MorphostLab

Tempat nongkrongnya Morphic dan kawan-kawan

Virus NadiaSaphira atau Virus BuluBebek?

Posted by Morphic pada Juli 13, 2009


Dari sekian banyak virus yang masuk ke 4shared-ku ini lah virus yang paling beruntung. Virus ini akan kita analisa bersama-sama nih…

NamaVirus : NadiaSaphira [Morphost], Trojan Horse [Symantec], Trojan Win32.VB.pod [Kaspersky Lab]
Ukuran : 53,256 bytes
MD5 : EE42ED66DBC99C7650E705543DFB145D
CRC32 : ECFDB755

Penyebaran File
-membuat file autorun.inf di drive “C:\” dan di “C:\windows\system32\” (untuk WinXP)
-membuat file [.ini] “c:\nadiasaphira.ini”, “c:\windows\taskmgr.ini”, “c:\windows\system32\msconfig.ini”, “c:\windows\system32\nadiasaphira.ini”
-membuat file “c:\windows\system32\MS586.sys”
-membuat file [.exe] “c:\windows\system32\allsys.exe”, “c:\windows\system32\wtoolsb.exe”, “c:\windows\system32\misconfig.exe”, “c:\windows\taskmgr.exe”

Process Virus Aktif
Secara default ada dua proses virus yang aktif:
-misconfig.exe = ”C:\windows\system32\misconfig.exe”
-taskmgr.exe = “C:\windows\taskmgr.exe

Modifikasi Registry
Ada banyak yang dimodif, tapi disini saya akan menjelaskan yang mencolok saja.
“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\nofind”, 1, “REG_DWORD”
”HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\nofind”, 1 , “REG_DWORD”
“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\nofolderoptions”, 1 , “REG_DWORD”
“HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile”, “File Folder”
“HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\TileInfo”, “File Folder”
“HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\InfoTip”, “File Folder”
Dan efek registry lainnya yang bisa saya tuliskan:
-Disable Regedit
-Ekstensi file tidak kelihatan
-dll

Penjelasan Tambahan
Virus ini tidak dipack. Atau virus ini dipack tapi tidak dipack secara sempurna. Mungkin si VM malas mengepack-nya. Dan saya rasa si VM pun tahu apa konsekuensi-nya kalo tidak mengepack virusnya. Dan Si VM bukan lupa mengepack-nya.
Nih kliatan alamat file project virus ini.
“D:\My VIRUS\New BuluBebek, Mau makan sinonggi, baje, atau minum ballo ya\mINUM cIU.vbp”
Biasany ada VM yang lupa mengepack dan secara gaksengaja namanya ikut tertampilkan pada alamat file Project-nya. Ha ha ha. VM macam apa itu. Eitss tapi tunggu. Bisa saja itu jebakan! Maksudnya bukan nama asli. Atau mungkin saja tujuannya mau menjebak orang lain?

Di dalam tubuh virus berkali-kali ditulis nama ”BuluBebek” dan ”NadiaSaphira”. Itu makanya aku jadi bingung ngasih nama virus ini. Tapi kebanyakan antivirus lain menyebut virus ini sebagai virus BuluBebek

Ok. Thanks. sekian

By:morphic
Thanks to:
-Tim MorphostLab
-Axer [Advertiser]
-Nash [VirusCaptor]
-Yudha [VirusCaptor]
-Morse [VirusAnalyst]
-Kholis[Independent]
-anak-anak smansa Medan
-to all readers

Satu Tanggapan to “Virus NadiaSaphira atau Virus BuluBebek?”

  1. irax said

    laptop saya kena virus n tiba2 penuh dan semua data penting terganti dengan file aplikasi termasuk file2 master program tetapi semua file masih terbaca pada saat scan pke
    antivirus hanya saja foldernya dah berubah jadi aplikasi

    1. pada saat Buka Task Manager, klik tab Processes reader_s yang dimksd g ada dan yang ada di tab Processes
    secara berurutan :

    – cidaemon.exe
    – avp.exe
    – explorer.exe
    – svchost.exe (di user:local service)
    – svchost.exe (di user:network service)
    – alg.exe
    – svchost.exe (di user:system)
    – svchost.exe (di user:network service)
    – svchost.exe (di user:system)
    – Isass.exe
    – services.exe
    – winlogon.exe
    – csrss.exe
    – smss.exe
    – svchost.exe (di user:system)
    – wscntfy.exe
    – cisvc.exe
    – apv.exe (di user:system)
    – svchost.exe (di user:local service)
    – spoolsv.exe
    – system.exe
    – system idle process.exe

    @@@@jadi yang mana yang di and prosess?

    2. coba menjalankan HijackThis n hasilnya muncul file yang akhirnya .exe smua akhirannya :
    ex:avp.exe,evteng.exe,Idrivert.exe, regsrvc.exe,s24evmon.exe, wltrysvc.exe
    saya Centang semua item n HijackThis trus klik Fix Checked hasilnya tapilan kosong

    3. saya lanjutkan dengan start-run-cmd dan ketik dir /s /a “c:\*reader_s*.*” > c:\find.txt && notepad c:\find.txt
    pada command prompt dan hasilnya windows cannot fine ‘dir’ dan bla bla bla

    4. saya Hapus Internet Explorer trus Boot komputer

    5. saya Jalankan HijackThis dan yang muncul sama ma yang nmr 2 diatas

    6. saya scan pke ansav tapi erorrrr, TrAKHIR saya format ulang n install antivirus kaspersky terbaru trus scan hasilnya mendeteksi virus Trojan.Win32.VB.pod yang banyaaaak sekali

    @@@@ini sya dah lkukan 3x n hasilnya tetap sama…

    mohon bantuannya u/ bersihin ni virus yang paling penting n terutama pa masih bisa diselamatkan filenya karna file kerjaan bro..

    data kerjaan smuanya terinveksi n mudah-mudahan bisa diselamatkanlah.aminnn….

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
%d blogger menyukai ini: