MorphostLab

Tempat nongkrongnya Morphic dan kawan-kawan

QuickAnalyses: Cinta Laura by MuamarKudo

Posted by Morphic pada Februari 15, 2010


*Nama File : NTDETECT.exe
*Sumber : MorphostLab Virus Collection – Januari 2010
*Nama Virus :
– Kudosoft VirLab : AntiPendekar
– Morphost Expert : CintaLaura
– Smadav 2010 Rev 8.0 : BungaCitraLestari
– Ansav 2.035 Upd 106 : W32/Worm.VB.PXC
– Pcmav 2.2c Build 4 : Chelsea
– CMC PH#3-1 : n/a
– EuraAV 1.8.0.6: n/a

*Ukuran : 40.960 bytes [Not Packed]
*Compiler : Ms VB 6.0
*Icon : 3GP File – Gom Player
*Level : –
*Checksum : File dg ** memiliki checksum yang sama
CRC32: 703E323A
MD5: A3CD4A0A91E2A46311720F78E8E19EFA
SHA-1: 690995613BD0B07C8D6C43576D042B763C13F8F6

*Proses Aktif :
NTDETECT.exe (sesuai file yg dieksekusi)

*Membuat / mengcopy file ke :
– C:\$LDR$.sys [Hidden]
– C:\NTDETECT.exe ** [Hidden]
– D:\ .exe ** [Hidden]
– D:\Cinta Laura lg Bercinta.exe ** [Hidden]
– E:\ .exe ** [Hidden]
– E:\Bunga citra in Sex.exe ** [Hidden]
– F:\ .exe ** [Hidden]
– F:\Chelsea Olivia Telanjang.exe ** [Hidden]
– G:\Agnes Bugil.exe ** [Hidden]
– G:\ .exe ** [Hidden]
– H:\Cinta Laura Telanjang Baju.exe ** [Hidden]
– H:\ .exe ** [Hidden]
– I:\Bunga Citra ga pake baju.exe ** [Hidden]
– I:\ .exe ** [Hidden]
– J:\Chelsea Olivia sex’s.exe ** [Hidden]
– J:\ .exe ** [Hidden]
– K:\Cinta Laura Sex’s ** [Hidden]
– K:\ .exe ** [Hidden]
– Z:\Chelsea Olivia lg Bercinta.exe ** [Hidden]
– Z:\ .exe ** [Hidden]
– Disetiap root drive juga ditemukan file autorun.inf yg isinya :
[Autorun]
shell\open\command=.exe
shell\explore\command=.exe
shell\_____________________________\command=.exe

*String Ditemukan :
– SmansaPerjaka Anti Pendekar Blank
– Banyak terdapat string ” PaketX_C ”
– E:\Program Files\Microsoft Visual Studio\VB98\VB6.OLB [Kemungkinan alamat program vb]
– F:\vb job\3GP Exploit\3GP Xploit V.2\Project1.vbp[Kemungkinan alamat project virus tsb]
– Pesan dari si pembuat :

” Program ini di buat oleh anak Sman1 Purwareja Klampok, pada 7 juli 2008. Bukan bermaksud untuk mengganggu ketenangan Kamu, tapi Aku ingin mencoba melumpuhkan virus Pendekar-Blank, Decoil, NetGhost yg telah mengganggu ketenaganku dan orang lain. Bagi Kamu yg telah bisa mendapati tulisan ini, berarti Kamu cukup mahir mengoprasikan komputer🙂. Kuakui kalau aku banyak kekurangan dlm mengoprasikan komputer. Aku baru naik ke kelas 3 SMU, sebentar lagi adalah hari ulang tahunku. selamat ulang tahun🙂, buat diriku sendiri.. ”

*Analisa Registry :

Tak ditemukan registri yg dirusak

*Analyzed by:
Muamar Kudo – [Kudosoft Founder] [MorphostLab Independent Team]
Blog: http://www.kudosoft.co.nr http://www.morphostlab.co.nr
Email, FB : muamar.kudo@gmail.com
20:54 Selasa, Februari 02, 2010

52 Tanggapan to “QuickAnalyses: Cinta Laura by MuamarKudo”

  1. bang morphic…!! kalo ingin ngedetecsi virus itu apa harus pake code khusus..???

    • Morphic said

      hmmm…
      iya…

      bisa pakai checksum bisa juga pake heuristik..

      • Kalau PAke Heuristic itu pakai String Apa PE HEader….???

        Kalau String,, String Apa yang cocok..???
        hehehehe

        • Morphic said

          kalo string tergantung virusnya..
          virus apa dulu.

          virus apa yng kamu bingungkan brain?
          biar kami bantu.

        • Aku bingung ama sality dan doomsday 2012….!!! Nama.q Darari Bang Morphic…

          Aku nanya soal virus ini…!!! apakah virus cinta laura ini bisa di deteksi pakai string…??? kalau pakai string,, String apa yang cocok..???

          makasih ya bang morphic,, udah bantu aku banyak banget…🙂

        • Morphic said

          doomsday dan sality?
          kalo untuk string doomsday2012 bisa pakai string “DOOMSDAY”
          dan string ini kita muncul di bagian dekat kepala file.
          kalo string sality sudah kita bahas di artikel
          “Bagaimana cara Morphost mendeteksi Sality? (Rahasia Dibongkar!)” tanggal 6 Februari 2010

          kalo cinta laura dan worm indonesia lain mending pakai checksum saja atau heuristik icon.
          kalo pake string terlalu riskan. karena tidak semua worm bakal terdeteksi.
          kalo virus luar karena rata-rata infeksinya mirip jadi kita bisa pakai heuristik (boleh string atau boleh heuristik yang lain)

        • owwh…. begitu yach..?? Eh ia, kalo string Sality itu kan pake “/6!”,, nah kalau pakai string itu banyak false detect…..

          Kalau Stringnya ““……. ..à” itu bagaimana mendeteksinya bang…??? karena ada tanda … dan spasi…???

          Mohon penjelasanya….

        • Morphic said

          ya. banyak false detectnya.
          ada satu karakter yang kamu lupa. di depan “/6!” ada huruf semacam huruf “U”

          kalo bisa ambil string yang gak ada spasinya. Karena spasi disitu “NULL”. Artinya string tidak akan terdeteksi kalo ada karakter NULL.

          begitulah.😀

        • ia ada huruf semacam U itu, tapi kalau pakai string itu,, malah variant2 yang ada di blog morphoslabs ini g bisa terdeteksi semua…..

          Owwh,, jadi g bisa ya…??? kalo ada … itu bisa di deteksi apa tidak…???

        • Morphic said

          iya. dia jadi lebih sensitif kalo pake karakter “U” itu.

          karakter ‘…’ maksudmu?

          hmm, sejauh ini ak belum pernah pake string yang ada karakter seperti itunya…

        • ia,, karakter titik-titik….

          Cz semua variant sality memiliki string paling sensitif, dan memiliki karakter “…” itu….. dan letaknya di bawahnya PE header….
          stringnya “..à”
          kakalau string kyag gitu,, bisa ga…???

        • Morphic said

          oo, itu gak bisa.
          tidak akurat.

          untuk sality yang akurat itu bukan dengan string sebenarnya.
          tapi dengan metode PE.

        • nah karena saya tidak punya source code kira yamato.. jadi tdk bisa menggunakan PE header…… hehehe…

          dan string itu,, udah ada di seluruh variant Sality…. (menurutku sih)

  2. anu said

    waedew blagu bgt tuh anak sekolahan, pake mo ngancurin para sesepuh pirus lokal, gak kesampean dah di talangin ama master2x av disini heeheheh😀

  3. muamarkudo said

    wah, thx a lot bos dah publish hasil analisisku…
    😀

  4. shafry said

    ok lah. ne real virus. ud ke detek sma avg.

  5. yudha said

    aq dah lupa link nya dam, aq aja dapetnya dari hasil googling, coba kw tanya morphic, sepertinya dia punya…

  6. BangTom said

    phic, download sampel cintalaura ini dimana?
    n kenapa disebut cinta laura?

    aku dukung terus morphost!

  7. Shafry said

    hahahahahahahahhaahahahahahahahahaha

    virus baru telah muncul

    aq punya virus ne bisa infeksi file lain lho

  8. Morphic said

    @revi n adam:
    kpn2 klo klen buat virus ksi nama pacar klen. Biar trknal.
    He hehe.

    @all visitor:
    Datbse morphost maret 2010 bru trisi 20an padahal target 100an.

  9. Revi said

    Emang yahh aneh aneh virus di Indonesia Ada yang bernama Dewi sandara ada yang bernama cinta Laura KEnapa gak Julia perez.exe ajah Semua artis perempuan Di jadikan virus!!

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
%d blogger menyukai ini: