MorphostLab

Tempat nongkrongnya Morphic dan kawan-kawan

Analisis Word.Worm alias W32.Worm by Morphic

Posted by Morphic pada September 16, 2008


Kali ini virus yang aku analisa adalah virus Word.Worm alias W32.Word. Kurang lebih inilah hasil analisanya.

(BACA: Hasil analisa berikut tidak sepenuhnya benar, mungkin saja saya salah menganalisa!)

Hasil Analisa

Nama Malware : Word.Worm [Morphost], Mal/SillyFDC-A [Sophos]

Ukuran : 742,400 bytes

Pengirim Virus : Kholis

Icon : Ms.Word.

CRC32 : E84366B4 (berdasarkan file yang dikirim)

MD5 : 0D57C603D11E5E5CFE3B8F1C502779D7 (berdasarkan file yang dikirim)

Dibuat dengan : Visual Basic

Company Name : 100 KB

Internal Name : Readme

Packer : UPX 0.89.6 – 1.02 / 1.05 – 1.24 -> Markus & Laszlo

Library yang berhubungan dengan virus ini antara lain:

A6.dll (lokasi: ?)

Kernell32.dll (lokasi: C:\windows\system32)

Msvbvm60.dll (lokasi: C:\windows\system32)

6.OLB (lokasi: ?)

(mungkin untuk yang diatas ini, Kholis gak sadar ya….. Tapi begitulah, hasil analisa kami mengatakan demikian)

Virus ini akan memunculkan kotak dialog seperti dibawah ini:

File-file yang diciptakan oleh virus ini antara lain:

c:\67Readme.exe

Ukuran: 742,400 bytes

MD5: 0D57C603D11E5E5CFE3B8F1C502779D7

– c:\windows\Readme.exe

Ukuran: 742,400 bytes

MD5: 0D57C603D11E5E5CFE3B8F1C502779D7

– c:\windows\system32\Casper.bmp

Ukuran: 1,896,174 bytes

MD5: E28DA4CA511E7497E3AF433DAC073ED4

– c:\windows\system32\Prisa.bmp

Ukuran: 1,713,534 bytes

MD5: 09ED82E8FEEE1E5F292844F8FE1BFFE6

– c:\windows\system32\Ratatouille.bmp

Ukuran: 1,570,014 bytes

MD5: 6007EC7CFD76E0EA719024622CB989D8

Tapi untuk sejauh ini, kami masih belum bisa menganalisis registry yang dirusak. Ada kemungkinan bahwa virus ini tidak memodifikasi registry.

=============================================================================

Kalau ada penyerangan lainnya silakan beritahu saya.

Signature worm ini sudah saya masukkan ke dalam database Morphost. Jadi kamu sudah bisa menggunakan Morphost untuk menscan Komputermu dari Word.Worm alias W32.Worm

Kalo Word.Worm belum juga pergi dari komputermu. Lakukan langkah berikut:

-Pilih tab settings

-Pilih options ”let users make their database themselves” pada frames “database”

-Lalu masukkan satu saja sampel Word.Worm misalnya yang ada di ”c:\windows\Readme.exe”

-Dan langsung scan!

By: Morphic

http://www.morphic.co.nr (Comment me here)

http://www.friendster.com/morphic (friendster)

https://morphians.wordpress.com (my blog)

karta_morphic@yahoo.co.id (my email)

http://morphic.4shared.com (download Morphost and Morphost database here!)

and don’t forget to join with MorphostLab (FriendsterGroup)

My thanks go to Mas Aat Shadewa, Kholis, Virologi, and Others.

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
%d blogger menyukai ini: