Setelah lama lama tidak pernah nongol di MORPHOSTLAB, (abisnya saya sibuk boz),,,,saya berusaha sebagai salah satu virus Captor untuk mencari di sana, disini dan dimana-mana malware ampe keluar negri segala (mode lebay = on) tapi lewat paman google hehe……ga ada hasil juga, saya berfikir kemana aja malware local, mungkin karena slogan dari Antivirus Sxmdxv “ virus lokal segera punah” membuat Vmaker kita ketakutan buat malware heheheheee, ga gitu kaleee, klo menurut saya virus lokal kita ini dari waktu kewaktu semakin menurun penyebarannya, hal ini dikarenakan banyak AV lokal yang sudah mampu memutus jalur infeksinya seperti MORPHOST AV dan Smadav (yang ada lubangnya) wakakakak,, maka dari itu peran saya sebagai virus Captor berkurang, sempat hampir putus asa saya minjam pc temanku dan melihat file “server.com” dan membukanya kok nga ada efek ya? Setelah saya ngecek cek wah port 5110 kebuka, saya berfikir wah ini mungkin semacam conficker, saya coba analisis aja sendiri, itung-itung latihan menganalisis. Dan hasil analisisku sbb.:
nama = server.com [berdasarkan file yang di dapat]
icon = Aplication
ukuran = 344 kb
membuka port 5110
[penyebaran]
C\WINDOWS\services.exe [icon bmp]
C\WINDOWS\system\sservices.exe [icon bmp]
C\WINDOWS\system32\fservice.exe[icon bmp]
[modul]
C\WINDOWS\system32\reginv.dll
C\WINDOWS\system32\winkey.dll
[registry dimodifikasi]
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell,
Explorer.exe C:\WINDOWS\system32\fservice.exe,Diubah
Dengan kata lain malware ini akan tereksekusi bila explorer,exe aktif , bukan begitu bang morphic?
Satu lagi dampaknya antivirus yang aktif proses atau tampilan akan disembunyikan sebagai bentuk pertahanannya
Klo ada kesalahan dari hasil analisa tolong diluruskan.
Thanks to :
-Morphic (nomor hapenya jangan diganti-ganti ya, kayak Muarkudo)
-Muamar kudo (katanya kamu punya banyak nomer ya, kata Boz Morphic)
0 komentar:
Posting Komentar