MorphostLab

Tempat nongkrongnya Morphic dan kawan-kawan

Analisis virus Bang Hasmi

Posted by Morphic pada November 27, 2009


Memang bermacam-macam nama virus lokal. Malah ada nama virus yang namanya “Bang hasmi”.
He he he…
Gak tahu deh… Morphost menyebutnya “Bang Hasmi” kalo Av yg lain mungkin beda lagi…

Nih analisis virus ini:

Virus Name : Bang Hasmi [Morphost Antivirus Lokal]
Ukuran Virus : 155,648 bytes
Company : BKHN
Internalname : BangHasmi
Dikompil dgn : VisualBasic 6
Alamat projek : D:\Hasmi Farhandani NIM 091402061\virus\Data hasmi\banghasmi.vbp
Icon : folder win XP
CRC32 : FF25D3AF
MD5 : 57AE4997BD8170DE74E2D0AD7C04042D

Di alamat projek di atas ada tertulis “Hasmi Farhandani NIM 0901402061”. Yang mau aku sampaikan, gak usah terlalu percaya ama tulisan ini. Bukan berarti yang buat virus ini namanya “Hasmi Farhandani” yang berNIM 0901402061. Mungkin ini Cuma iseng. Atau Cuma nipu doang. He he he,.
Soalnya aku sering gitu..

Virus nyebar ke:
-C:\banghasmi.exe
-C:\windows\bang hasmi.exe
-C:\windows\system32\IExplorer.exe
-C:\windows\system32\shell.exe
-C:\windows\system32\MrHelloween.scr
-di Start Menu\Programs\Startup\Empty.pif
-di documents and settings\(user)\ Local Settings\Application Data\WINDOWS\CSRSS.EXE
-di documents and settings\(user)\ Local Settings\Application Data\WINDOWS\LSASS.EXE
-di documents and settings\(user)\ Local Settings\Application Data\WINDOWS\SERVICES.EXE
-di documents and settings\(user)\ Local Settings\Application Data\WINDOWS\SMSS.EXE
-di documents and settings\(user)\ Local Settings\Application Data\WINDOWS\WINLOGON.EXE

Virus ini melakukan penyerangan dengan dua kali eksekusi:
Eksekusi pertama:
-virus Bang Hasmi akan menyebarkan/membuat file virus seperti yang sudah tertera di atas.
Process virus yang aktif adalah file yang pertama kali dieksekusi

Eksekusi kedua: (maksudnya setelah kena virus, dieksekusi kembali)
Virus ini akan membuat file berikut:
-C:\banghasmi.exe
-C:\Data (user).exe
-C:\desktop.ini
-C:\banghasmi\folder.htt
-C:\banghasmi\New Folder.exe
Begitu juga dengan drive-drive lainnya…
Proses virus yang aktif adalah “shell.exe”
Ini adalah registry yang dimodif oleh bang Hasmi:
Analisis ini dilakukan dengan menggunakan GreenRegistry.

Nih hasil analisis green registry untuk virus ni.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\LogonAcer,C:\Documents and Settings\Acer\Local Settings\Application Data\WINDOWS\CSRSS.EXE,Dibuat
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Banghasmi,C:\WINDOWS\banghasmi.exe,Dibuat
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCMD,1,Dibuat
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions,1,Dibuat
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden,0,Diubah
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt,1,Diubah
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden,0,Diubah
HKEY_CLASSES_ROOT\exefile\shell\open\command\,”C:\WINDOWS\system32\shell.exe” “%1″ %*,Diubah
HKEY_LOCAL_MACHINE\software\Classes\exefile\shell\open\command\,”C:\WINDOWS\system32\shell.exe” “%1” %*,Diubah
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell,Explorer.exe “C:\WINDOWS\system32\IExplorer.exe”,Diubah
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit,C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\IExplorer.exe,Diubah
HKEY_LOCAL_MACHINE\software\Classes\lnkfile\shell\open\command\,”C:\WINDOWS\system32\shell.exe” “%1″ %*,Diubah
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig,1,Dibuat
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell,C:\WINDOWS\Banghasmi.exe,Diubah
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\AlternateShell,C:\WINDOWS\Banghasmi.exe,Diubah
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools,1,Dibuat
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command\\,”C:\WINDOWS\system32\shell.exe” “%1″ %*,Diubah
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command\\,”C:\WINDOWS\system32\shell.exe” “%1″ %*,Diubah
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\piffile\shell\open\command\\,”C:\WINDOWS\system32\shell.exe” “%1” %*,Diubah
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions,1,Dibuat

(btw, tunggu berita tentang green registry ya… sekarang masih dalam pengembangan lebih lanjut. Mungkin pertengahan desember bakal diluncurkan.)

Untuk pembersihan:
silakan gunakan Morphost Antivirus…

Mungkin sekian analisis kali ini:
He he he

By: Morphic
Special thanks to:
-Coe88. (“thanks buat virus ini ya… lain kali cantumkan aja alamat blog/web mu tiap kali upload virus, biar sekalian promosi blog. He he he)

Thanks to:
-smua anggota VirusCaptor

Kita udah ada forum (tanggal 24 November 2009 lalu baru dibuat)
http://www.morphorum.co.nr
join us!

11 Tanggapan to “Analisis virus Bang Hasmi”

  1. csrss.exe said

    Simply wish to say your article is as astonishing.
    The clearness for your post is simply spectacular and that i can assume you’re an expert in this subject.

    Well together with your permission let me to seize your RSS feed to stay up to date with coming
    near near post. Thanks 1,000,000 and please keep up the gratifying work.

  2. Rizqy said

    kk satrya tau facebooknya kk banghasmi?????

  3. Ricy said

    Permisi master semua, komputer saya baru saja terkena virus bang hasmi ini. bagaimana cara menghilangkannya? apakah saya perlu meng install ulang komputer saya atau hanya perlu program antivirus saja? terima kasih ya , aku tunggu jawabannya

  4. Satryacode said

    Kenal,
    Ak kmren ngasi script virus ma dia,
    Ak sruh dia kembangkan….
    Link blogny yg d blogku juga…

    Tp malah di uploadny di 4sharedny
    Wkwkwkkwk

    Iseng iseng aja tuh phic..
    Hahahaha……
    Wrnnya nyontek punymu…

    Mw ngupdate website masi ribet,
    Gk da wktu banyak + gk leluasa dr HP

  5. Satryacode said

    Anjrit….
    Jauh x dah nyebar virus si kawan ni….

    Smpe ke ML ..

    Buat coe, dpt dr mn ni virusny??

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
%d blogger menyukai ini: