MorphostLab

Tempat nongkrongnya Morphic dan kawan-kawan

Analisis virus Jim

Posted by Morphic pada Oktober 29, 2009


Nih ada analisis virus tentang virus Jim

VirusName : Jim [Morphost]
Size : 57344 bytes
MD5 : 462C454AAAC78CAB1C7EFD1F7357B105
Icon : aplikasi.

Virus ini hidup di dlm lingkungan folder yang berartribut recycle bin. Gak banyak yg diketahui dari virus Jim ini. Karena menurutku virus ini full of random!
Ini lokasi projek visual basic-nya:
D:\S1e8fbz9np.vbp

Bukan Cuma itu string yang random. Internal name juga random. “XhzuHOOmN8Nb” dan gak ketinggalan company-nya juga random. “IJfQq64Gs9s”
Emang full of random.

Virus ini menyebar ke:
-C:\Documents and Settings\[UserName]\f5u1k69a7.exe
(yang ini juga. Filenya juga random. Mungkin beda komputer beda juga file yang disebar.)
-C:\Windows\System32\NVUKZ.exe
-C:\jim\carry\jim.exe
-C:\jim\carry\desktop.ini

Kalo registry yang diedit, gak begitu ribet dan rumit. Sepertinya virus ini mengutamakan startup saat windows logon.

“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{63MAD6M8-1MAD-81AD-JIM6-32OP5G1234521}\StubPath”, “c:\jim\carry\jIm.exe”

“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{G0NP7z2v-B1Zd-qHJB-52lr-OUa3XrMOqGOk}\StubPath “, “%System%\NVUKZ.exe”

“HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\zvb0dl2X8tt”, “%System%\NVUKZ.exe”

“HKEY_CURRENT_USER\Software\Microsoft\Active Setup\Installed Components\{G0NP7z2v-B1Zd-qHJB-52lr-OUa3XrMOqGOk}\StubPath”, “%System%\NVUKZ.exe”

“HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\9UmxQPSiTJMbA”, “%System%\NVUKZ.exe”

Semua registry diatas fungsinya agar virus Jim aktif saat windows logon.

By: Morphic
(FK USU 2009)

32 Tanggapan to “Analisis virus Jim”

  1. horus ra said

    e ya mas… virus jim ni masih kedetect ma mcafee, jd gk bs nyoba deh. sebenere q da varian buatanku sndiri, kapan2 ajah aku uploadya

  2. horus ra said

    e ya mas… virus jim ni masih kedetect ma mcafee, jd gk bd nyoba deh. sebenere q da varian buatanku sndiri, kapan2 ajah aku uploadya

  3. Toni said

    Ini ada sample virus amburadul yang baru… beda dengan variant terdahulu, variant ini lebih canggih, bukan buatan vb lagi.. bisa memasukan dirinya kedalam rar & zip, menginfek file-file gambar dan html.. selain itu nama prosesnya juga aneh dan tak bisa di kill.. coba deh di analisis.. bayak av yg belum mendeteksi variant ini…

    http://www.megaupload.com/?d=7MMAKVDE
    pass : virus

  4. …..
    Mksdku delete file nya.

    Klo keyny aja yg d hapus,
    Ntar virusny buat key yg bru lg yg random,
    Kan 2 x kerja..
    (menurutku)
    Bg la virusny phic..

  5. maxx said

    Keknya akhir2 ni perkembangan virus baru udah mulai menurun ya…padahal gw pengen buru virus baru,,tapi ternyata nggak sebanyak yang gw pikirin…. kenapa ya?
    Oh ya,,ada virus baru buatan rieysha tuh,tp keknya di buat pake delphi(nggak kek biasanya yg pake VB)..tapi gw nggak ada sample virusnya. Bisa di bahas nggak?
    Ciri-cirinya :
    – Dibuat dengan Borland Delphiu
    – ukuran sekitar 228 KB
    – Menggunakan icon (gambar cewek)
    – Type file “Application”(Ekstensi EXE)
    – Menggunakan nama acak untuk menamai filenya, salah satunya adalah mencatut nama NadiaSafira.exe

  6. Neo BeKaBe said

    Ok deh, link di database.🙂

    Iya Sat, susah juga jd org yg gak/blum trkenal, susah ngumpulin bahan.

    Oia, file paket Conficker tu ada di arsip blog BeKaBe bulan Agustus, tp ada juga di 4shared BeKaBe.

    @Yudha:
    Sorry blum bisa berkunjung balik, akses pkai HP nih, gak leluasa. So kita ngumpul di rumah Morphic aja ya. Gak apa kan Phic?!😉

    @ Morphic:
    Oia Phic, 5 virus kiriman ku kmarin dah dianalisa blum?

  7. Hai hai…..
    Aku hadir.!!!!

    Br OnLine lg..
    Aduh, gk bs OL brg deh….
    Ckckckc….🙂

    Klo 4shared ku di “newvirus.4shared.com”
    Tp msih kosong, maklum lah….
    Temen2 ku gk se hyperactive kyk kita..

  8. yudha said

    btw…. phic, thanks dah mampir ke blog… boleh tuh bikin merchandise he..he…

    mana nih satrya gak mampir…

  9. yudha said

    he..he… virus jim kiriman ku di analisis juga phic…, ini virus pemberian dr temanku, dia kemarin2 minta tolong di analisis sm morphostlab…. thanks yah….

    (thanks to:pdc_romeo)

    • Morphic said

      thanks to pdc_romeo

      • pdc_romeo said

        Thank’s ya atas review-nya… gw soalnya bingung av Indo… andalan gw… tembus… (maksudnya gini kemaren ada temen cw dari Singapore bilang dia kena virus)
        Nah pas gw scan ketemu virusnya and berhasil dihapus tapi tetep aja masih aktif di memory… gw F5 FD gw tetap aja masih ada folder jimm-nya… nah untuk Morphost bisa ngga ilangin sekalian bersihin systemnya… (tadi baru gw ketemu ama cw temen gw and gw ilangin pake Norman Malware Cleaner) hehehehehe…

        • Morphic said

          signature virusnya udah dimasukkin ke dalam database 7.
          coba aja dulu.

          aku pun blum pernah liat langsung komputer korban Jim virus ini…

  10. Neo BeKaBe said

    Huaaa…, virus baru, virus baru. Kok akhir2 ni aku kehabisan stok sih? Pasti gara2 hotspot kampus yg super tulalit, jd gak dpt info virus deh.😦
    Mau bli PCM** gk da duit, di rumh gak da jaringan. Huh….😦
    N’tar aku jalan2 lg ke 4shared kau aja ya Phic.
    Oia, 4shared Satrya apa ya? Lupa nih.

    • Morphic said

      4shared satrya? gak tahu juga aku.

      kayaknya dia juga punya dirshared baru tuh.
      dikampus kami juga miskin virus…
      jadi palak aku.

  11. Pd bagian installed components ny jg d set random ya phic?
    Namun valueny enggak,
    Jd tgl delete file yg tertera di value itu ya??

    (eh, dpt virus br diem2 aja ya)…

    • Morphic said

      mau delete apa sekarang?

      kalo mau delete registry-nya jgn valuenya doang. itu namanya nanggung…
      hapus juga sama key-nya!
      ha ha

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
%d blogger menyukai ini: