MorphostLab

Tempat nongkrongnya Morphic dan kawan-kawan

«
»

Virus NadiaSaphira atau Virus BuluBebek?

Ditulis oleh Morphic di/pada Juli 13, 2009

Dari sekian banyak virus yang masuk ke 4shared-ku ini lah virus yang paling beruntung. Virus ini akan kita analisa bersama-sama nih…

NamaVirus : NadiaSaphira [Morphost], Trojan Horse [Symantec], Trojan Win32.VB.pod [Kaspersky Lab]
Ukuran : 53,256 bytes
MD5 : EE42ED66DBC99C7650E705543DFB145D
CRC32 : ECFDB755

Penyebaran File
-membuat file autorun.inf di drive “C:\” dan di “C:\windows\system32\” (untuk WinXP)
-membuat file [.ini] “c:\nadiasaphira.ini”, “c:\windows\taskmgr.ini”, “c:\windows\system32\msconfig.ini”, “c:\windows\system32\nadiasaphira.ini”
-membuat file “c:\windows\system32\MS586.sys”
-membuat file [.exe] “c:\windows\system32\allsys.exe”, “c:\windows\system32\wtoolsb.exe”, “c:\windows\system32\misconfig.exe”, “c:\windows\taskmgr.exe”

Process Virus Aktif
Secara default ada dua proses virus yang aktif:
-misconfig.exe = ”C:\windows\system32\misconfig.exe”
-taskmgr.exe = “C:\windows\taskmgr.exe

Modifikasi Registry
Ada banyak yang dimodif, tapi disini saya akan menjelaskan yang mencolok saja.
“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\nofind”, 1, “REG_DWORD”
”HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\nofind”, 1 , “REG_DWORD”
“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\nofolderoptions”, 1 , “REG_DWORD”
“HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile”, “File Folder”
“HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\TileInfo”, “File Folder”
“HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\InfoTip”, “File Folder”
Dan efek registry lainnya yang bisa saya tuliskan:
-Disable Regedit
-Ekstensi file tidak kelihatan
-dll

Penjelasan Tambahan
Virus ini tidak dipack. Atau virus ini dipack tapi tidak dipack secara sempurna. Mungkin si VM malas mengepack-nya. Dan saya rasa si VM pun tahu apa konsekuensi-nya kalo tidak mengepack virusnya. Dan Si VM bukan lupa mengepack-nya.
Nih kliatan alamat file project virus ini.
“D:\My VIRUS\New BuluBebek, Mau makan sinonggi, baje, atau minum ballo ya\mINUM cIU.vbp”
Biasany ada VM yang lupa mengepack dan secara gaksengaja namanya ikut tertampilkan pada alamat file Project-nya. Ha ha ha. VM macam apa itu. Eitss tapi tunggu. Bisa saja itu jebakan! Maksudnya bukan nama asli. Atau mungkin saja tujuannya mau menjebak orang lain?

Di dalam tubuh virus berkali-kali ditulis nama ”BuluBebek” dan ”NadiaSaphira”. Itu makanya aku jadi bingung ngasih nama virus ini. Tapi kebanyakan antivirus lain menyebut virus ini sebagai virus BuluBebek

Ok. Thanks. sekian

By:morphic
Thanks to:
-Tim MorphostLab
-Axer [Advertiser]
-Nash [VirusCaptor]
-Yudha [VirusCaptor]
-Morse [VirusAnalyst]
-Kholis[Independent]
-anak-anak smansa Medan
-to all readers

Entri ini dituliskan pada Juli 13, 2009 pada 2:25 am dan disimpan dalam Uncategorized. Anda bisa mengikuti setiap tanggapan atas artikel ini melalui RSS 2.0 pengumpan. Anda bisa tinggalkan tanggapan, atau lacak tautan dari situsmu sendiri.

Tinggalkan Balasan

XHTML: Anda dapat gunakan tag ini: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <pre> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

«
»