Home > Analisa Virus > VB-Spy.P: Kembalinya Malware Lokal

VB-Spy.P: Kembalinya Malware Lokal

Worm yang bersifat keylogger ini diperkirakan merupakan malware lokal. Dibuat dengan menggunakan Visual Basic 6 dan bericon bertuliskan PB, malware ini membuat beberapa file dengan atribut hidden yaitu

- C:\windows\spoolsv.exe
- C:\windows\svchost.exe
- C:\windows\system32\explorer.exe
- C:\Documents and Settings\Administrator\Local Settings\Application Data\mrsys.exe

Untuk dapat aktif di setiap startup, berikut registry yang dibuat oleh malware

HKEY_LOCAL_MACHINE\software\microsoft\Active Setup\Installed Components\{F146C9B1-VMVQ-A9RC-NUFL-D0BA00B4E999}
StubPath=C:\Documents and Settings\Administrator\Local Settings\Application Data\mrsys.exe MR

HKEY_LOCAL_MACHINE\software\microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}
StubPath=C:\Documents and Settings\Administrator\Local Settings\Application Data\mrsys.exe MR

HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\RunOnce
Explorer=c:\windows\system32\explorer.exe RO

HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\RunOnce
Svchost=c:\windows\svchost.exe RO

HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Winlogon
shell=C:\windows\explorer.exe, c:\windows\system32\explorer.exe

Registry konfigurasi sistem yang diubah yaitu

HKEY_LOCAL_MACHINE\system\CurrentControlSet\Services\SharedAccess
Start=00000004

HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
ShowSuperHidden=00000000

HKEY_CURRENT_USER\software\VB and VBA Program Settings\Explorer\Process
LO=31000000

Malware menggunakan perintah berikut agar malware berjalan secara interactive

at 09:22 /interactive /every:M,T,W,Th,F,S,Su c:\windows\svchost.exe, null

PCMAV 10.0.9 dengan Update Build 2 dapat mendeteksi VB-Spy.P dan malware lainnya yang aktif menyebar di Indonesia termasuk adware.

Download: https://www.sendspace.com/file/cpaom0

Categories: Analisa Virus Tags:
  1. PC Ranger
    October 5th, 2015 at 00:29 | #1

    Sudah didownload dan diupdate.