Microshit dan Alisie.vbs. Bisa digambarkan seperti Mr. and Mrs. Smith. Berbeda akan tetapi memiliki fungsi serta kemampuan yang sama dalam melakukan payload. Worm yang mengcopy dirinya sendiri kemudian menyebar ke setiap subfolder bukanlah hal yang baru, akan tetapi kemampuan tersebut memang sebuah ciri khas sebuah worm.
A. Info File
Nama Worm : Microshit
Asal : Bekasi
Ukuran File : 460 KB (471,040 bytes)
Packer : ~
Pemrograman : Borland Delphi ( 2.0 – 7.0 ) 1992 – www.borland.com
Icon : Notepad (Windows Seven)
Tipe : Worm
Nama Worm : Microshit
Asal : Bekasi
Ukuran File : 460 KB (471,040 bytes)
Packer : ~
Pemrograman : Borland Delphi ( 2.0 – 7.0 ) 1992 – www.borland.com
Icon : Notepad (Windows Seven)
Tipe : Worm
Nama Worm : Alisie.vbs
Asal : Jakarta
Ukuran File : 1.54 KB (1,583 bytes)
Packer : ~
Pemrograman : Visual Basic Script
Icon : VBS File
Tipe : Worm
Asal : Jakarta
Ukuran File : 1.54 KB (1,583 bytes)
Packer : ~
Pemrograman : Visual Basic Script
Icon : VBS File
Tipe : Worm
B. About Malware
Pembahasan kali ini cukup berbeda, karena biasanya hanya membahas 1 analisa virus. Microshit dan Alisie.vbs adalah 2 buah tipe worm yang dibuat dengan menggunakan bahasa pemrograman yang berbeda. Untuk worm Microshit, dibuat dengan menggunakan bahasa pemrograman Delphi dan untuk worm Alisie.vbs masih dengan metode lama yaitu menggunakan bahasa pemrograman Visual Basic Script.
Pembahasan kali ini cukup berbeda, karena biasanya hanya membahas 1 analisa virus. Microshit dan Alisie.vbs adalah 2 buah tipe worm yang dibuat dengan menggunakan bahasa pemrograman yang berbeda. Untuk worm Microshit, dibuat dengan menggunakan bahasa pemrograman Delphi dan untuk worm Alisie.vbs masih dengan metode lama yaitu menggunakan bahasa pemrograman Visual Basic Script.
Meski hasil infeksi dari worm ini sama, yaitu memperbanyak diri dan memenuhi harddisk, tetapi ada sedikit perbedaan. Pada worm Alisie.vbs, tidak secara terus menerus melakukan payload untuk menggandakan diri. Dan setelah semua file companion tercipta, maka proses Alisie.vbs akan dihentikan. Namun pada worm Microshit, meski file companion sudah tercipta, prosesnya tetap aktif di memory.
Berikut ini adalah string yang terdapat pada tubuh worm Microshit.
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 | 000000072592 000000478D92 0 HTMLText.Strings0000000725A4 000000478DA4 0 O<P align="center"><FONT size="10" color="#004080" face="Verdana"><B><FONT0000000725F5 000000478DF5 0 !color="#FF0000">PESAN</FONT></B>00000007261F 000000478E1F 0 Terimakasih telah berpartisipasi mempelajari celah keamanan software saya. Saya sangat menghargai kemampuan anda jika tujuan anda benar-benar0000000726AF 000000478EAF 0 untuk membangun kami para developer agar lebih berkembang. Dan saya mohon maaf jika aplikasi ini mengganggu komputer anda, karena beberapa00000007273C 000000478F3C 0 dari yang anda lakukan telah sangat merugikan saya. Saya punya keluarga dan saudara yang harus saya nafkahi, dan anda pun tentunya tak ingin0000000727CA 000000478FCA 0 'keluarga anda kesulitan mencari nafkah.0000000727F4 000000478FF4 0 <br/>0000000727FB 000000478FFB 0 Jika anda tidak sekedar bertujuan merusak tolong berikan solusi dari kelemahan aplikasi yang saya buat. Dan saya harap anda bukan seorang yang00000007288C 00000047908C 0 frustasi yang mengambil jalan pintas yang cepat untuk mendapatkan uang. Jika anda merasa apa yang saya buat terlalu mahal, perlu anda ketahui00000007291C 00000047911C 0 bahwa saya mengerjakannya tidak hanya satu atau dua malam saja, saya melalui proses yang lama dan sangat berharap mampu memberi kepuasan0000000729A6 0000004791A6 0 ]kepada orang-orang yang telah percaya kepada saya dengan membeli dari apa yang saya kerjakan.000000072A06 000000479206 0 <br/>000000072A0D 00000047920D 0 Ya mungkin "anda" bangga dengan kemampuan otak anda yang mungkin tak banyak orang memilikinya. Dan anda mungkin juga mengharap kami000000072A93 000000479293 0 para developer merengek mengharap belas kasihan anda. Dibalik senyum anda ada derita orang lain, dan suatu saat akan berbalik entah itu pada anak000000072B26 000000479326 0 ?anda, cucu anda, buyut anda dan mungkin juga pada anda sendiri.000000072B68 000000479368 0 ParentColor |
C. Companion/File yang dibuat
Sudah jelas kedua worm ini membuat banyak companion pada setiap root drive sampai subfolder, namun yang berbeda adalah pada penamaannya. Untuk worm Alisie.vbs akan membuat companion dengan nama sesuai dengan nama subfolder yang ada. Dan untuk worm Microshit, companion yang dibuat pada subfolder seluruhnya menggunakan nama acak.
Sudah jelas kedua worm ini membuat banyak companion pada setiap root drive sampai subfolder, namun yang berbeda adalah pada penamaannya. Untuk worm Alisie.vbs akan membuat companion dengan nama sesuai dengan nama subfolder yang ada. Dan untuk worm Microshit, companion yang dibuat pada subfolder seluruhnya menggunakan nama acak.
D. Hasil Infeksi
Setelah semua subfolder sudah disisipi oleh worm Alisie.vbs, worm tersebut akan memberikan sebuah pesan seperti di bawah ini yang menandakan prosesnya selesai dan payloadnya dihentikan.
Bisa dikatakan ini adalah perbedaan yang paling mendasar antara worm Alisie.vbs dengan worm Microshit. Karena worm microshit melakukan modifikasi pada registry entry:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run [path host worm yang dieksekusi]
1 2 3 | HKEY_CLASSES_ROOT\txtfile(default) -> Text FileHKEY_CLASSES_ROOT\txtfile\shell\open\command(default) -> Path host yang di eksekusiHKEY_CLASSES_ROOT\txtfile\DefaultIcon (default) -> Path host yang di eksekusi |
E. Pembersihan
PCMAV 6.5 Update Build1
Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 6.5 Update Build1 telah hadir dengan penambahan 27 pengenal varian virus baru. Bagi Anda pengguna PCMAV 6.5, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.
Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt. Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.
Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:
ZippyShare.com (mirror)
RapidShare.com (mirror)
Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.
Daftar tambahan virus hingga PCMAV 6.5 Update Build1:
Alisie.vbs
Angel2.C
Autoruner.F
Autoruner.F.inf
BlackN.L
BlackN.L.inf.A
BlackN.L.inf.B
BlackN.M
BlackN.O
BlackN.P
BlackN.Q
BlackN.R
FakeDownloader.FE
FakeDownloader.FF
Microshit
NgrBot.AW
NgrBot.AX
ORC-Dec
ProRat.E
SlenfBot.A
SlenfBot.B
Spatet
Spatet.inf
SystemCheck
SystemCheck.tmp
Winlogon.C
Angel2.C
Autoruner.F
Autoruner.F.inf
BlackN.L
BlackN.L.inf.A
BlackN.L.inf.B
BlackN.M
BlackN.O
BlackN.P
BlackN.Q
BlackN.R
FakeDownloader.FE
FakeDownloader.FF
Microshit
NgrBot.AW
NgrBot.AX
ORC-Dec
ProRat.E
SlenfBot.A
SlenfBot.B
Spatet
Spatet.inf
SystemCheck
SystemCheck.tmp
Winlogon.C
Winlogon.D
Belum ada tanggapan untuk "Microshit vs Alisie.vbs – Bersaing Memenuhi Isi Hard Disk"
Posting Komentar
> Jika Artikel ini Membantu , Silahkan tinggalkan Komentar Anda
> Jika ingin menuliskan Kode-kode blog , jangan sekali-kali menulisnya dengan lengkap , Karena kodenya tidak akan muncul.
> U Comment I Follow !!!
> (Comment Use Emoticons, Copy Paste this code example: 13 or the other to the column comments)
> "No Spam"
> Do not Forget Leave Your Comment Here ...
> I Highly Appreciate your comment. This blog has been Dofollow.
> Komentar yang masuk SPAM tidak saya hapus dan saya akan Follow (jika link ada)
Follow Blog ini jika ingin mendapatkan informasi paling update