Virus yang menggunakan ikon burung elang ini dilaporkan cukup banyak menyebar di indonesia, ia menggunakan teknik yang cukup unik untuk menghindari dari scanner antivirus, seperti apakah virus ini, mari baca selanjutnya.
Karateristik Virus
Ektensi : exe
Ukuran : Acak (Berubah-ubah)
Tipe : Worm
Sebenarnya virus ini adalah virus lokal biasa, yang membuatnya unik adalah dapat merubah sendiri ukuran file duplikat yang dibuatnya, hal ini dapat menyebabkan antivirus mengira virus ini memiliki banyak variant, padahal sebenarnya cuma 1 variant virus.
Lokasi file induk virus disystem :
C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Angel2.exe
C:\Users\%USERNAME%\Documents\MyDocuments.exe
C:\Users\%USERNAME%\Favorites\Fonts.exe
C:\Users\%USERNAME%\Music\My Music.exe
C:\Users\%USERNAME%\AppData\Roaming\Microsoft\Windows\Recent\Recycle Bin.exe
C:\window.exe
Autorun Virus
Agar dapat berjalan otomatis saat komputer dihidukan, virus membuat value diegistry :
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\gpmce: "\Angel2.exe"
String virus
String yang ada didalam virus ini tidak dienkripsi, sehingga memudahkan untuk dianalisa, untuk mengetahui hal apa saja yang dilakukan virus ketika menginfeksi sistem.
Target Infeksi
Target infeksi virus ini adalah semua folder yang terdapat di setiap drive dikomputer korban, dengan membuat virus dengan nama yang sama dengan folder yang ditemukannya :
File Virus di yg dibuat :
Angel2.exe
<NamaFolder> \ <NamaFolder>.exe
Setiap file virus yang dibuatnya akan selalu berubah-ubah ukuran filenya
Infeksi Registry
Untuk mempertahankan diri dari antivirus, virus berusaha mematikan beberapa tool windows agar tidak dapat digunakan, untuk melakukan hal itu virus mendisablenya melalui registry.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Search Page: www.booble.com
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page: www.gpmce.net
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr: 0×00000001
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System\disableCMD: 0×00000002
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoFolderOptions: 0×00000001
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools: 0×00000001
Demikian Sepenggal Informasi tentang Virus Lokal Angle..
Semoga Bermanfaat.. :-)
Sumber : SMADAV
1 komentar:
thx gan....
ReplyPost a Comment