MorphostLab

Tempat nongkrongnya Morphic dan kawan-kawan

Amburadul varian Baru atau bukan?

Posted by Morphic pada November 5, 2009


Ini Amburadul varian baru atau bukan?

Beberapa hari yang lalu, saya dapat sampel baru. Saya lupa siapa yang memberi link download virus ini.

Tapi yang jelas virus ini sebenarnya sudah bisa dideteksi dengan antivirus Morphost. (gunakan database Morphost terbaru). Diberi nama Autoit. Dan memang saya tidak yakin. Antivirus tetangga menyebutnya “JavaUnicode”.

Setelah dipikir-pikir emang bisa juga sih. Karena hampir semua filenya berfilename unicode.

Tapi kebetulan hasil analisa virus ini belum dipost di MorphostLab, jadi kali ini gak salah untuk ngepost artikel ini.

He he he

NamaVirus : Masih belum jelas

Ukuran : 287,566 bytes

Virusnya menyebar ke:

-C:\Document And settngs\[User]\Application Data\Java\ߙJviewʚ.exe

-C:\Document And Settings\[User]\Application Data\Java\ϝshimgvwʅ.exe

-C:\Document And settings\[User]\application Data\Java\desktop.ini

– C:\Document and settings\[User]\Local Settings\Application Data\Microsoft\CD Burning\Autorun.inf

– C:\ Document and settings\[User]\Local Settings\Application Data\Microsoft\CD Burning\Recycler\… (Di dalam folder recycler masih ada dua file lagi. Saya menduga kedua file ini adalah file virus dan desktop.ini. saya tidak sempat membuka folder ini.)

Saat membuka virus ini, yang muncul malah:
image002

Registry yang dirusak seperti yang digambarkan dibawah ini:
image004
Dengan perincian sebagai berikut:
image006

Sementara process yang hidup di kompiku ada 2:
-ߙJviewʚ.exe
-ϝshimgvwʅ.exe
image008

sekian analisis tentang virus ini:

By:Morphic

http://www.morphostlab.co.nr

special thanks to:

-Adnan s4dly (viruscaptor kami)
-Xhadow (Designer kami)
-adie (A&D kami)
-Yudha (Viruscaptor kami)
-Neo Bekabe (VirusCaptor kami)
-Nash (Viruscaptor kami)

(setiap kali dapat virus upload yaa..)

11 Tanggapan to “Amburadul varian Baru atau bukan?”

  1. atong tanom said

    virus ini persis sama yg sedang melanda cpu2 di kantor q sekarang.Kemaren baru ketauan ternyata ni virus berasal dari file .rar yg didownload via attachment email dari salah satu kantor akuntan publik di jkt.
    ada yg tau gimana cara ngatasinya..?trims

  2. Toni said

    Itu emang benar variant amburadul yang baru, coba lihat diforum jasakom bagian virus, pembuatnya bilang sendiri kalo virus itu variant amburadul yg baru, dia jg bilang bikinya pke autoit, saya sendiri dapat samplenya dari forum tsb. Apalagi klo kamu sdh pernah menganalisanya pada file html yg terinfeksi ada string .:: Powered By Ludarubma ::. dan klo digoogling sdh ada web yg terinfeksi.. Dari analisa saya sendiri tdk byk informasi yg bisa didapat, karena virus ini cukup sulit dianalisa, jauh berbeda dengan variant sebelumya, tp ada yg unik dari virus ini, autorun.inf yg dibuat ukuranya gede isinya jg aneh, yg anehnya lagi bisa masuk ke dalam file archive seperti Rar & Zip, misal file archivenya “dokumenku.rar” maka didalamnya ada file virusnya “dokumen_view.scr” file archive yg terinfeksi bukan ditimpa isinya melainkan virunya menambahkan dirinya sendiri ke dalam file archive

  3. muamarkudo said

    gudh…

  4. s4dly_92 said

    phic download green registry mu dimana ya? kelihatannya menarik

  5. ede said

    bukan..javaunicode juga cuman sebutan duank..cuman virus biasa…tapi bukan dari indonesia…kalo ada file image di dalem folder, baru dia juga bikin kloningnya…
    kalo ga salah gitu…

    maaff..sayamah masih cupu…

    go fight n be a real green morphost lab…

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
%d blogger menyukai ini: