Jangan Komentar...!!! Tapi Baca Dulu Baru Komentar Thank's Jika Mo Kasih Saran & Kritikan



Aldey. Setelah banyaknya serangan malware tipe worm yang berasal bukan dari Indonesia seperti Ramnit, VB-Shortcut, dan baru-baru ini adalah NgrBot, rupanya tidak membuat virus maker lokal berhenti membuat malware baru. Aldey adalah malware tipe worm yang kami dapatkan dari user yang berasal dari Bogor, Jawa Barat. Setelah dilihat lebih jauh mengenai worm ini, rupanya worm Aldey hanyalah modifikasi worm Arik seperti yang terlihat pada gambar di atas.


A. Info File

Nama Worm : Aldey
Asal :  Indonesia
Ukuran File : 164 KB (167,936 bytes)
Packer : -
Pemrograman : Ms. Visual Basic 6.0
Icon : Folder Windows Vista
Tipe : Worm

B. About Malware

icon worm Aldey

Worm Aldey memiliki nama yang di ambil dari company name-nya yaitu adalah “Aldey Productions”. Sebelum ini sudah banyak malware yang dibuat dengan hanya memodifikasi source code sebelumnya. Sebut saya malware tipe VBS yang dibuat menggunakan pemrograman Visual Basic Script, atau worm Zhola yang juga memodifikasi worm sebelumnya. Berikut ini adalah string yang memperlihatkan bahwa Aldey adalah worm hasil modifikasi.


Berikut ini adalah lampiran sourcenya.


  1. File pos   Mem pos      ID   Text
  2. ========   =======      ==   ====
  3.      
  4. 0000004D   0040004D      0   !This program cannot be run in DOS mode.
  5. 000001B8   004001B8      0   .text
  6. 000001E0   004001E0      0   .data
  7. 00000208   00400208      0   .rsrc
  8. 00000240   00400240      0   MSVBVM60.DLL
  9. 000014CA   004014CA      0   =*\G{0Project1
  10. 000014D9   004014D9      0   000-000
  11. 00001548   00401548      0   frmVirus4rik
  12. 00001B97   00401B97      0   ~}}}}
  13. 00001BA3   00401BA3      0   RTVVjrqmjr}
  14. 00001BC7   00401BC7      0   ~}}}}
  15. 00001BCF   00401BCF      0   !/9?NGGaaq
  16. 00001BF7   00401BF7      0   ~~}}}
  17. 00001C00   00401C00      0   +388<00001C30   00401C30      0   #%8800001C60   00401C60      0   #%''CCZ[
  18. 00001C90   00401C90      0   #%'''00001CC0   00401CC0      0   #%''00001CF0   00401CF0      0   #%''<00001D20   00401D20      0   ##''00001D50   00401D50      0   "%%8D00001D81   00401D81      0   #-800001DB0   00401DB0      0   "#%89addammmr
  19. 00001DE1   00401DE1      0   $-800001E11   00401E11      0   $-8GIdnnjrr
  20. 00001E41   00401E41      0   $-8GGhnsrr}
  21. 00001E71   00401E71      0   $-9Gdhnszz
  22. 00001EA1   00401EA1      0   $-9GGggs}s
  23. 00001ED1   00401ED1      0   +-9Ghgys
  24. 00001F01   00401F01      0   $1;GVvys
  25. 00001F31   00401F31      0   +/GSiiyy
  26. 00001F61   00401F61      0   +/?Tiv
  27. 00001F90   00401F90      0    +1AV
  28. 00001FC1   00401FC1      0   ,?NYi
  29. 00001FF0   00401FF0      0    ,6RT
  30. 000020AF   004020AF      0   !.6RY
  31. 00002942   00402942      0   uwxz.4DC\JJMU
  32. 00002965   00402965      0   '*  KJJJ;t
  33. 00002987   00402987      0    99MJJBy
  34. 000029A6   004029A6      0     9KJJJ\
  35. 000029C7   004029C7      0   9#KMJJ\
  36. 000029E6   004029E6      0     =LMOO
  37. 00002A06   00402A06      0   *1=R\QQc
  38. 00002A26   00402A26      0   *00003CB8   00403CB8      0   fTJ~/)
  39. 00003E6A   00403E6A      0   w18!g/;G
  40. 00003F82   00403F82      0   p_ahQ
  41. 0000418A   0040418A      0   0n'~r6
  42. 0000561D   0040561D      0   fqiq%}
  43. 000056E9   004056E9      0   3Q@i6M
  44. 000058E5   004058E5      0   )9Ky' k
  45. 00005B43   00405B43      0   829fM
  46. 00005D77   00405D77      0   '$mrQ,$
  47. 00005DF2   00405DF2      0   OMa?Z6
  48. 00005F49   00405F49      0   93 W%X
  49. 00005FF3   00405FF3      0   EACF y
  50. 0000608C   0040608C      0   S&9vO
  51. 00006136   00406136      0   " ,(Rd
  52. 00006285   00406285      0   (A\SP
  53. 0000648D   0040648D      0   bP\ $C
  54. 000064B9   004064B9      0   (]83U
  55. 00006A8F   00406A8F      0    W!8O
  56. 00006FFE   00406FFE      0   Ly>b!
  57. 00007098   00407098      0   !!OY>
  58. 000072DF   004072DF      0   e&@>#0
  59. 00007393   00407393      0   )|h0$  E
  60. 00007923   00407923      0   GP1j5
  61. 00007E9D   00407E9D      0   >S;.z
  62. 00008005   00408005      0   fiw *%
  63. 000083E3   004083E3      0   6l}y'|k
  64. 00008621   00408621      0   K+LAJ
  65. 000086EF   004086EF      0   lW~mV
  66. 000087B0   004087B0      0   kg&~.$
  67.      
  68. File pos   Mem pos      ID   Text
  69. ========   =======      ==   ====
  70.      
  71. 00008989   00408989      0   >G&C{T
  72. 00008AD4   00408AD4      0   qD"O\
  73. 00008C3C   00408C3C      0      b% 4
  74. 00008F62   00408F62      0   jmar|
  75. 0000903F   0040903F      0   xyl8H
  76. 000091B6   004091B6      0   a\'$='N
  77. 000091F0   004091F0      0   nTh(y
  78. 00009D97   00409D97      0   V;XL'
  79. 00009E00   00409E00      0   eU }t
  80. 0000A004   0040A004      0   86/l~
  81. 0000A34A   0040A34A      0   Mh6D3
  82. 0000A5A2   0040A5A2      0   ,n,BC
  83. 0000A5BE   0040A5BE      0   U]]tWW
  84. 0000A84A   0040A84A      0   Z]T|.
  85. 0000A885   0040A885      0   m*lm;  6
  86. 0000AB05   0040AB05      0   T:r|
  87. 0000ABDB   0040ABDB      0   R)q~N
  88. 0000AD57   0040AD57      0   l6M@H&
  89. 0000B1A9   0040B1A9      0   >BZ_*
  90. 0000B3B1   0040B3B1      0   |y#lyw
  91. 0000B63C   0040B63C      0   r"JOe@
  92. 0000B895   0040B895      0   _Lj(\
  93. 0000B8D7   0040B8D7      0   +~,},C
  94. 0000B8F8   0040B8F8      0   M+Zwl
  95. 0000B980   0040B980      0   y58(W
  96. 0000BB19   0040BB19      0   Mm;?~
  97. 0000BB95   0040BB95      0   c|0%C
  98. 0000BBFE   0040BBFE      0   $}>iH
  99. 0000C059   0040C059      0   #MgR'Qj.(Vq
  100. 0000C119   0040C119      0    Lhh(QjT/SiB3Sh'5Ti
  101. 0000C1DA   0040C1DA      0   Lit%Qla-TkM3Ti>5Sf85Qd(6Rf
  102. 0000C29A   0040C29A      0   Liz$Qli,UmU2VlD5Ti:5Rf55Qd1Y
  103. 0000C35A   0040C35A      0   Li|#Qmo+Un\Fs
  104. 0000E432   0040E432      0   %Jc_(Nf/)Sl
  105. 0000E4B3   0040E4B3      0   Hc}(Nfg1QfL4Qd%5Th
  106. 0000E536   0040E536      0   %Mgr.RhY4RfE5Qd:f
  107. 0000F87B   0040F87B      0   Form1
  108. 0000F8A1   0040F8A1      0   Timer1
  109. 0000F8C1   0040F8C1      0   Image1
  110. 0000F911   0040F911      0   $(4,$&1'
  111. 0000F91B   0040F91B      0   -=-157:::#+?D?8C49:7
  112. 0000F941   0040F941      0   %77777777777777777777777777777777777777777777777777
  113. 0000F9C4   0040F9C4      0   1"AQa
  114. 0000FA49   0040FA49      0   3/SD;z
  115. 0000FA57   0040FA57      0   BR2IR
  116. 0000FA9C   0040FA9C      0   $pKG-/
  117. 0000FB20   0040FB20      0   9I)#*G
  118. 0000FBEE   0040FBEE      0   Wsn1Z
  119. 0000FE5A   0040FE5A      0   UIxnLut
  120. 0000FE92   0040FE92      0   ,h}a!E!Kj,t
  121. 00010003   00410003      0   pG|Sd
  122. 00010091   00410091      0   uhu!+_
  123. 000100EA   004100EA      0   *9N}*
  124. 0001015E   0041015E      0   b3aEo8
  125. 000101A3   004101A3      0   *]nT[
  126. 00010218   00410218      0   XbS*jZ
  127. 00010309   00410309      0   :Rytcq
  128. 00010392   00410392      0   *Kn$)
  129. 00010413   00410413      0   QjIpm-
  130. 00010421   00410421      0   \+V8J
  131.      
  132. File pos   Mem pos      ID   Text
  133. ========   =======      ==   ====
  134.      
  135. 000104A5   004104A5      0   iP'[tM
  136. 000104ED   004104ED      0   Gj[L7
  137. 0001055C   0041055C      0   H!*_H
  138. 0001056C   0041056C      0   VX&3o
  139. 000105CA   004105CA      0   w!* g
  140. 000106C6   004106C6      0   Label1
  141. 000106D1   004106D1      0   Virus 4rik
  142. 00010700   00410700      0   MS Sans Serif
  143. 00010716   00410716      0   Image2
  144. 00010766   00410766      0   $(4,$&1'
  145. 00010770   00410770      0   -=-157:::#+?D?8C49:7
  146. 00010796   00410796      0   %77777777777777777777777777777777777777777777777777
  147. 00010828   00410828      0   #$3Rb
  148. 00010833   00410833      0   %45CS
  149. 00010930   00410930      0   \eAi'
  150. 000109B7   004109B7      0   khjJR
  151. 00010A25   00410A25      0   3";erfE
  152. 00010B5F   00410B5F      0   'qQZf
  153. 00010C78   00410C78      0   EBQZPv
  154. 00010CE6   00410CE6      0   ~ZX!Ji
  155. 00010D3F   00410D3F      0   &;E|}B
  156. 00010F17   00410F17      0   +O{tc
  157. 0001103B   0041103B      0   +Az!*ln
  158. 00011104   00411104      0   Pu*!|\
  159. 00011117   00411117      0   (.:G]K
  160. 00011280   00411280      0   mvAd]
  161. 00011286   00411286      0   *w%JN
  162. 000112F4   004112F4      0   U2{@d
  163. 000113D1   004113D1      0   !Im~/zU
  164. 0001141C   0041141C      0   AQtQ@QE
  165. 0001148B   0041148B      0   Image4
  166. 000114DB   004114DB      0   $(4,$&1'
  167. 000114E5   004114E5      0   -=-157:::#+?D?8C49:7
  168. 0001150B   0041150B      0   %77777777777777777777777777777777777777777777777777
  169. 000115A3   004115A3      0   34Sbc
  170. 00011672   00411672      0   @V~8R00~Dw
  171. 0001174A   0041174A      0   Jn[QK
  172. 00011C43   00411C43      0   ofDhD
  173. 0001201C   0041201C      0   Skripsi.exe
  174. 00012028   00412028      0   explorer
  175. 00012032   00412032      0   Project1
  176. 000126BC   004126BC      0   frmVirus4rik
  177. 000126CC   004126CC      0   MdlVirus4rik
  178. 000126DC   004126DC      0   Project1
  179. 00012738   00412738      0   Image2
  180. 00012750   00412750      0   D:\Visual Basic\VB6.OLB
  181. 000127A4   004127A4      0   Label1
  182. 000127D4   004127D4      0   Timer1
  183. 000127DC   004127DC      0   Image1
  184. 000127E4   004127E4      0   Image4
  185. 00012870   00412870      0   kernel32
  186. 00012880   00412880      0   CopyFileA
  187. 000128C4   004128C4      0   shell32.dll
  188. 000128D4   004128D4      0   SHGetSpecialFolderLocation
  189. 00012928   00412928      0   SHGetPathFromIDListA
  190. 00012978   00412978      0   kernel32.dll
  191. 0001298C   0041298C      0   GetSystemDirectoryA
  192. 000129A0   004129A0      0   __vbaStrVarVal
  193. 000129E8   004129E8      0   GetWindowsDirectoryA
  194. 00012A38   00412A38      0   GetDriveTypeA
  195.      
  196. File pos   Mem pos      ID   Text
  197. ========   =======      ==   ====
  198.      
  199. 00012A80   00412A80      0   SetFileAttributesA
  200. 00012ACC   00412ACC      0   GetFileAttributesA
  201. 00012B30   00412B30      0   VBA6.DLL
  202. 00012B3C   00412B3C      0   __vbaObjSet
  203. 00012B48   00412B48      0   __vbaFreeObj
  204. 00012B58   00412B58      0   __vbaHresultCheckObj
  205. 00012B70   00412B70      0   __vbaNew2
  206. 00012B84   00412B84      0   __vbaEnd
  207. 00012B90   00412B90      0   __vbaFreeVar
  208. 00012BBC   00412BBC      0   __vbaFreeStr
  209. 00012BCC   00412BCC      0   __vbaVarDup
  210. 00012BD8   00412BD8      0   __vbaStrMove
  211. 00012BE8   00412BE8      0   __vbaStrCmp
  212. 0001351C   0041351C      0   __vbaInStr
  213. 000138E4   004138E4      0   __vbaLateMemCall
  214. 000138F8   004138F8      0   __vbaObjVar
  215. 00013904   00413904      0   __vbaObjSetAddref
  216. 00013918   00413918      0   __vbaFreeVarList
  217. 0001392C   0041392C      0   __vbaVarCat
  218. 00013938   00413938      0   __vbaStrVarMove
  219. 00013948   00413948      0   __vbaLsetFixstr
  220. 00013958   00413958      0   __vbaFixstrConstruct
  221. 00013970   00413970      0   __vbaErrorOverflow
  222. 00013984   00413984      0   __vbaStrCopy
  223. 00013994   00413994      0   __vbaStrToUnicode
  224. 000139A8   004139A8      0   __vbaStrToAnsi
  225. 000139B8   004139B8      0   __vbaVarTstEq
  226. 000139C8   004139C8      0   __vbaSetSystemError
  227. 000139DC   004139DC      0   __vbaFreeObjList
  228. 000139F0   004139F0      0   __vbaFreeStrList
  229. 00013A04   00413A04      0   __vbaStrCat
  230. 00013A10   00413A10      0   __vbaOnError
  231. 00013BE1   00413BE1      0   j|hP(A
  232. 00013CD6   00413CD6      0   jTh +A
  233. 00013F49   00413F49      0   jPhP(A
  234. 00013FFE   00413FFE      0   jXhP(A
  235. 0001476F   0041476F      0   PhT,A
  236. 00014A8C   00414A8C      0   Ph0-A
  237. 000153EC   004153EC      0   Ph$.A
  238. 000154B4   004154B4      0   PhD.A
  239. 0001557C   0041557C      0   Phd.A
  240. 00015AF4   00415AF4      0   Ph8/A
  241. 00015BBC   00415BBC      0   PhX/A
  242. 00015C8F   00415C8F      0   Phx/A
  243. 00015DA3   00415DA3      0   jPhP(A
  244. 00015F3E   00415F3E      0   jPhP(A
  245. 000160D9   004160D9      0   jPhP(A
  246. 00016466   00416466      0   jPhP(A
  247. 0001691D   0041691D      0   Ph80A
  248. 00016977   00416977      0   Phh0A
  249. 00016A16   00416A16      0   jPhP(A
  250. 00016A8D   00416A8D      0   jXhP(A
  251. 00016B43   00416B43      0   Phx/A
  252. 00016DF2   00416DF2      0   Ph|3A
  253. 00016EA9   00416EA9      0   Ph$4A
  254. 00016ECF   00416ECF      0   Phh0A
  255. 00016F6B   00416F6B      0   Ph04A
  256. 00017012   00417012      0   PhL4A
  257. 000170B9   004170B9      0   Phl4A
  258. 000170D7   004170D7      0   Ph0-A
  259.      
  260. File pos   Mem pos      ID   Text
  261. ========   =======      ==   ====
  262.      
  263. 000172AE   004172AE      0   Ph,5A
  264. 000172CC   004172CC      0   Ph8/A
  265. 00017355   00417355      0   Phd5A
  266. 00017373   00417373      0   Phd.A
  267. 000173EC   004173EC      0   Dhl3A
  268. 0001760C   0041760C      0   Ph\6A
  269. 000178CC   004178CC      0   Ph87A
  270. 00017B8C   00417B8C      0   PhL8A
  271. 00017EBC   00417EBC      0   MSVBVM60.DLL
  272. 00017ECC   00417ECC      0   _CIcos
  273. 00017ED6   00417ED6      0   _adj_fptan
  274. 00017EE4   00417EE4      0   __vbaFreeVar
  275. 00017EF4   00417EF4      0   __vbaStrVarMove
  276. 00017F06   00417F06      0   __vbaFreeVarList
  277. 00017F1A   00417F1A      0   __vbaEnd
  278. 00017F26   00417F26      0   _adj_fdiv_m64
  279. 00017F36   00417F36      0   __vbaFreeObjList
  280. 00017F4A   00417F4A      0   _adj_fprem1
  281. 00017F58   00417F58      0   __vbaStrCat
  282. 00017F66   00417F66      0   __vbaLsetFixstr
  283. 00017F78   00417F78      0   __vbaSetSystemError
  284. 00017F8E   00417F8E      0   __vbaHresultCheckObj
  285. 00017FA6   00417FA6      0   _adj_fdiv_m32
  286. 00017FB6   00417FB6      0   __vbaOnError
  287. 00017FC6   00417FC6      0   __vbaObjSet
  288. 00017FD4   00417FD4      0   _adj_fdiv_m16i
  289. 00017FE6   00417FE6      0   __vbaObjSetAddref
  290. 00017FFA   00417FFA      0   _adj_fdivr_m16i
  291. 0001800C   0041800C      0   _CIsin
  292. 00018016   00418016      0   __vbaChkstk
  293. 00018024   00418024      0   EVENT_SINK_AddRef
  294. 00018038   00418038      0   __vbaStrCmp
  295. 00018046   00418046      0   __vbaVarTstEq
  296. 00018056   00418056      0   __vbaObjVar
  297. 00018064   00418064      0   DllFunctionCall
  298. 00018076   00418076      0   _adj_fpatan
  299. 00018084   00418084      0   __vbaFixstrConstruct
  300. 0001809C   0041809C      0   EVENT_SINK_Release
  301. 000180B2   004180B2      0   _CIsqrt
  302. 000180BC   004180BC      0   EVENT_SINK_QueryInterface
  303. 000180D8   004180D8      0   __vbaExceptHandler
  304. 000180EE   004180EE      0   __vbaStrToUnicode
  305. 00018102   00418102      0   _adj_fprem
  306. 00018110   00418110      0   _adj_fdivr_m64
  307. 00018122   00418122      0   __vbaFPException
  308. 00018136   00418136      0   __vbaStrVarVal
  309. 00018148   00418148      0   __vbaVarCat
  310. 00018156   00418156      0   _CIlog
  311. 00018160   00418160      0   __vbaErrorOverflow
  312. 00018176   00418176      0   __vbaInStr
  313. 00018184   00418184      0   __vbaNew2
  314. 00018190   00418190      0   _adj_fdiv_m32i
  315. 000181A2   004181A2      0   _adj_fdivr_m32i
  316. 000181B4   004181B4      0   __vbaStrCopy
  317. 000181C4   004181C4      0   __vbaFreeStrList
  318. 000181D8   004181D8      0   _adj_fdivr_m32
  319. 000181EA   004181EA      0   _adj_fdiv_r
  320. 000181F8   004181F8      0   __vbaLateMemCall
  321. 0001820C   0041820C      0   __vbaStrToAnsi
  322. 0001821E   0041821E      0   __vbaVarDup
  323.      
  324. File pos   Mem pos      ID   Text
  325. ========   =======      ==   ====
  326.      
  327. 0001822C   0041822C      0   _CIatan
  328. 00018236   00418236      0   __vbaStrMove
  329. 00018246   00418246      0   _allmul
  330. 00018250   00418250      0   _CItan
  331. 0001825A   0041825A      0   _CIexp
  332. 00018264   00418264      0   __vbaFreeStr
  333. 00018274   00418274      0   __vbaFreeObj
  334. 0001AA40   0041AA40      0   %Jc_(Nf/)Sl
  335. 0001AAC1   0041AAC1      0   Hc}(Nfg1QfL4Qd%5Th
  336. 0001AB44   0041AB44      0   %Mgr.RhY4RfE5Qd:f
  337. 0001BCBC   0041BCBC      0   #MgR'Qj.(Vq
  338. 0001BD7C   0041BD7C      0    Lhh(QjT/SiB3Sh'5Ti
  339. 0001BE3D   0041BE3D      0   Lit%Qla-TkM3Ti>5Sf85Qd(6Rf
  340. 0001BEFD   0041BEFD      0   Liz$Qli,UmU2VlD5Ti:5Rf55Qd1Y
  341. 0001BFBD   0041BFBD      0   Li|#Qmo+Un\Fs
  342. 0001DFF1   0041DFF1      0   IDATx
  343. 0001E059   0041E059      0   ~53@]
  344. 0001E1A0   0041E1A0      0   ax8s@
  345. 0001E259   0041E259      0   V8|r?LO_
  346. 0001E609   0041E609      0      k]X#
  347. 0001E6BF   0041E6BF      0   98P8_
  348. 0001E720   0041E720      0   @Pd*x
  349. 0001E72F   0041E72F      0   PzD@a  :!W
  350. 0001E82E   0041E82E      0   TkbG3d
  351. 0001E9AC   0041E9AC      0   30cUb'
  352. 0001E9E1   0041E9E1      0   fTJ~/)
  353. 0001EB93   0041EB93      0   w18!g/;G
  354. 0001ECAB   0041ECAB      0   p_ahQ
  355. 0001EEB3   0041EEB3      0   0n'~r6
  356. 00020346   00420346      0   fqiq%}
  357. 00020412   00420412      0   3Q@i6M
  358. 0002060E   0042060E      0   )9Ky' k
  359. 0002086C   0042086C      0   829fM
  360. 00020AA0   00420AA0      0   '$mrQ,$
  361. 00020B1B   00420B1B      0   OMa?Z6
  362. 00020C72   00420C72      0   93 W%X
  363. 00020D1C   00420D1C      0   EACF y
  364. 00020DB5   00420DB5      0   S&9vO
  365. 00020E5F   00420E5F      0   " ,(Rd
  366. 00020FAE   00420FAE      0   (A\SP
  367. 000211B6   004211B6      0   bP\ $C
  368. 000211E2   004211E2      0   (]83U
  369. 000217B8   004217B8      0    W!8O
  370. 00021D27   00421D27      0   Ly>b!
  371. 00021DC1   00421DC1      0   !!OY>
  372.      
  373. File pos   Mem pos      ID   Text
  374. ========   =======      ==   ====
  375.      
  376. 00022008   00422008      0   e&@>#0
  377. 000220BC   004220BC      0   )|h0$  E
  378. 0002264C   0042264C      0   GP1j5
  379. 00022BC6   00422BC6      0   >S;.z
  380. 00022D2E   00422D2E      0   fiw *%
  381. 0002310C   0042310C      0   6l}y'|k
  382. 0002334A   0042334A      0   K+LAJ
  383. 00023418   00423418      0   lW~mV
  384. 000234D9   004234D9      0   kg&~.$
  385. 000236B2   004236B2      0   >G&C{T
  386. 000237FD   004237FD      0   qD"O\
  387. 00023965   00423965      0      b% 4
  388. 00023C8B   00423C8B      0   jmar|
  389. 00023D68   00423D68      0   xyl8H
  390. 00023EDF   00423EDF      0   a\'$='N
  391. 00023F19   00423F19      0   nTh(y
  392. 00024AC0   00424AC0      0   V;XL'
  393. 00024B29   00424B29      0   eU }t
  394. 00024D2D   00424D2D      0   86/l~
  395. 00025073   00425073      0   Mh6D3
  396. 000252CB   004252CB      0   ,n,BC
  397. 000252E7   004252E7      0   U]]tWW
  398. 00025573   00425573      0   Z]T|.
  399. 000255AE   004255AE      0   m*lm;  6
  400. 0002582E   0042582E      0   T:r|
  401. 00025904   00425904      0   R)q~N
  402. 00025A80   00425A80      0   l6M@H&
  403. 00025ED2   00425ED2      0   >BZ_*
  404. 000260DA   004260DA      0   |y#lyw
  405. 00026365   00426365      0   r"JOe@
  406. 000265BE   004265BE      0   _Lj(\
  407. 00026600   00426600      0   +~,},C
  408. 00026621   00426621      0   M+Zwl
  409. 000266A9   004266A9      0   y58(W
  410. 00026842   00426842      0   Mm;?~
  411. 000268BE   004268BE      0   c|0%C
  412. 00026927   00426927      0   $}>iH
  413. 00026F31   00426F31      0   7F:+%
  414. 00026F41   00426F41      0   >NF:+
  415. 00026F51   00426F51      0   >RNF:
  416. 00026F61   00426F61      0   AYRNF
  417. 00026F69   00426F69      0   21!i%
  418. 00026F71   00426F71      0   A]YRN
  419. 00026F79   00426F79      0   442i#
  420. 00026F88   00426F88      0   %@74i%
  421. 00026F98   00426F98      0   (J@@=%
  422. 00026FA8   00426FA8      0   :TOJ7Q
  423. 00026FB1   00426FB1      0   Tccbk
  424. 00026FB8   00426FB8      0   :]XX7
  425. 00026FC1   00426FC1      0   Vcccl#
  426. 00026FD1   00426FD1      0   Vcccl),Fbb_:
  427. 00026FE1   00426FE1      0   Vccll7,bheb:
  428. 00026FF1   00426FF1      0   Vcj[S/dhhhbH
  429. 00027001   00427001      0   _VTTTPJJJBH
  430. 00027505   00427505      0   uwxz.4DC\JJMU
  431. 00027528   00427528      0   '*  KJJJ;t
  432. 0002754A   0042754A      0    99MJJBy
  433. 00027569   00427569      0     9KJJJ\
  434. 0002758A   0042758A      0   9#KMJJ\
  435. 000275A9   004275A9      0     =LMOO
  436.      
  437. File pos   Mem pos      ID   Text
  438. ========   =======      ==   ====
  439.      
  440. 000275C9   004275C9      0   *1=R\QQc
  441. 000275E9   004275E9      0   *00027609   00427609      0   *@@VU
  442. 00027629   00427629      0   2@CVVg
  443. 00027648   00427648      0   '2FCaccm
  444. 00027669   00427669      0   3F[Yam
  445. 00027688   00427688      0   (3H[a
  446. 00027EAF   00427EAF      0   ~}}}}
  447. 00027EBB   00427EBB      0   RTVVjrqmjr}
  448. 00027EDF   00427EDF      0   ~}}}}
  449. 00027EE7   00427EE7      0   !/9?NGGaaq
  450. 00027F0F   00427F0F      0   ~~}}}
  451. 00027F18   00427F18      0   +388<00027F48   00427F48      0   #%8800027F78   00427F78      0   #%''CCZ[
  452. 00027FA8   00427FA8      0   #%'''00027FD8   00427FD8      0   #%''00028008   00428008      0   #%''<00028038   00428038      0   ##''00028068   00428068      0   "%%8D00028099   00428099      0   #-8000280C8   004280C8      0   "#%89addammmr
  453. 000280F9   004280F9      0   $-800028129   00428129      0   $-8GIdnnjrr
  454. 00028159   00428159      0   $-8GGhnsrr}
  455. 00028189   00428189      0   $-9Gdhnszz
  456. 000281B9   004281B9      0   $-9GGggs}s
  457. 000281E9   004281E9      0   +-9Ghgys
  458. 00028219   00428219      0   $1;GVvys
  459. 00028249   00428249      0   +/GSiiyy
  460. 00028279   00428279      0   +/?Tiv
  461. 000282A8   004282A8      0    +1AV
  462. 000282D9   004282D9      0   ,?NYi
  463. 00028308   00428308      0    ,6RT
  464. 000283C7   004283C7      0   !.6RY
  465. 0001205F   0041205F      0   A*\AC:\Users\user\Downloads\tool membuat virus\tool membuat virus\virus\virus3\Virus_4rik.vbp
  466. 000127FC   004127FC      0   C:\ABORT.SYS
  467. 00012BA4   00412BA4      0   winver.exe
  468. 00012C10   00412C10      0   System32\drivers\dxdrv32.sys
  469. 00012C54   00412C54      0   System32\drivers\vga.dll
  470. 00012C8C   00412C8C      0   System32\drivers\vgcon32.bin
  471. 00012CCC   00412CCC      0   System32\wishell1033.bin
  472. 00012D04   00412D04      0   System32\ctfmon.exe
  473. 00012D30   00412D30      0   System32\winliveessentialsstartup.exe
  474. 00012D80   00412D80      0   System32\syswowex.bin
  475. 00012DB0   00412DB0      0   System\acpi.bin
  476. 00012DD4   00412DD4      0   cmd.exe
  477. 00012DE8   00412DE8      0   rundll32.exe
  478. 00012E08   00412E08      0   runonce.exe
  479. 00012E24   00412E24      0   regedist.exe
  480. 00012E44   00412E44      0   rasdhncpl.exe
  481. 00012E64   00412E64      0   nsl0231.bin
  482. 00012E80   00412E80      0   patch.exe
  483. 00012E98   00412E98      0   shell64.bin
  484. 00012EB4   00412EB4      0   shell16.dll
  485. 00012ED0   00412ED0      0   kncpwklfdilha.exe
  486. 00012EF8   00412EF8      0   shell128.dll
  487. 00012F18   00412F18      0   shell256.bin
  488. 00012F38   00412F38      0   kernel64.bin
  489. 00012F58   00412F58      0   winlogon .exe
  490.      
  491. File pos   Mem pos      ID   Text
  492. ========   =======      ==   ====
  493.      
  494. 00012F78   00412F78      0   smodavrtp.exe
  495. 00012F98   00412F98      0   autorun.inf
  496. 00012FC0   00412FC0      0   skripsi.exe
  497. 00012FDC   00412FDC      0   System32\patch.exe
  498. 00013008   00413008      0   System32\winlogon.exe
  499. 00013038   00413038      0   System32\kernel64.bin
  500. 00013068   00413068      0   System32\shell64.bin
  501. 00013098   00413098      0   Software\Microsoft\Windows\CurrentVersion\
  502. 000130F4   004130F4      0   SOFTWARE\Microsoft\Windows NT\CurrentVersion\
  503. 00013154   00413154      0   Software\Microsoft\Internet Explorer\Main\
  504. 000131B0   004131B0      0   Software\Policies\Microsoft\Windows\system\
  505. 0001320C   0041320C      0   Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
  506. 00013280   00413280      0   WScript.Shell
  507. 000132A0   004132A0      0   HKLM\
  508. 000132B0   004132B0      0   \RegisteredOwner
  509. 000132D8   004132D8      0   Bill Gate$
  510. 000132F0   004132F0      0   Regwrite
  511. 00013308   00413308      0   \RegisteredOrganization
  512. 0001333C   0041333C      0   Microsoft Corporation
  513. 0001336C   0041336C      0   HKCU\
  514. 0001337C   0041337C      0   \Window Title
  515. 0001339C   0041339C      0   Windows Internet Exploder 10
  516. 000133DC   004133DC      0   \Userinit
  517. 000133F4   004133F4      0   System32\userinit.exe
  518. 00013430   00413430      0   \Run\Ctfmon
  519. 0001344C   0041344C      0   \Run\jwgkvsq
  520. 0001346C   0041346C      0   \Run\Windows Live Essentials
  521. 000134AC   004134AC      0   \Run\Windows Live Messenger
  522. 000134E8   004134E8      0   \Run\kahalaujdekwsowaawao
  523. 0001352C   0041352C      0   \Run\jwskeireewqaksjwenio
  524. 00013564   00413564      0   \Run\Brontok.bro
  525. 0001358C   0041358C      0   DisableCMD
  526. 000135B0   004135B0      0   REG_DWORD
  527. 000135C8   004135C8      0   Policies\System\DisableTaskMgr
  528. 0001360C   0041360C      0   Policies\System\DisableRegistryTools
  529. 0001365C   0041365C      0   Policies\System\DisableMsConfig
  530. 000136A0   004136A0      0   Advanced\Hidden
  531. 000136CC   004136CC      0   Policies\Explorer\NoRun
  532. 00013700   00413700      0   Policies\Explorer\NoFind
  533. 00013738   00413738      0   Policies\Explorer\NoFolderOptions
  534. 00013780   00413780      0   Policies\Explorer\NoClose
  535. 000137B8   004137B8      0   Policies\Explorer\NoControlPanel
  536. 00013800   00413800      0   Policies\Explorer\NoViewContextMenu
  537. 0001384C   0041384C      0   Policies\Explorer\NoStartMenuMorePrograms
  538. 000138A4   004138A4      0   Policies\Explorer\NoViewOnDrive
  539. 0001A216   0041A216      0   VS_VERSION_INFO
  540. 0001A272   0041A272      0   VarFileInfo
  541. 0001A292   0041A292      0   Translation
  542. 0001A2B6   0041A2B6      0   StringFileInfo
  543. 0001A2DA   0041A2DA      0   040904B0
  544. 0001A2F2   0041A2F2      0   CompanyName
  545. 0001A30C   0041A30C      0   Aldey Productions
  546. 0001A336   0041A336      0   FileDescription
  547. 0001A358   0041A358      0   Windows Explorer
  548. 0001A382   0041A382      0   ProductName
  549. 0001A39C   0041A39C      0   explorer
  550. 0001A3B6   0041A3B6      0   FileVersion
  551. 0001A3D0   0041A3D0      0   6.01.7600
  552. 0001A3EA   0041A3EA      0   ProductVersion
  553. 0001A408   0041A408      0   6.01.7600
  554.      
  555. File pos   Mem pos      ID   Text
  556. ========   =======      ==   ====
  557.      
  558. 0001A422   0041A422      0   InternalName
  559. 0001A43C   0041A43C      0   Skripsi.exe
  560. 0001A45A   0041A45A      0   OriginalFilename
  561. 0001A47C   0041A47C      0   Skripsi.exe.virus


C. Companion/File yang dibuat
Setelah aktif worm Aldey membuat companion sepert:
• C:\WINDOWS\system32\ctfmon.exe
• C:\WINDOWS\system32\winliveessentialsstartup.exe
• C:\WINDOWS\system32\drivers\vgcon32.bin
• C:\WINDOWS\system32\patch.exe
• C:\WINDOWS\system32\kernel64.bin
• C:\WINDOWS\system32\nsl0231.bin
• C:\skripsi.exe
• C:\WINDOWS\system32\rundll32.exe
• C:\Documents and Settings\Administrator\Local Settings\Temp\kernel64.bin.exe
• C:\Documents and Settings\Administrator\Local Settings\Temp\nsl0231.bin.exe
• C:\Documents and Settings\Administrator\Local Settings\Temp\vgcon32.bin.exe
• C:\WINDOWS\system\acpi.bin
• C:\WINDOWS\system32\kncpwklfdilha.exe
• C:\WINDOWS\system32\rasdhncpl.exe
• C:\WINDOWS\system32\regedist.exe
• C:\WINDOWS\system32\runonce.exe
• C:\WINDOWS\system32\shell128.dll
• C:\WINDOWS\system32\shell16.dll
• C:\WINDOWS\system32\shell256.bin
• C:\WINDOWS\system32\shell64.bin
• C:\WINDOWS\system32\smodavrtp.exe
• C:\WINDOWS\system32\syswowex.bin
• C:\WINDOWS\system32\winlogon .exe
• C:\WINDOWS\system32\winver.exe
• C:\WINDOWS\system32\wishell1033.bin
• C:\WINDOWS\system32\drivers\dxdrv32.sys
• C:\WINDOWS\system32\drivers\vga.dll

Agar bisa berjalan saat startup, selain membuat value di registry, Aldey juga membuat host di folder startup:
C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\smodavrtp.exe

D. Hasil Infeksi
• Membuat key pada registry untuk mendisable beberapa aplikasi windows.
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]
DisableTaskMgr
DisableMsConfig
DisableRegistryTools
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
NoRun
NoFind
NoFolderOptions
NoClose
NoControlPanel
NoViewContextMenu
NoStartMenuMorePrograms
NoViewOnDrive
• Menambahkan value key agar bisa berjalan saat startup
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Ctfmon=C:\WINDOWS\System32\ctfmon.exe
jwgkvsq=C:\WINDOWS\System32\ctfmon.exe
Windows Live Essentials=C:\WINDOWS\System32\winliveessentialsstartup.exe
Windows Live Messenger=C:\WINDOWS\System32\drivers\vgcon32.bin
kahalaujdekwsowaawao=C:\WINDOWS\System32\patch.exe
jwskeireewqaksjwenio=C:\WINDOWS\system32\kernel64.bin
Brontok.bro=C:\WINDOWS\system32\nsl0231.bin
• Merubah Title Internet Explorer
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Window Title=Windows Internet Exploder 10


E. Pembersihan


PCMAV 6.0 Update Build1

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 6.0 Update Build1 telah hadir dengan penambahan 31 pengenal varian virus baru. Bagi Anda pengguna PCMAV 6.0, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.

Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link dibawah ini:
Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update. 
Daftar tambahan virus hingga PCMAV 6.0 Update Build1:
Aldey
AryaN
AryaN.inf
AryaN.lnk
Chat-FB.A
Chat-FB.B
Chat-FB.C
Chat-FB.D
Chat-FB.E
Chat-FB.F
Chat-FB.G
Chat-FB.H
Chat-FB.zip.A
Chat-FB.zip.B
Chat-FB.zip.C
Chat-FB.zip.D
Craft3
Craft3.tmp
FontPorn.B
FontPorn.B.exe.A
FontPorn.B.exe.B
FontPorn.B.lnk
FontPorn.B.tmp
FontPorn.C
FontPorn.C.ini
None
Ramnit.N.dropper
Ramnit.O.dropper
ThumbDrive
TODO
TODO.drp



PCMAV 6.0 Asgard Update Build1 telah tersedia dengan penambahan 31 database virus baru yang telah berhasil ditambahkan pada update build kali ini. Update PCMAV dapat dilakukan secara otomatis dengan memilih “Update” pada menu klik kanan icon PCMAV di system tray, ini salah satu fitur yang telah berhasil ditambahkan pada rilis PCMAV 6.0 Asgard Jika Anda ingin mendownload update build secara manual dapat melalui link dibawah ini.


(Keterangan Lengkap Lihat Gambar Di Bawah) .........




>>> Selamat Mencoba <<<

Note (Penting) :
  1. Setelah  Download PCMAV 6.0 Asgard extraks terlebih dahulu kemudian copy/cut seluruh Isi Yang Terdapat Dalam Folder ekstrakan tersebut kedalam folder PCMAV sebelumnya (PCMAV 5.5 Valhalla), jika belum memiliki PCMAV 5.5 Valhalla silahkan Download disini PCMAV 5.5 Valhalla
  2. no.2 (Hanya update (.vdb) Build1) di Extract dahulu setelah itu dimasukan dalam folder PCMAV 6.0 Asgard/vdb


Download Here

1. Hanya Download PCMAV 6.0 Asgard :
PCMAV 6.0 Asgard (sendspace)

Alternative Link :
PCMAV 6.0 Asgard (4shared)
PCMAV 6.0 Asgard (ziddu)


2. Hanya Download update (.vdb) Build1 :
Update Build 1 (sendspace)
Alternative Link :
Update Build 1 (4shared)
Update Build 1 (ziddu)
Posted by
Labels: ,

Tidak ada komentar:

Posting Komentar

Langganan: Posting Komentar (Atom)