MorphostLab

Tempat nongkrongnya Morphic dan kawan-kawan

Analisa Rieysha-Desa.Worm

Posted by Morphic pada Agustus 23, 2008



Neh, analisa tentang virus Rieysha-Desa.Worm. Makan neh hasil analisa!

Hasil Analisa
Nama Malware : Rieysha-Desa.Worm [Morphost], (Sampai tanggal 16 Agustus Kaspersky, McAfee, TrendMicro belum mendeteksi worm ini)
Ukuran : 151,552 bytes
Pengirim Virus : Anharku
Icon : kira-kira seperti gambar kaset.
CRC32 : 5ABCD818 (berdasarkan file yang dikirim)
MD5 : 20314572D08FF530618E0A86C056A344 (berdasarkan file yang dikirim)
Dibuat dengan : tanya ama Anharku. He he he

Proses virus yang muncul:
-andai_kau_tahu.exe
-anuku_milikbersama.exe
-alcmtrr.exe
-alman.exe
-alcwizrd.exe

Membuat Registry Value:
o [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
§ nikmatnya_gadis_desa = “C:\nikmatnya_gadis_desa.exe”
o [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies]
§ Explorer = “NoClose”
o [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
§ NoRun = 0x00000001
§ NoFolderOptions = 0x00000001
§ NoDrives = 0x00000004
§ NoViewOnDrive = 0x00000004
§ NoFind = 0x00000001
§ NoStarMenuMorePrograms = 0x00000001
§ NoClose = 0x00000001
o [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
§ DisableTaskMgr = 0x00000001
§ DisableCMD = 0x00000001
§ DisableRegistryTools = 0x00000001
§
· Memodifikasi registry value:
o [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
§ DefaultValue = 0x00000001
o [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
§ RegisteredOrganization = “GAWEAN JOGJA”
§ RegisteredOwner = “KOMPUTER IKI”
o [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot]
§ AlternateShell = “filmBokep.exe”
o [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
§ AlternateShell = “filmBokep.exe”
o [HKEY_CURRENT_USER\Control Panel\International]
§ s1159 = “rieysha”
§ s2359 = “rieysha”
o [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
§ Start Page = “http://h1.ripway.com/anharku”
o [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
§ NoDriveTypeAutoRun = 0x00000000

=============================================================================

Signature worm ini sudah saya masukkan ke dalam database Morphost. Jadi kamu sudah bisa menggunakan Morphost untuk menscan Komputermu dari Rieysha-Desa.Worm.
Kalo Rieysha-Desa.Worm belum juga pergi dari komputermu. Lakukan langkah berikut:
-Pilih tab settings
-Pilih options ”let users make their database themselves” pada frames “database”
-Lalu masukkan satu saja sampel Rieysha-Desa.Worm
-Dan langsung scan!

By: Morphic
http://www.morphic.co.nr (Comment me here)
http://www.friendster.com/morphic (friendster)
https://morphians.wordpress.com (my blog)
karta_morphic@yahoo.co.id (my email)
http://morphic.4shared.com (download Morphost and Morphost database here!)
and don’t forget to join with MorphostLab (FriendsterGroup)
My thanks go to ThreatExpert, Virologi, SoulHacker, Axer, FireboltDave, Smansa Medan, MorphostLab!

6 Tanggapan to “Analisa Rieysha-Desa.Worm”

  1. Sikatro said

    Virus Rieysha dan variannya mana? di daftar database sudah tidak ada sama sekali??? padahal database sebelumnya saya lihat ada.

  2. muamarkudo said

    ini buatannya anharku ya?

  3. Morphic said

    #kabelutup
    oce…
    thanks

  4. kabelutp said

    ini link artikel tentang analisi virus lokal lumyan bagus juga

    http://info-utama.blogspot.com/2008/12/analisis-teknik-virus-computer-lokal.html

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
%d blogger menyukai ini: