Analisa malware dengan SysAnalyzer


Kemarin, ketika saya meminjam flashdisk teman, saya menemukan sebuah file yang tersembunyi dan berekstensi ganda (.mpg.exe). Karenanya saya mencurigainya sebagai malware (virus dkk). Berbekal worm ini, saya mencoba sedikit belajar menganalisa sebuah file worm. Aplikasi yang saya pakai adalah SysAnalizer .

Dengan percaya diri, saya mulai mencoba file worm tersebut dengan menggunakan SysAnalizer. Dan,………boooooooom. Komputer saya langsung terinfeksi worm ini. Hasil dari analisanya SysAnalizer terhadap worm ini adalah sebagai berikut (beberapa bagian saya hapus biar tidak terlalu panjang):

—————————————————————————————————
File: vergon1885.exe
Size: 143872 Bytes
MD5: DAD2486C034050D73F7178F2A243AC6E
Packer: File not found C:\iDefense\SysAnalyzer\peid.exeFile Properties: CompanyName
FileDescription
FileVersion 1.01.2007
InternalName vergon
LegalCopyright Makassar – Indonesia
OriginalFilename vergon.exe
ProductName vergon
ProductVersion

Exploit Signatures:
—————————————————————————
Scanning for 19 signatures
Scan Complete: 220Kb in 0,016 seconds
Urls
————————————————–



RegKeys
————————————————–
1. HENTIKAN PEMBAJAKAN APAPUN(LAGU(MP3), SOFTWARE, FILM, dll)!
Software\Microsoft\Windows\CurrentVersion\Run
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Software\Microsoft\command processor
SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\cabinetstate\fullpath
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\cabinetstate\fullpathaddress
HKLM\Software\Microsoft\Windows\CurrentVersion\SystemFileProtection\ShowPopupsExeRefs
————————————————–
File: vergon1885_dmp.exe_
vergon1885.exe
system\x-executor.exe
.exe
start %windir%\system\x-executor.exe
C:\Program Files\Windows Media Player\wmplayer.exe c:\windows\system\Lagu.mp3
C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\admin32.exe
C:\Documents and Settings\Default User\Start Menu\Programs\Startup\_default.exe
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\user32.exe
Explorer.exe
userinit.exe,
C:\Backup\WMP_10 for XP.exe
D:\Doc\IEWMP_10_xpsp2.exe
D:\Secret\ABG_xxx.3gp.exe
D:\Tools\AVSEQ01.mpg.exe
E:\player\WMP_10.4.exe
E:\XXX\1-1-2007.mpg.exe
E:\multimedia\Lagu porno.mp3.exe
F:\favorite\Samson – Lelaki buaya darat.mp3.exe
F:\Song\Ria Amelia – SMS.mp3.exe
F:\playlist\playstuff.mpg.exe
G:\New Folder\Plug-in WMP_10.XPSP2.exe
G:\new\DFX for Windows Media Player.XPSP2.exe
G:\download\sexmission.mpg.exe
h:\mp3\Top Indo 2007.MP3.exe
h:\video\secretvideo.mpg.exe
h:\My File\he he he.mpg.exe
h:\mp3\Top Indo 2007.mp3.exe
I:\Hidden\private.mpg.exe
I:\sembunyi3movie1107.mpg.exe
I:\My folder\filmbiru.mpg.exe
zuma.exe
vergon.exe

Raw Strings:
————————————————–
File: vergon1885_dmp.exe_
MD5: 6accf1d800270c3a709e45d0300568fb
Size: 225282

Ascii Strings:
—————————————————————————
!This program cannot be run in DOS mode.
Rich
.text
PEC2
`.rsrc

……….

Unicode Strings:
—————————————————————————
ZAaAoA
A*\AC:\Documents and Settings\me\My Documents\project\1\vergon\vergon.b\vergon.B.vbp
vergon1885.exe
system\x-executor.exe
H I M B A U A N !
1. HENTIKAN PEMBAJAKAN APAPUN(LAGU(MP3), SOFTWARE, FILM, dll)!
2. STOP PORNOGRAFI, PORNSTUFF DAN PORNOAKSI!
3. MARILAH KITA BEREMPATI,MEMBANTU DAN MENDOAKAN SAUDARA KITA
YANG TERKENA MUSIBAH DI NEGERI INI…
By Vergon
Makassar – Indonesia
ben_owie@yahoo.co.id
VERGON MESSAGE
09:00:00
update
09:00:15
09:02:30
19:00:00
19:00:15
19:02:30
task
process exp
policy
hijack
girl
x-ray
iknow
regedit
basmi
kill
restore
repair
sintax
jalan
project
security
registry
tweak
clean
tugas
scan
remov
wav.
automa
curr
sysinter
.exe
man.bat
@echo off
echo. ________ oooo ooo _____________________________________________________
echo. :******* ooo oo ****************************************************:
echo. :******* ooo oo ooooo oo oooo ooooo ooooo oo ooo ********:
echo. :******* ooo oo ooo oo ooo oo ooo oo ooo oo ooo oo *******:
net user Vergon x-executor /add
echo. :******* oo o ooooooo ooo ooo oo ooo oo ooo oo *******:
echo. :******** ooo ooo ooo ooo oo ooo oo ooo oo *******:
echo. ben_owie@yahoo.co.id
set x=
echo. :********* o ooooo ooo oooooo ooooo ooo oo *******:
echo. :********** oo *******:
echo. -:******* your.. *******:-
echo. -:****** command *******:-
echo. :**************************************** oo **************************:
echo. ooooo
echo. -:******* Vergon *******:-
echo. -:******* hack.. *******:-
net localgroup %x%administrators%x% vergon /add
start %windir%\system\x-executor.exe
C:\Program Files\Windows Media Player\wmplayer.exe c:\windows\system\Lagu.mp3
c:\windows\system
Lagu.mp3
C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\admin32.exe
C:\Documents and Settings\Default User\Start Menu\Programs\Startup\_default.exe
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\user32.exe
Software\Microsoft\Windows\CurrentVersion\Run
wmplayer
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell
Explorer.exe
Userinit
userinit.exe,
SYSTEM\ControlSet001\Control\SafeBoot
AlternateShell
SYSTEM\CurrentControlSet\Control\SafeBoot
exefile
Winamp media file
Software\Microsoft\command processor
autorun
SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System
DisableRegedit
DisableRegistryTools
DisableTaskMgr
msvbvm60.dll
c:\msvbvm60.dll
System\SYSVER.DLL
C:\Backup\WMP_10 for XP.exe
C:\Backup
D:\Doc\IEWMP_10_xpsp2.exe
D:\Secret
D:\Secret\ABG_xxx.3gp.exe
D:\Tools
D:\Tools\AVSEQ01.mpg.exe
D:\Doc
E:\player\WMP_10.4.exe
E:\XXX
E:\Multimedia
E:\Player
E:\XXX\1-1-2007.mpg.exe
E:\multimedia\Lagu porno.mp3.exe
E:\multimedia
F:\favorite\Samson – Lelaki buaya darat.mp3.exe
F:\Song
F:\Playlist
F:\Favorite
F:\Song\Ria Amelia – SMS.mp3.exe
F:\playlist\playstuff.mpg.exe
F:\playlist
G:\New Folder\Plug-in WMP_10.XPSP2.exe
G:\New Folder
G:\New
G:\download
G:\new\DFX for Windows Media Player.XPSP2.exe
G:\download\sexmission.mpg.exe
G:\new
h:\mp3\Top Indo 2007.MP3.exe
H:\Video
H:\My File
H:\mp3
h:\video\secretvideo.mpg.exe
h:\My File\he he he.mpg.exe
G:\My File
G:\Video
h:\mp3\Top Indo 2007.mp3.exe
I:\Hidden\private.mpg.exe
I:\Hidden
I:\sembunyi
I:\My folder
I:\sembunyi3movie1107.mpg.exe
I:\My folder\filmbiru.mpg.exe
LAGU
winamp
play
audio
*sex*
*x*.midi
*x*.rm
*x*.mid
*x*.3gp
*.mp3
*x*.mp4
*x*.mpg
*x*.mpeg
*.m3u
*x*.avi
avseq*.dat
*x*.wma
*x*.wav
*x*.wmv
*x*.amv
*porn*
*girl*
*adult*
*playlist*
*hot*
zuma.exe
*x*.jpg
*x*.jpeg
*x*.bmp
*x*.gif
Fixed Drive
Removable Drive
Remote Drive
CD-ROM
RAM Disk
Drive Doesn’t Exist
wscript.shell
RegWrite
REG_DWORD
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
model
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\cabinetstate\fullpath
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\cabinetstate\fullpathaddress
HKLM\Software\Microsoft\Windows\CurrentVersion\SystemFileProtection\ShowPopups
adult
nude
porn
\system
\startup
Playboy
lalat
search
17tahun
america
oral
naked
kamas
ExploreWClass
WorkerA
WorkerW
ReBarWindow32
ComboBoxEx32
ComboBox
Edit
IEFrame
Navigation Bar
Address Band Root
@*\AC:\Documents and Settings\me\My Documents\project\1\vergon\vergon.b\vergon.B.vbp
LAGU

——————————————————————————————————————-
Dari hasil program di atas, kita dapat mengetahui beberapa registry yang diubah worm vergon, file-file yang dibuat dan lain-lain sehingga kita bisa menghapus worm ini serta memperbaiki setting registry. Setelah tahu berbagai hal tentang worm vergon, langkah selanjutnya adalah membersihkan worm ini. Daripada repot membersihkan secara manual, saya menggunakan Ansav 1.5.9 untuk membersihkannya.

Catatan: Sebaiknya baca petunjuk penggunaan program ini sebelum menggunakan dan jalankan program ini melalui Windows virtual (memakai VMWare atau Virtual PC) agar komputer tidak terinfeksi.

3 Tanggapan

  1. Walah… panjang dan rumit…
    Jadi bagaimana dengan nasib hanya user tanpa pengetahuan tentang program-program rumit-rumit itu… 😦

    Bagaimana tahu ada file extensi ganda?.

  2. liat di tools>Folder Options, klik tab View, trus uncheck Hide Extensions for known File Types

  3. biar keliatan mana file yg ekstensinya ganda (bukan kelamin ganda)

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s

%d blogger menyukai ini: