Minggu, 21 Oktober 2012

[Analisa] Tool Hmei7

Minggu, Oktober 21, 2012 by 


Tool untuk kegiatan Hacking ini saya dapat dari beberapa blog dan situs indonesia dan beberapa di malaysia,semuanya mengatakan tool ini dibuat oleh Hmei7,begitu pula yang tertera di about-nya.

Namun setelah saya upload di VirusTotal  (salah satu kegiatan utama ketika ingin menjalankan file hasil unduhan di internet) hasilnya cukup fantastis,dilihat tanggal 21 oktober 2012, karena 37 dari 44 AntiVirus mendeteksi sebagai malware,semua AntiVirus yang dalam skala kecanggihannya terbilang hebat mendeteksi.

Berikut saya coba menganalisisnya secara sederhana:.

Link Scan VirusTotal https://www.virustotal.com/file/53a8208279d8743cf5880f825a348be4ac6cd3a938cca3996126eb4420f8d1c7/analysis/

Tool yang saya gunakan adalah Sandboxie,RegShot,PEiD dan tool buatan sendiri

Informasi Umum

Nama file : rootkit.exe,webdavhmei7.exe,
Compiler : Microsoft Visual Basic 5.0 / 6.0 [PEiD]
Hash MD5 : 5782e28edb01bde30d2b9e754dfca38a

Screenshoot


Membuat File
App Path (folder tempat program berada) bernama berhasil.txt

Memodifikasi File
Documents and Settings\%namauser%\Cookies\index.dat
Documents and Settings\%namauser%\IETldCache\index.dat
Documents and Settings\%namauser%\Local Settings\History\History.IE5\index.dat
Documents and Settings\%namauser%\Local Settings\Temp\~DF2AC3.tmp
Documents and Settings\%namauser%\Local Settings\Temporary Internet Files\Content.IE5\index.dat

Memodifikasi Registry
HKLM\software\microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\68AB67CA7DA73301B7447A0010000000\Usage\ReaderProgramFiles = 4155C94A

HKCU\software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\SavedLegacySettings = 4600000093080000030000000000000000000000000000000000000000000000200B58A36B7DCB01010000007F000001000000000000000000000000

Fungsi API yang dipanggil

GetComputerName()
GetKeyboardState()
GetKeyState()
GetUserName()
catatan : 4 fungsi tersebut seperti kebanyakan Malware,walaupun bukan acuan karena bisa saja aplikasi biasa menggunakannya

InternetWriteFile()

CreateEvent(Global\crypt32LogoffEvent)
FindFirstFile (di direktori windows,program files dan sebagainya)

CreateProcess(C:\WINDOWS\system32\verclsid.exe,/S /C {8EF5DC20-419C-4E43-A088-DE5B5625CA47} /I {E8025004-1C42-11D2-BE2C-00A0C9A83DA1} /X 0x401,(null))

catatan : verclsid.exe sering digunakan malware untuk kamuflase dirinya atau untuk di injeksi.

referensi:
http://reports.antivirus-lab.com/36428/win32spy-zbot-aan-sma/
http://msdn.microsoft.com/en-us/library/windows/desktop/ms646299(v=vs.85).aspx
http://msdn.microsoft.com/en-us/library/windows/desktop/ms680345(v=vs.85).aspx

Semoga Bermanfaat =)

Artikel ini dibuat oleh Yudha Tri Putra,segala macam bentuk pengcopyan atau menyalin sebagian atau seluruh halaman ini,dapat dikenakan sanksi dan melanggar Hak Cipta Yudha Tri Putra sebagai Blogger

2 komentar:

Langganan: Posting Komentar (Atom)
(C) 2018. Diberdayakan oleh Blogger.

Categories

Followers