Home > Analisa Virus, Antivirus, Pengumuman > Malingsi.AF: Masih Menyerukan Peperangan

Malingsi.AF: Masih Menyerukan Peperangan

Malingsi.AF. Worm yang satu ini sudah cukup lama tidak terdengar lagi keberadaannya. Disaat malware lokal seakan menghilang dan tidak terdengar lagi eksistensinya, kami mendapat varian Malingsi yang lagi-lagi dengan penambahan fungsi tertentu namun tetap dengan metode dan hasil infeksi yang sama seperti varian sebelumnya.

A. Info File
Nama Malware : Malingsi.AF
Asal : Indonesia
Ukuran File : 688 KB (705,302 bytes)
Packer : PE Compact ver.2.78a ~ 3.0.3.9
Pemrograman : Microsoft Visual Basic 6.0
Icon : MS Word 2003
Tipe : Worm, Trojan, IRC Bot

B. About Malware
Setelah di Unpack, ukuran file asli worm yang satu ini adalah 698 KB (714,752 bytes). Beberapa resource yang tersedia jika mencari informasi mengenai malware ini mengatakan bahwa Malingsi.AF ini adalah malware yang sudah ditemukan sejak tahun 2010. Dengan demikian jelas bawah memang varian worm Malingsi.AF ini hanyalah hasil modifikasi dari varian sebelumnya.

Berikut ini adalah string yang cukup menggambarkan varian Malingsi.AF

0000000AE618   000000502218      0   rtcGetMonthOfYear
0000000AE62C   00000050222C      0   rtcGetPresentDate
0000000AE640   000000502240      0   rtcSetFileAttr
00000000255F   00000040255F      0   1(.25
0000000036C0   0000004036C0      0   -|-|-|--|-|-|--|-|-|- 31 Mei 1964 !!! Ganyang Malingsia !!! -|-|-|--|-|-|--|-|-|-
000000003D84   000000403D84      0   SpecialFolders
000000004E48   000000404E48      0   GetFolder
000000004E5C   000000404E5C      0   Files
000000004E74   000000404E74      0   GetFile
000000004E84   000000404E84      0   GetExtensionName

Sedangkan berbeda dengan pendahulunya yaitu Malingsi.A yang didalam tubuhnya terdapat string yang menunjukan semangat virus maker asal Indonesia.

0000000AEFB4   00000050F1B4      0   rtcRightCharBstr
0000000AEFC7   00000050F1C7      0   rtcSetFileAttr
0000000020B3   0000004020B3      0   1(.25
000000002D68   000000402D68      0   (W32.IRC.Bot.Malingsia.A.1) Sebagai pembalasan untuk IRC Bot Malay... rasakan kekuatan IRC Bot Worm sebenarnya... hidup Vx3r Indonesia
000000002ED0   000000402ED0      0   getfile

C. Companion/File yang dibuat
Sama seperti varian sebelumnya, Malingsi.AF membuat folder pada path:

C:\Program Files\Microsoft Office\OFFICE11\

Dan didalamnya terdapat companion seperti:

D. Hasil Infeksi
Selain membuat hidden terhadap file dokumen MS Word yang terdapat pada removable disk, worm Malingsi.AF juga melakukan beberapa payload seperti:

• Ping
Melakukan proses Ping terhadap beberapa website seperti:
ping www.pute**.*** -t -l 3000
ping www.touris*.***.** -t -l 3000
ping www.mit*.***.** -t -l 3000

• Modifikasi Registry
Sebagai pertahanan utamanya, Malingsi.AF melakukan injeksi baik itu menambahkan value key atau menghapus entry tertentu pada registry. Berikut ini adalah list beberapa entry pada registry yang dimodifikasi oleh worm Malingsi.AF

[Add Value]
- HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
  * Explorer.exe, C:\Program Files\Microsoft Office\OFFICE11\services.exe
- HKEY_CLASSES_ROOT\exefile\NeverShowExt

[Add DWord]
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\UncheckedValue
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA

[Create Key]
- HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
  * Acha.exe
  * Acha.exe
  * AmyMastura.exe
  * BabyRina.exe
  * cscript.exe
  * csrsz.exe
  * lsasc.exe
  * registry.exe
  * SMSSS.exe
  * wscript.exe

[Del Key]
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\AlternateShell
- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\
  * AppMgmt
  * CryptSvc
  * DcomLaunch
  * dmadmin
  * dmserver
  * EventLog
  * HelpSvc
  * Netlogon
  * PlugPlay
  * RpcSs
  * SRService
  * WinMgmt
  * dmboot.sys
  * dmio.sys
  * dmload.sys
  * sermouse.sys
  * vga.sys
  * vgasave.sys
  * Base
  * Filter
  * Boot Bus Extender
  * Boot file system
  * File system
  * PCI Configuration
  * PNP Filter
  * Primary disk
  * SCSI Class
  * System Bus Extender
  * {4D36E965-E325-11CE-BFC1-08002BE10318}
  * {4D36E967-E325-11CE-BFC1-08002BE10318}
  * {4D36E969-E325-11CE-BFC1-08002BE10318}
  * {4D36E96A-E325-11CE-BFC1-08002BE10318}
  * {4D36E96B-E325-11CE-BFC1-08002BE10318}
  * {4D36E96F-E325-11CE-BFC1-08002BE10318}
  * {4D36E977-E325-11CE-BFC1-08002BE10318}
  * {4D36E97B-E325-11CE-BFC1-08002BE10318}
  * {4D36E97D-E325-11CE-BFC1-08002BE10318}
  * {4D36E980-E325-11CE-BFC1-08002BE10318}
  * sr.sys
  * {36FC9E60-C465-11CF-8056-444553540000}
  * {71A27CDD-812A-11D0-BEC7-08002BE2092F}
  * {745A17A0-74D3-11D0-B6FE-00A0C90F57DA}

- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\
  * AppMgmt
  * CryptSvc
  * DcomLaunch
  * dmadmin
  * dmserver
  * EventLog
  * HelpSvc
  * Netlogon
  * PlugPlay
  * RpcSs
  * SRService
  * WinMgmt
  * AFD
  * Browser
  * Dhcp
  * DnsCache
  * LanmanServer
  * LanmanWorkstation
  * LmHosts
  * Messenger
  * Ndisuio
  * NetBIOS
  * NetBT
  * NetMan
  * NtLmSsp
  * rdsessmgr
  * SharedAccess
  * Tcpip
  * termservice
  * WZCSVC
  * dmboot.sys
  * dmio.sys
  * dmload.sys
  * sermouse.sys
  * vga.sys
  * vgasave.sys
  * ip6fw.sys
  * ipnat.sys
  * rdpcdd.sys
  * rdpdd.sys
  * rdpwd.sys
  * tdpipe.sys
  * tdtcp.sys
  * Base
  * Boot Bus Extender
  * Boot file system
  * File system
  * Filter
  * PCI Configuration
  * PNP Filter
  * Primary disk
  * SCSI Class
  * System Bus Extender
  * NDIS
  * NDIS Wrapper
  * NetBIOSGroup
  * NetDDEGroup
  * Network
  * NetworkProvider
  * PNP_TDI
  * Streams Drivers
  * TDI
  * {4D36E965-E325-11CE-BFC1-08002BE10318}
  * {4D36E967-E325-11CE-BFC1-08002BE10318}
  * {4D36E969-E325-11CE-BFC1-08002BE10318}
  * {4D36E96A-E325-11CE-BFC1-08002BE10318}
  * {4D36E96B-E325-11CE-BFC1-08002BE10318}
  * {4D36E96F-E325-11CE-BFC1-08002BE10318}
  * {4D36E977-E325-11CE-BFC1-08002BE10318}
  * {4D36E97B-E325-11CE-BFC1-08002BE10318}
  * {4D36E97D-E325-11CE-BFC1-08002BE10318}
  * {4D36E980-E325-11CE-BFC1-08002BE10318}
  * {4D36E972-E325-11CE-BFC1-08002BE10318}
  * {4D36E973-E325-11CE-BFC1-08002BE10318}
  * {4D36E974-E325-11CE-BFC1-08002BE10318}
  * {4D36E975-E325-11CE-BFC1-08002BE10318}
  * sr.sys
  * {36FC9E60-C465-11CF-8056-444553540000}
  * {71A27CDD-812A-11D0-BEC7-08002BE2092F}
  * {745A17A0-74D3-11D0-B6FE-00A0C90F57DA}

E. Pembersihan

PCMAV 7.1 Update Build1

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 7.1 Update Build1 telah hadir dengan penambahan 38 pengenal varian virus baru. Bagi Anda pengguna PCMAV 7.1, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada menu Setup – Updater. Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik tombol “Check for Updates” pada menu Update.

Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:

SendSpace.com

ZippyShare.com (mirror)

RapidShare.com (mirror)

Letakkan file hasil download tersebut (vx1.sig) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah vx1.sig, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 7.1 Update Build1:

AdultDial
Autoit-ReplaceIcon.AC
Autoit.GG
Autoit.GH
Autoit.GI
Autoit.GJ
Autoit.GJ.tmp
Autoit.GK
Autoit.GL
CoinMiner.C
CoinMiner.D
Discusx.vbs.C
Diskrun
Diskrun.inf
EditVirus
EditVirus.bat
EditVirus.exe
ErrorReport.J
ErrorReport.K
FakeDownloader.FH
Malingsi.AF
NgrBot.BN
NgrBot.BN.exe
NgrBot.BO
NgrBot.BO.exe
PutriEor.vbs.C
RecyBot.A
RecyBot.A.exe.A
RecyBot.A.exe.B
RecyBot.A.inf
RecyBot.A.tmp
RecyBot.B
RecyBot.B.inf
Sandy.B.lnk
Sandy.C
SlenfBot.E
SlenfBot.F
SlenfBot.G

Categories: Analisa Virus, Antivirus, Pengumuman Tags:
  1. May 10th, 2012 at 19:06 | #1

    Mudah-mudahan False Postif dan Malware yang terdeteksi Semakin Berkurang. 🙂

  2. May 10th, 2012 at 21:58 | #2

    PCMAV 7 nggak stabil

  3. May 10th, 2012 at 22:10 | #3

    @LeVeL
    Karena merupakan Codingan baru, tunggu versi2 Selanjutnya. 🙂

  4. Bonar
    May 11th, 2012 at 05:11 | #4

    saya hanya menunggu perbaikan yg signifikan dari PCMAV Predator, masalah kecepatan scanning dan memberatkan system masih menjadi soal utama AV PC Media. ayo bultikan diversi 7.2

  5. anak juragan tape
    May 11th, 2012 at 06:13 | #5

    PCMAV 7.1 kebanyakan loading ngk jelas yg akibatkan not responding, selalu tertahan di PCMAV 6.5. padahal sdh menuggu perbaikan dari versi 7.0 tapi melihat PCMAV 7.1 malah sama aja.

  6. GR39O
    May 11th, 2012 at 23:15 | #6

    pada screenshot Pembersihan di atas, knapa Untreated : -1 ??

  7. yasin
    May 12th, 2012 at 07:04 | #7

    Wey bro, Tim PC Media tolong benahi secepatnya virus2 yang lolos dari pendeteksian PCMAV 7.1.

  8. Rudi
    May 12th, 2012 at 09:05 | #8

    predator 7.1….auto update nya g jalan…..mskipun wktu loading dah terkoneksi dgn internet

  9. GR39O
    May 12th, 2012 at 17:15 | #9

    sepertinya PCMAV 7.1 false detect terhadap bbrapa file exe utk uninstall..

  10. Indra
    May 12th, 2012 at 17:21 | #10

    @GR39O

    Sudah saya laporkan ke Pihak PCMAV dan mudah2an cepat diproses…

  11. May 13th, 2012 at 04:03 | #11

    @Indra
    maksudnya codingan baru? anda dapat info dr mana?jgn asal bicara..

  12. Indra
    May 13th, 2012 at 07:16 | #12

    @ViperGM
    Klo Newbie jangan nuduh orang asal bicara. Saya gak asal bicara Lho, Bisa cek Infonya di Forum.

  13. STIKUS_110984
    May 13th, 2012 at 08:57 | #13

    @Indra : Bener itu… Digetok aja mendingan…

  14. GR39O
    May 13th, 2012 at 22:34 | #14

    @Indra
    oh ya, trims infonya.. smoga ke depannya PCMAV makin sempurna sesuai harapan kita..

  15. firazz
    May 14th, 2012 at 06:06 | #15

    hahahaha PCMAV 7.1 aneh masa virus ramnit yang dulunya mampu dibasmi nah sekarang sdh ngk kedetect.

  16. prayitno
    May 14th, 2012 at 15:16 | #16

    @firazz : ah.. ah.. ah.. lw khan bisa pake PCMAV Express….. 😛 😛 😛

  17. May 15th, 2012 at 08:34 | #17

    database di atas itu hanya database untuk Malingsil.AF saja ?

  18. azmhy
    May 15th, 2012 at 08:57 | #18

    pcmav predator 7.1 LALOD BOANGET…. nge scan filenya pun lemot

  19. Aldi
    May 15th, 2012 at 20:18 | #19

    saya kenal sekali virus ini, karena virus ini milik para hacker indonesia (yogyacarderlink & c0d3_c0r3)….. saya pun sudah merasakan virus ini dan alhasil pcmav 7 predator ini blom bisa mengalahkan virus ini alias blom kedetek sama skali………..

    plizzz perbaikiii predator 7nya

  20. May 16th, 2012 at 12:01 | #20

    @Indra
    sy newbie? hahaha.. coba lihat blog saya ,apa sy masih dibilang newbie? justru anda yg jgn asal nuduh!

    @Aldi
    sebaiknya hati2 jgn asal nuduh ,bisa2 anda dituntut lho. pcmav terbaru sudah bisa mengatasi virus ini. jgn2 anda pakai pcmav palsu ya?

  21. Indra
    May 16th, 2012 at 12:06 | #21

    @ViperGM
    Newbie tentang mas, bukan Newbie segala hal. Klo gk tau tentang PCMAV, Mending tanya aja daripada malu-maluin. Atau klo malu tanya, silahkan cari-cari infonya di Blog atau Forum.
    Klo yang tau PCMAV, PCMAV Predator ini Codingan terbaru.

  22. Indra
    May 16th, 2012 at 12:44 | #22

    maaf, maksudnya newbie tentang pcmav. tadi ada yg salah ketik.

  23. hari
    May 17th, 2012 at 05:40 | #23

    ViperGM alias b_agoy alias Yoga; emang memalukan ya dibilang newbie ? 😀
    Makanya kalo mau kasi komentar atas sesuatu itu belajar dulu, baca dulu.
    Jangan karena merasa punya banyak bintang jadi merasa berhak “memperingatkan anda agar menjaga sikap” 😀

  24. richie
    May 17th, 2012 at 12:08 | #24

    Thanks PCMAV, semoga semakin ke depan semakin baek kinerjanya 🙂
    Saya pengguna pcmav dari tahun 2004.
    sempat mengawinkan pcmav dgn bbrp AV luar, akhirnya skrg saya memakai MSE & PCMAV Predator 7.1 buat kompie saya.
    sebagai orang awam menurut saya PCMAV memuaskan.

    Salam

  25. PC Ranger
    May 17th, 2012 at 14:50 | #25

    Entah kenapa, hati ane berdebar-debar menunggu rilis PCMAV 7.2 awal bulan juni ini. Firasat ane mengatakan kalo akan ada sesuatu yang spesial yang akan diberikan tim PCMAV kepada user-user setianya……..

  26. prayitno
    May 18th, 2012 at 04:04 | #26

    di tiap edisi PC-Media ane berharap….. ada distro live Linuxnya or paling ng’gak PCMAV Predator bisa jalan di modus DOS Mode, soalnya percuma juga kasih bootable DVD kalo ng’gak dimanfa’atin buat ilangin virus atau hal berguna yg lainnya 🙂 🙂 🙂
    (…ngarep.com Linux Live Ultimate Edition yg baru…)

  27. May 18th, 2012 at 16:14 | #27

    @prayitno
    Distro Linux sepertinya jarang om, karena PC MEDIA lebih ke Windows 🙂

    Majalah tetangga sebelah ada yg khusus Linux tuh *huehue

  28. prayitno
    May 20th, 2012 at 20:31 | #28

    @T.A.Z : maksud ente Info Linux bro… hehehe… itu mah bukan tetangge, tapi saudare PC-Media. Bukan ape-ape ane kenal PC-Media juga gare-gare langganan Info Linux doeloe 🙂 🙂 🙂

  29. prayitno
    May 20th, 2012 at 20:38 | #29

    sedikit info aje, kemaren-maren ane punya versi UE 3.2 64bit trus dibootable ke flashdisk… nah pas udah jalan/loading full ane coba jalanin game Plant vs Zombi yg ada, and bisa jalan ternyata di Linux bro…