MorphostLab

Tempat nongkrongnya Morphic dan kawan-kawan

Analisis Rieysha-Local.Worm

Posted by Morphic pada Agustus 28, 2008


Buat bro Anharku, ini adalah artikel yang mengulas analisis virusmu yang kedua. Ga pa pa kan?.

(BACA: Hasil analisa berikut tidak sepenuhnya benar, mungkin saja saya salah menganalisa!)

Hasil Analisa

Nama Malware : Rieysha-Local.Worm [Morphost], sampai tanggal 26 Agustus 2008 Antivirus Kaspersky, McAfee dan TrendMicro belum bisa mendeteksi virus ini

Ukuran : 172,032 bytes

Pengirim Virus : Anharku

Icon : icon folder dengan panah hijau.

CRC32 : 65B88607 (berdasarkan file yang dikirim)

MD5 : 271C86624DCD2F75B13FF4477ACB3FF6 (berdasarkan file yang dikirim)

Dibuat dengan : Visual Basic

Direktori projek saat pembuatan virus ini adalah:

E:\rieysha\awas\v1r\baRuV\Virus_Start_Kiddies\Viru Kejar DakuEDITANQ\Becanda.vbp

Membuat registry key berikut:

* [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile]

* Default = “File Folder”

* [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]

* Notepad = “%System%\win34.exe”

* [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies]

* Explorer = 0x00000001

* [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

* NoClose = 0x00000001

* NoRun = 0x00000001

* NoFolderOptions = 0x00000001

* NoDrives = 0x00000004

* NoFind = 0x00000001

* [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

* DisableTaskMgr = 0x00000001

* DisableCMD = 0x00000001

* DisableRegistryTools = 0x00000001

* [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

* r13y5h4.exe = “%Windir%\r13y5h4.exe”

*

* Memodifikasi registry value:

* [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

* DefaultValue = 0x00000001

* [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]

* RegisteredOrganization = “kamu kembali”

* RegisteredOwner = “sayang kapan”

* [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

* Shell = “%System%\win34.exe”

* Userinit = “%System%\win34.exe”

* [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot]

* AlternateShell = “%System%\win34.exe”

* [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]

* AlternateShell = “%System%\win34.exe”

* [HKEY_CURRENT_USER\Control Panel\International]

* s1159 = “rieysha”

* s2359 = “rieysha”

* [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

* Start Page = “http://h1.ripway.com/anharku”

* [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

* NoDriveTypeAutoRun = 0x00000000

*

=============================================================================

Ada dikit kemiripan (menurut saya) dengan Rieysha-Desa. Yah, pembuatnya juga sama! Anharku!

Signature worm ini sudah saya masukkan ke dalam database Morphost. Jadi kamu sudah bisa menggunakan Morphost untuk menscan Komputermu dari Rieysha-Local.Worm.

Kalo Rieysha-Local.Worm belum juga pergi dari komputermu. Lakukan langkah berikut:

-Pilih tab settings

-Pilih options ”let users make their database themselves” pada frames “database”

-Lalu masukkan satu saja sampel Rieysha-Local.Worm

-Dan langsung scan!

By: Morphic

http://www.morphic.co.nr (Comment me here)

http://www.friendster.com/morphic (friendster)

https://morphians.wordpress.com (my blog)

karta_morphic@yahoo.co.id (my email)

http://morphic.4shared.com (download Morphost and Morphost database here!)

and don’t forget to join with MorphostLab (FriendsterGroup)

My thanks go to Anharku, MorphostLab, anak-anak Permata Setia Budi, anak-anak Smansa Medan, anak-anak kelas XII IPA 10 Smansa Medan, and others.

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
%d blogger menyukai ini: