Forum MorphostLab!!!

Kini MorphostLab sudah punya forum (baru dibuat 24 Nov 2009 lalu). MorphostLab forum atau disingkat Morphorum.

Alamat forum kita ini: http://www.morphorum.co.nr

Apa saja yang ada di forum MorphostLab ini?

DISKUSI VIRUS
Kamu bisa diskusikan virus disini. Baik itu virus lokal maupun virus luar negeri. Yang jelas kamu gak akan ketinggalan berita.
Selain itu disini ada juga pembahasan tentang VirusProgramming. Dimana kamu bisa belajar programming virus. Silakan tanya apa saja dengan para master disana. Dan jangan pernah berhenti bertanya sebelum kamu mahir!!! Ingat itu!!! (Toh di forum ini kamu gak dipungut biaya kok. He he he).

Bagi kamu yang pengen barter virus juga bisa gabung disini. Gak masalah kok. Semuanya bakal dilayani (he he he. Ditanggapi maksudnya. Banyak juga member yang pengen barter virus)

Forum ini juga cocok untuk mereka yang hobinya sebagai VirusCollector.

DISKUSI ANTIVIRUS
MorphostLab merupakan suatu organisasi ataupun kelompok Virologist yang lebih menekan pada antivirus dan proteksi pada virus. Itu sebabnya diskusi antivirus di MorphostLab masih lebih baik di banding forum-forum biasa lainnya.
Disini kamu bisa belajar antivirus programming, dan belajar bagaimana membuat antivirus. Juga diajarkan bagaimana menghajar virus-virus tertentu (yang ini juga dibahas di Diskusi Virus)

Bakal dibahas juga checksum-checksum yang biasa dipakai antivirus lokal. Sekaligus heuristik-heuristik terlarang mulai dari yang paing baik sampe yang paling beresiko false alarm (he he he).

Begitu juga tukar-menukar checksum-checksum / signature virus-virus baru sekarang. Kalau kamu termasuk orang yang senang mengoleksi checksum/signature virus, Morphorum adalah tempat yang tepat untukmu!

DISKUSI APA SAJA
Disini ada room untuk free talk juga. Jadi tidak perlu khawatir. Mulai dari room curhat sampe room yang paling berat masalah hidupnya. He he he…
Ada room-room untuk cinta + masalah cinta, film, game dan lain-lain .
Hal ini dilakukan supaya para member yang bosan boleh mampir dulu ke situ.

KEBEBASAN UNTUK USER
User diperbolehkan untuk mempromosikan blog, buku atau apa saja. Ada room khusus untuk itu.. Yah iseng-iseng untuk mengiklankan sesuatu.

User juga dimanjakan dengan adanya room-room khusus untuk marketing/ jual beli software, hardware, buku, sourcecode dan lain-lain.
Tapi ingat, MorphostLab tidak terlibat dalam masalah-masalah yang timbul dari room ini!

By:Morphic
Thanks to:
-Yudha yang udah sering ngupload virus ke MorphostLab. Semua virus yg diupload berinisial “y-“
-Satryacode, waaaa. Rajin-rajin kw kuliah!
-Shafry.
-Coe88
-Revil
-Silver Fox
-Xhadow. Thanks udah add facebook-ku bro.
-teman-teman yang udah mau nongkrong di MorphostLab ini!

Analisis virus Bang Hasmi

Memang bermacam-macam nama virus lokal. Malah ada nama virus yang namanya “Bang hasmi”.
He he he…
Gak tahu deh… Morphost menyebutnya “Bang Hasmi” kalo Av yg lain mungkin beda lagi…

Nih analisis virus ini:

Virus Name : Bang Hasmi [Morphost Antivirus Lokal]
Ukuran Virus : 155,648 bytes
Company : BKHN
Internalname : BangHasmi
Dikompil dgn : VisualBasic 6
Alamat projek : D:\Hasmi Farhandani NIM 091402061\virus\Data hasmi\banghasmi.vbp
Icon : folder win XP
CRC32 : FF25D3AF
MD5 : 57AE4997BD8170DE74E2D0AD7C04042D

Di alamat projek di atas ada tertulis “Hasmi Farhandani NIM 0901402061”. Yang mau aku sampaikan, gak usah terlalu percaya ama tulisan ini. Bukan berarti yang buat virus ini namanya “Hasmi Farhandani” yang berNIM 0901402061. Mungkin ini Cuma iseng. Atau Cuma nipu doang. He he he,.
Soalnya aku sering gitu..

Virus nyebar ke:
-C:\banghasmi.exe
-C:\windows\bang hasmi.exe
-C:\windows\system32\IExplorer.exe
-C:\windows\system32\shell.exe
-C:\windows\system32\MrHelloween.scr
-di Start Menu\Programs\Startup\Empty.pif
-di documents and settings\(user)\ Local Settings\Application Data\WINDOWS\CSRSS.EXE
-di documents and settings\(user)\ Local Settings\Application Data\WINDOWS\LSASS.EXE
-di documents and settings\(user)\ Local Settings\Application Data\WINDOWS\SERVICES.EXE
-di documents and settings\(user)\ Local Settings\Application Data\WINDOWS\SMSS.EXE
-di documents and settings\(user)\ Local Settings\Application Data\WINDOWS\WINLOGON.EXE

Virus ini melakukan penyerangan dengan dua kali eksekusi:
Eksekusi pertama:
-virus Bang Hasmi akan menyebarkan/membuat file virus seperti yang sudah tertera di atas.
Process virus yang aktif adalah file yang pertama kali dieksekusi

Eksekusi kedua: (maksudnya setelah kena virus, dieksekusi kembali)
Virus ini akan membuat file berikut:
-C:\banghasmi.exe
-C:\Data (user).exe
-C:\desktop.ini
-C:\banghasmi\folder.htt
-C:\banghasmi\New Folder.exe
Begitu juga dengan drive-drive lainnya…
Proses virus yang aktif adalah “shell.exe”
Ini adalah registry yang dimodif oleh bang Hasmi:
Analisis ini dilakukan dengan menggunakan GreenRegistry.

Nih hasil analisis green registry untuk virus ni.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\LogonAcer,C:\Documents and Settings\Acer\Local Settings\Application Data\WINDOWS\CSRSS.EXE,Dibuat
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Banghasmi,C:\WINDOWS\banghasmi.exe,Dibuat
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCMD,1,Dibuat
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions,1,Dibuat
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden,0,Diubah
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt,1,Diubah
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden,0,Diubah
HKEY_CLASSES_ROOT\exefile\shell\open\command\,”C:\WINDOWS\system32\shell.exe” “%1″ %*,Diubah
HKEY_LOCAL_MACHINE\software\Classes\exefile\shell\open\command\,”C:\WINDOWS\system32\shell.exe” “%1″ %*,Diubah
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell,Explorer.exe “C:\WINDOWS\system32\IExplorer.exe”,Diubah
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit,C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\IExplorer.exe,Diubah
HKEY_LOCAL_MACHINE\software\Classes\lnkfile\shell\open\command\,”C:\WINDOWS\system32\shell.exe” “%1″ %*,Diubah
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig,1,Dibuat
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell,C:\WINDOWS\Banghasmi.exe,Diubah
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\AlternateShell,C:\WINDOWS\Banghasmi.exe,Diubah
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools,1,Dibuat
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command\\,”C:\WINDOWS\system32\shell.exe” “%1″ %*,Diubah
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command\\,”C:\WINDOWS\system32\shell.exe” “%1″ %*,Diubah
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\piffile\shell\open\command\\,”C:\WINDOWS\system32\shell.exe” “%1″ %*,Diubah
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions,1,Dibuat

(btw, tunggu berita tentang green registry ya… sekarang masih dalam pengembangan lebih lanjut. Mungkin pertengahan desember bakal diluncurkan.)

Untuk pembersihan:
silakan gunakan Morphost Antivirus…

Mungkin sekian analisis kali ini:
He he he

By: Morphic
Special thanks to:
-Coe88. (“thanks buat virus ini ya… lain kali cantumkan aja alamat blog/web mu tiap kali upload virus, biar sekalian promosi blog. He he he)

Thanks to:
-smua anggota VirusCaptor

Kita udah ada forum (tanggal 24 November 2009 lalu baru dibuat)
http://www.morphorum.co.nr
join us!

Amburadul doesn’t sleep

Setelah dicek-cek ternyata sampel amburadul pun masih berserak di dunia maya..

Begini detailnya:

Nama Virus : Amburadul [Morphost], VirusBaru[J] dengan heuristik Morphost.
Ukuran Virus : 117,760 bytes
MD5 virus : A136431BADD796EE3623301F3D11EA33
CRC32 Virus : 9871B69B

PROSES VIRUS YANG AKTIF:
-csrss.exe
-smss.exe
-lsass.exe
-services.exe
-winlogon.exe
-~Paraysutki_VM_Community~

PENYEBARAN VIRUS:
-C:\autorun.inf
-C:\Friendster community.exe
-C:\MyImages.exe
-C:\PalMa.exe
-C:\J3MbataN K4HaYan.exe
-C:\FoToKu 16-11-2009.exe (File ini sesuai kapan tanggal virus diekesekusi)
-C:\Windows\linkinfo.dll (awalnya, aku pikir ini alman.)
-C:\windows\temp\Amburadul_List².txt (file ini berisi nama-nama file yang disembunyikan oleh virus. File-file yang disembunyikan biasanya file gambar yang ada di flashdisk. Dan si virus menduplikatkan dirinya sesuai dengan nama file yang disembunyikan. Amburadul melakukan hal ini supaya dia tahu file-file apa saja yang sudah disembunyikan dan mana yang belum.)
-C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~²\~Paraysutki_VM_Community~
-C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~²\lsass.exe
-C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~²\services.exe
-C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~²\winlogon.exe
-C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~²\csrss.exe
-C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~²\smss.exe
-C:\Images\M0D3L_P4ray_ 2009.exe
-C:\Images\MalAm MinGGuan.exe
-C:\Images\TrenD 9aya RAm8ut 2009.exe
-C:\Images\PiKnIk dT4ngKilin9.exe
-C:\Images\_PAlbTN\GePaCar4an Neh!!!.exe
-C:\Images\_PAlbTN\Ma5tURbas1 XL1M4xs.exe
-C:\Images\_PAlbTN\Ke.. TaUan N90C0k.exe
-Amburadul juga melakukan duplikasi pada flashdisk kalo ada file gambarnya… Jumlah duplikat virus sama dengan file gambar yang ada.

Sebenarnya sih, virus ini sudah terdetek oleh heuristik Morphost. Lihat gambar dibawah ini:

Namavirusnya “Virus Baru [J]”

Sementara untuk regedit yang dimodif, tertulis digambar di bawah ini. Sayangnya, saya malas untuk mengetiknya kembali. He he he…
Jadi di zoom aja ya…

Perinciannya sebagai berikut:

Dan sekali mohon maaf, tools Green Registry ini belum bisa kalian dapatkan.
Ternyata, virus amburadul ini belum habis juga. He he he… Tapi yang jelas virus ini belum bisa dikategorikan VirusAbadi.

Sampai saat ini, MorphostLab sudah mencatat dua virus yang masuk ke dalam kategori VirusAbadi, yaitu Alman dan Sality. Sedangkan Conficker dan Virut masih dalam penangguhan.

Oke, sekian dulu.

Byeee

Analyzed by: Morphic
http://www.morphostlab.co.nr
karta_morphic@yahoo.co.id

Anggota baru MorphostLab (sampai tanggal 13 November 2009)

Sampai tanggal 14 November 2009, sudah terdata 6 orang anggota baru MorphostLab.
Secara pribadi saya ucapkan selamat datang di MorphostLab dan selamat bergabung!

[VirusCaptor Group]
-ADNAN s4dly (http://toxic-smada.blogspot.com)

[VirusAnalyst Group]
-Supernatural
-Faiz

[Designer]
-Xhadow

[A&D Group]
-Adie (http://www.riadi-aceh.co.cc)

[Independent Group]
-Coe88

Nama-nama anggota-anggota baru ini sudah dimasukkan ke dalam daftar team yang ada di RTP Morphost.

Artikel ini ditulis secara sah dan resmi oleh Morphic.

By:Morphic
http://www.morphostlab.co.nr
karta_morphic@yahoo.co.id

Hellspawn is coming back!

Pernah mendengar nama Hellspawn? Ato pernah mendengar karyanya?
Virus Moonlight!

Ya. Hellspawn dulu pernah membuat Moonlight.

Dan sepertinya dia mencoba virus yang baru lagi nih! Begini analisanya.

Virusname : Hellspawn [Morphost]
Size : 57,378 bytes
Icon : folder

Virus ini suka dengan filename yang random.
Kebetulan kali ini saya tidak menyertakan hasil regedit-nya karena alasan tidak sempat.
Tapi untuk penyebaran filenya bakal saya tulis di artikel ini.

Virus ini menyebar/membuat file ke:
-berduplikat sesuai nama folder yang ada (di flashdisk)
-C:\windows\u8GoTyspawn.cmd (yang ini pasti random!)
-C:\windows\u8GoTy\service.exe (nama foldernya random!)
-C:\windows\u8GoTy\winlogon.exe (nama foldernya random!)
-C:\windows\system32\zsi2rc8a.exe (nama filenya random!)
-C:\windows\system32\dRn3N2S43.exe (nama filenya random!)
-C:\windows\system32\2si2rc8\smss.exe (nama foldernya random!)
-C:\windows\system32\2si2rc8\lsass.exe (nama foldernya random!)
-Pada folder startup startmenu ada nama file “msdos.cmd”
-Pada My documents ada file html dengan nama file “about.html”

Sekali lagi maaf, karena dalam artikel kali ini tidak ada hasil analisis regedit yang dirusak. Tapi kamu bisa pakai Morphost untuk memperbaiki regedit-regedit umum yang dirusak.

CARA PENCEGAHAN
-hati-hati membuka folder yang ada di flashdiskmu. Karena semua folder yang ada di flashdiskmu disembunyikan dan semua virusnya bakal memanfaatkan kelalaianmu. Virusnya berduplikat sesuai nama-nama folder yang ada di flashdiskmu.
-Scan flashdiskmu dengan Morphost atau antivirus lain.
-Pakai mesin tik untuk mengurangi penyebaran virus ini.

CARA PEMBERSIHAN / PENGOBATAN
-Scan komputermu dengan Morphost antivirus. Pakai database terbaru.

By:Morphic

thanks to:
-Muamar Kudo
-Adnan S4dly
-Xhadow

Analisis NadiaSaphira A dan NadiaSaphira B

NadiaSaphira-A versus NadiaSaphira-B

Kali ini tutorialnya membahas kedua varian virus NadiaSaphira.
Menurut kami ada dua varian NadiaSaphira yaitu varian A dan varian B.

NadiaSaphira-A
Size : 53,256 bytes
NadiaSaphira-B
Size : 69,936 bytes

Jika dieksekusi kedua file sama-sama membuat file:
-C:\windows\taskmgr.exe
-C:\Windows\system32\misconfig.exe
-C:\windows\system32\MS586.sys

Dan jika file taskmgr.exe dihidupkan (misalnya taskmgr.exe) maka akan muncul lagi file-file baru:
-C:\windows\taskmgr.ini
-C:\windows\nadiasaphira.ini
-C:\windows\autorun.inf
-C:\windows\system32\.exe
-C:\windows\system32\allsys.exe
-C:\windows\system32\attrib.exe
-C:\windows\wtoolsb.exe
-C:\windows\misconfig.ini
-membuat file virus di folder Startup dengan filename “lan.exe”

Selain itu semua, virus ini juga berduplikat sesuai nama-nama folder yang ada di komputermu (selain drive C). Semua folder di Flashdisk juga. Folder asli disembunyikan.

Dengan software GreenRegistry, kelihatan registry-registry yang ditongkrongin ama si Nadia.

Dengan perincian sebagai berikut:

Kedua varian sama-sama menyerang registry yang sama.

Selain ukuran yang berbeda, ada perbedaan lainnya lagi…
Perbedaan PERTAMA
-setiap kali dieksekusi, NadiaSaphira B selalu memeriksa folder tiruannya. Apabila ada maka folder tersebut disembunyikan, jika tidak ada folder tersebut akan “DIBUAT” dan disembunyikan.
-sedangkan NadiaSaphira A jika dieksekusi hanya menyembunyikan folder yang ditirunya tanpa memperdulikan ada tidaknya folder itu.

Perbedaan KEDUA
-Nadiasaphira A setiap saat memeriksa dan mempertahankan keberadaan file “C:\windows\system32\wtoolsb.exe”
-sedangkan NadiaSaphira B memeriksa dan mempertahankan keberadaan file “C:\windows\system32\wtoolsb.exe” dan “C:\windows\system32\allsys.exe”

Perbedaan KETIGA
-File “C:\windows\system32\.exe” milik Naphira A berukuran 0 KB, dan berartribut normal.
-sedangkan file “C:\windows\system32\.exe” milik Naphira B berukuran 17 KB dan berartribut superhidden.

Perbedaan KEEMPAT
-Naphira A tidak membuat file “C:\windows\system32\system”
-sedangkan Naphira B membuat file “C:\windows\system32\system” yang berartribut super hidden.
(CATATAN: file “C:\windows\system32\system” memiliki checksum yang sama dengan “C:\windows\system32\.exe” pada Naphira B)

Perbedaan KELIMA
-Naphira A tidak membuat folder “DLLCACHE” pada direktori “C:\windows\system32”
-sedangkan Naphira B membuat folder “DLLCACHE” yang isinya file “.exe” dan “system”. Keduanya berukuran 17KB dan berbeda checksum.

Ya, kira-kira itulah yang bisa saya tangkap saat analisis.

Sebenarnya mungkin saja si VM punya lebih banyak varian (Nadiasaphira) Naphira ini. Atau mungkin saja si VM tertawa-tawa habis membaca tutorial ini.
Kedua varian diatas bukanlah varian A dan varian B yang sesungguhnya. Di antivirus lain mungkin saja varian A disebut varian B atau sebaliknya.
Kami menentukan kedua varian ini berdasarkan tanggal masuk dan skill virus masing-masing. Masih ada sih, varian lain selain kedua varian ini. Tapi semuanya masih punya kemiripan dengan kedua varian ini.
Itu alasan kenapa kami menentukan kedua varian ini sebagai varian besar A dan B.

PENCEGAHAN:
Pencegahan terhadap virus ini bisa dilakukan beberapa cara:
-berhati-hati membuka flashdisk karena si virus membuat file autorun.inf pada flashdisk.
-pastikan kamu membuka folder yang benar.
Ingat! Virus Naphira ini berduplikat dengan nama folder tiruan. Lihat semua folder yang ada di flashdisk kamu. Kalau semua ukurannya sama berarti itu virus Naphira. Umumnya ukuran Naphira ini ada yang 53KB atau 69KB.

-Scan flashdisk anda dengan Morphost. Gunakan database Morphost yang paling baru.

PENGOBATAN:
-Gunakanlah Morphost Antivirus. Pakai database Morphost 7 atau database yang lebih baru lagi…

Sekian analisis NadiaSaphira

Analyzed by: Morphic
-Nadiasaphira VM (sori, aku bikin julukan baru untuk virus ini. “Naphira”) he he he…
-seluruh mahasiswa FK USU 2009

Amburadul varian Baru atau bukan?

Ini Amburadul varian baru atau bukan?

Beberapa hari yang lalu, saya dapat sampel baru. Saya lupa siapa yang memberi link download virus ini.

Tapi yang jelas virus ini sebenarnya sudah bisa dideteksi dengan antivirus Morphost. (gunakan database Morphost terbaru). Diberi nama Autoit. Dan memang saya tidak yakin. Antivirus tetangga menyebutnya “JavaUnicode”.

Setelah dipikir-pikir emang bisa juga sih. Karena hampir semua filenya berfilename unicode.

Tapi kebetulan hasil analisa virus ini belum dipost di MorphostLab, jadi kali ini gak salah untuk ngepost artikel ini.

He he he

NamaVirus : Masih belum jelas

Ukuran : 287,566 bytes

Virusnya menyebar ke:

-C:\Document And settngs\[User]\Application Data\Java\ߙJviewʚ.exe

-C:\Document And Settings\[User]\Application Data\Java\ϝshimgvwʅ.exe

-C:\Document And settings\[User]\application Data\Java\desktop.ini

- C:\Document and settings\[User]\Local Settings\Application Data\Microsoft\CD Burning\Autorun.inf

- C:\ Document and settings\[User]\Local Settings\Application Data\Microsoft\CD Burning\Recycler\… (Di dalam folder recycler masih ada dua file lagi. Saya menduga kedua file ini adalah file virus dan desktop.ini. saya tidak sempat membuka folder ini.)

Saat membuka virus ini, yang muncul malah:

Registry yang dirusak seperti yang digambarkan dibawah ini:

Dengan perincian sebagai berikut:

Sementara process yang hidup di kompiku ada 2:
-ߙJviewʚ.exe
-ϝshimgvwʅ.exe

-

sekian analisis tentang virus ini:

By:Morphic

http://www.morphostlab.co.nr

special thanks to:

-Adnan s4dly (viruscaptor kami)
-Xhadow (Designer kami)
-adie (A&D kami)
-Yudha (Viruscaptor kami)
-Neo Bekabe (VirusCaptor kami)
-Nash (Viruscaptor kami)

(setiap kali dapat virus upload yaa..)