MorphostLab

Tempat nongkrongnya Morphic dan kawan-kawan

Cewek manis yang “Cuakep”!

Posted by Morphic pada Desember 19, 2009


Pastinya pernah dengar virus Cuakep kan?

Kali ini kita bakal bahas analisis virus Cuakep ini. Kebetulan nih saya punya 4 sampel Cuakep. Dari keempat itu hanya ada 3 yang bisa dieksekusi. Yang satu lagi tidak bisa dieksekusi karena membutuhkan file lain untuk bisa hidup.

Jadi disini ada tiga file yang bakal kita eksekusi!
FILE PERTAMA:
Filename : images.exe
VirusName : Cuakep [Morphost]
Size : 98,816 byte
Icon : file gambar

FILE KEDUA
Filename : data.exe
Virusname : Cuakep.Variant[051] [Morphost]
Size : 72,704 byte
Icon : file gambar

FILE KETIGA
Filename : tugas.exe
VirusName : Cuakep.Variant[296] [Morphost]
Size : 62,976 byte
Icon : file gambar

FILE KEEMPAT
Filename : shireen_sungkar.exe
Virusname : Cuakep [Morphost]
Size : 62,976 byte sama dengan file ketiga di atas.

Kita akan eksekusi file pertama! Yang muncul malah gambar dibawah ini! Seorang cewek manis! He he he..

Penyebaran file pertama ini:
-membuat file autorun.inf ke setiap drive
-membuat file “C:\lvsys.sys”
-menggantikan posisi setiap file gambar yang ada. File gambar yang asli disembunyikan untuk mengelabui user.
-menyusup ke recycle bin dengan file name “lvsys.exe”
-C:\windows\ckpexp.exe
-C:\ windows \ckplog.log
-c:\ windows \ckpinfo.nfo
-c:\windows\system32\ckp.exe
-c:\windows\system32\ckpauto.inf
-c:\windows\system32\ckpcmd.exe
-c:\windows\system32\ckpexp.exe
-c:\windows\system32\ckplog.log
-c:\windows\system32\images.exe
-c:\windows\system32\images.jpg
-c:\windows\system32\oeminfo.ini
-C:\windows\system32\oemlogo.bmp
-C:\windows\system32\sched32.exe
-c:\windows\system32\windows.scr

Yang jelas begitu Cuakep yang ini menyerang komp/laptopmu, bakal membutuhkan memory sekitar 316mb.

Lalu registry apa saja yang dimainkan virus ini?

Ini dia hasilnya:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\avgnt,0,Dibuat
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools,1,Dibuat
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt,1,Diubah
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowInfoTip,0,Diubah
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden,0,Diubah
HKEY_CLASSES_ROOT\exefile\NeverShowExt,HKEY_CLASSES_ROOT\exefile\NeverShowExt,Dibuat
HKEY_CLASSES_ROOT\exefile\,JPEG Image,Diubah
HKEY_LOCAL_MACHINE\software\Classes\exefile\NeverShowExt,HKEY_LOCAL_MACHINE\software\Classes\exefile\NeverShowExt,Dibuat
HKEY_LOCAL_MACHINE\software\Classes\exefile\,JPEG Image,Diubah
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\IgnoreShiftOveride,1,Dibuat
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell,Explorer.exe “C:\WINDOWS\ckpexp.exe”,Diubah
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig,1,Dibuat
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell,C:\WINDOWS\system32\ckp.exe,Diubah
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\AlternateShell,C:\WINDOWS\system32\ckp.exe,Diubah
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveAutoRun,0,Dibuat

File exe tidak bisa dihidupkan karena sudah dimanipulasi oleh virus ini. Lalu bagaimana menghapusnya?

Untuk membersihkan virus Cuakep ini kamu bisa gunakan Morphost Antivirus.
Double klik pada shortcut Morphost yang ada desktop kamu! Dijamin Morphost-nya bisa hidup.

Lalu scan komputermu! Gunakan Morphost kompilasi 3 (kompilasi 15 Desember 2009)

By:Morphic

Thanks to:
-Yudha (Pengupload keempat sampel Cuakep. http://yudha-arch.blogspot.com)

64 Tanggapan to “Cewek manis yang “Cuakep”!”

  1. bang,, itu tipe polymorphic apa bukan…???

    • Morphic said

      gak kok.
      ckup dengan satu checksum, sudah beres.

      • tapi aku download variantnya virus ini,, aku download 3. dan hasil Hashnya Beda..
        Eh,, kalau malingsia itu polymorphic atau bukan..???

        • Morphic said

          itu artinya varian. bukan polymorphic.
          polymorphic itu berarti satu varian memiliki banyak bentuk sehingga checksum pun berbeda-beda.

          malingsia juga buka polymorphic.
          hanya saja banyak file yg didropnya. jadi kita butuh banyak checksum untuk satu varian.

        • Jadi Caranya untuk membasmi malingsia,, kita harus menceksum seluruh file drop.x malingsia…??? benarkah begitu..???

          Eh,, mau nanya… bagaimana caranya mengetahui itu polymorphic ato bukan..??? apa harus di jalankan dahulu…???

        • Kalo Conficker dan Nimda itu Polymorphic Bukan..???😀

        • Morphic said

          conficker itu polymorphic.

          kalo nimda. hmmm..

          kalo yg kamu maksudkan adalah file html yg terinfeksi nimda, maka nimda bukanlah polymorphic.
          karena setahu saya, Nimda yang terkenal saat ini adalah nimda yang menginfeksi banyak file html.

        • apakah morphost sudah bisa mendeteksi variant2 conficker..???

          ia,, maksud.q nimda yang itu…. tapi kalau di cek nilainya, maka hasil hash ceksum kq tidak sama anatara infeksi yang satu dengan lainya…???

        • Morphic said

          hmm.
          bisa.
          kan ada cara curang mendeteksi conficker….
          lihat aja artikelku..
          (baca semua artikelku ya… wkwkwkwk)

          begini,
          polymorphic itu bisa dibuktikan jika induk virus memiliki banyak bentuk.
          Misalnya ada satu virus (sebut saja nama Virus Hebat). Nah virus Hebat ini memiliki banyak induk dan semuanya punya checksum yg beda (salah satu bukti polymorphic).

          Kalo Nimda ini lain lagi. Semua file yang kamu cek itu bukan file induk Nimda. tapi file yang terinfeksi Nimda. Makanya semuanya punya checksum yg beda.

        • kalau masalah file induknya conficker,, AV.q InsyaAllah udah bisa detect,, tpi variantnya…??? bagaimana caranya…???
          (Aku udah baca semua artikel bang morphic….😀 )

          Thanks Penjelasanya…

          Kalau nimda, sekarang aku mendeteksi menggunakan string…. kalau morphost pakai apa…???

        • Morphic said

          oo, bagus..

          kalo nimda ak juga pakai string.
          tapi cukup buntut filenya saja yang di cek.
          kalo keseluruhan isi file, scanning bisa lambat.

        • kalau melakukan scanning pada buntut filenya saja itu bagaiman…???

          Kalau Mendeteksi Runouce / ChirB itu motong filenya di bagian man..?? Atas, Tengah, Bawah…???
          hehehe….🙂

        • bang kalau mau beli green registry yang pro dimana…???

        • Morphic said

          untuk Runonce bisa pake metode PE atau metode string.
          kalau metode string bisa langsung cek bagian buntut file saja. biar agak ringan scanningnya.

          hmmm..
          https://morphians.wordpress.com/2010/01/13/source-code-detect-runonce/

          green registry,
          mungkin bakal ak rilis aja lah….

        • Berapa Harganya Bang..??? Apa Gratis…??? hehehehe…

          Kalau Ynag Pro dapat sourcenya juga khan…???

        • bang,, Tolong Virus2 Di bawah ini di Jawab

          Type Worm.Autoit =
          Type Worm.Brontok =
          Type Recycler =

          Typenya Polymorphic atau bukan..??

        • Morphic said

          autoit = bukan polymorphic.
          namun kebetulan banyak variannya
          brontok juga bukan.
          banyak variannya
          recycler = hmmmm….
          mungkin polymorphic.

          ak blum pernah nganalisis khusus recycler soalnya..

        • Bang,, AV.q kan pake Ceksum L43…. Kalau Aku ingin pakai ceksum M31… gimana cara nggantinya bang…???

        • Morphic said

          ya ganti saja.
          asal kamu tau code kalkukalasi M31

        • OK,, thanks Infonya….

          Bang… Kalau Menyimpan Setting yang menggunakan option button itu gimana..???

        • Morphic said

          option button mksudnya?
          dalam kasus apa?

        • misalnya saya menyimpan hasil setting User dengan Begini

          Open Alamat for Output as #1
          Write #1, “Run = ” & Check(1).Value
          Close #1

          nah,, kalau check(1) di ganti sama Option Button gmn..????

        • Morphic said

          ya sama saja.
          option1.value

        • masalahnya saya menggunakan Mode Get Setting Yang Seperti ini….

          Private Sub GetSetting(Path As String)
          Dim Baris As String, Tmp() As String, ValueX(10) As String, a As Byte
          b = 0
          On Error Resume Next
          If IsFileX2(Path) = True Then
          Open Path For Input As #1 ‘buka file dengan mode input
          Do
          Line Input #1, Baris
          Tmp = Split(Baris, “=”)
          If UBound(Tmp) = 1 Then
          b = b + 1
          ValueX(a) = Tmp(1)
          Check(a).Value = CInt(Left(Replace(ValueX(a), ” “, “”), 1))
          End If
          Loop Until EOF(1)
          Close #1
          End If
          End Sub

  2. Kholis Virologist said

    akhirnya blog kosong menjadi blog terisi
    halah, isinya cuma sc k-av yang asli dan lama tapi bukan nenek moyangnya
    hehehehehehe

  3. Kholis Virologist said

    download sourcecode kholis antivirus module scanning
    di : http://www.4shared.com/file/177772200/a547389/SC_Kholis-AntiVirus.html
    password minta aja ke kholis.3gp@gmail.com
    kalau g usah password ya g bisa
    meskipun pake tool2 apa aja
    kecuali programer asli winrar bisa
    hehehehehehehehehehehehe

  4. yudha said

    wew… dianalisis juga nih…

    btw, ceweknya Cuakep juga tuh..!

  5. weh sekedar promo2
    kunjungi blog kosong ku di http://www.1024.co.nr
    namanya blog kosong, ya g ada apa2 nya
    cuma kosong aja
    hehehehehe

  6. ROX said

    phic,buat tutorial membuat real time protector anti virus,dong!

  7. Kholis Virologist said

    sekedar promo2 os
    silahkan buat os sendiri dengan bantuan http://www.slax.org
    go to open source
    tapi morphost tetep oke
    hehehehehehehehehehehehehehehe

  8. Kholis Virologist said

    weh, sekarang saatnya melakukan perbandingan scanning virus
    hehehehehehehe
    mrphost vs cms(coenesia malware scanner)
    siapakah yang bisa mendeteksi file2 berbahaya di komputer q

    keterangan
    cms : masih dalam masa perbaikan, karena baru di rilis oleh A.M.Hirin im4soft@gmail.com
    morphost : sudah berjaya dengan kemampuan maksimal untuk mendapatkan virus

    yawdah kedua av diatas saling berdampingan dalam menjaga komputer ku
    thanks semua…!

    hehehe (cerita pendek sekali) cerpense

  9. anu said

    walah.. cuakepnya ckckck pantesan pd tergila.gila👿 dipacarin aja.. upzz
    btw bwt mas morphic kyknya analisisnya kurang lengkap deh, coz aqu pernah denger korbannya katanya bisa ganti walpaper pd waktu tertentu, jd aqu rasa si cuakep tuh jg punya event lain selain nampilin gambar..😉

  10. Kholis VIrologist said

    weh nongkrong disini lebih enag drpd di fb atw fs

  11. Shafry said

    Boss Virnya Minta Donk

  12. Kholis Virologist said

    weh itu virus aa aplikasi
    kok gede bener
    mangnya kalau virus harus segede itu
    weh kalau komputer kena virus tsb maka komputer pasti lelet ya!

  13. […] Cewek manis yang “Cuakep”! […]

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
%d blogger menyukai ini: