MorphostLab

Tempat nongkrongnya Morphic dan kawan-kawan

Analisis NadiaSaphira A dan NadiaSaphira B

Posted by Morphic pada November 5, 2009


NadiaSaphira-A versus NadiaSaphira-B

Kali ini tutorialnya membahas kedua varian virus NadiaSaphira.
Menurut kami ada dua varian NadiaSaphira yaitu varian A dan varian B.

NadiaSaphira-A
Size : 53,256 bytes
NadiaSaphira-B
Size : 69,936 bytes

Jika dieksekusi kedua file sama-sama membuat file:
-C:\windows\taskmgr.exe
-C:\Windows\system32\misconfig.exe
-C:\windows\system32\MS586.sys

Dan jika file taskmgr.exe dihidupkan (misalnya taskmgr.exe) maka akan muncul lagi file-file baru:
-C:\windows\taskmgr.ini
-C:\windows\nadiasaphira.ini
-C:\windows\autorun.inf
-C:\windows\system32\.exe
-C:\windows\system32\allsys.exe
-C:\windows\system32\attrib.exe
-C:\windows\wtoolsb.exe
-C:\windows\misconfig.ini
-membuat file virus di folder Startup dengan filename “lan.exe”

Selain itu semua, virus ini juga berduplikat sesuai nama-nama folder yang ada di komputermu (selain drive C). Semua folder di Flashdisk juga. Folder asli disembunyikan.

Dengan software GreenRegistry, kelihatan registry-registry yang ditongkrongin ama si Nadia.
image002
Dengan perincian sebagai berikut:
image004

Kedua varian sama-sama menyerang registry yang sama.

Selain ukuran yang berbeda, ada perbedaan lainnya lagi…
Perbedaan PERTAMA
-setiap kali dieksekusi, NadiaSaphira B selalu memeriksa folder tiruannya. Apabila ada maka folder tersebut disembunyikan, jika tidak ada folder tersebut akan “DIBUAT” dan disembunyikan.
-sedangkan NadiaSaphira A jika dieksekusi hanya menyembunyikan folder yang ditirunya tanpa memperdulikan ada tidaknya folder itu.

Perbedaan KEDUA
-Nadiasaphira A setiap saat memeriksa dan mempertahankan keberadaan file “C:\windows\system32\wtoolsb.exe”
-sedangkan NadiaSaphira B memeriksa dan mempertahankan keberadaan file “C:\windows\system32\wtoolsb.exe” dan “C:\windows\system32\allsys.exe”

Perbedaan KETIGA
-File “C:\windows\system32\.exe” milik Naphira A berukuran 0 KB, dan berartribut normal.
-sedangkan file “C:\windows\system32\.exe” milik Naphira B berukuran 17 KB dan berartribut superhidden.

Perbedaan KEEMPAT
-Naphira A tidak membuat file “C:\windows\system32\system”
-sedangkan Naphira B membuat file “C:\windows\system32\system” yang berartribut super hidden.
(CATATAN: file “C:\windows\system32\system” memiliki checksum yang sama dengan “C:\windows\system32\.exe” pada Naphira B)

Perbedaan KELIMA
-Naphira A tidak membuat folder “DLLCACHE” pada direktori “C:\windows\system32”
-sedangkan Naphira B membuat folder “DLLCACHE” yang isinya file “.exe” dan “system”. Keduanya berukuran 17KB dan berbeda checksum.

Ya, kira-kira itulah yang bisa saya tangkap saat analisis.

Sebenarnya mungkin saja si VM punya lebih banyak varian (Nadiasaphira) Naphira ini. Atau mungkin saja si VM tertawa-tawa habis membaca tutorial ini.
Kedua varian diatas bukanlah varian A dan varian B yang sesungguhnya. Di antivirus lain mungkin saja varian A disebut varian B atau sebaliknya.
Kami menentukan kedua varian ini berdasarkan tanggal masuk dan skill virus masing-masing. Masih ada sih, varian lain selain kedua varian ini. Tapi semuanya masih punya kemiripan dengan kedua varian ini.
Itu alasan kenapa kami menentukan kedua varian ini sebagai varian besar A dan B.

PENCEGAHAN:
Pencegahan terhadap virus ini bisa dilakukan beberapa cara:
-berhati-hati membuka flashdisk karena si virus membuat file autorun.inf pada flashdisk.
-pastikan kamu membuka folder yang benar.
Ingat! Virus Naphira ini berduplikat dengan nama folder tiruan. Lihat semua folder yang ada di flashdisk kamu. Kalau semua ukurannya sama berarti itu virus Naphira. Umumnya ukuran Naphira ini ada yang 53KB atau 69KB.

-Scan flashdisk anda dengan Morphost. Gunakan database Morphost yang paling baru.

PENGOBATAN:
-Gunakanlah Morphost Antivirus. Pakai database Morphost 7 atau database yang lebih baru lagi…

Sekian analisis NadiaSaphira

Analyzed by: Morphic
-Nadiasaphira VM (sori, aku bikin julukan baru untuk virus ini. “Naphira”) he he he…
-seluruh mahasiswa FK USU 2009

24 Tanggapan to “Analisis NadiaSaphira A dan NadiaSaphira B”

  1. vina said

    gan,,beda MD5 dan CRC32 apa y????tlg dijelaskan coz aku g ngerti……

  2. muamarkudo said

    bang…minta green registry nya dong…hehe, klo blh sekalian source nya…:)

  3. jig0n said

    kemaren komputer ku kena virus “D-WAR”, tau ga cara bunuhnya,soalnya nih virus bandel banget..

  4. revil said

    pic, klo virus yang di atas itu sama ga nilai ceksumnya ama variant yang sebelumnya?

  5. yudha said

    phic, aku baru liat green registry…?bikinan kw ya phic?

    oia, ada sampel baru di Imel Karta mu…(keylog)… sory, mungkin beberapa sampel aku kirim ke imel mu aja…

    klo dah ada , bls ya phic… soalya beberapa waktu lalu imelmu spertinya error.

  6. Satryacode said

    Untuk analisany gk terlalu ak perhatikan..
    Tp yg membuat ak penasaran,
    Kok tool green registry ny gk skalian kw kasi ke ak kmaren ??

    Gitu kw ya!!!
    Ckckck

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
%d blogger menyukai ini: