MorphostLab

Tempat nongkrongnya Morphic dan kawan-kawan

Camfrog? Virus atau bukan?

Posted by Morphic pada Februari 8, 2009


Satu lagi virus Indonesia yang baru aja muncul nih… MorphostLab menamainya Camfrog.Worm karena filename-nya demikian. Yang menjadi hal yang aneh adalah apakah camfrog ini virus atau bukan….

Dilihat dari icon, kelihatannya bukan virus. Iconnya mirip gambar kodok!

Sampai sejauh ini hanya ada beberapa antivirus yang bisa mendeteksi virus camfrog ini antara lain,
-Sophos. Sophos menyebutnya sebagai Mal/Silly-FDC.
-Kaspersky. Kebetulan virus ini bisa terdeteksi dengan metode heuristik cek packer oleh Kaspersky. Kaspersky menyebutnya “packed with: ASPack”
-Morphost. Virus ini baru bisa dideteksi setelah virus ini aku dapatkan.
-untuk antivirus lain aku belum tahu. Khususnya untuk antivirus Indonesia, aku belum coba.

Virus ini dibuat oleh anak bangsa sendiri (alias Indonesia). Tanpa kita sadari memang begitu banyak bakal-bakal anak-anak cerdas Indonesia di bidang IT. He he he he….

Virus ini menyebar dan membuat file:
c:\autorun.inf
c:\BOOTSECT.exe
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\HotKeyDrive.exe
C:\Program Files\WindowsUpdate.exe
C:\Windows\pchealth\helpctr\MSConfig.exe
C:\Windows\settings.exe
C:\Windows\System\imaps.exe
C:\Windows\System\lnkstfb.exe
C:\Windows\System\svchosts.exe
C:\Windows\System\users.exe
C:\Windows\System\winflags.scr
C:\Windows\System\216114.htm

Dan ini nama-nama process yang aktif di Morphost taskmanager yang kulihat.
-users.exe
-imaps.exe
-settings.exe
-lnkstfb.exe
-svchosts.exe

Silakan matikan proses-proses virus camfrog diatas….

Dan ini adalah alamat-alamat registry yang dimainkan si Camfrog…

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\JSFile\Shell\Open\Command]
(Default) = “%System%\users.exe “%1″ %*”
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\JSFile\Shell\Open2\Command]
(Default) = “%System%\users.exe “%1″ %*”
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\Shell\Open\Command]
(Default) = “%System%\users.exe “%1″ %*”
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\Shell\Open2\Command]
(Default) = “%System%\winflags.scr “%1″ %*”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
HideFileExt = 0x00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
NoDispCPL = 0x00000001
DisableRegistryTools = 0x00000001
DisableTaskMgr = 0x00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
NoPropertiesMyComputer = 0x00000001
NoControlPanel = 0x00000001
NoFolderOptions = 0x00000001
NoRun = 0x00000001
NoFind = 0x00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
UserServicesProc = “%System%\users.exe”
StoreProc = “%Windir%\pchealth\helpctr\MSConfig.exe”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe]
Debugger = “%System%\imaps.exe”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\notepad.exe]
Debugger = “%ProgramFiles%\WindowsUpdate.exe”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Taskmgr.exe]
Debugger = “%System%\svchosts.exe”

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoPropertiesMyComputer = 0x00000001
NoControlPanel = 0x00000001
NoFolderOptions = 0x00000001
NoRun = 0x00000001
NoFind = 0x00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
NoDispCPL = 0x00000001
DisableRegistryTools = 0x00000001
DisableTaskMgr = 0x00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
ScreenSav = “%Windir%\settings.exe”

[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]
DisableCMD = 0x00000002

Camfrog juga menghapus alamat-alamat registry berikut:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\JSFile\Shell\Open\Command]
(Default) = “%SystemRoot%\System32\WScript.exe “%1″ %*”
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\JSFile\Shell\Open2\Command]
(Default) = “%SystemRoot%\System32\CScript.exe “%1″ %*”
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\Shell\Open\Command]
(Default) = “%SystemRoot%\System32\WScript.exe “%1″ %*”
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\VBSFile\Shell\Open2\Command]
(Default) = “%SystemRoot%\System32\CScript.exe “%1″ %*”

Camfrog juga gak lupa untuk memodif alamat registry berikut:
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command]
(Default) = “%System%\winflags.scr “%1″ %*”
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command]
(Default) = “%System%\users.exe “%1″ %*”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Shell = “Explorer.exe “%System%\users.exe””

Yah mungkin sekian artikel ini kutulis. He he he….

By: Morphic

MyBlogSite : (http://www.morphostlab.co.nr)
MyFriendster (http://www.friendster.com/morphic)
MyEmail (karta_morphic@yahoo.co.id)

Thanks to:
-Cacing_mabok (thanks for all)
-Anharku
-A.M.Hirin
-Maridjo
-Jonathan (met ultah ya tgl 7 februari ini. Thanks udah mau jadi teman sebangkuku selama 3 tahun ini)
-Adikku (yang kakinya lagi sakit kena knalpot. He he he)
-and others…

—————————————————————————————————————-
——————————————- End of Tutorial —————————————————–
—————————————————————————————————————-

Ada yang mau kupromosiin nih. Sekalian bikin tutorial.. he he he…
Bagi teman-teman virologers atau all readers… pengen punya domain “.com” atau “.net” atau “.info” atau yang lainnya secara gratis????

(bagi yang dah tahu gak usah baca lagi yooo)
Sekarang ada cara untuk dapatin domain-domain bagus seperti itu secara gratis tanpa bayar….

Caranya login di sini:
klik disini

20 Tanggapan to “Camfrog? Virus atau bukan?”

  1. Rudjen said

    woi phic minta crcnya file-file dibawah

    c:\autorun.inf
    c:\BOOTSECT.exe
    C:\Documents and Settings\All Users\Start Menu\Programs\Startup\HotKeyDrive.exe
    C:\Program Files\WindowsUpdate.exe
    C:\Windows\pchealth\helpctr\MSConfig.exe
    C:\Windows\settings.exe
    C:\Windows\System\imaps.exe
    C:\Windows\System\lnkstfb.exe
    C:\Windows\System\svchosts.exe
    C:\Windows\System\users.exe
    C:\Windows\System\winflags.scr
    C:\Windows\System\216114.htm

    Send via E-mail Aja
    Pls…

  2. adys said

    eh, mas…jgn irimin virusnya dl y…aq mo ngerjain tugas dr seolha dl…maklum b.guru ketikannya lg bnyak…

  3. adys said

    camfrog.worm yg diserang pa aj?? kl virus buat ganggu camfrog ada g??pusing aq, swmiq kecanduan chatting camfrog…bls k emailq cpt y…makasih…

  4. Masdukun said

    Awalnya dari sini

    http://masdukiwahid.blogspot.com/2009/01/camfrog-video-chat-pro-code-key.html?showComment=1244852303195#c3683639057477754387

    Larinya kesini

    http://virscan.org/report/8f799adabc55258f6d8d7fda46851715.html

  5. Morphic said

    @Agoes
    ya sama-sama

  6. AGOES said

    wah ternyata banyak juga yang terkena virus ini yah bro….aku kira cuman aku aja yg kena…pasti yang buat virus sudah buat variannya…bro Morphic pasti jadi sibuk neh buat antivirusnya…sukses yah..

    Thanx sudah menindaklanjuti virus yang aku kirim

  7. Morphic said

    #Radit
    wah, complicated sekali ya…
    sebelumnya saya belum tahu soal “pulsatelpgenerator.exe” itu. File itu terdeteksi Morphost dengan metode heuristik. saya yakin itu.

    Menurut saya (pendapat saya sementara), file “pulsatelpgenerator.exe” itu adalah virus yang berbeda dengan camfrog.

    ato mungkin camfrog yang ada di komp-mu adalah varian yang baru.
    kalo boleh kirimin dongk sampel-nya…

  8. Radit said

    sorry ada yg ketinggalan,,, pas di scan pake Morphost yang muncul Virus Name nya pulsatelpgenerator.exe,,

    dan itu emang bener, soalnya ada SDCard yang kena juga pas dibuka di mac keliatan ada 2 file hidden dan di lock : autorun.inf dan pulsatelpgenerator.exe tadi,,,,,

    satu lagi, awal dari semua ini karna gw install camfrogcodeGENERATOR.exe,,,, abis itu kacauu semuaa,,,

    trims skali lagi hehe,,

  9. Radit said

    iya virus camfrog ini, persis bgt file2 yang dibuatnya juga,,,

    oia, barusan dah coba scan pake morphost+database terbaru, memang kena sih, tadi ada sekitar 50 yg infected, trus setelah selese di restart, masuk safe mode, lalu scan lagi,,,

    pas balik lagi ke normal mode, ttp aja muncul lagi, taunya karna gw pake Spybot S&D, yang kalo ada value registry yang berubah muncul popup window yg nanya mau di Allow or Deny Change,,, yang muncul di Spybot tadi jg file2 spt : settings.exe, imaps.exe, dll,, trus ada lagi registry2 yang diganti valuenya spt : NoFind, DisableRegistryTool, no taskmanager, NoSearch, blablabla,,,,,,,

    gimana ini jadinya?
    tolong bgt ya,,, ga bisa ngerjain apa2 nih,,,

    trims,,

  10. Morphic said

    @Rudy
    oke deh. mudah-mudahan kalo gak ada halangan, dalam waktu dekat aku bikin artikel mengenai alamat-alamat registry yang normal…

    @Radit
    virus yang kamu maksud virus apa? virus Camfrog? (virus dibahas dalam artikel ini?)
    kalo bukan, saya boleh minta sampel-nya?

  11. Morphic said

    @Rudy
    oke deh. mudah-mudahan kalo gak ada halangan, dalam waktu dekat aku bikin artikel mengenai alamat-alamat registry yang normal…

  12. Radit said

    bos, kompi gw kena nih,, mana lagi deadline skripsi tgl 11 pula,, udah dicoba di delete file2 itu, tapi seperti biasa, file2nya balik lagi,,,

    gw udah pake bbrp tools spt : Restriction Removal Tool/RRT, HijackThis, WhatsRunning, tapi tetep aja bandel tuh virus,,

    sbnrnya ini nama virusnya apa sih? biar gw ga bingung mo googling nya,,

    trus cara ngapusnya gimana ya? tolong donk bos step-by-stepnya,,

    btw, kmrn coba scan pake Morphost koq ga kena ya? ato karna blm pake database yang terbaru? baru mo update skrg nih,,

    thanks ya bos,,,

  13. rudy said

    so…kl bisa dimohon dgn sangat tolong diposting value registry normalnya, soalnya butuh bgt, windows gw sekrg hilang control panel, notepad, taskmanager, dll…..pokoknya stress dah…plz yee boss……ditunggu postingannya….thx a lot

  14. Morphic said

    @Rudy
    betul juga kamu ya….
    di artikel yang kutulis diatas, lupa kujelasin value registry normal-nya….
    he he he

    memang harus manual tuh..

  15. rudy said

    bos, comp gw kena virus ini, anti virus yg gw pake bitdefender emang detect nih virus sbg BehaveslikeWin32.malware, file virusnya seperrti yg disebutkan di atas, ud gw delete filenya,problemnya sekrg gimana merubah setingan regitry windows yg udah diacak2x nih virus ke setingan normal,soalnya dlm artikel di atas kgk dijelasin setingan normal registry nya apa, tolong dibantu bos, thx

  16. Morphic said

    @Aa.Lil

    yoi,
    nih virus dah bisa diberesin…

    thnks dukungannya…

  17. aa.LiL said

    wew… Virus lokal baru neh bos??

    dapet aja neh virus nya…hehehe..

    dah kedetect sama morphost blm bos??

    saya lagi coba terus morphost neh bos..

    thanks yo.. di tunggu kabarnya..

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
%d blogger menyukai ini: