MorphostLab

Tempat nongkrongnya Morphic dan kawan-kawan

Analisis Worm Sabotage

Posted by Morphic pada Februari 23, 2010


RINGKASAN MALWARE:

  • Deskripsi Umum Fisik Malware:

-Nama Virus  : Sabotage [MorphostLab]

-Ukuran Virus            : 87.5 KB (89,600 bytes)

-MD5              : 6F518030538F2185E1510656E0B84AEC

-CRC32                       : CC212F39

  • Ringkasan Umum yang dianalisis:

-Membuat startup

-Memakan memory sekitar + 2MB dari kapasitas disk.

-Membuat taskjob

MODIFIKASI SISTEM

  • Modifikasi File
Alamat Objek Ukuran Objek (byte) Keterangan Objek
C:\WINDOWS\Tasks\Updater.job 298 Menjalankan file “C:\Documents and Settings\[User]\Start Menu\Programs\Startup\update.sfx”
C:\WINDOWS\desktop.ini 65 File ini yang menyebabkan icon file windows menjadi semacam gembok kuning.
C:\SABOTAGE.TXT 265 Lihat keterangan Gambar 1 dibawah
C:\WINDOWS\ssms.exe 89600 File ini sama seperti file induk
C:\WINDOWS\system32\msvbvm60.[Angka random] 1392671 Ekstensi file ini random. File ini awalnya adalah file msvbvm60.dll
[USB-FD]:\Fa©ebook\Password Cracker.com 89600 File ini sama seperti file induk
[USB-FD]:\Fa©ebook\Pencuri Login.exe 89600 File ini sama seperti file induk
[USB-FD]:\autorun.inf 14402 File ini untuk memicu file yang ada di USB-FD
[USB-FD]:\[filerandom].exe 89600 File ini sama seperti file induk
[USB-FD]:\[filerandom].exe 89600 File ini sama seperti file induk
C:\Documents And Settings\[user]\NetHood\Texas Poker Holdem Cheat .exe 89600 File ini sama seperti file induk
C:\Documents And Settings\[user]\Start Menu\Programs\Startup\update.sfx 89600 File ini sama seperti file induk
  • Process yang Aktif

Proses-proses yang aktif antara lain: [File yang dieksekusi], ssms.exe, dan cmd.exe (diaktifkan oleh virus)

  • Modifikasi Registry

Registry Yang Dibuat:

-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

WinSystem = C:\WINDOWS\ssms.exe

-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System

DisableMSConfig = 1

-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

NoDrives = 16

-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced

HIDDEN = 0

-HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore

DisableSR = 1

-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot

ALTERNATESHELL = C:\WINDOWS\ssms.exe

-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

ALTERNATESHELL = C:\WINDOWS\ssms.exe

-HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System

EnableLUA = 0

Registry Yang dimodif

-HKEY_CLASSES_ROOT\exefile

Command = WinRAR Archieve

-HKEY_LOCAL_MACHINE\software\Classes\exefile

Command = WinRAR Archieve

-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command\

\ = logoff.exe

LAMPIRAN KETERANGAN TAMBAHAN:

Berikut ini adalah gambar-gambar yang berhasil diambil saat analisis, sebagai bukti proses analisis.

Gambar 1

Gambar 2

Ini adalah icon virus Sabotage.

Gambar 3

Icon folder “C:\windows\” telah berubah akibat file desktop.ini

Gambar 4

Hasil analisis malware di atas adalah hasil yang diambil saat pertama kali pengamatan. Tidak tertutup kemungkinan adanya kesalahan saat analisis. Ditambah lagi hasil analisis ini juga kemungkinan besar luput dari pemeriksaan debugger yang dilakukan oleh malware yang dianalisis. Maka dari itu hasil analisis ini masih belum mencukupi kriteria untuk dijadikan sebagai referensi.

Seluruh konten analisis malware ini merupakan hak cipta MorphostLab Malware Research. Hasil analisis ini boleh disebarluaskan setelah mendapat izin dari MorphostLab. Hasil analisis ini juga boleh dipost ataupun dipublish ulang di web atau blog virologist lain tetapi juga dengan syarat telah mendapat izin dari MorphostLab.

Untuk mendapatkan hasil analisis malware lainnya silakan kunjungi kami di http://www.morphostlab.co.nr atau di web atau blog virologist lainnya . Dan jangan lupa untuk meninggalkan komentar dan bergabung bersama kami di forum MorphostLab (http://www.morphorum.co.nr ).

HakCipta © MorphostLab Malware Research [b]

full analisis download disini

103 Tanggapan to “Analisis Worm Sabotage”

  1. Silver FoX said

    Kl menurutku, alman cendrung ke rootkit. Sedang yg sy pke cm trik biasa. Kl rootkit bkn hny file path yg hidden, tp jg registry & process, library, dll dihide.
    Uda ada kok virus lokal pke rootkit, jd hrus pke minipe buat apusnya. Ada jg AV lokal yg bs anti-rootkit, jd krg efektif jg c.

  2. celengan semar said

    gw liat dikomen sblmnya klo ada real superhiden, kayaknya virus makin lama makin serem aja yah (tehniknya gitu). tapi biarpun makin hebat suatu virus maka makin hebat juga AV-nya.

    oya lupa gw mo tanya org yg bernickname Bobby315 kok makin lama makin gak exist yah, sblmnya gw liat aktif di forum smadav tapi udah nggak dan berhubung dia juga mampir kemari makanya gw komen disini. soalnya gw mo tanyain ttg antivirus yg dia buat sebenarnya udah keluar apa blm? isunya udah keluar (itu juga kata bbrp temen gw) dan isu lainnya virus sejenis sality bisa direpair dan exe dll com yg abis direpair gak akan bisa diinfeksi u/ kedua kalinya, bener apa nggak gw pengen coba (ada yg punya?).

    @ morphic

    boleh request? lo kan jago knp gak buat supaya morphost bisa repair sality soalnya tuh virus brengsek bgt file exe yg gw donload pada kena padahal donloadnya lama lagi.

    @ hajarbro

    maho lo, maho lo, maho lo, maho lo, maho lo, maho lo, maho lo
    maho lo, maho lo, maho lo, maho lo, maho lo, maho lo, maho lo
    maho lo, maho lo, maho lo, maho lo, maho lo, maho lo, maho lo

    tau apa itu “maho” bro? klo gak tau berarti lo bener2 maho dan komen gw u/ lo “Kenapa Hajarbro jadi MAHO ?”

    • Morphic said

      @Celengan
      wah, saya masih belum fokus ama healing virus.
      masih detektor virus doang…

      hhehehehe…

      • aku setuju Itu berengsek si sialan sality!!!!Komputer sodaraku udah nempel di Memori kalau di install ulang tetp ajah ada !!!!!!!! AV Indonesian masih belum bisa nge repair sality palingnya ngambil ke Quarantine HUHHHH Tapi pC*** for sality bisa deketksi sality tapi belum maksimal!!!

        • Morphic said

          itu dia masalahnya…

          kita perlu antivirus yang benar-benar bisa mencegah dan melindungi komputer…

  3. BangTOM said

    @morphic
    iya phic. Ak jg dukung kw dan morphost sebagai antivirus lokal terbaik nomor satu.

    Karena menurt ak morphost tu antivirus lokal yang ampuh banget.
    Ok deh, nti ak buat artkelnya

  4. HajarBro! said

    @All
    klo cuma kemampuan sepantat aja lu jgn coba-coba lawan gw, lu mau gw TOLOL in jd kayak gw..

    Tolol aja kok repot..

  5. Morphic said

    To all:
    q lupa ngasi tw ni.
    Hari kamis ni q da ujian.
    Terpaksa q krg aktif disini.

    Dtbse pun blum sempat diluncurkan. Maklum ya.
    N rncanany dtbseny dirilis bersamaan dgn morphost yg bru jg rilis.
    Harap smua maklum y.

    Doakan jg biar q dpt A ujian nti. He he
    thnx buat kalian!

  6. satryacode said

    hmm,
    bagaimana dgn database maret ??

    udh ada ?

    pesan buat boss Morph,_
    mulai sekarang, ketika ada database terbaru ,
    diberi jg review tentang virus apa aja yg di tambah.

    oke phic??!!

    • yudha said

      gak sabar nunggu database maret sama rilis terbaru nih….

      coz, beberapa sampel yang ku temukan ternyata langsung bisa terdeteksi dengan baik sama morphost Terbaru ini…

      • Morphic said

        sekarang malah nambah detektor virus baru lagi nih yud.
        seperti virus Funlove (2 varian) udah terdeteksi….

        dan yang ini juga bisa dideteksi oleh morphost saja. Av lokal lain belum bisa.

  7. BangTom said

    Phic q mw nulis artikel ttg perbandingan morphost dgn antivirus lokal lain.
    Boleh gk phic?
    Kalo boleh ak kirim k emailmu ya.
    Trus dipost disini ya.

  8. Morphic said

    @bangtom
    iy, sbgian varian small yg mnginfeksi udah trdetek ama morphost beta.

    Malah dgn heurny yg bru file infeksi Troxa jg dah trdetek. Q dapat troxa dari yudha.

    @sid revi moreset32
    morphost beta dah dkluarin td pagi.
    Silakn coba. Ntar kta rilis versi siap pakainy mggu ni.

  9. BangTOM said

    Lapor!
    Morphost beta version dah bsa detek virus SMALL varian V.
    Laporan selesai!

    • BangTom aku minta Sample small Yahhh!!!!! Varian V nya HE_!!!!!
      ————————————————————-
      Tinggal varian apah lagi yang belum kedekteksi ama MORPHOST???
      Pastinya Conficker yahh ama Trojan!!!! karena banyak Sekali macam2x trojan!!!!

  10. BangTOM said

    Ak tetap dukung morphost phic.

    Morphost itu antivirus lokal terbaik tahun 2010!
    Ak juga dukung morphost jadi antivirus lokal nomor satu!

  11. HajarBro! said

    Morphic! Kalo cuma analisis seperti itu anak kecil baru bisa main komputer juga bisa!

    Analisis TOLOL seperti itu nggak pantas dipublikasikan.. Lu mesti banyak belajar dari gw gimana caranya jadi orang TOLOL kayak gw ini..

  12. Silver FoX said

    @revir, Sbnrnya ada 5 seri. Yg trakhir Hybrid EviLution yg menerapkan trik real super hidden. File/Folder akan d hide dlm tingkatan real super hidden. Invisible pd explorer dan cmd.
    @satrya, sori klo terlihat menjebak. Saya hny coba pelajari psikologis korban & analyst. Pemikiran, tindakan, & reaksinya. Dgn bgtu saya coba tebak next actionnya lalu d antisipasi pd versi berikutnya.
    @shafry, isinya cm jalanin update.sfx tiap 5 mnit klo gk slh.

  13. BangTOM said

    Wuih,
    gila!
    Tadi ak dwnload 4 sampel virut dri vx.netlux.
    Trnyata morphost mmbabat habis virut.
    100%!!
    Smuany terdetek!

    Smadv gk mndetek satupun.
    Ansv lum kucoba

  14. BangTOM said

    To all visitor:
    ak liat d forum smdv, da org yg blg morphost gk pantas djadiin subforum brsama pcmav n ansav. Dy blg kualitas morphost msi jauh dbwah.
    Dy salah besar!

    Siapa yg SETUJU MORPHOST DIJADIKAN SUBFORUM D FORUM SMDV BALAS COMENT INI!
    Maju MORPHOST! Antivirus lokal terbaik!

  15. BangTOM BangTOM said

    @phic.
    Morphost versi baru nanti apa z yg dtmbah phic?

    Maju terus!
    Aku bangga jadi morphostmania

  16. Silver FoX said

    Memang ini aku yg buat. Ok, saya coba jelasin dikit.
    Sabotage ini ada beberapa seri:
    a. Sabotage biasa
    b. Sabotage : Prototype
    c. Sabotage : The Next Level
    d. Sabotage : Fully Loaded.
    Setiap seri punya 4 – 9 jenis varian, dan hanya beberapa saja yg disebar. Yg dianalisa ini adl jenis yg seharusnya tak menyebar krn sdkit error. Coba masukin file msvbvm60.dll ke root drive misal c:\msvbvm60. Bis itu tekan Win+E. Kl bener, mk explorer akan langsung d kill.

    • Jadi semuanya ada 4 varian yahhhh
      a. Sabotage biasa
      b. Sabotage : Prototype
      c. Sabotage : The Next Level
      d. Sabotage : Fully Loaded.

      Coba aku minta sample nya Aku coba analis lagi di warnet sample yang baru di analis!!!!!!!

  17. Silver FoX said

    Analisanya uda lumayan lengkap kok, phic. Coba masukin prog pcmav n file vbs, bat, reg, html k flashdisk. Btw, dpt darimana sample yg ini?

  18. p0et said

    mantau aja. .
    oya kau sudah tau ini?
    software-antivirus-indonesia.com

  19. ilyustina said

    mantaf boz…

  20. yudha said

    Mantap phic..!!analisa nya lebih ter-struktur, lebih rapi…

  21. muamarkudo said

    Wah…okelah bang…🙂

    eh, buat siapapun, tlg kalo komen, pake bhs yg sopan, oke..

  22. Memek said

    Fuck u asshole
    fuck u motherfucker
    kiss my ass bitch…

    ~HajarBro!~

  23. Wahhh keren nama antivirus nya MorphostLab Malware Research (MMR Antivirus) wahhhh Keren!!!!!!! hihihi PHIC bagus nama antivirus nya (MORPHOST MALWARE Research) Aku sebut morphost sekarang dengan MMR Antivirus!!!!! Keren bang !!!!!!

  24. shafry said

    keren bang morphic

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
%d blogger menyukai ini: