Darkside of Oktavianus

Making virus and all of them as our friends

Analisis Rieysha-Local.Worm by Morphic

Posted by oktavianus pada September 13, 2008

Buat bro Anharku, ini adalah artikel yang mengulas analisis virusmu yang kedua. Ga pa pa kan?.

(BACA: Hasil analisa berikut tidak sepenuhnya benar, mungkin saja saya salah menganalisa!)
Hasil Analisa

Nama Malware : Rieysha-Local.Worm [Morphost], sampai tanggal 26 Agustus 2008 Antivirus Kaspersky, McAfee dan TrendMicro belum bisa mendeteksi virus ini
Ukuran : 172,032 bytes

Pengirim Virus : Anharku

Icon : icon folder dengan panah hijau.

CRC32 : 65B88607 (berdasarkan file yang dikirim)

MD5 : 271C86624DCD2F75B13FF4477ACB3FF6 (berdasarkan file yang dikirim)

Dibuat dengan : Visual Basic

Direktori projek saat pembuatan virus ini adalah:

E:\rieysha\awas\v1r\baRuV\Virus_Start_Kiddies\Viru Kejar DakuEDITANQ\Becanda.vbp

Membuat registry key berikut:

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile]

Default = “File Folder”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]

Notepad = “%System%\win34.exe”

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies]

Explorer = 0x00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

NoClose = 0x00000001

NoRun = 0x00000001

NoFolderOptions = 0x00000001

NoDrives = 0x00000004

NoFind = 0x00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]

DisableTaskMgr = 0x00000001

DisableCMD = 0x00000001

DisableRegistryTools = 0x00000001

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]

r13y5h4.exe = “%Windir%\r13y5h4.exe”

Memodifikasi registry value:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

DefaultValue = 0x00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]

RegisteredOrganization = “kamu kembali”

RegisteredOwner = “sayang kapan”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

Shell = “%System%\win34.exe”

Userinit = “%System%\win34.exe”

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot]

AlternateShell = “%System%\win34.exe”

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]

AlternateShell = “%System%\win34.exe”

[HKEY_CURRENT_USER\Control Panel\International]

s1159 = “rieysha”

s2359 = “rieysha”

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

Start Page = “http://h1.ripway.com/anharku”

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]

NoDriveTypeAutoRun = 0x00000000

=============================================================================

Ada dikit kemiripan (menurut saya) dengan Rieysha-Desa. Yah, pembuatnya juga sama! Anharku!

Signature worm ini sudah saya masukkan ke dalam database Morphost. Jadi kamu sudah bisa menggunakan Morphost untuk menscan Komputermu dari Rieysha-Local.Worm.

Kalo Rieysha-Local.Worm belum juga pergi dari komputermu. Lakukan langkah berikut:

-Pilih tab settings

-Pilih options ”let users make their database themselves” pada frames “database”

-Lalu masukkan satu saja sampel Rieysha-Local.Worm

-Dan langsung scan!

By: Morphic

http://www.morphic.co.nr (Comment me here)

http://www.friendster.com/morphic (friendster)

http://morphians.wordpress.com (my blog)

karta_morphic@yahoo.co.id (my email)

http://morphic.4shared.com (download Morphost and Morphost database here!)

and don’t forget to join with MorphostLab (FriendsterGroup)

My thanks go to Anharku, MorphostLab, anak-anak Permata Setia Budi, anak-anak Smansa Medan, anak-anak kelas XII IPA 10 Smansa Medan, and others.

Satu Tanggapan to “Analisis Rieysha-Local.Worm by Morphic”

  1. boozey said

    permisi🙂
    q mw test vir perdana yg udah q aploud di data bank 4shared morphic
    sephia.zip
    thx b 4

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

 
%d blogger menyukai ini: