• Cloud TAG

VIRUS BARU C: SABOTAGE


Sabotage.C: It’s Not About How Fast

Sabotage.C

 

 

 

 

 

Sabotage.C. Sudah menjadi ciri khas worm / virus lokal dalam setiap aksinya meninggalkan jejak atau tanda akan kedatangannya. Sama seperti varian Sabotage sebelumnya yang pernah di bahas di http://virusindonesia.com/2009/03/31/sabotageb-pcmav-20-update-build4, kali ini Sabotage.C hadir dengan sedikit sentuhan baru.

 

Nama : Sabotage.C
Asal : Indonesia
Ukuran File : 88.5 KB
Packer : UPX 0.89
Pemrograman : Borland Delphi
Icon : WinRar SFX
Tipe : Worm

Varian sebelumnya, tidak menggunakan packer layaknya Sabotage.C, di tambah lagi kemampuan barunya yang mungkin tidak diperhatikan user. Beberapa hal yang dilakukan oleh worm ini antara lain:

1. Menduplikasi beberapa file host worm dan companionnya ke Drive C:\

C:\WINDOWS\Tasks\Updater.job
C:\WINDOWS\desktop.ini
C:\WINDOWS\ssms.exeC:\Documents and Settings\Administrator\current\NetHood\Texas Poker Holdem Cheat .exe

2. Mengganti nama msvbvm60.dll dengan nama baru yang di acak.

Sabotage.C Rename File

3. Membuat pesan di Drive C:\ dengan nama Sabotage.txt seperti pada gambar paling atas. 

 4. Menambahkan update.sfx di folder startup yang sebenarnya adalah companion dari worm Sabotage.C.

5. Menghapus file dengan ekstensi.vbs dan bila ditemukan file dengan nama mengandung kata “vbs” akan di hapus dan digantikan oleh file Sabotage.C.

6. Menyisipkan pesan di setiap file dengan ekstensi.html yang terdapat di dalam flash disk. Worm Sabotage.C bisa dikatakan sebagai virus karena melakukan penyisipan terhadap file dengan ekstensi.html pada bagian bawah file. Sabotage.C menyisipkan pesan “It’s not about how fast… But, it’s about how smooth…“.

Sabotage.C Menyisip File HTML


7. Membuat autorun.inf di flash disk yang disamarkan dengan karakter acak di awal coding. 

Sabotage.C - Isi Autorun.inf

8. Membuat file di flash disk dengan nama seperti Facebook Password Cracker.exe, Pencuri Login.exe.

9. Mendisable dan secara otomatis menghapus file yang di jalankan oleh user jika menggunakan nama-nama di bawah ini.

1)123456.exe
2)360rpt.exe
3)360safe.exe
4)360tray.exe
5)ansav32.exe
6)ansav-beta.exe
7)ansav-beta-setup.exe
8)ansavd.exe
9)ansavgd.exe
10)antv.exe
11)antv-md5-pattern.exe
12)ashSimpl.exe
13)autoruns.exe
14)avcenter.exe
15)avgamsvr.exe
16)avgas.exe
17)avgcc.exe
18)avgcc32.exe
19)avgcfgex.exe
20)avgcmgr.exe
21)avgcrl.exe
22)avgcsrvx.exe
23)avgemc.exe
24)avgfrw.exe
25)avginet.exe
26)avgiproxy.exe
27)avgnsx.exe
28)avgnt.exe
29)avgrssvc.exe
30)avgrsx.exe
31)avgscanx.exe
32)avgserv.exe
33)avgsrmax.exe
34)avgtray.exe
35)avguard.exe
36)avgui.exe
37)avgupd.exe
38)avgupsvc.exe
39)avgw.exe
40)avid.exe
41)avscan.exe
42)boot.exe
43)ccApp.exe
44)cclaw.exe
45)clamwinportable.exe
46)FixRegistry.exe
47)HijackThis.exe
48)IceSword.exe
49)killbox.exe
50)mcafeeframework.exe
51)mcshield.exe
52)morphost.exe
53)nip.exe
54)nipsvc.exe
55)niu.exe
56)njeeves.exe
57)nod32krn.exe
58)nvccf.exe
59)nvcoas.exe
60)nvcode.exe
61)nvcsched.exe
62)PCMAV.exe
63)PCMAV-CLN.exe
64)PCMAV-RTP.exe
65)procexp.exe
66)regalyzer.exe
67)smadav.exe
68)The Killer Machine.exe
69)tkm.exe
70)tkm4.exe
71)Ultimate Washer.exe
72)uw2rc2.exe
73)wintoolspro.exe
74)X-RayPC.exe
75)Zanda.exe
76)zlh.exe

10. List nama file di bawah ini adalah beberapa nama file yang jika di jalankan justru akan memanggil Run32DLL.exe dan bukan program sebenarnya.

1)cscript.exe
2)firefox.exe
3)mmc.exe
4)msconfig.exe
5)msiexec.exe
6)opera.exe
7)regedit.exe
8)regedt32.exe
9)rstrui.exe
10)tasklist.exe
11)taskmgr.exe
12)WinRAR.exe
13)wscript.exe

11. Melakukan Logoff jika user menjalankan file dengan tipe inf, reg, dan batfile.

12. Membuat startup pada registry “HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WinSystem”,”C:\WINDOWS\ssms.exe”.

13. Mendisable user masuk ke folder C:\Windows.

Sabotage.C - Message Box

14. Men-DisallowRun file dengan nama WhatEver_1.exe sampai WhatEver_15.exe.

15. Merubah nilai pada registry : HKLM\SOFTWARE\Microsoft\Security Center\

AntivirusDisableNotify
AntivirusOverride
FirewallDisableNotify
FirewallOverride
UacDisableNotify
UpdatesDisableNotify

16. Tidak menampilkan ekstensi file Sfx dan Exe.

17. Mendisable fungsi windows seperti:

Folder Options
Installer MSI
System Restore
Registry
TaskManager
MSConfig
Command Prompt
Hidden File
Flash Disk

Sabotage.C - Disable Command Prompt

19. Menjalankan host Sabotage.C meskipun dalam keadaam Safe Mode.

20. Membuat Folder Δ Smad-Lock (Brankas Smadav) Δ di flash disk. Folder serupa adalah folder yang juga dibuat oleh salah satu antivirus lokal dan berfungsi untuk melindungi file dari infeksi virus serta bermaksud mencegah virus masuk ke folder tersebut.  Tetapi dalam kasus ini justru dipergunakan worm Sabotage.C untuk meletakkan file SABOTAGE.txt.

 

MAKANYA GUNAKAN PCMAV …. di jamin ke clean langsung .. !!!

2 Tanggapan

  1. waw😀
    ni malware buatan lokal yg membanggakan ,serem amet ga bisa masuk folder Windows
    kok gx di kasih link PCMAV nya Gan😦
    ane jadi agak kecewa

    • yoyoi …
      serem banget nih Malware😦

      tapi ane ga bisa ngasih Link nya Gan \
      klo mw punya PCMAV 4 ,ya harus beli majalah PC-media
      atau koran PC-Mild …
      sory Gan ….😀

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s