

-Hakz

-Kholis

-Thinx

-Deerie

-Wicencius

-Dhie

-Poet

-Jude Saskara

-and others (yang gak bisa kusebutin lagi satupersatu, karena malas ngetik)

‘

‘

‘

By: Morphic