Berikut ini saya mencoba membahas secara sederhana tentang Virus Parite [Win32/Parite-Microsoft],virus yang muncul sekitar tahun 2001 ini termasuk tipe Polymorphic file infector.
Sekilas Tentang Virus Parite
pada gambar diatas terlihat perbedaan file sebelum terinfeksi dan sesudah terinfeksi menggunakan PEiD yaitu bertambahnya section baru dengan karakter unicode pada file terinfeksi,mari kita bahas lebih lanjut =)
Virus Parite berukuran 172.0 KB ( 176128 bytes ) ini ketika aktif akan mendrop file ke folder C:\Documents and Settings\Administrator\Local Settings\Temp dengan nama acak dan ber-extensi *.tmp.
Terlihat pada gambar diatas Parite menginjeksi process Explorer.exe dan membuka port tertentu sehingga ketika Parite aktif akan membuat Windows Firewall menampilkan alert [di exported fungsi = 0x6C10 - @Nmudp@TNMUDP@SetLocalPort$qqri ]
Parite juga membuat key startup yaitu : HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer
PINF=C:\Documents and Settings\%nama user%\Local Settings\Temp\ysd3.tmp
Setiap Process baru aktif di memory,maka process tersebut akan di injeksi oleh parite [ysd3.tmp] yang sebenarnya merupakan file *.dll (exported fungsi = 0x7A9C - AttachHook)
File *.dll tersebut mempunyai 47 exported functions yang merupakan kode inti Parite,sehingga ketika aktif pada suatu process,maka akan menginfeksi file *.exe dan *.scr.
referensi :
http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?name=Win32%2fParite
Semoga Bermanfaat
Artikel ini dibuat oleh Yudha Tri Putra sebagai penulis artikel, diperbolehkan menyalin artikel ini secara utuh tanpa mengubah atau menambah isi artikel.
http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?name=Win32%2fParite
Semoga Bermanfaat
Artikel ini dibuat oleh Yudha Tri Putra sebagai penulis artikel, diperbolehkan menyalin artikel ini secara utuh tanpa mengubah atau menambah isi artikel.
.jpg)
0 komentar:
Posting Komentar