MorphostLab

Tempat nongkrongnya Morphic dan kawan-kawan

QuickAnalyses: Sabotage by MuamarKudo

Posted by Morphic pada Februari 16, 2010


*Nama File : The Next Level.exe
*Sumber : MorphostLab Virus Collection – Januari 2010
*Nama Virus :
– Kudosoft VirLab : Sabotage
– Morphost Expert : Sabotage
– Smadav 2010 Rev 8.0 : n/a
– Ansav 2.035 Upd 106 : n/a
– Pcmav 2.2c Build 4 : n/a
– CMC PH#3-1 : n/a
– EuraAV 1.8.0.6: n/a

*Ukuran : 94.208 bytes [Packed with UPX]
*Compiler : Ms VB 6.0
*Icon : WinRar – SFX File
*Level : –
*Checksum :
CRC32: 674641FF
MD5: 7FC7EAC422370CA97E9B0E3EEB4F41F4
SHA-1: 5775D3E4567533A8FF2193E88765D26689F29E01

*Proses Aktif :
NTDETECT.exe (sesuai file yg dieksekusi)

*Membuat / mengcopy file ke :

– C:\Sab0tagE.exe
— CRC32: D326F9CD
— MD5: D49AA4CD73DB53BC5DD7C9C2C54A3C0C
— SHA-1: 9A7EA636292B5D17791877FAA0011D97FDB4736A
– C:\SABOTAGE.txt

– C:\Windows\desktop.ini [Attribute System]
– C:\Windows\SVCH0ST.exe [Attribute System]
— CRC32: 37047779
— MD5: C03831EDB00361207BCC8EE1099AE81B
— SHA-1: 1D459EBBD1FCF35C39887848A133D8574D9FC814
– C:\Windows\ssms.exe [Attribute System]
— CRC32: FF674641
— MD5: FB6459D509AD4D66BC81828FEE320D9F
— SHA-1: B3504DB8DF5A14D0B3D0F7339E950246227C66F5

– C:\Windows\system32\msvbvm60.10756 [Direname dari file msvbvm60.dll, file yang asli dihapus]
– C:\Windows\Task\SVCH0ST.job [Bertugas menjalankan file C:\Windows\SVCH0ST.exe tiap 1 menit]

– F:\autorun.inf [Untuk menjalankan file rad0D238.exe]
– F:\Facebook Password Cracker.exe
— CRC32: D326F9CD
— MD5: D49AA4CD73DB53BC5DD7C9C2C54A3C0C
— SHA-1: 9A7EA636292B5D17791877FAA0011D97FDB4736A
– F:\Pencuri Login.com
— CRC32: D326F9CD
— MD5: D49AA4CD73DB53BC5DD7C9C2C54A3C0C
— SHA-1: 9A7EA636292B5D17791877FAA0011D97FDB4736A
– F:\rad0D238.exe
— CRC32: D326F9CD
— MD5: D49AA4CD73DB53BC5DD7C9C2C54A3C0C
— SHA-1: 9A7EA636292B5D17791877FAA0011D97FDB4736A
– F:\rundll32.exe shell32.dll,shellexec_rundll rad0d238.exe

*String Ditemukan :
– The Next Level (Ver 5.6)

*Analisa Registry :

Tak ditemukan registri yg dirusak

*Analyzed by:
Muamar Kudo – [Kudosoft Founder] [MorphostLab Independent Team]
Blog: http://www.kudosoft.co.nr http://www.morphostlab.co.nr
Email, FB : muamar.kudo@gmail.com
19:21 Rabu, Februari 03, 2010

19 Tanggapan to “QuickAnalyses: Sabotage by MuamarKudo”

  1. Chandra said

    maaf bang TOM, saya menyela… namun komputer saya telah di sabotage oleh Silver FoX dan ini isi SABOTAGE.TXT yg dikirim ke komputer saya…

    ” [Sab0tagE] : The Next Level

    Your computer has been SABOTAGEd.
    Where is your AntiVirus when you need one?

    You talk of times of peace for all,
    and then prepare for war.
    Remember! Even you win the rat race,
    you are still a rat!

    Silver FoX – Lampung Underground”

    jadi karena Silver FoX berada disini saya meminta mohon kepada anda untuk menghilangkan data SaB0TaGe.EXE,ssms.EXE,Facebook Cracker.EXE,Texas Hold Em Poker.EXE,SABOTAGE.TXT dari komputer saya

    dan bila anda bisa… saya minta tolong utk mencari tahu password email yahoo saya

    Terima Kasih untuk Bang TOM dan Silver FoX

    [ -CHANDRA- Denpasar,Bali ]

  2. Silver FoX said

    @Bang TOM, cm sabotage aja. gk da yg laen.

  3. BangTOM said

    @fox
    slain sabotage virus apa lagi yang kamu buat?

  4. Silver FoX said

    @ardi-kudo. Bnr tu emg merek rokok. D pesan virus ada nyinggung merek itu. Btw, proses aktif NTDETECT.EXE?

  5. Silver FoX said

    @morphic. Mgkin krn trik itu lbih efektif n efisien. Jujur, pd prototype 1 bnyk makan resource (5 mnit pd kompie spec tggi jd hang). Jd pd prototype 2 uda ada perbaikan dgn me – i kode yg tak prlu n pe + an rutin kill baru. Ini jd lbh efektif saat AV vb tsb blm mngubah default class n tak memgenali virus tsb. Bhkn pcmav jg uda m’ubah runtime mrka. Klo dl prototype 2 bs kill pcmav dgn mudah, skg gk isa apa2.hehe.

  6. Silver FoX said

    @lee, hehehe…
    @muamarkudo, tiap denger kudo jd inget virus kudoshop class mild.hehe
    @anu, saya gx tau sp anda, tp salam kenal ya.
    @morphic, klo diteliti lg smua aplikasi yg pke msvbvm60.dll lgsg d kill. Gk pdli nama / caption acak sklipun lgsg mati. Sbnrnya enk pke winquit atw trik lain phic?

  7. Lee said

    Kok ceksum beda2? Apa dia ngeluarin file pendukung? Maaf, masih newbi ni, pengen belajar.

    • anu said

      klo gak salah tuh bikinan yg bernickname silfox, keknya dia jg pernah koment di blog ini, coba cek lagi mas morphic😉

      @Lee: bisa aja worm tsb berpolymorphic, makannya tiap nyebar bikin ceksum yg beda2x CMIIW🙂

    • Morphic said

      kami juga masih newbie kok, lee.

      pertama kita lihat dulu file app yg kita duga virus.
      lalu kita bandingkan dengan satu file app dengan file app lain.
      kalo memang beda berarti kemungkinan (kemungkinan pertama) virus tersebut melakukan polymorphic.

      polymorphic bisa dua tipe (menurutku)
      polymorphic tingkat rendah dan polymorphic tingkat tinggi.
      kalo polymorphic tingkat rendah bisa diatasi dengan checksum-checksum string…
      pasti checksumnya sama…
      misal: Md5String ato Crc32 string ato checksum string buatan sendiri…
      (kalo analisis di atas pake crc32 file dan md5 file) Md5 file dan md5 string adalah checksum yg berbeda.

      kalo polymorphic tingkat tinggi, tidak bisa pake checksum saja…
      misalnya virus sality…

      thanks udah kunjungi MorphostLab…

  8. NickCode said

    Waaah…

    Akhirny hidup jg virusanalyst disini…

    ayoo, semangat semangat…

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
%d blogger menyukai ini: