Home > Analisa Virus, Antivirus, Pengumuman > Aldey: Modifikasi Worm 4rik

Aldey: Modifikasi Worm 4rik

October 24th, 2011 Leave a comment Go to comments

Aldey. Setelah banyaknya serangan malware tipe worm yang berasal bukan dari Indonesia seperti Ramnit, VB-Shortcut, dan baru-baru ini adalah NgrBot, rupanya tidak membuat virus maker lokal berhenti membuat malware baru. Aldey adalah malware tipe worm yang kami dapatkan dari user yang berasal dari Bogor, Jawa Barat. Setelah dilihat lebih jauh mengenai worm ini, rupanya worm Aldey hanyalah modifikasi worm Arik seperti yang terlihat pada gambar di atas.

A. Info File

Nama Worm : Aldey
Asal :  Indonesia
Ukuran File : 164 KB (167,936 bytes)
Packer : –
Pemrograman : Ms. Visual Basic 6.0
Icon : Folder Windows Vista
Tipe : Worm

B. About Malware

icon worm Aldey

Worm Aldey memiliki nama yang di ambil dari company name-nya yaitu adalah “Aldey Productions”. Sebelum ini sudah banyak malware yang dibuat dengan hanya memodifikasi source code sebelumnya. Sebut saya malware tipe VBS yang dibuat menggunakan pemrograman Visual Basic Script, atau worm Zhola yang juga memodifikasi worm sebelumnya. Berikut ini adalah string yang memperlihatkan bahwa Aldey adalah worm hasil modifikasi.

Berikut ini adalah lampiran sourcenya.


File pos   Mem pos      ID   Text
========   =======      ==   ====

0000004D   0040004D      0   !This program cannot be run in DOS mode.
000001B8   004001B8      0   .text
000001E0   004001E0      0   .data
00000208   00400208      0   .rsrc
00000240   00400240      0   MSVBVM60.DLL
000014CA   004014CA      0   =*\G{0Project1
000014D9   004014D9      0   000-000
00001548   00401548      0   frmVirus4rik
00001B97   00401B97      0   ~}}}}
00001BA3   00401BA3      0   RTVVjrqmjr}
00001BC7   00401BC7      0   ~}}}}
00001BCF   00401BCF      0   !/9?NGGaaq
00001BF7   00401BF7      0   ~~}}}
00001C00   00401C00      0   +388<00001C30   00401C30      0   #%8800001C60   00401C60      0   #%''CCZ[
00001C90   00401C90      0   #%'''00001CC0   00401CC0      0   #%''00001CF0   00401CF0      0   #%''<00001D20   00401D20      0   ##''00001D50   00401D50      0   "%%8D00001D81   00401D81      0   #-800001DB0   00401DB0      0   "#%89addammmr
00001DE1   00401DE1      0   $-800001E11   00401E11      0   $-8GIdnnjrr
00001E41   00401E41      0   $-8GGhnsrr}
00001E71   00401E71      0   $-9Gdhnszz
00001EA1   00401EA1      0   $-9GGggs}s
00001ED1   00401ED1      0   +-9Ghgys
00001F01   00401F01      0   $1;GVvys
00001F31   00401F31      0   +/GSiiyy
00001F61   00401F61      0   +/?Tiv
00001F90   00401F90      0    +1AV
00001FC1   00401FC1      0   ,?NYi
00001FF0   00401FF0      0    ,6RT
000020AF   004020AF      0   !.6RY
00002942   00402942      0   uwxz.4DC\JJMU
00002965   00402965      0   '*  KJJJ;t
00002987   00402987      0    99MJJBy
000029A6   004029A6      0     9KJJJ\
000029C7   004029C7      0   9#KMJJ\
000029E6   004029E6      0     =LMOO
00002A06   00402A06      0   *1=R\QQc
00002A26   00402A26      0   *00003CB8   00403CB8      0   fTJ~/)
00003E6A   00403E6A      0   w18!g/;G
00003F82   00403F82      0   p_ahQ
0000418A   0040418A      0   0n'~r6
0000561D   0040561D      0   fqiq%}
000056E9   004056E9      0   3Q@i6M
000058E5   004058E5      0   )9Ky' k
00005B43   00405B43      0   829fM
00005D77   00405D77      0   '$mrQ,$
00005DF2   00405DF2      0   OMa?Z6
00005F49   00405F49      0   93 W%X
00005FF3   00405FF3      0   EACF y
0000608C   0040608C      0   S&9vO
00006136   00406136      0   " ,(Rd
00006285   00406285      0   (A\SP
0000648D   0040648D      0   bP\ $C
000064B9   004064B9      0   (]83U
00006A8F   00406A8F      0    W!8O
00006FFE   00406FFE      0   Ly>b!
00007098   00407098      0   !!OY>
000072DF   004072DF      0   e&@>#0
00007393   00407393      0   )|h0$	E
00007923   00407923      0   GP1j5
00007E9D   00407E9D      0   >S;.z
00008005   00408005      0   fiw *%
000083E3   004083E3      0   6l}y'|k
00008621   00408621      0   K+LAJ
000086EF   004086EF      0   lW~mV
000087B0   004087B0      0   kg&~.$

File pos   Mem pos      ID   Text
========   =======      ==   ====

00008989   00408989      0   >G&C{T
00008AD4   00408AD4      0   qD"O\
00008C3C   00408C3C      0   	b% 4
00008F62   00408F62      0   jmar|
0000903F   0040903F      0   xyl8H
000091B6   004091B6      0   a\'$='N
000091F0   004091F0      0   nTh(y
00009D97   00409D97      0   V;XL'
00009E00   00409E00      0   eU }t
0000A004   0040A004      0   86/l~
0000A34A   0040A34A      0   Mh6D3
0000A5A2   0040A5A2      0   ,n,BC
0000A5BE   0040A5BE      0   U]]tWW
0000A84A   0040A84A      0   Z]T|.
0000A885   0040A885      0   m*lm;	6
0000AB05   0040AB05      0   T:r|
0000ABDB   0040ABDB      0   R)q~N
0000AD57   0040AD57      0   l6M@H&
0000B1A9   0040B1A9      0   >BZ_*
0000B3B1   0040B3B1      0   |y#lyw
0000B63C   0040B63C      0   r"JOe@
0000B895   0040B895      0   _Lj(\
0000B8D7   0040B8D7      0   +~,},C
0000B8F8   0040B8F8      0   M+Zwl
0000B980   0040B980      0   y58(W
0000BB19   0040BB19      0   Mm;?~
0000BB95   0040BB95      0   c|0%C
0000BBFE   0040BBFE      0   $}>iH
0000C059   0040C059      0   #MgR'Qj.(Vq
0000C119   0040C119      0    Lhh(QjT/SiB3Sh'5Ti
0000C1DA   0040C1DA      0   Lit%Qla-TkM3Ti>5Sf85Qd(6Rf
0000C29A   0040C29A      0   Liz$Qli,UmU2VlD5Ti:5Rf55Qd1Y
0000C35A   0040C35A      0   Li|#Qmo+Un\Fs
0000E432   0040E432      0   %Jc_(Nf/)Sl
0000E4B3   0040E4B3      0   Hc}(Nfg1QfL4Qd%5Th
0000E536   0040E536      0   %Mgr.RhY4RfE5Qd:f
0000F87B   0040F87B      0   Form1
0000F8A1   0040F8A1      0   Timer1
0000F8C1   0040F8C1      0   Image1
0000F911   0040F911      0   $(4,$&1'
0000F91B   0040F91B      0   -=-157:::#+?D?8C49:7
0000F941   0040F941      0   %77777777777777777777777777777777777777777777777777
0000F9C4   0040F9C4      0   1"AQa
0000FA49   0040FA49      0   3/SD;z
0000FA57   0040FA57      0   BR2IR
0000FA9C   0040FA9C      0   $pKG-/
0000FB20   0040FB20      0   9I)#*G
0000FBEE   0040FBEE      0   Wsn1Z
0000FE5A   0040FE5A      0   UIxnLut
0000FE92   0040FE92      0   ,h}a!E!Kj,t
00010003   00410003      0   pG|Sd
00010091   00410091      0   uhu!+_
000100EA   004100EA      0   *9N}*
0001015E   0041015E      0   b3aEo8
000101A3   004101A3      0   *]nT[
00010218   00410218      0   XbS*jZ
00010309   00410309      0   :Rytcq
00010392   00410392      0   *Kn$)
00010413   00410413      0   QjIpm-
00010421   00410421      0   \+V8J

File pos   Mem pos      ID   Text
========   =======      ==   ====

000104A5   004104A5      0   iP'[tM
000104ED   004104ED      0   Gj[L7
0001055C   0041055C      0   H!*_H
0001056C   0041056C      0   VX&3o
000105CA   004105CA      0   w!* g
000106C6   004106C6      0   Label1
000106D1   004106D1      0   Virus 4rik
00010700   00410700      0   MS Sans Serif
00010716   00410716      0   Image2
00010766   00410766      0   $(4,$&1'
00010770   00410770      0   -=-157:::#+?D?8C49:7
00010796   00410796      0   %77777777777777777777777777777777777777777777777777
00010828   00410828      0   #$3Rb
00010833   00410833      0   %45CS
00010930   00410930      0   \eAi'
000109B7   004109B7      0   khjJR
00010A25   00410A25      0   3";erfE
00010B5F   00410B5F      0   'qQZf
00010C78   00410C78      0   EBQZPv
00010CE6   00410CE6      0   ~ZX!Ji
00010D3F   00410D3F      0   &;E|}B
00010F17   00410F17      0   +O{tc
0001103B   0041103B      0   +Az!*ln
00011104   00411104      0   Pu*!|\
00011117   00411117      0   (.:G]K
00011280   00411280      0   mvAd]
00011286   00411286      0   *w%JN
000112F4   004112F4      0   U2{@d
000113D1   004113D1      0   !Im~/zU
0001141C   0041141C      0   AQtQ@QE
0001148B   0041148B      0   Image4
000114DB   004114DB      0   $(4,$&1'
000114E5   004114E5      0   -=-157:::#+?D?8C49:7
0001150B   0041150B      0   %77777777777777777777777777777777777777777777777777
000115A3   004115A3      0   34Sbc
00011672   00411672      0   @V~8R00~Dw
0001174A   0041174A      0   Jn[QK
00011C43   00411C43      0   ofDhD
0001201C   0041201C      0   Skripsi.exe
00012028   00412028      0   explorer
00012032   00412032      0   Project1
000126BC   004126BC      0   frmVirus4rik
000126CC   004126CC      0   MdlVirus4rik
000126DC   004126DC      0   Project1
00012738   00412738      0   Image2
00012750   00412750      0   D:\Visual Basic\VB6.OLB
000127A4   004127A4      0   Label1
000127D4   004127D4      0   Timer1
000127DC   004127DC      0   Image1
000127E4   004127E4      0   Image4
00012870   00412870      0   kernel32
00012880   00412880      0   CopyFileA
000128C4   004128C4      0   shell32.dll
000128D4   004128D4      0   SHGetSpecialFolderLocation
00012928   00412928      0   SHGetPathFromIDListA
00012978   00412978      0   kernel32.dll
0001298C   0041298C      0   GetSystemDirectoryA
000129A0   004129A0      0   __vbaStrVarVal
000129E8   004129E8      0   GetWindowsDirectoryA
00012A38   00412A38      0   GetDriveTypeA

File pos   Mem pos      ID   Text
========   =======      ==   ====

00012A80   00412A80      0   SetFileAttributesA
00012ACC   00412ACC      0   GetFileAttributesA
00012B30   00412B30      0   VBA6.DLL
00012B3C   00412B3C      0   __vbaObjSet
00012B48   00412B48      0   __vbaFreeObj
00012B58   00412B58      0   __vbaHresultCheckObj
00012B70   00412B70      0   __vbaNew2
00012B84   00412B84      0   __vbaEnd
00012B90   00412B90      0   __vbaFreeVar
00012BBC   00412BBC      0   __vbaFreeStr
00012BCC   00412BCC      0   __vbaVarDup
00012BD8   00412BD8      0   __vbaStrMove
00012BE8   00412BE8      0   __vbaStrCmp
0001351C   0041351C      0   __vbaInStr
000138E4   004138E4      0   __vbaLateMemCall
000138F8   004138F8      0   __vbaObjVar
00013904   00413904      0   __vbaObjSetAddref
00013918   00413918      0   __vbaFreeVarList
0001392C   0041392C      0   __vbaVarCat
00013938   00413938      0   __vbaStrVarMove
00013948   00413948      0   __vbaLsetFixstr
00013958   00413958      0   __vbaFixstrConstruct
00013970   00413970      0   __vbaErrorOverflow
00013984   00413984      0   __vbaStrCopy
00013994   00413994      0   __vbaStrToUnicode
000139A8   004139A8      0   __vbaStrToAnsi
000139B8   004139B8      0   __vbaVarTstEq
000139C8   004139C8      0   __vbaSetSystemError
000139DC   004139DC      0   __vbaFreeObjList
000139F0   004139F0      0   __vbaFreeStrList
00013A04   00413A04      0   __vbaStrCat
00013A10   00413A10      0   __vbaOnError
00013BE1   00413BE1      0   j|hP(A
00013CD6   00413CD6      0   jTh +A
00013F49   00413F49      0   jPhP(A
00013FFE   00413FFE      0   jXhP(A
0001476F   0041476F      0   PhT,A
00014A8C   00414A8C      0   Ph0-A
000153EC   004153EC      0   Ph$.A
000154B4   004154B4      0   PhD.A
0001557C   0041557C      0   Phd.A
00015AF4   00415AF4      0   Ph8/A
00015BBC   00415BBC      0   PhX/A
00015C8F   00415C8F      0   Phx/A
00015DA3   00415DA3      0   jPhP(A
00015F3E   00415F3E      0   jPhP(A
000160D9   004160D9      0   jPhP(A
00016466   00416466      0   jPhP(A
0001691D   0041691D      0   Ph80A
00016977   00416977      0   Phh0A
00016A16   00416A16      0   jPhP(A
00016A8D   00416A8D      0   jXhP(A
00016B43   00416B43      0   Phx/A
00016DF2   00416DF2      0   Ph|3A
00016EA9   00416EA9      0   Ph$4A
00016ECF   00416ECF      0   Phh0A
00016F6B   00416F6B      0   Ph04A
00017012   00417012      0   PhL4A
000170B9   004170B9      0   Phl4A
000170D7   004170D7      0   Ph0-A

File pos   Mem pos      ID   Text
========   =======      ==   ====

000172AE   004172AE      0   Ph,5A
000172CC   004172CC      0   Ph8/A
00017355   00417355      0   Phd5A
00017373   00417373      0   Phd.A
000173EC   004173EC      0   Dhl3A
0001760C   0041760C      0   Ph\6A
000178CC   004178CC      0   Ph87A
00017B8C   00417B8C      0   PhL8A
00017EBC   00417EBC      0   MSVBVM60.DLL
00017ECC   00417ECC      0   _CIcos
00017ED6   00417ED6      0   _adj_fptan
00017EE4   00417EE4      0   __vbaFreeVar
00017EF4   00417EF4      0   __vbaStrVarMove
00017F06   00417F06      0   __vbaFreeVarList
00017F1A   00417F1A      0   __vbaEnd
00017F26   00417F26      0   _adj_fdiv_m64
00017F36   00417F36      0   __vbaFreeObjList
00017F4A   00417F4A      0   _adj_fprem1
00017F58   00417F58      0   __vbaStrCat
00017F66   00417F66      0   __vbaLsetFixstr
00017F78   00417F78      0   __vbaSetSystemError
00017F8E   00417F8E      0   __vbaHresultCheckObj
00017FA6   00417FA6      0   _adj_fdiv_m32
00017FB6   00417FB6      0   __vbaOnError
00017FC6   00417FC6      0   __vbaObjSet
00017FD4   00417FD4      0   _adj_fdiv_m16i
00017FE6   00417FE6      0   __vbaObjSetAddref
00017FFA   00417FFA      0   _adj_fdivr_m16i
0001800C   0041800C      0   _CIsin
00018016   00418016      0   __vbaChkstk
00018024   00418024      0   EVENT_SINK_AddRef
00018038   00418038      0   __vbaStrCmp
00018046   00418046      0   __vbaVarTstEq
00018056   00418056      0   __vbaObjVar
00018064   00418064      0   DllFunctionCall
00018076   00418076      0   _adj_fpatan
00018084   00418084      0   __vbaFixstrConstruct
0001809C   0041809C      0   EVENT_SINK_Release
000180B2   004180B2      0   _CIsqrt
000180BC   004180BC      0   EVENT_SINK_QueryInterface
000180D8   004180D8      0   __vbaExceptHandler
000180EE   004180EE      0   __vbaStrToUnicode
00018102   00418102      0   _adj_fprem
00018110   00418110      0   _adj_fdivr_m64
00018122   00418122      0   __vbaFPException
00018136   00418136      0   __vbaStrVarVal
00018148   00418148      0   __vbaVarCat
00018156   00418156      0   _CIlog
00018160   00418160      0   __vbaErrorOverflow
00018176   00418176      0   __vbaInStr
00018184   00418184      0   __vbaNew2
00018190   00418190      0   _adj_fdiv_m32i
000181A2   004181A2      0   _adj_fdivr_m32i
000181B4   004181B4      0   __vbaStrCopy
000181C4   004181C4      0   __vbaFreeStrList
000181D8   004181D8      0   _adj_fdivr_m32
000181EA   004181EA      0   _adj_fdiv_r
000181F8   004181F8      0   __vbaLateMemCall
0001820C   0041820C      0   __vbaStrToAnsi
0001821E   0041821E      0   __vbaVarDup

File pos   Mem pos      ID   Text
========   =======      ==   ====

0001822C   0041822C      0   _CIatan
00018236   00418236      0   __vbaStrMove
00018246   00418246      0   _allmul
00018250   00418250      0   _CItan
0001825A   0041825A      0   _CIexp
00018264   00418264      0   __vbaFreeStr
00018274   00418274      0   __vbaFreeObj
0001AA40   0041AA40      0   %Jc_(Nf/)Sl
0001AAC1   0041AAC1      0   Hc}(Nfg1QfL4Qd%5Th
0001AB44   0041AB44      0   %Mgr.RhY4RfE5Qd:f
0001BCBC   0041BCBC      0   #MgR'Qj.(Vq
0001BD7C   0041BD7C      0    Lhh(QjT/SiB3Sh'5Ti
0001BE3D   0041BE3D      0   Lit%Qla-TkM3Ti>5Sf85Qd(6Rf
0001BEFD   0041BEFD      0   Liz$Qli,UmU2VlD5Ti:5Rf55Qd1Y
0001BFBD   0041BFBD      0   Li|#Qmo+Un\Fs
0001DFF1   0041DFF1      0   IDATx
0001E059   0041E059      0   ~53@]
0001E1A0   0041E1A0      0   ax8s@
0001E259   0041E259      0   V8|r?LO_
0001E609   0041E609      0   	k]X#
0001E6BF   0041E6BF      0   98P8_
0001E720   0041E720      0   @Pd*x
0001E72F   0041E72F      0   PzD@a	:!W
0001E82E   0041E82E      0   TkbG3d
0001E9AC   0041E9AC      0   30cUb'
0001E9E1   0041E9E1      0   fTJ~/)
0001EB93   0041EB93      0   w18!g/;G
0001ECAB   0041ECAB      0   p_ahQ
0001EEB3   0041EEB3      0   0n'~r6
00020346   00420346      0   fqiq%}
00020412   00420412      0   3Q@i6M
0002060E   0042060E      0   )9Ky' k
0002086C   0042086C      0   829fM
00020AA0   00420AA0      0   '$mrQ,$
00020B1B   00420B1B      0   OMa?Z6
00020C72   00420C72      0   93 W%X
00020D1C   00420D1C      0   EACF y
00020DB5   00420DB5      0   S&9vO
00020E5F   00420E5F      0   " ,(Rd
00020FAE   00420FAE      0   (A\SP
000211B6   004211B6      0   bP\ $C
000211E2   004211E2      0   (]83U
000217B8   004217B8      0    W!8O
00021D27   00421D27      0   Ly>b!
00021DC1   00421DC1      0   !!OY>

File pos   Mem pos      ID   Text
========   =======      ==   ====

00022008   00422008      0   e&@>#0
000220BC   004220BC      0   )|h0$	E
0002264C   0042264C      0   GP1j5
00022BC6   00422BC6      0   >S;.z
00022D2E   00422D2E      0   fiw *%
0002310C   0042310C      0   6l}y'|k
0002334A   0042334A      0   K+LAJ
00023418   00423418      0   lW~mV
000234D9   004234D9      0   kg&~.$
000236B2   004236B2      0   >G&C{T
000237FD   004237FD      0   qD"O\
00023965   00423965      0   	b% 4
00023C8B   00423C8B      0   jmar|
00023D68   00423D68      0   xyl8H
00023EDF   00423EDF      0   a\'$='N
00023F19   00423F19      0   nTh(y
00024AC0   00424AC0      0   V;XL'
00024B29   00424B29      0   eU }t
00024D2D   00424D2D      0   86/l~
00025073   00425073      0   Mh6D3
000252CB   004252CB      0   ,n,BC
000252E7   004252E7      0   U]]tWW
00025573   00425573      0   Z]T|.
000255AE   004255AE      0   m*lm;	6
0002582E   0042582E      0   T:r|
00025904   00425904      0   R)q~N
00025A80   00425A80      0   l6M@H&
00025ED2   00425ED2      0   >BZ_*
000260DA   004260DA      0   |y#lyw
00026365   00426365      0   r"JOe@
000265BE   004265BE      0   _Lj(\
00026600   00426600      0   +~,},C
00026621   00426621      0   M+Zwl
000266A9   004266A9      0   y58(W
00026842   00426842      0   Mm;?~
000268BE   004268BE      0   c|0%C
00026927   00426927      0   $}>iH
00026F31   00426F31      0   7F:+%
00026F41   00426F41      0   >NF:+
00026F51   00426F51      0   >RNF:
00026F61   00426F61      0   AYRNF
00026F69   00426F69      0   21!i%
00026F71   00426F71      0   A]YRN
00026F79   00426F79      0   442i#
00026F88   00426F88      0   %@74i%
00026F98   00426F98      0   (J@@=%
00026FA8   00426FA8      0   :TOJ7Q
00026FB1   00426FB1      0   Tccbk
00026FB8   00426FB8      0   :]XX7
00026FC1   00426FC1      0   Vcccl#
00026FD1   00426FD1      0   Vcccl),Fbb_:
00026FE1   00426FE1      0   Vccll7,bheb:
00026FF1   00426FF1      0   Vcj[S/dhhhbH
00027001   00427001      0   _VTTTPJJJBH
00027505   00427505      0   uwxz.4DC\JJMU
00027528   00427528      0   '*  KJJJ;t
0002754A   0042754A      0    99MJJBy
00027569   00427569      0     9KJJJ\
0002758A   0042758A      0   9#KMJJ\
000275A9   004275A9      0     =LMOO

File pos   Mem pos      ID   Text
========   =======      ==   ====

000275C9   004275C9      0   *1=R\QQc
000275E9   004275E9      0   *00027609   00427609      0   *@@VU
00027629   00427629      0   2@CVVg
00027648   00427648      0   '2FCaccm
00027669   00427669      0   3F[Yam
00027688   00427688      0   (3H[a
00027EAF   00427EAF      0   ~}}}}
00027EBB   00427EBB      0   RTVVjrqmjr}
00027EDF   00427EDF      0   ~}}}}
00027EE7   00427EE7      0   !/9?NGGaaq
00027F0F   00427F0F      0   ~~}}}
00027F18   00427F18      0   +388<00027F48   00427F48      0   #%8800027F78   00427F78      0   #%''CCZ[
00027FA8   00427FA8      0   #%'''00027FD8   00427FD8      0   #%''00028008   00428008      0   #%''<00028038   00428038      0   ##''00028068   00428068      0   "%%8D00028099   00428099      0   #-8000280C8   004280C8      0   "#%89addammmr
000280F9   004280F9      0   $-800028129   00428129      0   $-8GIdnnjrr
00028159   00428159      0   $-8GGhnsrr}
00028189   00428189      0   $-9Gdhnszz
000281B9   004281B9      0   $-9GGggs}s
000281E9   004281E9      0   +-9Ghgys
00028219   00428219      0   $1;GVvys
00028249   00428249      0   +/GSiiyy
00028279   00428279      0   +/?Tiv
000282A8   004282A8      0    +1AV
000282D9   004282D9      0   ,?NYi
00028308   00428308      0    ,6RT
000283C7   004283C7      0   !.6RY
0001205F   0041205F      0   A*\AC:\Users\user\Downloads\tool membuat virus\tool membuat virus\virus\virus3\Virus_4rik.vbp
000127FC   004127FC      0   C:\ABORT.SYS
00012BA4   00412BA4      0   winver.exe
00012C10   00412C10      0   System32\drivers\dxdrv32.sys
00012C54   00412C54      0   System32\drivers\vga.dll
00012C8C   00412C8C      0   System32\drivers\vgcon32.bin
00012CCC   00412CCC      0   System32\wishell1033.bin
00012D04   00412D04      0   System32\ctfmon.exe
00012D30   00412D30      0   System32\winliveessentialsstartup.exe
00012D80   00412D80      0   System32\syswowex.bin
00012DB0   00412DB0      0   System\acpi.bin
00012DD4   00412DD4      0   cmd.exe
00012DE8   00412DE8      0   rundll32.exe
00012E08   00412E08      0   runonce.exe
00012E24   00412E24      0   regedist.exe
00012E44   00412E44      0   rasdhncpl.exe
00012E64   00412E64      0   nsl0231.bin
00012E80   00412E80      0   patch.exe
00012E98   00412E98      0   shell64.bin
00012EB4   00412EB4      0   shell16.dll
00012ED0   00412ED0      0   kncpwklfdilha.exe
00012EF8   00412EF8      0   shell128.dll
00012F18   00412F18      0   shell256.bin
00012F38   00412F38      0   kernel64.bin
00012F58   00412F58      0   winlogon .exe

File pos   Mem pos      ID   Text
========   =======      ==   ====

00012F78   00412F78      0   smodavrtp.exe
00012F98   00412F98      0   autorun.inf
00012FC0   00412FC0      0   skripsi.exe
00012FDC   00412FDC      0   System32\patch.exe
00013008   00413008      0   System32\winlogon.exe
00013038   00413038      0   System32\kernel64.bin
00013068   00413068      0   System32\shell64.bin
00013098   00413098      0   Software\Microsoft\Windows\CurrentVersion\
000130F4   004130F4      0   SOFTWARE\Microsoft\Windows NT\CurrentVersion\
00013154   00413154      0   Software\Microsoft\Internet Explorer\Main\
000131B0   004131B0      0   Software\Policies\Microsoft\Windows\system\
0001320C   0041320C      0   Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
00013280   00413280      0   WScript.Shell
000132A0   004132A0      0   HKLM\
000132B0   004132B0      0   \RegisteredOwner
000132D8   004132D8      0   Bill Gate$
000132F0   004132F0      0   Regwrite
00013308   00413308      0   \RegisteredOrganization
0001333C   0041333C      0   Microsoft Corporation
0001336C   0041336C      0   HKCU\
0001337C   0041337C      0   \Window Title
0001339C   0041339C      0   Windows Internet Exploder 10
000133DC   004133DC      0   \Userinit
000133F4   004133F4      0   System32\userinit.exe
00013430   00413430      0   \Run\Ctfmon
0001344C   0041344C      0   \Run\jwgkvsq
0001346C   0041346C      0   \Run\Windows Live Essentials
000134AC   004134AC      0   \Run\Windows Live Messenger
000134E8   004134E8      0   \Run\kahalaujdekwsowaawao
0001352C   0041352C      0   \Run\jwskeireewqaksjwenio
00013564   00413564      0   \Run\Brontok.bro
0001358C   0041358C      0   DisableCMD
000135B0   004135B0      0   REG_DWORD
000135C8   004135C8      0   Policies\System\DisableTaskMgr
0001360C   0041360C      0   Policies\System\DisableRegistryTools
0001365C   0041365C      0   Policies\System\DisableMsConfig
000136A0   004136A0      0   Advanced\Hidden
000136CC   004136CC      0   Policies\Explorer\NoRun
00013700   00413700      0   Policies\Explorer\NoFind
00013738   00413738      0   Policies\Explorer\NoFolderOptions
00013780   00413780      0   Policies\Explorer\NoClose
000137B8   004137B8      0   Policies\Explorer\NoControlPanel
00013800   00413800      0   Policies\Explorer\NoViewContextMenu
0001384C   0041384C      0   Policies\Explorer\NoStartMenuMorePrograms
000138A4   004138A4      0   Policies\Explorer\NoViewOnDrive
0001A216   0041A216      0   VS_VERSION_INFO
0001A272   0041A272      0   VarFileInfo
0001A292   0041A292      0   Translation
0001A2B6   0041A2B6      0   StringFileInfo
0001A2DA   0041A2DA      0   040904B0
0001A2F2   0041A2F2      0   CompanyName
0001A30C   0041A30C      0   Aldey Productions
0001A336   0041A336      0   FileDescription
0001A358   0041A358      0   Windows Explorer
0001A382   0041A382      0   ProductName
0001A39C   0041A39C      0   explorer
0001A3B6   0041A3B6      0   FileVersion
0001A3D0   0041A3D0      0   6.01.7600
0001A3EA   0041A3EA      0   ProductVersion
0001A408   0041A408      0   6.01.7600

File pos   Mem pos      ID   Text
========   =======      ==   ====

0001A422   0041A422      0   InternalName
0001A43C   0041A43C      0   Skripsi.exe
0001A45A   0041A45A      0   OriginalFilename
0001A47C   0041A47C      0   Skripsi.exe.virus

C. Companion/File yang dibuat
Setelah aktif worm Aldey membuat companion sepert:
• C:\WINDOWS\system32\ctfmon.exe
• C:\WINDOWS\system32\winliveessentialsstartup.exe
• C:\WINDOWS\system32\drivers\vgcon32.bin
• C:\WINDOWS\system32\patch.exe
• C:\WINDOWS\system32\kernel64.bin
• C:\WINDOWS\system32\nsl0231.bin
• C:\skripsi.exe
• C:\WINDOWS\system32\rundll32.exe
• C:\Documents and Settings\Administrator\Local Settings\Temp\kernel64.bin.exe
• C:\Documents and Settings\Administrator\Local Settings\Temp\nsl0231.bin.exe
• C:\Documents and Settings\Administrator\Local Settings\Temp\vgcon32.bin.exe
• C:\WINDOWS\system\acpi.bin
• C:\WINDOWS\system32\kncpwklfdilha.exe
• C:\WINDOWS\system32\rasdhncpl.exe
• C:\WINDOWS\system32\regedist.exe
• C:\WINDOWS\system32\runonce.exe
• C:\WINDOWS\system32\shell128.dll
• C:\WINDOWS\system32\shell16.dll
• C:\WINDOWS\system32\shell256.bin
• C:\WINDOWS\system32\shell64.bin
• C:\WINDOWS\system32\smodavrtp.exe
• C:\WINDOWS\system32\syswowex.bin
• C:\WINDOWS\system32\winlogon .exe
• C:\WINDOWS\system32\winver.exe
• C:\WINDOWS\system32\wishell1033.bin
• C:\WINDOWS\system32\drivers\dxdrv32.sys
• C:\WINDOWS\system32\drivers\vga.dll

Agar bisa berjalan saat startup, selain membuat value di registry, Aldey juga membuat host di folder startup:
C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\smodavrtp.exe

D. Hasil Infeksi

• Membuat key pada registry untuk mendisable beberapa aplikasi windows.

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableTaskMgr
DisableMsConfig
DisableRegistryTools

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoRun
NoFind
NoFolderOptions
NoClose
NoControlPanel
NoViewContextMenu
NoStartMenuMorePrograms
NoViewOnDrive

• Menambahkan value key agar bisa berjalan saat startup

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Ctfmon=C:\WINDOWS\System32\ctfmon.exe
jwgkvsq=C:\WINDOWS\System32\ctfmon.exe
Windows Live Essentials=C:\WINDOWS\System32\winliveessentialsstartup.exe
Windows Live Messenger=C:\WINDOWS\System32\drivers\vgcon32.bin
kahalaujdekwsowaawao=C:\WINDOWS\System32\patch.exe
jwskeireewqaksjwenio=C:\WINDOWS\system32\kernel64.bin
Brontok.bro=C:\WINDOWS\system32\nsl0231.bin

• Merubah Title Internet Explorer

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Window Title=Windows Internet Exploder 10

E. Pembersihan

PCMAV 6.0 Update Build1

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 6.0 Update Build1 telah hadir dengan penambahan 31 pengenal varian virus baru. Bagi Anda pengguna PCMAV 6.0, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.

Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:

SendSpace.com

ZippyShare.com (mirror)

Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 6.0 Update Build1:

Aldey
AryaN
AryaN.inf
AryaN.lnk
Chat-FB.A
Chat-FB.B
Chat-FB.C
Chat-FB.D
Chat-FB.E
Chat-FB.F
Chat-FB.G
Chat-FB.H
Chat-FB.zip.A
Chat-FB.zip.B
Chat-FB.zip.C
Chat-FB.zip.D
Craft3
Craft3.tmp
FontPorn.B
FontPorn.B.exe.A
FontPorn.B.exe.B
FontPorn.B.lnk
FontPorn.B.tmp
FontPorn.C
FontPorn.C.ini
None
Ramnit.N.dropper
Ramnit.O.dropper
ThumbDrive
TODO
TODO.drp

Categories: Analisa Virus, Antivirus, Pengumuman Tags:
  1. CyberElite
    October 27th, 2011 at 19:05 | #1

    Kalau masalah virus yang dibuat dari source code virus, di forum underground dan forum yg punya banyak komunitas banyak yang share…

  2. A.RAHMAN
    October 27th, 2011 at 21:15 | #2

    Mas fajar tolong donk PCMAV di versi 6.1 makin baik dari versi 6.0 ini,
    masa sih di setiap versi terbarunya bug2nya malah makin banyak sih nggak di FIXED,
    kalau lihat dari problem signature yg muncul saat terjadi crash mungkn saja ada engine pcmav yg tidak kompatibel dengan windows 7 ultimate sehingga disuruh untuk cek problem solution dari windows.
    kalau untuk pembasmian virus PCMAV paling mantap, tpi mslahnya pcmav yang tidak stabil dan bnyak pesan errornya bahkn exit duluan, itu jadi maslah utama PCMAV.
    Fitur-fiturx juga bila di gunakan Extman.exe juga muncul pesan error, sebenarnya apa yang terjadi dengan PCMAV???? tlng fokuskan di hal ini, pasti pengguna lain senang dan tidak khwatir pakai pcmav di PC.
    kalau PCMAV buat crashkan itu hal yang tidak bagus buat citra pc media

  3. CyberElite
    October 27th, 2011 at 22:42 | #3

    @A.RAHMAN: Makanya kita juga harus memberitahu bug dan error dengan rinci, agar bug tersebut di perbaiki.
    masalah lamanya fix bug dan error butuh proses. saya saja yang lapor pcmav asgard alpha baru di fix di pcmav 6.1.
    soal bug yang muncul berkaitan dengan kompabilitas dengan os yang digunakan dan program lain yang sedang berjalan dengan pcmav. *itu menurut pemahaman saya

  4. [AB]
    October 27th, 2011 at 22:57 | #4

    PCMAV error di Win 7 Ultimate..??
    PCMAV ane lancar jaya ajah tuh gan, dan ga bentrok sama software lainnya.. 🙂
    keren PCMAV Asgard startup nya udah ada peningkatan signifikan..

  5. PC Ranger
    October 28th, 2011 at 15:41 | #5

    apa win7-nya lum di-SP1 ya?

  6. conan
    October 29th, 2011 at 15:15 | #6

    pcmav payah, update.vdbnya langsung dihapus oleh bitdefenderku, tidak berubah dari tahun ke tahun. ternyata pcmav emang tidak mampu, dan mungkin tidak akan mampu memperbaiki ini.

  7. 1NDON3S14
    October 29th, 2011 at 17:49 | #7

    Thanks utk update’y. Maju terus AV indonesia,,,!!!

  8. PC Ranger
    October 30th, 2011 at 00:19 | #8

    ClamAV 0.97.3 stable version dah keluar tuh. Sudah ada yang duet-in ma Asgard?
    Bagi yg udah tolong dishare ya. tx.

  9. prayitno
    October 31st, 2011 at 10:38 | #9

    @PC Ranger : ane udah gan tapi sori… versi ClamAV 0.97.3 bukan plugin yg disaranin oleh tim PCMAV (baca readme.txt dengan seksama) dimana harus unduh dan ambil plugin CLAMAV seharusnya, yg ng’gak pake error dalam update database virus dari clamavnya.

  10. Ruzhella
    October 31st, 2011 at 12:48 | #10

    @PC Ranger : og dah gabung kock and so far so good
    cara ngesharenya gimana..? takut di black list ama pcmedia nich.

  11. Ruzhella
    October 31st, 2011 at 12:52 | #11

    @PC Ranger : gini aja masuk ke http://sourceforge.net/projects/clamav/files/clamav/win32/
    trus ambil yg sesuai dengan arsitektur pc kamu. cara ngawinin sama aja ama yg dulu

  12. PC Ranger
    October 31st, 2011 at 20:53 | #12

    @Prayitno : ma kasih gan buat warning post-nya. kudu ati-ati neh kalo mo kawinin PCMAV en CLAMAV.

    @Ruhzhella : ma kasih gan buat share linknya. post ane neh yg kurang komplit. Maksud ane bukan “share link”-nya tapi “progress”-nya, misal ada crash, error dan lain-lain.

  13. A.RAHMAN
    October 31st, 2011 at 22:21 | #13

    pcmav masih krg stabil saat aktif di sistem, kdng nggk mw nge SCAN

  14. A.RAHMAN
    October 31st, 2011 at 22:22 | #14

    A.RAHMAN :
    pcmav masih krg stabil saat aktif di sistem, kdng nggk mw nge SCAN

    saya pakai win7 ultimate, dan pcmav nggak mw di exit.

  15. prayitno
    October 31st, 2011 at 23:03 | #15

    @Ruzhella : yg dari link itu ada dua file yg kudu diunduh clamav***.zip dan clamunrar***.zip dan dua file tambahan yg harus diextract dalam folder PCMAV dan plugins/clamav (msvcp100.dll dan msvcr100.dll) supaya fusion antara pcmav dan clamav berfungsi… itupun saya rasa tidak berjalan mulus…

  16. Ruzhella
    November 1st, 2011 at 13:10 | #16

    @Prayitno : begini umpama kita pake arsitektur x86, extract yang ClamAV-i386-0.97.3.zip (untuk clamunrar versi yg sama setau og blm ada, jadi ambil dan extract clamunrar-x86_64-0.97.2.zip). semuanya extract ke folder plugins\clamav ya.. Nah untuk msvcp100.dll dan msvcr100.dll copy ke folder pcmavnya aja ($P@C#M&4V$)

  17. Ruzhella
    November 1st, 2011 at 13:19 | #17

    maaf untuk clamunrurnya yg betul clamunrar-i386-0.97.2.zip, maaf ya saking buru2nya nich

  18. November 2nd, 2011 at 19:13 | #18

    mas perbaiki pcmav nya tidak respound lagi di windows xp sp

  19. prayitno
    November 2nd, 2011 at 22:57 | #19

    @Ruzhella : bukana tiap kali update daily.cvd dan sukses selalu muncul error msg : cl_init CL_SUCCESS bukan ?

  20. Ruzhella
    November 3rd, 2011 at 12:00 | #20

    @Prayitno : memang muncul error spt itu (mungkin salah satu bug yg dari dulu ga pernah diperhatiin ama awak pcmav). Solusinya abis muncul error tsb, coba exit pcmav lewat systraynya, lalu jalanin lagi.

    kalo ogut sih ga pernah update .cvd automatic, cukup update manual dari situs clamavnya (kecuali update yg bener2 punya pcmav)

  21. A.RAHMAN
    November 3rd, 2011 at 17:39 | #21

    pcmav 6.1 mesti lbh baik dari versi 6.0 yang sangat banyak masalahnya di windows…

  22. CyberElite
    November 3rd, 2011 at 22:08 | #22

    @prayitno

    Itu bukan bug, file daily.cvd nya corrupt (Gampang korrupt). update’a manual aja, selain cepat gak bikin corrupt.

  23. prayitno
    November 3rd, 2011 at 22:37 | #23

    @Ruzhella & @CyberElite : itu bukan bug dan itu juga bukan korup, daily.cvd or update dari PCMAV+ClamAV sukses terdownload. Setau ane kompatibelitasnya cenderung lebih bagus ke versi engine ClamAV ver. 0.95.3 dan lagi source yg dianjurin juga bukan yg ada di sourceforge.net tapi yg ada di oss.netfarm.it

  24. prayitno
    November 4th, 2011 at 13:19 | #24

    Untuk tim PCMAV semoga penggabungan (Fusion) antara PCMAV+CLAMAV dapat terus berlanjut (dengan catatan database clamav memang benar-benar berfungsi baik)

  25. Ruzhella
    November 4th, 2011 at 13:35 | #25

    @prayitno
    Berarti PCMAV selama ini ga ngikutin perkembangan ClamAV donk…? (masa masih pake ClamAV ver. 0.95.3 terus…). Akhirnya terserah dari masing2 kita aja dech, yang penting jadikan segala perbedaan pendapat ini hanya untuk membangun bukan untuk saling menjatuhkan. OK

  26. CyberElite
    November 7th, 2011 at 13:05 | #26

    @Ruzhella

    Tunggu sampai Bug PCMAV sudah banyak ditambal. Klo sudah, mungkin team PCAMV Akan mendukung Library Clamav 0.97.1

  27. rahman
    November 9th, 2011 at 05:51 | #27

    @CyberElite
    benar tuh apa yg dikatakan CyberElite, skrg menunggu dulu bug2 pcmav diperbaiki Tim PCMAV baru deh ke permasalahan lainnya sperti masalah library Clamav. artinya step by step Biar Performa PCMAV makin OK. skrg tgl menuggu waktu PCMAV 6.1 di keluarkan, disini akan di lihat kerja keras pengembang Antivirus Kebanggaan Indonesia ini.