MorphostLab

Tempat nongkrongnya Morphic dan kawan-kawan

Analisis Sampel Virus BugAV

Posted by Morphic pada Mei 6, 2009


Ini analisis saya mengenai virus BugAV.

Saya mencoba (menjalankan) virus ini di tiga computer. 2 komputer warnet dan satunya lagi komputer saya sendiri…
Kenapa saya bisa nekat sampe-sampe ngejalaninnya di komputer sendiri? Yah ,karena si penulis virus sendiri bilang kalo virus ini Cuma virus biasa…

Yah,,, Cuma satu harapanku. Yaitu, mudah-mudahan virus ini gak menon-aktifkan system restore… he he he he..

Ciri-ciri fisik:
Filename : bugAV.exe
Icon : Microsoft Word
Size : 250,796 bytes

Komputer I: (komputer warnet)
Saat menjalankannya yang muncul pertama kali adalah microsoft word. Aku heran. Kenapa bisa ms.word tiba-tiba muncul. Tapi yang jelas ini bukan jadi masalah. Bisa aja secara gak sengaja memang ms.word terklik dua kali oleh tanganku…

Pertama, ku scan dengan morphost. Tidak terdeteksi. Yah karena memang signaturenya belum kutambah ke databasenya. He he he he…

Aku belum sempat lihat task manager secara mendetail, karena biaya warnet juga udah manggil…

Regedit OK. Gak ada masalah.

Komputer II: (komputer pribadi)
Komputer pribadiku agak berbeda nih… entah kenapa. Sebelum menghidupkan virus ini aku meng-create restore point. Supaya misalnya nanti ada apa-apa saya bisa mengembalikan komputerku ke semula…

Pertama kali dihidupkan tidak terjadi apa-apa. Pada taskmanager tidak ada process yang mencurigakan. Bahkan process BugAV juga gak ada….

Regedit OK. Yah memang gak ada perubahan registry kata si penulis virus.

Analisis dilanjutkan. Ternyata virus ini dipack! Menurutku packer yang digunakan adalah UPX!

Analisis yang kulakukan di komputerku sia-sia. Tidak ada hasil.

Komputer III: (Komputer Warnet)
Sore harinya, aku pergi ke warnet yang lain. Di situ aku menjalankan virus ini. Begitu saya masukkan flashdisk, gak beberapa lama kemudian Kasp*rsky (antivirus yang terinstal di komputer warnet) mendeteksi virus BugAV.

Antivirus Kasp*rsky menyebutnya Packed with UPX.

Setelah lama berusaha untuk meng-uninstal Kasp*rsky, akhirnya saya bisa menjalankan virus BugAV tanpa halangan. Itu pun setelah didownload lagi.

Analisis di komputer III ini cukup memuaskan.
Virus ini ternyata membuat file berikut:

C:\Documents and Settings\Blue-Net\Local Settings\Temp\BugAV
Size: 1 bytes

C:\Documents and Settings\Blue-Net\Start Menu\Programs\Startup\?.exe
Size: 0 bytes

C:\RECYCLER\BugAV
Size: 1 bytes

Setelah di cek di taskmanager ada satu process yang namanya BugAV.exe.
Dan menurut saya, sepertinya ada process yang tersembunyi!

Akhir Analisis:
Saya sudah mendapatkan checksum dari ketiga file di atas dan file BugAV.exe juga. Bahkan checksum MD5nya juga sudah saya peroleh:
Neh checksum MD5-nya:

F5A7E477CD3042B49A9085D62307CD2 (C:\Documents and Settings\Blue-Net\Local Settings\Temp\BugAV)
D41D8CD98F00B204E9800998ECF8427E (C:\Documents and Settings\Blue-Net\Start Menu\Programs\Startup\?.exe)
7BC72A0767D237BE4DA30ACE191ACDC2 (C:\RECYCLER\BugAV)
6DE46E9D662EB0B8808324F5683266EA (File BugAV.exe)

Sementara checksum untuk Morphost, sudah saya simpan. Dan checksum tersebut tidak ditampilkan disini karena saya rasa hal itu gak perlu dilakukan.

Checksum yang Morphost gunakan lebih canggih dari checksum biasa seperti MD5 ataupun CRC32.
Rencananya saya akan lakukan lagi (maksudnya akan saya hidupkan lagi virus itu di computer yang berbeda).
Apabila file-file yang tercipta nantinya memiliki checksum Morphost yang sama dengan checksum yang sudah saya peroleh sebelumnya, maka kesimpulannya virus ini bisa dideteksi dengan Morphost Antivirus.

untuk sampel virusnya bisa didownload di MorphostLab.
atau Klik Disini

By:Morphic
http://www.morphostlab.co.nr

Thanks to:
-Kepomponk (saya jadi dapat pengalaman baru)
-A.M.Hirin (thanks karena udah nerima aku jadi anggota RFA)
-Anharku (tetap maju)
-FooBoyz (kapan sms-an lagi)
-MorphostLab
-Codenesia

Satu Tanggapan to “Analisis Sampel Virus BugAV”

  1. Sip .. AV ane juga deteksi tu Virus dengan nama “BugAV.A”

    Spen7aV Team

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
%d blogger menyukai ini: