Analisis virus Bang Hasmi
Ditulis oleh Morphic di/pada November 27, 2009
Memang bermacam-macam nama virus lokal. Malah ada nama virus yang namanya “Bang hasmi”.
He he he…
Gak tahu deh… Morphost menyebutnya “Bang Hasmi” kalo Av yg lain mungkin beda lagi…
Nih analisis virus ini:
Virus Name : Bang Hasmi [Morphost Antivirus Lokal]
Ukuran Virus : 155,648 bytes
Company : BKHN
Internalname : BangHasmi
Dikompil dgn : VisualBasic 6
Alamat projek : D:\Hasmi Farhandani NIM 091402061\virus\Data hasmi\banghasmi.vbp
Icon : folder win XP
CRC32 : FF25D3AF
MD5 : 57AE4997BD8170DE74E2D0AD7C04042D
Di alamat projek di atas ada tertulis “Hasmi Farhandani NIM 0901402061”. Yang mau aku sampaikan, gak usah terlalu percaya ama tulisan ini. Bukan berarti yang buat virus ini namanya “Hasmi Farhandani” yang berNIM 0901402061. Mungkin ini Cuma iseng. Atau Cuma nipu doang. He he he,.
Soalnya aku sering gitu..
Virus nyebar ke:
-C:\banghasmi.exe
-C:\windows\bang hasmi.exe
-C:\windows\system32\IExplorer.exe
-C:\windows\system32\shell.exe
-C:\windows\system32\MrHelloween.scr
-di Start Menu\Programs\Startup\Empty.pif
-di documents and settings\(user)\ Local Settings\Application Data\WINDOWS\CSRSS.EXE
-di documents and settings\(user)\ Local Settings\Application Data\WINDOWS\LSASS.EXE
-di documents and settings\(user)\ Local Settings\Application Data\WINDOWS\SERVICES.EXE
-di documents and settings\(user)\ Local Settings\Application Data\WINDOWS\SMSS.EXE
-di documents and settings\(user)\ Local Settings\Application Data\WINDOWS\WINLOGON.EXE
Virus ini melakukan penyerangan dengan dua kali eksekusi:
Eksekusi pertama:
-virus Bang Hasmi akan menyebarkan/membuat file virus seperti yang sudah tertera di atas.
Process virus yang aktif adalah file yang pertama kali dieksekusi
Eksekusi kedua: (maksudnya setelah kena virus, dieksekusi kembali)
Virus ini akan membuat file berikut:
-C:\banghasmi.exe
-C:\Data (user).exe
-C:\desktop.ini
-C:\banghasmi\folder.htt
-C:\banghasmi\New Folder.exe
Begitu juga dengan drive-drive lainnya…
Proses virus yang aktif adalah “shell.exe”
Ini adalah registry yang dimodif oleh bang Hasmi:
Analisis ini dilakukan dengan menggunakan GreenRegistry.
Nih hasil analisis green registry untuk virus ni.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\LogonAcer,C:\Documents and Settings\Acer\Local Settings\Application Data\WINDOWS\CSRSS.EXE,Dibuat
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Banghasmi,C:\WINDOWS\banghasmi.exe,Dibuat
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCMD,1,Dibuat
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions,1,Dibuat
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden,0,Diubah
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt,1,Diubah
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden,0,Diubah
HKEY_CLASSES_ROOT\exefile\shell\open\command\,”C:\WINDOWS\system32\shell.exe” “%1″ %*,Diubah
HKEY_LOCAL_MACHINE\software\Classes\exefile\shell\open\command\,”C:\WINDOWS\system32\shell.exe” “%1″ %*,Diubah
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell,Explorer.exe “C:\WINDOWS\system32\IExplorer.exe”,Diubah
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit,C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\IExplorer.exe,Diubah
HKEY_LOCAL_MACHINE\software\Classes\lnkfile\shell\open\command\,”C:\WINDOWS\system32\shell.exe” “%1″ %*,Diubah
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig,1,Dibuat
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell,C:\WINDOWS\Banghasmi.exe,Diubah
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\AlternateShell,C:\WINDOWS\Banghasmi.exe,Diubah
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools,1,Dibuat
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command\\,”C:\WINDOWS\system32\shell.exe” “%1″ %*,Diubah
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command\\,”C:\WINDOWS\system32\shell.exe” “%1″ %*,Diubah
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\piffile\shell\open\command\\,”C:\WINDOWS\system32\shell.exe” “%1″ %*,Diubah
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions,1,Dibuat
(btw, tunggu berita tentang green registry ya… sekarang masih dalam pengembangan lebih lanjut. Mungkin pertengahan desember bakal diluncurkan.)
Untuk pembersihan:
silakan gunakan Morphost Antivirus…
Mungkin sekian analisis kali ini:
He he he
By: Morphic
Special thanks to:
-Coe88. (“thanks buat virus ini ya… lain kali cantumkan aja alamat blog/web mu tiap kali upload virus, biar sekalian promosi blog. He he he)
Thanks to:
-smua anggota VirusCaptor
source: http://www.morphostlab.co.nr/
http://www.morphorum.co.nr
join us!
He he he…
Gak tahu deh… Morphost menyebutnya “Bang Hasmi” kalo Av yg lain mungkin beda lagi…
Nih analisis virus ini:
Virus Name : Bang Hasmi [Morphost Antivirus Lokal]
Ukuran Virus : 155,648 bytes
Company : BKHN
Internalname : BangHasmi
Dikompil dgn : VisualBasic 6
Alamat projek : D:\Hasmi Farhandani NIM 091402061\virus\Data hasmi\banghasmi.vbp
Icon : folder win XP
CRC32 : FF25D3AF
MD5 : 57AE4997BD8170DE74E2D0AD7C04042D
Di alamat projek di atas ada tertulis “Hasmi Farhandani NIM 0901402061”. Yang mau aku sampaikan, gak usah terlalu percaya ama tulisan ini. Bukan berarti yang buat virus ini namanya “Hasmi Farhandani” yang berNIM 0901402061. Mungkin ini Cuma iseng. Atau Cuma nipu doang. He he he,.
Soalnya aku sering gitu..
Virus nyebar ke:
-C:\banghasmi.exe
-C:\windows\bang hasmi.exe
-C:\windows\system32\IExplorer.exe
-C:\windows\system32\shell.exe
-C:\windows\system32\MrHelloween.scr
-di Start Menu\Programs\Startup\Empty.pif
-di documents and settings\(user)\ Local Settings\Application Data\WINDOWS\CSRSS.EXE
-di documents and settings\(user)\ Local Settings\Application Data\WINDOWS\LSASS.EXE
-di documents and settings\(user)\ Local Settings\Application Data\WINDOWS\SERVICES.EXE
-di documents and settings\(user)\ Local Settings\Application Data\WINDOWS\SMSS.EXE
-di documents and settings\(user)\ Local Settings\Application Data\WINDOWS\WINLOGON.EXE
Virus ini melakukan penyerangan dengan dua kali eksekusi:
Eksekusi pertama:
-virus Bang Hasmi akan menyebarkan/membuat file virus seperti yang sudah tertera di atas.
Process virus yang aktif adalah file yang pertama kali dieksekusi
Eksekusi kedua: (maksudnya setelah kena virus, dieksekusi kembali)
Virus ini akan membuat file berikut:
-C:\banghasmi.exe
-C:\Data (user).exe
-C:\desktop.ini
-C:\banghasmi\folder.htt
-C:\banghasmi\New Folder.exe
Begitu juga dengan drive-drive lainnya…
Proses virus yang aktif adalah “shell.exe”
Ini adalah registry yang dimodif oleh bang Hasmi:
Analisis ini dilakukan dengan menggunakan GreenRegistry.
Nih hasil analisis green registry untuk virus ni.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\LogonAcer,C:\Documents and Settings\Acer\Local Settings\Application Data\WINDOWS\CSRSS.EXE,Dibuat
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Banghasmi,C:\WINDOWS\banghasmi.exe,Dibuat
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCMD,1,Dibuat
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions,1,Dibuat
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden,0,Diubah
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt,1,Diubah
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden,0,Diubah
HKEY_CLASSES_ROOT\exefile\shell\open\command\,”C:\WINDOWS\system32\shell.exe” “%1″ %*,Diubah
HKEY_LOCAL_MACHINE\software\Classes\exefile\shell\open\command\,”C:\WINDOWS\system32\shell.exe” “%1″ %*,Diubah
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell,Explorer.exe “C:\WINDOWS\system32\IExplorer.exe”,Diubah
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit,C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\IExplorer.exe,Diubah
HKEY_LOCAL_MACHINE\software\Classes\lnkfile\shell\open\command\,”C:\WINDOWS\system32\shell.exe” “%1″ %*,Diubah
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore\DisableConfig,1,Dibuat
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\AlternateShell,C:\WINDOWS\Banghasmi.exe,Diubah
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\AlternateShell,C:\WINDOWS\Banghasmi.exe,Diubah
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools,1,Dibuat
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\batfile\shell\open\command\\,”C:\WINDOWS\system32\shell.exe” “%1″ %*,Diubah
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\comfile\shell\open\command\\,”C:\WINDOWS\system32\shell.exe” “%1″ %*,Diubah
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\piffile\shell\open\command\\,”C:\WINDOWS\system32\shell.exe” “%1″ %*,Diubah
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions,1,Dibuat
(btw, tunggu berita tentang green registry ya… sekarang masih dalam pengembangan lebih lanjut. Mungkin pertengahan desember bakal diluncurkan.)
Untuk pembersihan:
silakan gunakan Morphost Antivirus…
Mungkin sekian analisis kali ini:
He he he
By: Morphic
Special thanks to:
-Coe88. (“thanks buat virus ini ya… lain kali cantumkan aja alamat blog/web mu tiap kali upload virus, biar sekalian promosi blog. He he he)
Thanks to:
-smua anggota VirusCaptor
source: http://www.morphostlab.co.nr/
http://www.morphorum.co.nr
join us!
Label: Anti Virus
diposting oleh Muhammad Ardi @ 13.55
0 Komentar:
Posting Komentar
Ketikkan saran dan komentar anda. Walaupun singkat tetapi saran dan komentar yang anda berikan sangat berarti buat blog ini. Silahkan beri Komentar anda dengan mengisi boxs dibawah ini. Jika tidak mempunyai Akun, pilih ANONIM/ANONYMOUS. Terima Kasih Banyak Telah Mengunjungi Blog ini.
Berlangganan Posting Komentar [Atom]
<< Beranda