Penulis Topik: Bedah Virus Disini !  (Dibaca 272070 kali)

Offline den baguse ngarso

  • Pro100
  • ****
  • Tulisan: 110
  • Reputation: 138
  • Jenis kelamin: Pria
    • Lihat Profil
Re: Mengenal Virus Chelsea Logo.exe
« Jawab #20 pada: Januari 29, 2010, 06:47:29 PM »
hehehehe.......... brarti tinggal dicari cewe na bwat dmintai tanggung jawab gan..... nice info bo...
peace......love....empathy..........

Offline Jastis

  • Trusted Advisor
  • Pro500
  • *****
  • Tulisan: 3.558
  • Reputation: 61624
  • Jenis kelamin: Pria
  • https://cariakibatsebab.blogspot.co.id/
    • Lihat Profil
    • REY COMPUTER
Worm:W32/VBWorm.AGR : Mengubah default page IE ke Hellspawn dan Friendster
« Jawab #21 pada: Maret 10, 2010, 04:31:47 AM »
Ini adalah berita terbaru dari om Alfons.....saya post aja disini,semoga para Smadaver merasa terbantu dan be carefull tentunya. :)
 
Di dunia ini, selalu ada dua sisi yang saling bertentangan. Ambil contoh dalam dunia coding, dimana pada industri game ada satu perusahaan lokal yang kreatif dan berani mengambil resiko berhadapan dengan perusahaan-perusahaan game besar seperti Blizzard atau Ragnarok dengan meluncurkan game yang bernama Nusantara Online http://www.nusantara-online.com/ http://www.nusol.web.id dengan thema karakter lokal dan kerajaan-kerajaan besar di Indonesia. Sebaliknya, pada dunia virus, seakan tidak mau kalah dengan maraknya penyebaran virus mancanegara, menyebar satu virus lokal yang memiliki ciri khas mengubah default page dan default search page dari Internet Explorer dari komputer korbannya. Alangkah bagusnya kalau energi dan kreativitas programmer virus yang berlebihan disalurkan ke hal-hal yang positif seperti mendukung pengembangan dan penyebaran aplikasi lokal.

Satu virus lokal lain yang perlu diwaspadai adalah VBWorm.AGR, virus ini mengubah default page Internet Explorer ke http://www.hellspawn.de.be dan memberikan "bonus" mengubah defailt search page ke salah satu akun di Friendster. Virus ini dibuat dengan program bahasa Visual Basic dengan ukuran file sekitar 58 KB. Virus ini mempunyai ciri-ciri : (lihat gambar 1)
Gambar 1, File induk VBWorm.AGR

=> Menggunakan icon Folder
=> Ukuran file 58 KB
=> Type File "Application"
=> Ekstensi file "EXE"
    
Merubah Default Page ke http://www.hellspawn.de.be !

Gambar 2, Default Page IE dirubah ke http://www.hellspawn.de.be

Merubah default Search Page ke http://www.frienster.com http://www.friendster.com/user.php?uid=27987774

Gambar 3, Default search page di arahkan ke satu page Friendster


Bagaimana mengenai virus VBWorm.AGR?

Sebenarnya tidaklah terlalu sulit untuk mengenali virus ini salah satunya adalah dengan melihat halaman awal dan search page dari Internet Explorer (lihat gambar 2 dan 3). Selain itu, pada saat menjalankan program regedit maka akan muncul pesan error seperti terlihat pada gambar 4 dibawah.

Gambar 4, Pesan yang tampil saat membuat aplikasi registry editor

Dengan update terbaru Norman Security Suite mendeteksi virus ini sebagai VBWorm.AGR (lihat gambar 5)

Gambar 5, Hasil deteksi VBWorm.AGR


File induk VBWorm.AGR

Pada saat virus ini aktif di komputer target, ia akan membuat beberapa file induk yang akan dijalankan petama kali saat komputer dinyalakan

=> C:\WIndows
                     -> Lsass.exe
                     -> 310733.exe
                     -> z100427d.exe
                     -> cypreg.dll
=> C:\Windows\81374
                     -> system.exe
                     -> smss.exe
=> C:\WIndows\system32
                     -> 662832100427l.exe
                     -> moonlight.scr
=> C:\Document and Settings\Client\Templates\18282
                     -> winlogon.exe
                     -> services.exe
                     -> 018282.exe
=> C:\WINDOWS\81374
                     -> Smss.exe
                     -> Regedit.cmd
                     -> w412375.com
=> C:\WINDOWS\system32\15780a
                     -> 662832.cmd
=> C:\Documents and Settings\Client\Start Menu\Programs\Startup
                     -> adobe gama.cmd
=> C:\%user% p***.exe
=> C:\Data %user%.exe
=> C:\Foto %user%.exe
=> C:\Documents and Settings\%user%\My Documents\My Music
                     -> My Music.exe
=> C:\Documents and Settings\%user%\My Documents\My Pictures
                     -> My Pictures.exe

Registri Windows

Agar file tersebut dapat dijalankan secara otomatis, ia akan membuat beberapa string pada registri window berikut:

=> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
                     -> 0 = C:\WINDOWS\l.exe
                     -> 028200 = C:\WINDOWS\l310733.exe
                     -> a82662 = C:\WINDOWS\notepad.exe:X
  
=> HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
                     -> s0 = C:\WINDOWS\system32\l.exe
                     -> s1307330 = C:\WINDOWS\system32\662832100427l.exe

=>  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
                     -> shell =explorer.exe, "C:\Documents and Settings\%user%\Templates\18282\018282.exe"

Blok fungsi Windows

Untuk mempertahankan dirinya, ia akan melakukan blok terhadap beberapa fungsi windows utama seperti Task Manager, Registry Editor, Msconfig atau system restore, cara ini juga dilakukan untuk mengaktifkan dirinya pada saat user mengeksekusi aplikasi tersebut, Virus ini juga akan menyembunyikan file regedit.exe dan notepad.exe.

=> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\regedit.exe
                     -> debugger = C:\WINDOWS\regedit.exe:X
  
=> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution  Options\rstrui.exe
                     -> debugger = C:\WINDOWS\regedit.exe:X

=> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msconfig.exe
                     -> debugger = C:\WINDOWS\regedit.exe:X

=> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
                     -> UncheckedValue = 0

=> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
                     -> DisableRegistryTools

Pada saat user menjalankan aplikasi tersebut, ia juga akan memuculkan pesan seperti pada gambar 4 di atas.

Selain blok fungsi Windows tersebut, ia juga akan meninggalkan jejak lain dengan merubah halaman utama Internet Explorer dengan merubah string pada registri berikut:

=> HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
                     -> Start Page = http://www.hellspawn.de.be
                     -> Windows Title = Lan Elitta
                     -> Search Page = http://www.friendster.com/user.php?uid=27987774

=> HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser

=> HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\main
                      -> FullScreen = No

Aktif pada mode "safe mode with command prompt"

Virus ini tidak saja akan aktif pada mode "normal" tetapi lebih dari itu ia akan aktif pada mode "safe mode with comand prompt" dengan merubah string pada registry berikut:

=> HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
                      -> AlternateShell = 662832100427l.exe
  
=> HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot
                      -> AlternateShell = 662832100427l.exe

=> HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
                      -> AlternateShell = 662832100427l.exe


Memalsukan folder untuk menyebarkan dirinya

Target utama dari virus ini adalah menyembunyikan folder dan subfolder yang ditemukan, masih "untung" virus ini hanya akan menyembunyikan folder / subfolder yang ada di flash disk anda saja :-). Untuk mengelabui user ia akan membuat file duplikat dengan nama file yang sama dengan ciri-ciri : (lihat gambar 6)

=> Menggunakan icon Folder
=> Ukuran file 58 KB
=> Type File "Application"
=> Ekstensi file "EXE"

 
Gambar 6,   File duplikat VBWorm.AGR

 
Media peyebaran

Untuk menyebarkan dirinya ia akan menggunakan media Flash Disk/Removable Disk dengan membuat file duplikat sesuai dengan nama file yang disembunyikan. Tidak seperti yang dilakukan oleh kebanyakan virus lokal, ia tidak akan menggunakan fitur autorun Windows untuk mengaktifkan dirinya.


Cara mengatasi VBWorm AGR

1.Nonaktifkan "System Restore" selama proses pembersihan

2.Matikan proses virus yang aktif dimemori dengan menggunakan tools "Ice Sword". Matikan proses virus yang mempunyai icon folder serta file cypreg.dll seperti terlihat pada gambar di bawah ini.

Gambar 7, Matikan proses virus dengan tools "Ice Sword"

Tools ini dapat di download di alamat http://icesword.en.softonic.com/download

3.Repair registry yang sudah diubah oleh virus. Salin script di bawah ini pada program notepad kemudian simpan denan nama REPAIR.INF, jalankan file tersebut dengan cara: Klik kanan REPAIR.INF | Klik INSTALL

Kode: [Pilih]
[Version]

Signature="$Chicago$"

Provider=Vaksincom Oyee

 

[DefaultInstall]

AddReg=UnhookRegKey

DelReg=del

 

[UnhookRegKey]

HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"

HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""

HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0,

"Explorer.exe"

HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKLM, SYSTEM\CurrentControlSet\Control\SafeBoot, AlternateShell,0, "cmd.exe"

HKCU, Software\Microsoft\Internet Explorer\Main, start page,0, "about:blank"

HKCU, Software\Microsoft\Internet Explorer\Main, Search Page,0, "about:blank"

HKLM,

SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperH

idden, UncheckedValue,0x00010001,1

 

 

[del]

HKCU,

Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools

HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableCMD

HKCU,

Software\Microsoft\Windows\CurrentVersion\Policies\Explorer,NoFolderOptions

HKLM, Software\Microsoft\Windows\CurrentVersion\Run,0

HKLM, Software\Microsoft\Windows\CurrentVersion\Run,028200

HKLM, Software\Microsoft\Windows\CurrentVersion\Run,a82662

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, s0

HKCU, Software\Microsoft\Windows\CurrentVersion\Run, s1307330

HKLM, SOFTWARE\Microsoft\Windows\CurrentVersion\Run,Bron-Spizaetus

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution

Options\msconfig.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution

Options\regedit.exe

HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution

Options\rstrui.exe

HKCU, Software\Microsoft\Internet Explorer\Toolbar\WebBrowser

HKCU, Software\Microsoft\Internet Explorer\Main, Windows Title


4.Cari dan hapus file virus, sebelum melakukan proses penghapusan tampilkan file yang tersebunyi dengan merubah setting pada Folder Options. Kemudian hapus file berikut:

=> C:\Windows
                     -> Lsass.exe
                     -> 310733.exe
                     -> z100427d.exe
                     -> cypreg.dll
=> C:\Windows\81374
=> C:\WIndows\system32
                     -> 662832100427l.exe
                     -> moonlight.scr
=> C:\Document and Settings\Client\Templates\18282
=> C:\WINDOWS\81374
=> C:\WINDOWS\system32\15780a
=> C:\Documents and Settings\Client\Start Menu\Programs\Startup
                     -> adobe gama.cmd
=> C:\%user% p***.exe
=> C:\Data %user%.exe
=> C:\Foto %user%.exe
=> C:\Documents and Settings\%user%\My Documents\My Music
                     -> My Music.exe
=> C:\Documents and Settings\%user%\My Documents\My Pictures
                     -> My Picture.exe

Source : http://jastisbago.blogspot.com
« Edit Terakhir: Maret 10, 2010, 04:38:28 AM oleh Jastis »

Offline evens

  • Pro100
  • ****
  • Tulisan: 192
  • Reputation: 240
  • Jenis kelamin: Pria
  • Games Lover
    • Lihat Profil
    • Evens DarkRamune
Re: Worm:W32/VBWorm.AGR : Mengubah default page IE ke Hellspawn dan Friendster
« Jawab #22 pada: Maret 10, 2010, 05:39:56 AM »
Sama yah artikelnya ma vaksin.com ??
Atau ada tambAHAN lain??
©ЭvЭиs®

Offline Rh354

  • Trusted Advisor
  • Pro500
  • *****
  • Tulisan: 1.920
  • Reputation: 65534
  • Jenis kelamin: Pria
  • Just an Ordinary Guy
    • Lihat Profil
    • Time Traveler
Re: Worm:W32/VBWorm.AGR : Mengubah default page IE ke Hellspawn dan Friendster
« Jawab #23 pada: Maret 10, 2010, 05:59:54 AM »
Sama yah artikelnya ma vaksin.com ??
Atau ada tambAHAN lain??
source aslinya dari vaksin koq wakakakaka...om alfons khan org vaksin wekekekeke
OS : Slackware 13.1
Kernel : 2.6.35
CPU Type : i686
Processor : Intel Celeron M 1,4 GHz
Axioo Centaur series

Offline Jastis

  • Trusted Advisor
  • Pro500
  • *****
  • Tulisan: 3.558
  • Reputation: 61624
  • Jenis kelamin: Pria
  • https://cariakibatsebab.blogspot.co.id/
    • Lihat Profil
    • REY COMPUTER
Re: Worm:W32/VBWorm.AGR : Mengubah default page IE ke Hellspawn dan Friendster
« Jawab #24 pada: Maret 10, 2010, 07:32:36 AM »
Sama yah artikelnya ma vaksin.com ??
Atau ada tambAHAN lain??
source aslinya dari vaksin koq wakakakaka...om alfons khan org vaksin wekekekeke

hahahaha.....belum terkenal tuh om Alfons.......

Offline h3ndr@fum!

  • Pro500
  • ******
  • Tulisan: 632
  • Reputation: 1249
  • Jenis kelamin: Pria
  • apa sih yang enggak bisa kalo mau belajar !!!!!!!!
    • Lihat Profil
Re: Worm:W32/VBWorm.AGR : Mengubah default page IE ke Hellspawn dan Friendster
« Jawab #25 pada: Maret 10, 2010, 08:35:30 AM »
ok...nice info..

menerima "Cendol" Bukan "Bata"!!!!!

Offline evens

  • Pro100
  • ****
  • Tulisan: 192
  • Reputation: 240
  • Jenis kelamin: Pria
  • Games Lover
    • Lihat Profil
    • Evens DarkRamune
Re: Worm:W32/VBWorm.AGR : Mengubah default page IE ke Hellspawn dan Friendster
« Jawab #26 pada: Maret 10, 2010, 03:01:12 PM »
Sama yah artikelnya ma vaksin.com ??
Atau ada tambAHAN lain??
source aslinya dari vaksin koq wakakakaka...om alfons khan org vaksin wekekekeke

hahahaha.....belum terkenal tuh om Alfons.......
owh gtU, kadang aq cuma baCa2 artikel aja di vaksin.coM.
Kalo org dalam vaksin.CoM belum tau
:D haha
©ЭvЭиs®

Offline Yudh

  • Pro500
  • ******
  • Tulisan: 2.307
  • Reputation: 65517
  • Jenis kelamin: Pria
  • yudhafb@gmail.com
    • Lihat Profil
Re: Worm:W32/VBWorm.AGR : Mengubah default page IE ke Hellspawn dan Friendster
« Jawab #27 pada: Maret 11, 2010, 11:36:46 AM »
Ada sampelnya gak mas Jastis..... mau donk... :D :)  kayanya seru tuh....

Offline Jastis

  • Trusted Advisor
  • Pro500
  • *****
  • Tulisan: 3.558
  • Reputation: 61624
  • Jenis kelamin: Pria
  • https://cariakibatsebab.blogspot.co.id/
    • Lihat Profil
    • REY COMPUTER
Bedah Virus : Virus KefiUNIQUE.ssV.variant bY Rch Trojans Boy
« Jawab #28 pada: Juli 14, 2010, 04:13:20 PM »
Sudah lama saya tidak bermain-main dengan virus lagi,tapi sekarang saya sudah bebas (ngejomblo lagi dech :D) dan harus ikut bertempur lagi dengan virus-virus yang keren-keren.Kali ini saya akan membahas virus  KefiUNIQUE.ssV.variant yang saya dapat dari teman saya di Facebook yakni Rch Trojans Boy.Thanks Bro buat virusnya,sory baru saya cobain :D      

Jenis virus ini sebenarnya sudah sering  kita jumpai,karena hampir semua virus worm/VBS mempunyai cirri-ciri yang sama.Tetapi yang ini agak berbeda sedikit,kalau biasanya virus akan beraksi tanpa sepengatahuan korban,yang ini malah akan berinteraksi dengan korban terlebih dahulu sebelum computer korban akan dikuasai habis-habisan dan si koraban hanya tercengan dan menangis seperti anak bayi yang lagi kehabisan susu.(Karena susu ibu hanya untuk ayah :D).
Ini adalah gambar startup virus pertama kali dijalankan .

Dan akan dikuti beberapa MsgBox seperti ini.



Code :

Kode: [Pilih]
msgbox "Virus Start up aaahhhh...!", ,"Error Warning. . . !"
msgbox "Otak-atik nama IE ah...!", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "File Hiden gak bisa dilihat,,,gawat.....!", ,"Error Warning. . . !"
msgbox "wow...!Extensinya juga...!", ,"Error Warning. . . !"
msgbox "Hahahah.....wow super Hident bro....", ,"Error Warning. . . !"
msgbox "wahh.......Kaget nicH...!", ,"Error Warning. . . !"
msgbox "waduhh...Wa;papernya gak bisa diganti...!", ,"Error Warning. . . !"
msgbox "gak ada shutdownnya...!", ,"Error Warning. . . !"
msgbox "hahaha...makin parah aja ni koputer,,,!", ,"Error Warning. . . !"
msgbox "Gak bisa menuin kite ye...!", ,"Error Warning. . . !"
msgbox "wahh...apalagi folder optionnya ilang...!", ,"Error Warning. . . !"
msgbox "Gak bisa lari kemana-mana hayooo..!", ,"Error Warning. . . !"
msgbox "gak bisa bakar-bakar CD nuich", ,"Error Warning. . . !"
msgbox "klik kanan donk,,oh gak jadi...!", ,"Error Warning. . . !"
msgbox "di toolbar juga,,gawat,,,", ,"Error Warning. . . !"
msgbox "gak bisa pake hotkey,gak hot nih...", ,"Error Warning. . . !"
msgbox "wah..iconnya ilang....keren..", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "huft...gak bisa shutdown deh...!", ,"Error Warning. . . !"
msgbox "parahh..loe PC...!", ,"Error Warning. . . !"
msgbox "Hardisk diilangin juga nih,,,,", ,"Error Warning. . . !"
msgbox "Ane butuh CMD...", ,"Error Warning. . . !"
msgbox "buka Regedit gak bisa YChD", ,"Error Warning. . . !"
msgbox "Virusnya kill ah pke Task menager,,ha..gak bisa.!", ,"Error Warning. . . !"
msgbox "gak ada screan severnya,,,gak kereeen...!", ,"Error Warning. . . !"
msgbox "cuapeee nih virus...!", ,"Error Warning. . . !"
msgbox "Okeyy,,,lanjuttt....", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "Gak ada control panel", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "Aplikasi ku gak bisa dibukaaaaaaaaa.........!", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "f*** YOUR SYSTEM", ,"Error Warning. . . !"
msgbox "Huft selesai jga,,,otak-atik komputer loe...!", ,"Error Warning. . . !"

Lumayan capek kan dibuat MSgBoxnya si empunya Virus ?

Gejala-gejala yang ditimbulkan :

=> Perhatikan beberapa icon didestop ini :
Terlihat jelas kalau icon-icon aplikasi saya sudah dirubah oleh virus ke tipe VBS.

=> Semua icon rg.regwrite shell32.dll,2" akan dirubah ke VBS.

=> Sewaktu kita akan melakukan penyimpanan/Save AS,maka semua drive akan dihidden oleh virus alias drive kita tidak akan kelihatan setelah computer direstar.

=> Seperti kebanyaan virus,virus ini juga sudah pasti akan mendisable TaskManagaer,Regedit,Folder Option dan masih banyak lagi yang akan dikerjain oleh virus ini.Yang penting korban akan benar-benar menangis habis-habisan…………

=> Mendisable beberapa AV Local maupun Import,seperti :
• Ansav
• PCMAV
• NOD32
• Avast
• Dan Registry Editor
Disini Smadav tidak dihiraukan si empunya virus,tetapi kemarin dia pesan ke saya kalau virus ini akan mematikan Smadav :D.

=> Untuk membuat aksinya lebih sempurna,virus ini akan mengaktifkan dirinya di Startup.
=>Di regestry,virus ini juga akan menanamkan dirinya dengan nama : Vir.32.dll.vbs

=> Title Internet Explorer akan dirubah menjadi  <<--Worm_ by Kefi And 9a Friends-->>"

=> Ternyata virus maker mempunyai tujuan yang sama dengan saya dan beberapa teman-teman saya di dunia underground atau bahasa kerennya “Hacker” seperti anak-anak YCL,Jasakom,DC,PHL dll. Si empunya virus juga ternyata ingin menghacunrkan MalingSial….wkwkwkwk. Virus akan melakukan ping ke http://malingsial.com,tapi apa ada ya web malingsial gitu ? Tanya sama diri sendiri aja ya…….

Bagaimana mencegahnya ?

Setiap korban yang mengalami seperti ini pasti akan berusaha untuk menghilangi virus ini dari komputernya.Bahkan tidak seditkit yang frustasi dan akhirnya gantung diri….eh salah……. Install ulang maksudnya.Tapi itu sangat merugikan jika memang itu pilihan banyak orang,maka saya mending beli computer baru lagi :D.
Sebenarnya sudah sangat mudah untuk membersihkan virus-virus seperti ini.Kenapa ? Sudah jelaslah kan sudah ada AV yang bias menditeksi ini.Disini saya hanya menggunakan 2 AV,satu Smadav dan satu lagi Avast.Tinggal scanning dengan Smadav maka Avast akan mengeksekusinya.Kerjasama yang sangat bagus.Tetapi Avast disini terlalu ganas,karena beberapa file/aplikasi akan dibabat habis.So,Be Carefull guys.

Detect by Smadav

Detect By Avast

Bagi yang mau Virusnya,Download Disini.

Special Thanks t0:
=> My God
=> Yogyacarderlink Crew
=> Smadav Crew
« Edit Terakhir: Juli 14, 2010, 05:01:34 PM oleh Jastis »

Offline Jastis

  • Trusted Advisor
  • Pro500
  • *****
  • Tulisan: 3.558
  • Reputation: 61624
  • Jenis kelamin: Pria
  • https://cariakibatsebab.blogspot.co.id/
    • Lihat Profil
    • REY COMPUTER
Re: Bedah Virus : gadis_ancol.exe
« Jawab #29 pada: Juli 17, 2010, 11:53:57 AM »
File: gadis_ancol.exe
Size: 61440 Bytes
MD5: 6E5312BF72D004570F5568FBD1F1562C
Packer: File not found
File Properties: CompanyName     
FileDescription 
FileVersion      1.00
InternalName     smu_orgasme
LegalCopyright   
OriginalFilename smu_orgasme.exe
ProductName      Project1
ProductVersion   
Pemograman Visual Basic 6.0<span class="fullpost">         

Icon dari Virus :


Gejala-gejala yang ditimbulkan :

1.Pada waktu pertama kali virus ini dijalankan,maka di task manager langsung akan muncul processesnya yaitu gadis_ancol.exe,tetapi setelah computer restart processes ini akan berubah menjadi ABG.exe.Pastilah dengan cara ini si korban akan tertipu sedikit dengan ulah virus.


2.Setiap kali computer startup,maka virus ini langsung aktif.Karena virus ini akan membuat file/registrynya di startup.

Bahkan ada tiga registry yang akan di buat oleh virus,yaitu :

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\f3ndhi
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Window Title
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page


3.Ada beberapa file yang akan dibuat oleh virus disetiap drive dan sepertinya virus induk adalah ABG.exe.

C:\WINDOWS\system32\ABG.exe
C:\WINDOWS\system32\mahasiswi_virgin.exe
C:\WINDOWS\system32\Gadis_cina_di_perkosa_dalam_toko.exe
C:\WINDOWS\system32\Smu_bandung_full.exe
C:\WINDOWS\system32\MAkkasar_darah_perawan.exe
C:\WINDOWS\Fonts\fonts\smu_negeri_1_hot.exe
C:\WINDOWS\Fonts\fonts\anak_smk_utama.exe
C:\WINDOWS\Fonts\fonts\perkosa_rame2.exe
C:\WINDOWS\system\rena_virgin.exe
C:\WINDOWS\system\rena_orgasme.exe
C:\WINDOWS\system\rena_orgasme_1.exe
C:\WINDOWS\anak_lampung.exe
C:\WINDOWS\perkosa_abg.exe
C:\WINDOWS\darmajaya_hot.exe
C:\WINDOWS\dosen_&_mahasiswi.exe
C:\WINDOWS\mahasiswi_ubl_virgin.exe
Seperti gambar dibawah ini :





Tapi virus ini sudah bisa diatasi oleh Avast Anti Virus :D

Smadav Detect :


Sumber