Virus wEwE GOmbEL

Monday, January 2, 2012

Satu lagi virus ciptaan bangsa..T kita.. Lagi.. lagi... dan lagi.. 
Sebenernya aku malu kalo nyebut ini Virus.. Yah tapi messake sing gawe, untuk menghargai hasil karya dari si pembuatnya maka kita sebut aja Virus lah ya... karena ini udah cukup keren lah.. 
Si Gombel ini dibikin pake compiler delphi.. yah kemajuan yang biasanya pake VB yang bikinya lama ngelumpuhinyya cuma sekejap.. kaya lagunya jamrud "Senandung Raja Singa" mending lah.. 
File aslinya tidak dikompress sama sekali.. unprotected!! mungkin besok atau nanti akan muncul varian-varian dari si Gombel ini.. kaya dulu jamanya si Brontok yang versi A masih kaga terkompress sama sekali... 
Mungkin ini adalah bikinannya Wewe Gombel kali yaa.. atau yang bikin itu anak gombel? atau yang bikin pernah mengalami sesuatu di Gombel? kaya aku dulu pernah ban motorku kempes di turunan gombel.. 
BTW berikut ciri-ciri si Gombel.... 

[ciri] 

ikon : 
flash 5 exe projector 

file size : 
398 KB (408.064 bytes) 

Nama file : 

Yang nyebar di folder dan di removable media (FlashDisk,etc) 
yang ini pake ikon flash player 5.0 r30 
Company name nya Macromedia, Inc. 
File version 1.0.0.0 --> padahal kalo flash player 5.0 r30 tu versi filenya 5.0.30.0 
Yang bikin sampah nie emang GOBLOK!!! 
Copyrightnya (kosong) --> kan mencurigakan ya? kalo asli mesti diisi 

- movie1.exe 
- demo.exe 
- banner.exe 
- deathrace.exe 
- logo.exe 
- intro.exe 
- into1.exe 
- trailr.exe 
- fan_art.exe 
- splash.exe 

Yang ada di folder System 
( XP -> C:\Windows\System32 9X -> C:\Windows\System ) 
yang ini pake ikon applikasi biasa (kotak biru dan tengahnya putih) 
Company name nya Microsoft Corporation 
Copyrightnya (kosong) --> kan mencurigakan banget ya? 
Kalo bikinan microsoft mesti diisi dengan lengkap! 
Yang lain juga kosong kecuali file version... BEGO banggett!!! 

- share32.exe 
- netsecr.exe 
- mmsvc32.exe 
- nmntrng.exe 
- msfrwll.exe 

Perhatian : 
File yang berada di folder system adalah diantara 5 file diatas tetapi perlu diperhatikan bahwa file2 berukuran 398 KB. 

Jika file di klik akan menghasilkon Message Box yang tulisannya: 

[Error] -> file di folder system mmsvc32.exe 
Service "Third Party Multimedia Adapters" failed to install with error; "Sustem Error. Code: 1073. The specified service already exist" 

[Error] -> file di folder system share32.exe 
Service "Shared folder managements " failed to install with error; "Sustem Error. Code: 1073. The specified service already exist" 

[Error] -> file di folder system msfrwll.exe 
Service "Personal Firrewall " failed to install with error; "Sustem Error. Code: 1073. The specified service already exist" 

[Error] -> file di folder system nmntrng.exe 
Service "Network Trafic Monitoring " failed to install with error; "Sustem Error. Code: 1073. The specified service already exist" 

[Error] -> file di folder system netsecr.exe 
Service "Network Sharing Administrator " failed to install with error; "Sustem Error. Code: 1073. The specified service already exist" 


Setiap kali di eksekusi akan menjalankan file C:\Program Files\Internet Explorer\IEXPLORE.EXE 

--> Liat di task manager.. 

Setiap kali menjalankan file msconfig.exe atau juga mmc.exe (administrative tools kaya defrag, service, computer management, etc maka program tersebut akan langsung di kill) 


Setelah programnya aku liat bentar, eh aku liat sebaris tulisan ni: 
msconfig.exe, mmc.exe, dan taskkill.exe... maka didapat.. 

msconfig.exe -> taskkill /F /IM msconfig.exe 
mmc.exe -> taskkill /IM mmc.exe /T 

Yang mana ini berisi perintah untuk menjalankan taskkill.exe yang berfungsi untuk meng-Kill task yang sedang jalan.. 

dan juga ini nie.. 

C:\Documents and settings\All users\Desktop\greet from gombEL.txt 

Mungkin akan menghasilkan file greet from gombel.txt kaleee... Tapi setelah aku liat-liat lagi bentar kaga liat tuh pesan-2 aneh kaya pas dulu di si brontok.. soalnya aku cuman ngejalanin nie program bentar.. yah buat apa sampah kaya gini.. kaga' ada tantangannya.. bukannya aku sombong.. apalagi takabur.. Tapi sesungguhnya ini hanyalah sampah.. ga sampe 1 menit untuk melumpuhkannya.. yah 2detik aja bisa kok.. lha wong tinggal delete... :) heheheheee... 

Yah iseng aja liat program nie.. soalnya jarang yang bikin mainan pake delphi... biasanya kan pake VB kaya Brontok, Kangen, dECOIL... blah.. Tapi sama aja.. sampah.. kaga ada mutunya... gampang banget di lumpuhin!!! 

begini kira-kira sebagian scriptnya si gombel .pas; 

----[start *.pas]--------- 

unit gombelform; 

interface 

uses 
Windows, Messages, SysUtils, Classes, Graphics, Controls, Forms, Dialogs, 
SvcMgr, ExtCtrls; 

type 
TMediaAdapters = class(TService) 
Timer1: TTimer; 
procedure Timer1Timer(Sender: TObject); 
procedure ServiceBeforeInstall(Sender: TService); 
private 
{ Private declarations } 
public 
{ Public declarations } 
end; 

var 
MediaAdapters: TMediaAdapters; 

implementation 

{$R *.DFM} 

procedure TMediaAdapters.Timer1Timer(Sender: TObject); 
begin 
@$456E2C ; sorry syntax not displayed 
end; 

procedure TMediaAdapters.ServiceBeforeInstall(Sender: TService); 
begin 
@$456EFC ; ga untuk disebarke.. hiks.. not this time.. 
end; 

end. 

------[end *.pas]------- 

yah itu hanya sebagian kecil dan cuman kerangkanya doank.. Tapi kurasa kaya gitu dech.. yang jelas program ini akan bekerja setelah di klik, kemudian mengkopikan diri ke folder sistem dan menginstallkan diri sebagai service secara silent terus mengeluarkan pessan error kaya diatas, kemudian setelah komputer di restart maka si Gombel ini akan mulai beraksi... 
silahkan liat aja di Taskmanager kalo ada file share32.exe, netsecr.exe, mmsvc32.exe, nmntrng.exe, atau msfrwll.exe ayng jalan dan ga mau di end task.. maka kemungkinan si Gombel sedang menghantui anda... 
Terus si program utama Gombel akan bekerja mengkopikan diri lagi ke drive-drive tujuan dengan nama berikut movie1.exe, demo.exe, banner.exe, deathrace.exe, logo.exe, intro.exe, into1.exe, trailr.exe, fan_art.exe, splash.exe.. kalo suatu saat di flaskdisk anda ada diantara file-file tersebut dengan ciri-ciri tersebut berhati-hatilah!! 

Cara penanganan: 

Mudah sekali choy.. 
tinggal delete file utama si gombel ini yang berada di folder system, kalo yang di delete yang di setiap drive maka akan muncul lagi.. dan lagi.. dengan ganti nama.. 
ingat-ingat pesan error ketika file droppernya di klik.. liat pesan error diatas!! 
(jika error karena file sedang dipake coba di end task dulu atau pake command prompt ketik tskkill /F /IM mmsvc32) 

Setelah file utamanya di hapus maka file duplikatnya di setiap drive baru bisa di delete.. 

Terus delete file registrynya.. 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\MediaAdapters] 

karena ada 5 nama file utama si Gombel, jadi coba cek keberadaan ke 5 nama File dan deskipsi file2 tersebut pada service yang ada, jika ada langsung aja nonaktifkan atau hapus... 


[Last Words] 

Buat si pembikin W3w3 Gombel: 
Lebih kreatip donk ah!! Kalo cuman gini doank sich.. coba besok pake protection yang lebih keren kaya anti deletion, self encryption, terus timernya dikit aja, 10000 milisecond kebanyaken kali yee... Terus jangan pake nama perusahaan orang sembarangan ( Microsoft Corp ama Macromedia, Inc ) kalo berani pake nama sendiri.. atau kaga usah pake sama sekali!! 

buat korban si Gombel: 
Don't worry, tinggal delete aja gampang kok!! 

Special greet & thanks: 
DINA : best of the best.. what else should i say.. 
RopX, NitZ, h0r53, dhi~da, Little Giant, AtX, Mba Dessy, all friends. 

0 comments:

Post a Comment