Home > Analisa Virus, Antivirus, Pengumuman > PCMAV Express for Mow

PCMAV Express for Mow

Pembuatan removal virus ini tidak terlepas dari kontribusi user yang mengirimkan sampel malware kepada kami baik itu melalui email atau upload.virusindonesia.com. Beberapa laporan juga kami dapatkan melalui forum mengenai malware yang menyebar di beberapa daerah di Indonesia. Setelah cukup lama virus maker lokal tertidur, kini hadir malware tipe Virus yang akan mengingatkan kita pada teror virus yang menginfeksi file dokumen seperti KSpoold, Nebula, dll.

A. Info File
Nama Malware : Mow
Asal : Jakarta, Indonesia
Ukuran File : 103 KB (105,472 bytes)
Packer : UPX -> Markus & Laszlo ver. [ 3.03 ]
Pemrograman : Microsoft Visual Basic 6.0
Icon : Doc File (Ms. Word 2007)
Tipe : Virus

B. About Malware
Sampel virus mow pertama kali kami dapatkan dari user yang IPnya berasal dari Jakarta. Menurut informasi dari forum, virus ini juga menyebar di beberapa daerah seperti Bandung dan Medan Sumatra Utara. Virus Mow dapat menginfeksi dokumen Microsoft Word. Teknik infeksinya adalah menge-encode file dokumen menggunakan metode Huffman, kemudian menyisipkan file hasil encodenya kebagian bawah (section terakhir) file virus.

000000006410   000011006410      0   Incorrect Format:
0000000064E4   0000110064E4      0   HuffmanDecode()
000000006508   000011006508      0   The data either was not compressed with HE3 or is corrupt (identification string not found)

Namanya di ambil dari original name dan nama project Vb-nya.

000000037774   000011037774      0   __vbaVarTstGt
000000037784   000011037784      0   __vbaVarSub
00000000300D   00001100300D      0   *\AF:\VB\Other\CHOR\mow\MOW.vbp
000000003D08   000011003D08      0   SeBackupPrivilege
000000003D30   000011003D30      0   SeRestorePrivilege

C. Companion/File yang dibuat
Virus ini membuat beberapa companion setelah aktif di memory. Namun secara keseluruhan, sebenarnya virus Mow hanya membuat 1 buah file dengan nama yang sama seperti dokumen yang di infeksi dan disimpan pada folder system32 namun ekstensinya berbeda, yaitu (.enc).

Jika dilihat struktur filenya, file enc tersebut adalah hasil kompres menggunakan metode Huffman.

00000000   43 48 31 0D FE 00 72 00  00 00 01 00 01 01 07 02   CH1.þ.r.........
00000016   07 03 07 04 07 05 08 06  08 07 09 08 07 09 08 0A   ................
00000032   08 0B 09 0C 09 0D 08 0E  09 0F 08 10 08 11 09 12   ................
00000048   08 13 08 14 09 15 09 16  09 17 09 18 09 19 09 1A   ................
00000064   0A 1B 09 1C 09 1D 0A 1E  09 1F 0B 20 06 21 0A 22   ........... .!."
00000080   09 23 0A 24 0A 25 0A 26  0A 27 0A 28 09 29 09 2A   .#.$.%.&.'.(.).*
00000096   0A 2B 0A 2C 0A 2D 08 2E  08 2F 09 30 09 31 08 32   .+.,.-.../.0.1.2
00000112   09 33 09 34 09 35 0A 36  0A 37 0A 38 0A 39 0A 3A   .3.4.5.6.7.8.9.:
00000128   0A 3B 0B 3C 0B 3D 09 3E  0A 3F 0A 40 09 41 09 42   .;.<.=.>.?.@.A.B
00000144   0A 43 0A 44 09 45 0A 46  0B 47 0A 48 09 49 0A 4A   .C.D.E.F.G.H.I.J
00000160   08 4B 0A 4C 0A 4D 09 4E  0A 4F 09 50 08 51 0A 52   .K.L.M.N.O.P.Q.R
00000176   09 53 09 54 0A 55 0A 56  0A 57 0A 58 0A 59 0A 5A   .S.T.U.V.W.X.Y.Z
00000192   0B 5B 0A 5C 0A 5D 0A 5E  09 5F 09 60 09 61 07 62   .[.\.].^._.`.a.b
00000208   09 63 08 64 09 65 07 66  09 67 09 68 08 69 08 6A   .c.d.e.f.g.h.i.j
00000224   0A 6B 09 6C 08 6D 08 6E  07 6F 07 70 09 71 0A 72   .k.l.m.n.o.p.q.r
00000240   07 73 09 74 07 75 09 76  0A 77 09 78 09 79 09 7A   .s.t.u.v.w.x.y.z
00000256   0B 7B 0B 7C 0A 7D 0A 7E  0B 7F 0A 80 09 81 0A 82   .{.|.}.~..€..‚
00000272   0A 83 0A 84 08 85 0A 86  0B 87 09 88 09 89 0A 8A   .ƒ.„.….†.‡.ˆ.‰.Š
00000288   0A 8B 0A 8C 0C 8D 0B 8E  0C 8F 0A 90 08 91 0A 92   .‹.Œ..Ž...‘.’

D. Hasil Infeksi
Yang paling terlihat jelas adalah pada perubahan ekstensi file dokumen yang seharusnya adalah doc atau docx menjadi file exe. Karena memang sebenarnya virus Mow menginfeksi file dokumen MS Word yang berekstensi (.doc) dan (.docx).

Virus mow juga menambahkan beberapa entry pada registy.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ctfmoon.exe
•	C:\WINDOWS\system32\Com\ctfmoon.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AUTOWORD
•	C:\WINDOWS\system32\WINWORD.EXE

E. Pembersihan

Link Download: http://www.sendspace.com/file/yu1850

Categories: Analisa Virus, Antivirus, Pengumuman Tags:
  1. rahman
    July 9th, 2012 at 18:29 | #1

    Akhirnya PCMAV express for Mow keluar juga, Tks Tim PCMAV

  2. rahman
    July 9th, 2012 at 18:31 | #2

    Link Downloadnya belum ada nih Mas Admin>>>

  3. zero
    July 9th, 2012 at 19:00 | #3

    linknya mana ya?

  4. Preketek
    July 9th, 2012 at 19:25 | #4

    Link nya tidak ada tuh..
    wah..
    pasti gara2 terlalu sibuk sampai lupa gak ngasih link..

    semangat PCMAV

  5. Indra
    July 9th, 2012 at 21:02 | #5

    Team PCMAV sibuk, Merilis PCMAV Express dan Revisi 8.0 secara bersamaan.

  6. Preketek
    July 10th, 2012 at 04:54 | #6

    Terima Kasih karena sudah memberikan yang terbaik

  7. July 20th, 2012 at 19:59 | #7

    Om, yang Express untuk Sality dan Ramnit tolong di-update juga yaa.. 😀

  8. Abe Shina
    August 1st, 2012 at 21:07 | #8

    Hanya mencoba membersihkan sejumput file terinfeksi sebagai testdrive software ini, tetapi aku dipaksa melakukan scanning ke seluruh isi harddisk krn tidak tersedia option target folder!!! Bayangkan gimana stressnya daku!!?!!? Dan yang paling bikin stress, file terinfeksi yg kusiapkan dilewati seakan2 tidak ada apa2 nya!!!!!!!?!?!?!? Semoga para programmer express ini sadar bahwa programmnya cuma namanya yang express, tapi lakunya mirip siput buta??

  9. Indra
    August 1st, 2012 at 23:48 | #9

    @Abe Shina
    udah coba revisi terbaru belum, yang ada di forum?

  10. sincan
    August 2nd, 2012 at 08:34 | #10

    @Abe Shina testdrivenya ribet amat 🙂 kan tinggal taruh di folder yang cepat terbaca oleh express, klo dilewatin ya brarti ga kedetek, kenapa pake scanning seluruh isi hd 🙂 )