Home > Analisa Virus, Antivirus, Pengumuman > Sabotage.C: It’s Not About How Fast

Sabotage.C: It’s Not About How Fast

November 21st, 2010 Leave a comment Go to comments

Sabotage.C

Sabotage.C. Sudah menjadi ciri khas worm / virus lokal dalam setiap aksinya meninggalkan jejak atau tanda akan kedatangannya. Sama seperti varian Sabotage sebelumnya yang pernah di bahas di http://virusindonesia.com/2009/03/31/sabotageb-pcmav-20-update-build4, kali ini Sabotage.C hadir dengan sedikit sentuhan baru.

Nama : Sabotage.C
Asal : Indonesia
Ukuran File : 88.5 KB
Packer : UPX 0.89
Pemrograman : Borland Delphi
Icon : WinRar SFX
Tipe : Worm

Varian sebelumnya, tidak menggunakan packer layaknya Sabotage.C, di tambah lagi kemampuan barunya yang mungkin tidak diperhatikan user. Beberapa hal yang dilakukan oleh worm ini antara lain:

1. Menduplikasi beberapa file host worm dan companionnya ke Drive C:\

C:\WINDOWS\Tasks\Updater.job
C:\WINDOWS\desktop.ini
C:\WINDOWS\ssms.exeC:\Documents and Settings\Administrator\current\NetHood\Texas Poker Holdem Cheat .exe

2. Mengganti nama msvbvm60.dll dengan nama baru yang di acak.

Sabotage.C Rename File

3. Membuat pesan di Drive C:\ dengan nama Sabotage.txt seperti pada gambar paling atas.

4. Menambahkan update.sfx di folder startup yang sebenarnya adalah companion dari worm Sabotage.C.

5. Menghapus file dengan ekstensi.vbs dan bila ditemukan file dengan nama mengandung kata “vbs” akan di hapus dan digantikan oleh file Sabotage.C.

6. Menyisipkan pesan di setiap file dengan ekstensi.html yang terdapat di dalam flash disk. Worm Sabotage.C bisa dikatakan sebagai virus karena melakukan penyisipan terhadap file dengan ekstensi.html pada bagian bawah file. Sabotage.C menyisipkan pesan “It’s not about how fast… But, it’s about how smooth…“.

Sabotage.C Menyisip File HTML


7. Membuat autorun.inf di flash disk yang disamarkan dengan karakter acak di awal coding.

Sabotage.C - Isi Autorun.inf

8. Membuat file di flash disk dengan nama seperti Facebook Password Cracker.exe, Pencuri Login.exe.

9. Mendisable dan secara otomatis menghapus file yang di jalankan oleh user jika menggunakan nama-nama di bawah ini.

1)123456.exe
2)360rpt.exe
3)360safe.exe
4)360tray.exe
5)ansav32.exe
6)ansav-beta.exe
7)ansav-beta-setup.exe
8)ansavd.exe
9)ansavgd.exe
10)antv.exe
11)antv-md5-pattern.exe
12)ashSimpl.exe
13)autoruns.exe
14)avcenter.exe
15)avgamsvr.exe
16)avgas.exe
17)avgcc.exe
18)avgcc32.exe
19)avgcfgex.exe
20)avgcmgr.exe
21)avgcrl.exe
22)avgcsrvx.exe
23)avgemc.exe
24)avgfrw.exe
25)avginet.exe
26)avgiproxy.exe
27)avgnsx.exe
28)avgnt.exe
29)avgrssvc.exe
30)avgrsx.exe
31)avgscanx.exe
32)avgserv.exe
33)avgsrmax.exe
34)avgtray.exe
35)avguard.exe
36)avgui.exe
37)avgupd.exe
38)avgupsvc.exe
39)avgw.exe
40)avid.exe
41)avscan.exe
42)boot.exe
43)ccApp.exe
44)cclaw.exe
45)clamwinportable.exe
46)FixRegistry.exe
47)HijackThis.exe
48)IceSword.exe
49)killbox.exe
50)mcafeeframework.exe
51)mcshield.exe
52)morphost.exe
53)nip.exe
54)nipsvc.exe
55)niu.exe
56)njeeves.exe
57)nod32krn.exe
58)nvccf.exe
59)nvcoas.exe
60)nvcode.exe
61)nvcsched.exe
62)PCMAV.exe
63)PCMAV-CLN.exe
64)PCMAV-RTP.exe
65)procexp.exe
66)regalyzer.exe
67)smadav.exe
68)The Killer Machine.exe
69)tkm.exe
70)tkm4.exe
71)Ultimate Washer.exe
72)uw2rc2.exe
73)wintoolspro.exe
74)X-RayPC.exe
75)Zanda.exe
76)zlh.exe

10. List nama file di bawah ini adalah beberapa nama file yang jika di jalankan justru akan memanggil Run32DLL.exe dan bukan program sebenarnya.

1)cscript.exe
2)firefox.exe
3)mmc.exe
4)msconfig.exe
5)msiexec.exe
6)opera.exe
7)regedit.exe
8)regedt32.exe
9)rstrui.exe
10)tasklist.exe
11)taskmgr.exe
12)WinRAR.exe
13)wscript.exe

11. Melakukan Logoff jika user menjalankan file dengan tipe inf, reg, dan batfile.

12. Membuat startup pada registry “HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WinSystem”,”C:\WINDOWS\ssms.exe”.

13. Mendisable user masuk ke folder C:\Windows.

Sabotage.C - Message Box

14. Men-DisallowRun file dengan nama WhatEver_1.exe sampai WhatEver_15.exe.

15. Merubah nilai pada registry : HKLM\SOFTWARE\Microsoft\Security Center\

AntivirusDisableNotify
AntivirusOverride
FirewallDisableNotify
FirewallOverride
UacDisableNotify
UpdatesDisableNotify

16. Tidak menampilkan ekstensi file Sfx dan Exe.

17. Mendisable fungsi windows seperti:

Folder Options
Installer MSI
System Restore
Registry
TaskManager
MSConfig
Command Prompt
Hidden File
Flash Disk

Sabotage.C - Disable Command Prompt

19. Menjalankan host Sabotage.C meskipun dalam keadaam Safe Mode.

20. Membuat Folder Δ Smad-Lock (Brankas Smadav) Δ di flash disk. Folder serupa adalah folder yang juga dibuat oleh salah satu antivirus lokal dan berfungsi untuk melindungi file dari infeksi virus serta bermaksud mencegah virus masuk ke folder tersebut.  Tetapi dalam kasus ini justru dipergunakan worm Sabotage.C untuk meletakkan file SABOTAGE.txt.

Sabotage.C - Smad Lock

Worm Sabotage.C bisa di tuntaskan sejak PCMAV 4.2 Update Build2 seperti yang terlihat pada gambar di bawah:

Sabotage.C - PCMAV Detection

Sabotage.C - PCMAV In Action

PCMAV 4.2 Update Build2

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 4.2 Update Build2 telah hadir dengan penambahan 101 pengenal varian virus baru. Bagi Anda pengguna PCMAV 4.2, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet (non-proxy). Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV.

Namun bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:

SendSpace.com

ZippyShare.com (mirror)

Rapidshare.com (mirror)

Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 4.2 Update Build2:

Aksika-Kere.E
Aksika-Kere.E.txt
ArieLiverMartilina
ArieLiverMartilina.inf
ArieLiverMartilina.msg
BassAlac
BassAlac.dll
BlankBin
BlankBin.inf
Boller
Boller.inf
CintaFitri
CintaFitri.bat
ColdHot
ColdHot.inf
CyborgBrondong
Defecha
DEnkrip
DigitalCat
DigitalCat.html.A
DigitalCat.html.B
DigitalCat.inf
DirLock.A
DirLock.A.inf
DirLock.B
DirLock.B.inf
DirLock.B.inf.dll
FullHouse.D
Funva
Hakif
Intimidate
Julia
Julia.cmd.A
Julia.cmd.B
Julia.cmd.C
Julia.html
Julia.vbs.A
Julia.vbs.B
Kanigalindo
Kanigalindo.inf
Kanigalindo.txt
Kopat
Kopat.exe
Momo
Mshearts.vbs.C
MsIps
MsIps.inf
MsIps.ocx.A
MsIps.ocx.B
MsIps.vbs
MyPCMD.B
MyVideo
MyVideo.exe
MyVideo.txt
Out-MGRX
Out-MGRX.txt
PC-Team
PC-Team.bat
PC-Team.inf.A
PC-Team.inf.B
Priza
Priza.bmp
Priza.htm
Priza.inf
Proggy
Ramz
Ramz.inf
Recycler.AX
Recycler.AX.inf
Recycler.AY
Recycler.AY.inf
Recycler.AZ
Recycler.AZ.inf
Recycler.BA
Recycler.BA.inf
Recycler.BB
Recycler.BB.inf
Recycler.BC
Recycler.BC.inf
Rieysha-Jogja.D
Rieysha-Jogja.D.txt
Rieysha-Jogja.ini
Sabotage.C
Sabotage.C.inf
Sabotage.C.ini
Sabotage.C.job
Sabotage.C.txt
Tondano
Tondano.bat
Tondano.inf
Tondano.txt
TripleBox
VB-Shortcut-WinLogon.A
VB-Shortcut-WinLogon.B
VB-Shortcut-WinLogon.C
VB-Shortcut-WinLogon.D
VB-Shortcut-WinLogon.E
VB-Shortcut-WinLogon.F
VB-Shortcut-WinLogon.G
YDU.vbs
YDU.vbs.inf

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\system startup

C:\WINDOWS\WolvesDen\Wolf.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \startup

C:\WINDOWS\system32\scvhost.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\system startup

C:\WINDOWS\WolvesDen\Wolf.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\startup

C:\WINDOWS\system32\scvhost.exe

Categories: Analisa Virus, Antivirus, Pengumuman Tags:
  1. toni
    November 21st, 2010 at 21:59 | #1

    pertamax diamano bos!!!!
    semoga tetap jaya PCMAV!

  2. Kenzi
    November 22nd, 2010 at 06:04 | #2

    keduax!!!!!!!!!!!!!! semoga PCMAV bisa mengalahkan SMADAV

  3. November 22nd, 2010 at 07:08 | #3

    siap bos. makasih pc media.. 🙂

  4. prima
    November 22nd, 2010 at 08:48 | #4

    kecil kecil cabe rawit juga nie virus

  5. Edo
    November 22nd, 2010 at 09:48 | #5

    Duh… ga nyangka ya salah satu fitur antivirus dipake oleh virus…
    padahal antivirusnya gue pake bareng sama pcmav…
    keep going antivirus lokal indonesia…

  6. ArSip
    November 22nd, 2010 at 11:51 | #6

    Udah mulai bagus pemabahasan virusnya skarang benar2 rinci..
    Semoga PCMAV selalu jadi antivirus terbaik di Indonesia.. 🙂

  7. November 22nd, 2010 at 18:08 | #7

    Knp virus lokal justru beraksi di negeri sendiri? apa para virus maker gak kepingin go internasinonal? sekali-kali kirim ke malaysia atau arab saudi kek. . . . . . Bgmna Indonesian Virus Master?????????????

  8. Saprul
    November 22nd, 2010 at 19:39 | #8

    Pemberitahuan. PCMAV belm bisa mendeteksi dan menuntaskan virus Runonce.exe. File ini terdapat dalam system32 – runonce.exe, dan yg terltk pada register d ” HKLM – Software – Microsoft – Windows – CurrentVersion – berikut foldernya yg bernama ” RunOnce ” & ” RunOnceEX”. Scan hny bisa pada client-nya saja dan yg terdteksi virus bernama ” Sality dropper”.

    Terima Kasih

  9. November 23rd, 2010 at 10:26 | #9

    mantab nih gan…..
    tetap berkreasi……

  10. Oezank
    November 23rd, 2010 at 11:00 | #10

    Bisa gak menegembalikan file/folder milik salah satu av lokal (S*AD*V) yang telah didelete oleh PCMAV?

  11. Edo
    November 24th, 2010 at 22:32 | #11

    @Oezank : dari menu S*AD*V-nya bisa dicreat lagi kok… cobain aja

  12. November 25th, 2010 at 13:13 | #12

    PCMAV pasang serivce tanpa permisi, SUCKS!!!!

  13. November 25th, 2010 at 17:54 | #13

    Thx untuk updatenya

  14. Dadan
    November 26th, 2010 at 17:41 | #14

    saya bingung… mo download anti virus PCMAV di website ini yabg ada ko forumnya aja ya…

  15. semy
    November 27th, 2010 at 01:03 | #15

    mantap gan maju terus pc mav indonesia..merdeka!

  16. November 29th, 2010 at 08:33 | #16

    Kenapa edisi pc media sekarang banyak cacadnya. mulai dari majalah yg buram dan isi dvd yg bila di copy isinya tertulis “parameter not configured”.

  17. bahlul
    November 29th, 2010 at 09:50 | #17

    bahlul…bahlul..bahlul!!! komentar ane malah di hapus! sementara yang bilang PCMAV SUCKS malah di diemin aja! padahal ane ngebelain ente! payah! bahlul!

  18. denidoank
    November 30th, 2010 at 03:33 | #18

    majalah yg edisi ekonomi juga di bagian prolognya nge-blank item cuma ada judul nya doank, tapi buat ane gak masalah yg penting ane masih bisa baca isinya. thanks buat PC Media team dgn PCMAV-nya. BRAVO!!

  19. SekunderAgent
    December 12th, 2010 at 13:42 | #19

    Good Job PCMAV!