Analisis virus Jim

Nih ada analisis virus tentang virus Jim

VirusName : Jim [Morphost]
Size : 57344 bytes
MD5 : 462C454AAAC78CAB1C7EFD1F7357B105
Icon : aplikasi.

Virus ini hidup di dlm lingkungan folder yang berartribut recycle bin. Gak banyak yg diketahui dari virus Jim ini. Karena menurutku virus ini full of random!
Ini lokasi projek visual basic-nya:
D:\S1e8fbz9np.vbp

Bukan Cuma itu string yang random. Internal name juga random. “XhzuHOOmN8Nb” dan gak ketinggalan company-nya juga random. “IJfQq64Gs9s”
Emang full of random.

Virus ini menyebar ke:
-C:\Documents and Settings\[UserName]\f5u1k69a7.exe
(yang ini juga. Filenya juga random. Mungkin beda komputer beda juga file yang disebar.)
-C:\Windows\System32\NVUKZ.exe
-C:\jim\carry\jim.exe
-C:\jim\carry\desktop.ini

Kalo registry yang diedit, gak begitu ribet dan rumit. Sepertinya virus ini mengutamakan startup saat windows logon.

“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{63MAD6M8-1MAD-81AD-JIM6-32OP5G1234521}\StubPath”, “c:\jim\carry\jIm.exe”

“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{G0NP7z2v-B1Zd-qHJB-52lr-OUa3XrMOqGOk}\StubPath “, “%System%\NVUKZ.exe”

“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\zvb0dl2X8tt”, “%System%\NVUKZ.exe”

“HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed Components\{G0NP7z2v-B1Zd-qHJB-52lr-OUa3XrMOqGOk}\StubPath”, “%System%\NVUKZ.exe”

“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\9UmxQPSiTJMbA”, “%System%\NVUKZ.exe”

Semua registry diatas fungsinya agar virus Jim aktif saat windows logon.

By: Morphic
(FK USU 2009)