MorphostLab

Tempat nongkrongnya Morphic dan kawan-kawan

Selesaikan Worm Chasnah secara tuntas

Posted by Morphic pada Januari 13, 2010


Iseng-iseng nyari virus lama, akhirnya dapat juga virus lokal tua yang udah di-upload sama Yudha VirusCaptor MorphostLab di 4shared.

Nama file .rar-nya “Vira.Worm” dan memang beberapa antivirus lokal lain mendeteksinya dengan nama “Vira”
Tapi Morphost menyebutnya “Chasnah”

Ini ciri singkat dari virus ini…

VirusName : Chasnah-A [Morphost] atau Vira [Smxdxv] atau W32/Chasnah.B [Xnsxv]
VirusSize : 76.0 KB (77,824 bytes)
Icon : bisa macam-macam

Kondisi komputermu jika kena virus ini tergolong parah (atau cukup mengganggu aktivitas si pemilik komp). Selain itu juga memunculkan pesan di atas.

Virus ini menyebarkan filenya kemana-mana sekaligus menghapus banyak file (bahaya kalau antivirus yang dihapus). File yang dihapus bisa berupa aplikasi atau file teks.

Saking banyaknya penyebaran file dari virus ini, saya jadi malas ngetiknya. Hehehe..

Jadi untuk kali ini, kita gak akan membahas hasil analisisnya. Tapi bagaimana menuntaskan virus ini.

Langkah-langkah utama yang harus kamu perhatikan adalah:
1.Matikan Proses virus yang aktif
2.Cari semua file virusnya dan hajar!!!

Nah, sekarang kita lakukan langkah yang pertama. Yaitu mematikan proses virus yang aktif. Sama saja sia-sia semua usaha kita kalau proses virus belum dimatikan.
Begitu virus ini dieksekusi ada banyak juga proses yang hilang-timbul dari si virus. Tapi yang jelas, setelah semuanya normal ada tiga proses yang berjalan dengan santai. Ketiga proses tersebut adalah:
-server.exe
-bitblt.exe
-ntoskernel.exe

File server.exe dan ntoskernel.exe adalah file yang sama (dan juga sama dengan file virus yang dieksekusi). Sedangkan file bitblt.exe berasal dari direktori “C:\”

Kamu bisa matikan proses ini dengan taskmanager. Atau boleh juga dengan tools-tools lainnya yg fungsinya untuk mematikan prosesnya.
Smxdxv dan Xnsxv (sudah saya coba) hanya mendetek file-file anak dari Chasnah ini tapi file “bitblt.exe” tidak terdetek.
Ditambah lagi file “bitblt.exe” juga punya teman dengan filename “userinit.exe” yang beralamat di “C:\userinit.exe” (bukan “C:\windows\system32\userinit.exe”). Dan saya sudah cek bahwa kedua file userinit tersebut adalah file yang berbeda. Berbeda baik dari segi ukuran, info properties, checksum, maupun string tubuh kedua file.
Dan kecurigaan saya makin bertambah begitu tahu bahwa userinit.exe milik Chasnah ini adalah “bitblt”.
Wah, wah, wah. Jelas sudah!

Tahu tidak, kalau kamu menterminate proses “server.exe” dan “ntoskernel.exe” maka kedua proses tersebut akan muncul kembali kalau proses “bitblt.exe” tidak dimatikan. Jadi kamu harus mematikan proses tersebut.

Langkah kedua cari filenya dan hajar.

Nah, kalau kamu ingin cara yang praktis juga boleh. Silakan gunakan antivirus Morphost untuk pembersihan atau penuntasan Chasnah yang lebih baik. Mengapa demikian? Saya sudah uji antivirus Xnsxv dan Smxdxv ini.

Begitu kedua antivirus ini dieksekusi, keduanya melaporkan bahwa mereka sudah mematikan proses Chasnah. Smxdxv dan Xnsxv langsung mendetek virus ini dan mengatakan detected Process Killed. Perlu digaris bawahi tuh “Detected Process killed.”
Setelah dilihat lagi process dari taskmanager atau tools lainnya malah processnya masih hidup.
Coba pakai Morphost. Worm Chasnah ini bakal mati.
Silakan coba kalau tidak percaya.

Silakan pakai Morphost terbaru (Morphost 2010 atau versi 7. Tapi sayangnya saat tulisan ini ditulis versi ini belum dirilis). Minimal kamu bisa pakai Morphost Accords kompilasi ketiga plus update database yang ke 15.

Sekian,

By:Morphic Karta
Thanks to:
-Yudha
-anak-anak Medan
-teman-teman Permata GBKP Setia Budi.

38 Tanggapan to “Selesaikan Worm Chasnah secara tuntas”

  1. shafry said

    sekedar info artikel tentang Virus Kespo Gang 12 Juni 1007 and Sekilas Tentang Conficker telah di post di blogq datang ya!

    • shafry said

      Aq mnta Chasnah

      • Morphic said

        liat di Morphostlab ini…
        namafilenya vira.worm
        passwordnya=yudha

        • Apakah Worm Ini Polymorphic…????

        • Morphic said

          hmm,
          ak hampir lupa karena ini artikel lama
          tapi seingat ku tidak.

          begini dar.
          ada teknik polymorphic yang masih dipakai saat ini bisa dideteksi denngan checksum string (misal MD5 string, crc32 string, M31 dan lain-lain), tapi tidak dapat dibedakan dengan checksum seperti MD5 hash, crc32 file biasa, MD4 dan lain-lain…

        • apakah M31 ini checksum String..???? dan apakah ada M31 File…???

        • Morphic said

          M31 itu mirip dengan checksum string umumnya. (bukan metode baca string, harus dibedakan)
          sudah ak coba.

          beberapa worm indonesia yang punya teknik polymorphic-ekor mudah dideteksi dengan checksum string.

        • Owwh…. Seperti itu…. Aku Pakai M31…

          Nih.. Blog Baru ya bang..??? (Tampilanya)

        • Morphic said

          hha. dah kuganti lagi themanya…
          susah cari yg pas..

        • hahahaha… emg lebih baik begini….😀

          Bang,, Sekarang virus apa yang lagi booming…????

          dna mas morphic tw g,, string yang cocok buat brontok…??

        • Morphic said

          string untuk brontok?
          hmm,
          kalo menurutku untuk brontok kita pakai checksum saja udah cukup.
          kalo string, apa ya…

          banyak yang bisa dijadikan string dari brontok (yang belum dipack).

        • Owhh,, thenks infonya….

          begini bang…. kalau mau mendeteksi malingsia dan variant2nya itu enknya pakai string apa…??? kq aku pakai string yang di buntut file,, banyak salah detect..????

        • Morphic said

          string buntut file?
          string apa rupanya?
          kalo worm lokal biasakan jgn pakai string, AVmu bisa lambat ntar…

          kalo salah detect berarti string yang kamu pilih belum selektif.

          hati-hati sama worm yang berpolymorphic-ekor…

        • maksud saya berpolymorphic ekor… seperti Malingsia…. Aku Pakai String… kalau morphost pakai string apa…?????? AV.q pakai fungsi API. jadi lumayan g lemot kalau mencari string,…. pasti morphost juga pakai fungsi API untuk search String…

        • Mau tanya lagi nih bang….

          misalnya di database kita ada 2 macam tanggal… misalnya begini…

          “#20-04-2010”
          “:20-05-2010”

          bah untuk memasukkan masing2 tanggal pada label di form itu bagaiman…???

        • Morphic said

          untuk malingsia ak pake checksum.
          memang butuh lebih dari satu checksum.

          morphost cuma pake instr. hhe..
          supaya gak lambat kita pake filter ato cuma memeriksa sedikit byte dari file saja…

        • Morphic said

          lo.
          kan bisa langsung..

          label1.caption = date(now)

        • Oh,, Jadi Cuma Pakai Checksum Sudah Bisa…??? (Malingsia)

          Kalau Conficker itu pakai string bisa g bang…??? Kalau Pakai String,, String Apa…??? hehehehehe…..

          maksudnya bukan itu bang…??? Misalnya Di Database Kita Ada Date Releasenya… misalnya “20-07-2010” itu untuk Date Yang Ada Di Database…
          nah,, kalau menentukan tanggal “20-08-2010” (Sebulan Setelahnya) itu bagaimana…????

        • Morphic said

          iya. untuk malingsia cukup pakai checksum saja.
          kalo conficker sih, pake heuristik bisa. mungkin kamu udah baca dua artikel saya tentang heuristik conficker.

          kalau ditanya ttg string conficker,..
          hmm,
          susah ditentukan..
          misalkan kamu ambil satu string dari satu varian conficker, string itu tidak akan kamu temukan di varian lain. Yakin lah..
          ini berarti deteksi dengan checksum tidak kalah bagusnya untuk mendeteksi conficker kan??

          kalo soal tanggal, kamu bisa ubah dulu suatu tanggal ke dalam angka…
          Lalu angka tersebut ditambah 30.
          Sesudah itu, angka yg sudah ditambah 30 tersebut ubah kembali menjadi tanggal..

        • nah,, cara mngubah menjadi angka itu bagaimana…??? hehehehe…. aq sudah terpikirkan soal itu,,….. tapi gtw caranya….

        • Morphic said

          begini nih.

          dim AngkaTanggalSekarang as string
          AngkaTanggalSekarang = Format(Date, “0”)

          untuk mengubah angka jadi tanggal bisa begini:
          JadiTanggal = Format(AngkaTanggalSekarang, “dd:mm:yyyy”)

        • Ok,, Aku coba…. Thanks….

  2. Satryacode said

    Update database morphost 15
    Di http://4869.50webs.com/download/database.dbmorp

    Dukung morphic agar bs mengoptimalkan morphost 2010 v.7 agar 100% support unicode dan bs mematikan proses yg berada di ring0

    Ehm,
    Ak mw nanya,
    Buffer pd program av itu utk apa??

  3. yudha said

    iya… kebelet nih Morphost versi 7 2010….

  4. yudha said

    vira / chasnah ini memang virus lama, tapi aku dapetnya di warnet dekat rumah belum lama ini…

    pantas saja, diwarnet itu gak ada antivirusnya, hnya ada deep freeze yg sudah usang…

  5. xhadow said

    phic, cpet rilis mor2010 dnk…

    kebelet mode:on

  6. Jastis said

    Mor,seandainya ada virus yg mendisable semua aplikasi termasuk file exe,dan juga tidak bisa dijalankan di safemode.Seperti contoh nih,jika saya mau membuka morphost,yg keluar malah open with….?

    kondisi komputer tidak hang sih….masih bisa melihat-lihat isinya.Gimana tuh ?

    • Satryacode said

      Hmm,,
      Ak prnh cb begini.
      Bka cmd,
      Start morphost.exe

      Tpi klw cmd jg gk bc,
      Morphostny.exe rename ke morphost.com
      Atau,
      Buat di cmd.
      Assoc extensimu=exefile
      Cth
      Assoc .ntah=exefile

      Trs,
      Rename morphost.exe atau applikasi .exe lain yg mau d jlnkan mnjadi.
      morphost.ntah

      Ak rasa bisa..

      Krn,
      Virus sprti itu ngeblok handle .exe ..
      Cmiiw🙂

    • Morphic said

      itu artinya shell command exe kamu udah dimodif virus (registrynya maksudnya).

      yang dibilang satryacode juga benar…
      ato bisa juga jalanin lewat shortcut tuh.

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
%d blogger menyukai ini: