--> Microshit vs Alisie.vbs - Worm Yang Memenuhi Ruang Hardisk | Panduan Servis Komputer dan Laptop

Panduan Servis Komputer dan Laptop adalah cara memperbaiki berbagai kerusakan atau error yang terjadi pada komputer ataupun laptop yang menyangkut software maupun hardware, cara memperbaiki komputer rusak, cara memperbaiki windows error, cara memperbaiki aplikasi error, cara memperbaiki printer rusak

4/14/2012

Microshit vs Alisie.vbs - Worm Yang Memenuhi Ruang Hardisk

| 4/14/2012

Microshit dan Alisie.vbs. Bisa digambarkan seperti Mr. and Mrs. Smith. Berbeda akan tetapi memiliki fungsi serta kemampuan yang sama dalam melakukan payload. Worm yang mengcopy dirinya sendiri kemudian menyebar ke setiap subfolder bukanlah hal yang baru, akan tetapi kemampuan tersebut memang sebuah ciri khas sebuah worm.

A. Info File
Nama Worm : Microshit
Asal : Bekasi
Ukuran File : 460 KB (471,040 bytes)
Packer : ~
Pemrograman : Borland Delphi ( 2.0 – 7.0 ) 1992 – www.borland.com
Icon : Notepad (Windows Seven)
Tipe : Worm
Nama Worm : Alisie.vbs
Asal : Jakarta
Ukuran File : 1.54 KB (1,583 bytes)
Packer : ~
Pemrograman : Visual Basic Script
Icon : VBS File
Tipe : Worm
B. About Malware

Pembahasan kali ini cukup berbeda, karena biasanya hanya membahas 1 analisa virus. Microshit dan Alisie.vbs adalah 2 buah tipe worm yang dibuat dengan menggunakan bahasa pemrograman yang berbeda. Untuk worm Microshit, dibuat dengan menggunakan bahasa pemrograman Delphi dan untuk worm Alisie.vbs masih dengan metode lama yaitu menggunakan bahasa pemrograman Visual Basic Script.
Meski hasil infeksi dari worm ini sama, yaitu memperbanyak diri dan memenuhi harddisk, tetapi ada sedikit perbedaan. Pada worm Alisie.vbs, tidak secara terus menerus melakukan payload untuk menggandakan diri. Dan setelah semua file companion tercipta, maka proses Alisie.vbs akan dihentikan. Namun pada worm Microshit, meski file companion sudah tercipta, prosesnya tetap aktif di memory.
Berikut ini adalah string yang terdapat pada tubuh worm Microshit.
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
000000072592   000000478D92      0   HTMLText.Strings
0000000725A4   000000478DA4      0   O
0000000725F5   000000478DF5      0   !color="#FF0000">PESAN
00000007261F   000000478E1F      0   Terimakasih telah berpartisipasi mempelajari celah keamanan software saya. Saya sangat menghargai kemampuan anda jika tujuan anda benar-benar
0000000726AF   000000478EAF      0   untuk membangun kami para developer agar lebih berkembang. Dan saya mohon maaf jika aplikasi ini mengganggu komputer anda, karena beberapa
00000007273C   000000478F3C      0   dari yang anda lakukan telah sangat merugikan saya. Saya punya keluarga dan saudara yang harus saya nafkahi, dan anda pun tentunya tak ingin
0000000727CA   000000478FCA      0   'keluarga anda kesulitan mencari nafkah.
0000000727F4   000000478FF4      0  
0000000727FB   000000478FFB      0   Jika anda tidak sekedar bertujuan merusak tolong berikan solusi dari kelemahan aplikasi yang saya buat. Dan saya harap anda bukan seorang yang
00000007288C   00000047908C      0   frustasi yang mengambil jalan pintas yang cepat untuk mendapatkan uang. Jika anda merasa apa yang saya buat terlalu mahal, perlu anda ketahui
00000007291C   00000047911C      0   bahwa saya mengerjakannya tidak hanya satu atau dua malam saja, saya melalui proses yang lama dan sangat berharap mampu memberi kepuasan
0000000729A6   0000004791A6      0   ]kepada orang-orang yang telah percaya kepada saya dengan membeli dari apa yang saya kerjakan.
000000072A06   000000479206      0  
000000072A0D   00000047920D      0   Ya mungkin "anda" bangga dengan kemampuan otak anda yang mungkin tak banyak orang memilikinya. Dan anda mungkin juga mengharap kami
000000072A93   000000479293      0   para developer merengek mengharap belas kasihan anda. Dibalik senyum anda ada derita orang lain, dan suatu saat akan berbalik entah itu pada anak
000000072B26   000000479326      0   ?anda, cucu anda, buyut anda dan mungkin juga pada anda sendiri.
000000072B68   000000479368      0   ParentColor
C. Companion/File yang dibuat

Sudah jelas kedua worm ini membuat banyak companion pada setiap root drive sampai subfolder, namun yang berbeda adalah pada penamaannya. Untuk worm Alisie.vbs akan membuat companion dengan nama sesuai dengan nama subfolder yang ada. Dan untuk worm Microshit, companion yang dibuat pada subfolder seluruhnya menggunakan nama acak.

D. Hasil Infeksi
Setelah semua subfolder sudah disisipi oleh worm Alisie.vbs, worm tersebut akan memberikan sebuah pesan seperti di bawah ini yang menandakan prosesnya selesai dan payloadnya dihentikan.

Bisa dikatakan ini adalah perbedaan yang paling mendasar antara worm Alisie.vbs dengan worm Microshit. Karena worm microshit melakukan modifikasi pada registry entry:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run [path host worm yang dieksekusi]
1
2
3
HKEY_CLASSES_ROOT\txtfile(default)                         -> Text File
HKEY_CLASSES_ROOT\txtfile\shell\open\command(default)      -> Path host yang di eksekusi
HKEY_CLASSES_ROOT\txtfile\DefaultIcon (default)            -> Path host yang di eksekusi
E. Pembersihan


PCMAV 6.5 Update Build1

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 6.5 Update Build1 telah hadir dengan penambahan 27 pengenal varian virus baru. Bagi Anda pengguna PCMAV 6.5, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.
Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt. Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.
Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:
SendSpace.com
ZippyShare.com (mirror)
RapidShare.com (mirror)
Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.
Daftar tambahan virus hingga PCMAV 6.5 Update Build1:
Alisie.vbs
Angel2.C
Autoruner.F
Autoruner.F.inf
BlackN.L
BlackN.L.inf.A
BlackN.L.inf.B
BlackN.M
BlackN.O
BlackN.P
BlackN.Q
BlackN.R
FakeDownloader.FE
FakeDownloader.FF
Microshit
NgrBot.AW
NgrBot.AX
ORC-Dec
ProRat.E
SlenfBot.A
SlenfBot.B
Spatet
Spatet.inf
SystemCheck
SystemCheck.tmp
Winlogon.C

Sumber : http://virusindonesia.com

Related Posts