toxic

dan lagi lagi aku mengcopy postingan dari morphostlab untuk menu hari ini

Setelah dicek-cek ternyata sampel amburadul pun masih berserak di dunia maya..

Begini detailnya:

Nama Virus : Amburadul [Morphost], VirusBaru[J] dengan heuristik Morphost.
Ukuran Virus : 117,760 bytes
MD5 virus : A136431BADD796EE3623301F3D11EA33
CRC32 Virus : 9871B69B

PROSES VIRUS YANG AKTIF:
-csrss.exe
-smss.exe
-lsass.exe
-services.exe
-winlogon.exe
-~Paraysutki_VM_Community~

PENYEBARAN VIRUS:
-C:\autorun.inf
-C:\Friendster community.exe
-C:\MyImages.exe
-C:\PalMa.exe
-C:\J3MbataN K4HaYan.exe
-C:\FoToKu 16-11-2009.exe (File ini sesuai kapan tanggal virus diekesekusi)
-C:\Windows\linkinfo.dll (awalnya, aku pikir ini alman.)
-C:\windows\temp\Amburadul_List².txt (file ini berisi nama-nama file yang disembunyikan oleh virus. File-file yang disembunyikan biasanya file gambar yang ada di flashdisk. Dan si virus menduplikatkan dirinya sesuai dengan nama file yang disembunyikan. Amburadul melakukan hal ini supaya dia tahu file-file apa saja yang sudah disembunyikan dan mana yang belum.)
-C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~²\~Paraysutki_VM_Community~
-C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~²\lsass.exe
-C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~²\services.exe
-C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~²\winlogon.exe
-C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~²\csrss.exe
-C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~²\smss.exe
-C:\Images\M0D3L_P4ray_ 2009.exe
-C:\Images\MalAm MinGGuan.exe
-C:\Images\TrenD 9aya RAm8ut 2009.exe
-C:\Images\PiKnIk dT4ngKilin9.exe
-C:\Images\_PAlbTN\GePaCar4an Neh!!!.exe
-C:\Images\_PAlbTN\Ma5tURbas1 XL1M4xs.exe
-C:\Images\_PAlbTN\Ke.. TaUan N90C0k.exe
-Amburadul juga melakukan duplikasi pada flashdisk kalo ada file gambarnya… Jumlah duplikat virus sama dengan file gambar yang ada.

Sebenarnya sih, virus ini sudah terdetek oleh heuristik Morphost. Lihat gambar dibawah ini:

Namavirusnya “Virus Baru [J]”

Sementara untuk regedit yang dimodif, tertulis digambar di bawah ini. Sayangnya, saya malas untuk mengetiknya kembali. He he he…
Jadi di zoom aja ya…

Perinciannya sebagai berikut:

Dan sekali mohon maaf, tools Green Registry ini belum bisa kalian dapatkan.
Ternyata, virus amburadul ini belum habis juga. He he he… Tapi yang jelas virus ini belum bisa dikategorikan VirusAbadi.

Sampai saat ini, MorphostLab sudah mencatat dua virus yang masuk ke dalam kategori VirusAbadi, yaitu Alman dan Sality. Sedangkan Conficker dan Virut masih dalam penangguhan.

Oke, sekian dulu.

Byeee

Analyzed by: Morphic
http://www.morphostlab.co.nr
karta_morphic@yahoo.co.id

Pernah mendengar nama Hellspawn? Ato pernah mendengar karyanya?
Virus Moonlight!

Ya. Hellspawn dulu pernah membuat Moonlight.

Dan sepertinya dia mencoba virus yang baru lagi nih! Begini analisanya.

Virusname : Hellspawn [Morphost]
Size : 57,378 bytes
Icon : folder

Virus ini suka dengan filename yang random.
Kebetulan kali ini saya tidak menyertakan hasil regedit-nya karena alasan tidak sempat.
Tapi untuk penyebaran filenya bakal saya tulis di artikel ini.

Virus ini menyebar/membuat file ke:
-berduplikat sesuai nama folder yang ada (di flashdisk)
-C:\windows\u8GoTyspawn.cmd (yang ini pasti random!)
-C:\windows\u8GoTy\service.exe (nama foldernya random!)
-C:\windows\u8GoTy\winlogon.exe (nama foldernya random!)
-C:\windows\system32\zsi2rc8a.exe (nama filenya random!)
-C:\windows\system32\dRn3N2S43.exe (nama filenya random!)
-C:\windows\system32\2si2rc8\smss.exe (nama foldernya random!)
-C:\windows\system32\2si2rc8\lsass.exe (nama foldernya random!)
-Pada folder startup startmenu ada nama file “msdos.cmd”
-Pada My documents ada file html dengan nama file “about.html”

Sekali lagi maaf, karena dalam artikel kali ini tidak ada hasil analisis regedit yang dirusak. Tapi kamu bisa pakai Morphost untuk memperbaiki regedit-regedit umum yang dirusak.

CARA PENCEGAHAN
-hati-hati membuka folder yang ada di flashdiskmu. Karena semua folder yang ada di flashdiskmu disembunyikan dan semua virusnya bakal memanfaatkan kelalaianmu. Virusnya berduplikat sesuai nama-nama folder yang ada di flashdiskmu.
-Scan flashdiskmu dengan Morphost atau antivirus lain.
-Pakai mesin tik untuk mengurangi penyebaran virus ini.

CARA PEMBERSIHAN / PENGOBATAN
-Scan komputermu dengan Morphost antivirus. Pakai database terbaru.

By:Morphic

Virus sabotage merupakan salah satu virus dari sekian banyak virus lokal yang memblokir antivirus lokal. Dan menurut kami, sabotage ini virus yang memblok banyak antivirus lokal termasuk morphost.
Dari banyak virus lokal, ini adalah satu-satunya virus atau bisa dibilang juga virus pertama yang menanggapi antivirus morphost. Maksudnya melakukan pertahanan terhadap morphost.
Biasanya virus-virus lokal biasanya melakukan defense terhadap antivirus-antivirus lokal yang “biasanya sudah sering kita dengar.”
Mungkin antivirus Morphost terbilang baru dalam dunia pervirusan. Wah, wah. Selama ini yang kami anggap Morphost adalah antivirus aman, ternyata kini sudah punya musuh. Tapi yang jelas morphost sudah masuk hitungan. He he he…

Virus Sabotage
Masih belum jelas apa nama virus ini. Dan virus ini termasuk virus baru. Virus yang baru kami terima maksudnya. He he he…
Masih belum banyak AV luar yang mendeteksi virus ini. Yang sudah mendeteksi virus ini antara lain:
-Sophos (Mal/Generic-A)
-Ikarus (BAT.Trojan.FormatCQ)
-Kaspersky (packed with: PE_Patch.UPX)

Ukuran virus ini sekitar 39 – 41 KB dan memiliki MD5=3BC9E3894B7D6ACA2D504DFB4638D427.
Sederhananya virus ini:
-membuat startup
-memblok akses ke website security.
-mengubah registry
-memblokir eksekusi antivirus
-dan lain-lain.

Nilai registry yang dimodif banyak sekali. Pengeksekusian beberapa software / antivirus dialihkan dengan trik “Image File Execution Options”. Aku rasa kalian sudah tahu itu.

Di folder windows, virus ini menduplikat dirinya dengan filename “ssms.exe” bukan “smss.exe”. he he he.. emang yang itu juga harus diperhatikan supaya gak salah terminate nantinya. He he he

Virus ini juga mendelete file msvbvm60.dll di folder system32. Wah, ribet juga nih! Tapi sebagai gantinya virus ini membuat file msvbvm60.5737 di folder yang sama.

Perlu diperhatikan. Kalau kamu memang pengen menghidupkan morphost, artinya kamu harus menyediakan file msvbvm60.dll dan sekaligus merename nama morphost.exe. OKe!

Sebenarnya masih banyak lagi hal lain dari virus ini…

Sekian artikel kali ini

By:Morphic
http://www.morphostlab.co.nr

thanks to:
-Yudha

Tambahan:::
ini gambar dari file “C:\sabotage.txt”

sebenarnya trik ini sudah ada sejak agustus lalu di blognya morphostlab ya untuk meramaikan postingan blog aku !!!!!!!

Alasan kenapa anda ingin matikan deepfreeze adalah:
1. ingin nyebarin virus diwarnet (warnet-nya pake deepfreeze)
2. lupa password-nya jadi gak bisa nyimpan file di komp kesayangan kalian.

Itu dua alasan paling dominan…

Oke begini caranya…

Kamu harus tahu dulu kapan deepfreeze-nya terinstall…
Kalo gak tahu jga gak apaapa sih…

Langkah pertama.
Hidupkan komputermu lalu masuk ke BIOS cuy. Dan ubah waktunya menjadi sebelum waktu deepfreezenya terinstall. Kalo gak tahu kapan deepfreeze-nya terinstall silakan ubah aja waktunya menjadi 3 tahun yang lalu.

Langkah kedua.
Restart kompmu. Trus waktu masih booting tekan tombol F8 di keyboardmu. Nanti muncul suatu tampilan. Disitu ada muncul daftar pilihan booting. Pilih Start Windows in Debug Mode.

Langkah ketiga.
Udah itu tunggu sampe muncul gambar Welcome. Waktu masih muncul welcome langsung cepat-cepat hidupkan taskmanagermu (tekan Ctrl+alt+del). Ingat! Usahakan sebelum muncul wallpaper komp-mu. Usahakan selagi kompmu masih menampilkan welcome.
Lalu matikan process “DF5Serv.exe” dan ”Frzstate2k.exe”.

Udah beres cuy! Itu tadi 3 langkah matikan deepfreeze. Selebihnya kalian perbaiki sendiri komp kalian. Misalnya memperbaiki waktu di komputer kalian dan menguninstall deepfreeze kalian.
Tapi yang jelas deepfreeze udah non-aktif. Deepfreeze kalian udah Thawed.

Sekian tutorial ini.