A. Info File
Nama Worm : Microshit
Asal : Bekasi
Ukuran File : 460 KB (471,040 bytes)
Packer : ~
Pemrograman : Borland Delphi ( 2.0 – 7.0 ) 1992 – www.borland.com
Icon : Notepad (Windows Seven)
Tipe : Worm
Nama Worm : Microshit
Asal : Bekasi
Ukuran File : 460 KB (471,040 bytes)
Packer : ~
Pemrograman : Borland Delphi ( 2.0 – 7.0 ) 1992 – www.borland.com
Icon : Notepad (Windows Seven)
Tipe : Worm
Nama Worm : Alisie.vbs
Asal : Jakarta
Ukuran File : 1.54 KB (1,583 bytes)
Packer : ~
Pemrograman : Visual Basic Script
Icon : VBS File
Tipe : Worm
Asal : Jakarta
Ukuran File : 1.54 KB (1,583 bytes)
Packer : ~
Pemrograman : Visual Basic Script
Icon : VBS File
Tipe : Worm
B. About Malware
Pembahasan kali ini cukup berbeda, karena biasanya hanya membahas 1 analisa virus. Microshit dan Alisie.vbs adalah 2 buah tipe worm yang dibuat dengan menggunakan bahasa pemrograman yang berbeda. Untuk worm Microshit, dibuat dengan menggunakan bahasa pemrograman Delphi dan untuk worm Alisie.vbs masih dengan metode lama yaitu menggunakan bahasa pemrograman Visual Basic Script.
Pembahasan kali ini cukup berbeda, karena biasanya hanya membahas 1 analisa virus. Microshit dan Alisie.vbs adalah 2 buah tipe worm yang dibuat dengan menggunakan bahasa pemrograman yang berbeda. Untuk worm Microshit, dibuat dengan menggunakan bahasa pemrograman Delphi dan untuk worm Alisie.vbs masih dengan metode lama yaitu menggunakan bahasa pemrograman Visual Basic Script.
Meski hasil infeksi dari worm ini sama, yaitu memperbanyak diri dan memenuhi harddisk, tetapi ada sedikit perbedaan. Pada worm Alisie.vbs, tidak secara terus menerus melakukan payload untuk menggandakan diri. Dan setelah semua file companion tercipta, maka proses Alisie.vbs akan dihentikan. Namun pada worm Microshit, meski file companion sudah tercipta, prosesnya tetap aktif di memory.
Berikut ini adalah string yang terdapat pada tubuh worm Microshit.
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
| 000000072592 000000478D92 0 HTMLText.Strings 0000000725A4 000000478DA4 0 O<P align="center"><FONT size="10" color="#004080" face="Verdana"><B><FONT 0000000725F5 000000478DF5 0 !color="#FF0000">PESAN</FONT></B> 00000007261F 000000478E1F 0 Terimakasih telah berpartisipasi mempelajari celah keamanan software saya. Saya sangat menghargai kemampuan anda jika tujuan anda benar-benar 0000000726AF 000000478EAF 0 untuk membangun kami para developer agar lebih berkembang. Dan saya mohon maaf jika aplikasi ini mengganggu komputer anda, karena beberapa 00000007273C 000000478F3C 0 dari yang anda lakukan telah sangat merugikan saya. Saya punya keluarga dan saudara yang harus saya nafkahi, dan anda pun tentunya tak ingin 0000000727CA 000000478FCA 0 'keluarga anda kesulitan mencari nafkah. 0000000727F4 000000478FF4 0 <br/> 0000000727FB 000000478FFB 0 Jika anda tidak sekedar bertujuan merusak tolong berikan solusi dari kelemahan aplikasi yang saya buat. Dan saya harap anda bukan seorang yang 00000007288C 00000047908C 0 frustasi yang mengambil jalan pintas yang cepat untuk mendapatkan uang. Jika anda merasa apa yang saya buat terlalu mahal, perlu anda ketahui 00000007291C 00000047911C 0 bahwa saya mengerjakannya tidak hanya satu atau dua malam saja, saya melalui proses yang lama dan sangat berharap mampu memberi kepuasan 0000000729A6 0000004791A6 0 ]kepada orang-orang yang telah percaya kepada saya dengan membeli dari apa yang saya kerjakan. 000000072A06 000000479206 0 <br/> 000000072A0D 00000047920D 0 Ya mungkin "anda" bangga dengan kemampuan otak anda yang mungkin tak banyak orang memilikinya. Dan anda mungkin juga mengharap kami 000000072A93 000000479293 0 para developer merengek mengharap belas kasihan anda. Dibalik senyum anda ada derita orang lain, dan suatu saat akan berbalik entah itu pada anak 000000072B26 000000479326 0 ?anda, cucu anda, buyut anda dan mungkin juga pada anda sendiri. 000000072B68 000000479368 0 ParentColor |
C. Companion/File yang dibuat
Sudah jelas kedua worm ini membuat banyak companion pada setiap root drive sampai subfolder, namun yang berbeda adalah pada penamaannya. Untuk worm Alisie.vbs akan membuat companion dengan nama sesuai dengan nama subfolder yang ada. Dan untuk worm Microshit, companion yang dibuat pada subfolder seluruhnya menggunakan nama acak.
Sudah jelas kedua worm ini membuat banyak companion pada setiap root drive sampai subfolder, namun yang berbeda adalah pada penamaannya. Untuk worm Alisie.vbs akan membuat companion dengan nama sesuai dengan nama subfolder yang ada. Dan untuk worm Microshit, companion yang dibuat pada subfolder seluruhnya menggunakan nama acak.
D. Hasil Infeksi
Setelah semua subfolder sudah disisipi oleh worm Alisie.vbs, worm tersebut akan memberikan sebuah pesan seperti di bawah ini yang menandakan prosesnya selesai dan payloadnya dihentikan.
Bisa dikatakan ini adalah perbedaan yang paling mendasar antara worm Alisie.vbs dengan worm Microshit. Karena worm microshit melakukan modifikasi pada registry entry:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run [path host worm yang dieksekusi]
1
2
3
| HKEY_CLASSES_ROOT\txtfile(default) -> Text File HKEY_CLASSES_ROOT\txtfile\shell\open\command(default) -> Path host yang di eksekusi HKEY_CLASSES_ROOT\txtfile\DefaultIcon (default) -> Path host yang di eksekusi |
0 komentar:
Posting Komentar