Setelah sebelumnya muncul virus VBWorm.NUJ http://vaksin.com/2007/1107/moontox-bro.htm), baru-baru ini telah ditemukan salah satu virus hasil modifikasi VM Palangkaraya (kemungkinan) ini dapat dilihat dari script dan file induk yang akan di usung oleh virus ini.
Untuk saat ini sudah ada 3 varian dimana untuk masing-masing varian tersebut mempunyai ciri-ciri yang sama, virus ini lebih dikenal dengan nama W32/Amburadul.
Untuk varian pertama Norman mendeteksi sebagai W32/Agent.XQXM (54 KB)
Untuk varian ke dua mempunyai nama sebagai W32/Agent.ETOR (56 KB)
Untuk varian ke tiga mempunyai nama sebagai W32/Autorun.CQJ (52 KB)
Untuk varian ke empat mempunyai nama sebagai W32/Autorun.CIA (51 KB)
Secara garis besar virus ini sama dengan kebanyakan virus lokal yang menyebar.
Membuat file duplikat, blok beberapa fungsi windows seperti Regedit/MSconfig/Search/Folder Option atau Task Manager bahkan blok software security khususnya antivirus lokal seperti PC MAV, SMP dan ANSAV. Ia juga akan mencoba untuk mematikan proses virus Hokage/VBWorm.gen16 (http://vaksin.com/2008/0408/hokage/hokage.html) yang sama-sama berasal dari Kalimantan Tengah tepatnya di daerah Sampit, hal ini dapat dilihat dari script yang ada, dimana script ini berusaha untuk blok file induk yang dari virus Hokage/VBWorm.Gen16 ini
Untuk saat ini sudah ada 3 varian dimana untuk masing-masing varian tersebut mempunyai ciri-ciri yang sama, virus ini lebih dikenal dengan nama W32/Amburadul.
Untuk varian pertama Norman mendeteksi sebagai W32/Agent.XQXM (54 KB)
Untuk varian ke dua mempunyai nama sebagai W32/Agent.ETOR (56 KB)
Untuk varian ke tiga mempunyai nama sebagai W32/Autorun.CQJ (52 KB)
Untuk varian ke empat mempunyai nama sebagai W32/Autorun.CIA (51 KB)
Secara garis besar virus ini sama dengan kebanyakan virus lokal yang menyebar.
Membuat file duplikat, blok beberapa fungsi windows seperti Regedit/MSconfig/Search/Folder Option atau Task Manager bahkan blok software security khususnya antivirus lokal seperti PC MAV, SMP dan ANSAV. Ia juga akan mencoba untuk mematikan proses virus Hokage/VBWorm.gen16 (http://vaksin.com/2008/0408/hokage/hokage.html) yang sama-sama berasal dari Kalimantan Tengah tepatnya di daerah Sampit, hal ini dapat dilihat dari script yang ada, dimana script ini berusaha untuk blok file induk yang dari virus Hokage/VBWorm.Gen16 ini
Auto start Virus
Agar virus ini dapat aktif secara otomatis setiap kali komputer aktif, ia akan membuat beberapa string pada registry berkut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\PaRaY_VM
C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~\winlogon.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ConfigVir
C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~\services.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NviDiaGT
C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~\lsass.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NarmonVirusAnti
C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~\smss.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AVManager
C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~\csrss.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogonshell = Explorer.exe,
C:\WINDOWS\system32\~A~m~B~u~R~a~D~u~L~\winlogon.exe
Blok Fungsi Windows dan software security (Antivirus)
Untuk mempertahankan dirinya ia juga akan melakukan blok terhadap beberapa fungsi windows seperti Task Manager/Regedit/MSconfig/Folder Option/System Restore atau Search serta beberapa software security lainnya yang memungkinan dapat memperpendek umur virus tersebut, dengan membuat beberapa string pada registry berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
o EnableLUA =0
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsNT\SystemRestore
o DisableConfig
o DisableSR
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer
o DisableMSI
o LimitSystemRestoreCheckpointing
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\msconfig.exe
o Debugger = rundll32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\rstrui.exe
o Debugger = rundll32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\wscript.exe
o Debugger = crundll32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\mmc.exe
o Debugger = rundll32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\Setup.exe
o Debugger = cmd.exe /c del
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\Instal.exe
o Debugger = cmd.exe /c del
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\Install.exe
o Debugger = cmd.exe /c del
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\procexp.exe
o Debugger = cmd.exe /c del
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\msiexec.exe
o Debugger = rundll32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\taskmgr.exe
o Debuger = rundll32.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
o DisableRegistryTools
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
o NoFind
HKEY_CLASSES_ROOT\exefile
o NeverShowExt
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
o UncheckedValue = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt
o DefaultValue = 1
(no)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
o CheckedValue = 0
(no)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
o DefaultValue = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
o UncheckedValue = 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
o Type = checkbok
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
o ShowSuperHidden = 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
o SuperHidden = 0
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
o HideFileExt = 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\wscript.exe
o debugger = rundll32.ex
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\taskkill.exe
o debugger = rundll32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\cmd.exe
o debugger = rundll32.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\tasklist.exe
o debugger = rundll32.exe
W32/Agent.EQXM (serta varian nya) juga akan mencoba untuk blok beberapa antivirus lokal (termasuk yang suka ngaku-ngaku sebagai antivirus terbaik di dunia) seperti PCMAV, SMP atau ANSAV dengan membuat string pada registry berikut:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\PCMAV-CLN.exe
o Debugger = cmd.exe /c del
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\PCMAV-RTP.exe
o Debugger = cmd.exe /c del
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\Ansav.exe
o Debugger = cmd.exe /c del
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\kspoold.exe
o Debugger = cmd.exe /c del
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\kspool.exe
o Debugger = cmd.exe /c del
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\boot.exe
o Debugger = cmd.exe /c del
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\Ansavgd.exe
o Debuger = cmd.exe /c del
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\SMP.exe
o debugger = cmd.exe /c del
Untuk blok fungsi Windows dan software antivirus selain dengan membuat string pada registry di atas, ia juga akan mengunakan perintah taskkill.
taskkill /f /im winamp.exe
taskkill /f /im winampa.exe
taskkill /f /im firefox.exe
taskkill /f /im iexplorer.exe
taskkill /f /im wmplayer.exe
taskkill /f /im PCMAV
taskkill /f /im CLN.exe
taskkill /f /im Ansav.exe
taskkill /f /im ansavgd.exe
taskkill /f /im explorer.exe
0 comments
Post a Comment