Analisa win32.trojan-gen....!

Build in : Visual Basic
size : 60,0 KB (61.440 bytes) tanpa di pack
version : 1.0.0.1
internal name : wizardry
product name : WIZARDRY [hacktivist]

virus ini mempunyai 2 timer,

Quote:fungsi timer 1 untuk melakukan pengecekan ke network / folder yg tershare.

Quote:fungsi timer 2 untuk biasalah mengopy dirinya sendiri dengan nama lain ke berbagai directory.

SAAT PERTAMA KALI VIRUS INI AKTIF, DIA AKAN MEMBUAT SATU FILE BERXTENSION .EXE BERNAMA WIN 68 di directory D:

memanggil fungsi fungsi api sbb
Quote:Private Declare Sub RegisterServiceProcess Lib �kernel32
-> fungsinya untuk meregister service atau file virus tersebut agar tetap aktif walau computer sudah LogOff

Private Declare Function GetCurrentProcess Lib �kernel32? Alias �GetCurrentProcess�
-> fungsinya untuk mematikan process yang ada di list virus tersebut.

Private Declare Function GetCurrentProcessId Lib �kernel32? Alias �GetCurrentProcessId
-> fungsinya untuk menyembunyikan process dari aplikasi taskmanager atau Ctrl + Shift + Del List

yang jelas program ini juga mengkill software berdasarkan nama process dan caption.
alamat pembuat mungkin di http://www.marxist.com, http://www.communism.com, http://www.newyouth.com

file project asal dr pc si pembuat (^^)
c:\mitnick\warez\dir\WIZARDRY\wizardry.vbp

ne checksum virus tersebut:
Quote:SHA1 : C88B8FB6A3F89C5923496394D80093BFO774C57B
crc32 : 59ba5439
MD4 : 0D67A5230EE0069E325F79B777B99456
MD5 : 6B97BE307DEC17751E37CF2B8579DD4B

namanya::
Trojan.win32.wiza(PCTools)
Trojan Horse(symantec)
W32/Alcop.aq@mm(McAfee)

kategory virus ini menurut aku
LOW
karna tidak membuat autorun di registry maupun startup,
gak ada yg di disable
namun mengopy dirinya dgn nama-nama brikut dan di direktori berikut
Quote:C:\windows\3dtext~1.scr
c:\win 67.exe
c:\windows\system\3dtext~1.scr
c:\windows\911.scr
c:\windows\system\911.scr
c:\windows\3dflyi~1.scr
c:\windows\system\3dflyi~.scr
Semoga bermanfaat...

Komentar →
Comments
0 Comments

0 comments:

Posting Komentar

komentar anda sangat penting utk kemajuan blog ini.trimakasih utk kunjungannya...

◄ Posting Baru Posting Lama ►
 

tourist n stats

W3 Directory - the World Wide Web Directory My Ping in TotalPing.com
Google PageRank Checker Powered by  MyPagerank.Net

guest room

Copyright © 2012. CYBER MANADO - All Rights Reserved B-Seo Versi 3 by Bamz