Exploit :  Heartbleed

 Antivirus : Norton.
 Heartbleed adalah kerentanan serius dalam OpenSSL perpustakaan perangkat lunak populer kriptografi. Kelemahan ini memungkinkan mencuri informasi yang dilindungi, dalam kondisi normal, dengan enkripsi SSL /TLS digunakan untuk mengamankan Internet. SSL / TLS memberikan keamanan dan privasi komunikasi melalui Internet untuk aplikasi seperti web, email, instant messaging (IM) dan beberapa jaringan pribadi virtual (VPN).

 Heartbleed memungkinkan setiap orang di Internet untuk membaca memori sistem dilindungi oleh versi rentan dari perangkat lunak OpenSSL. Ini kompromi kunci rahasia yang digunakan untuk mengidentifikasi penyedia layanan dan untuk mengenkripsi lalu lintas, nama dan password pengguna dan konten yang sebenarnya. Hal ini memungkinkan penyerang untuk menguping komunikasi, mencuri data langsung dari layanan dan pengguna dan untuk meniru layanan dan pengguna.
 Kemungkinan Heartbleed berikon seperti berikut :

 Informasi :

 Kerentanan yang digunakan adalah CVE-2014-0160. Ini pelaksanaannya menggunakan OpenSSL dengan protokol TLS / DTLS. Ketika itu dieksploitasi itu mengarah ke kebocoran isi memori dari server ke klien dan dari klien ke server.

 Bug dalam perangkat lunak tunggal atau perpustakaan datang dan pergi dan ditetapkan oleh versi baru. Namun bug ini telah meninggalkan sejumlah besar kunci pribadi dan rahasia lain terhubung ke Internet. Mengingat eksposur panjang, kemudahan eksploitasi dan serangan tanpa meninggalkan jejak.

 Ini adalah  kunci enkripsi sendiri. Bocoran kunci rahasia memungkinkan penyerang untuk mendekripsi lalu lintas masa lalu dan masa depan untuk layanan dilindungi dan untuk menyamar sebagai layanan di akan. Perlindungan yang diberikan oleh enkripsi dan tanda tangan di sertifikat X.509 dapat dilewati. Pemulihan dari kebocoran ini membutuhkan menambal kerentanan, pencabutan kunci dikompromikan dan penerbitan kembali dan mendistribusikan kunci baru. Bahkan melakukan semua ini masih akan meninggalkan lalu lintas dicegat oleh penyerang di masa lalu masih rentan terhadap dekripsi. Semua ini harus dilakukan oleh pemilik layanan.

 Anda mungkin akan terpengaruh baik secara langsung maupun tidak langsung. OpenSSL adalah yang paling populer open source library kriptografi dan TLS (transport layer security) pelaksanaan digunakan untuk mengenkripsi lalu lintas di Internet. Anda mungkin menggunakan OpenSSL rentan. Banyak layanan online menggunakan TLS untuk kedua untuk mengidentifikasi diri mereka kepada Anda dan melindungi privasi Anda dan transaksi. Anda mungkin memiliki peralatan jaringan dengan login ini dijamin dengan implementasi kereta dari TLS. Selain itu Anda mungkin memiliki perangkat lunak sisi klien pada komputer Anda yang dapat mengekspos data dari komputer Anda jika Anda terhubung ke layanan dikompromikan.

 Berikut OpenSSL yang mungkin dieksploitasi :
 > OpenSSL 0.9.8
 > OpenSSL 1.0.0
 > OpenSSL 1.0.1g
 Catatan : Harap perbarui OpenSSL agar terhindar dari eksploitasi data situs pengguna.
 Download OpenSSL : Click Here

Rogue : JS/FakeCall.A

 Ancaman ini adalah halaman web yang mengklaim PC Anda terinfeksi dengan malware. It meminta Anda untuk telepon untuk menerima dukungan teknis untuk membantu menghilangkan malware.
Website ini adalah suatu tipuan dan tidak dapat menemukan perangkat lunak jahat pada PC Anda.

 Antivirus : Microsoft Security Essentials.

 Informasi :

 Rogue:JS/FakeCall.A adalah laman web yang menunjukkan pesan yang mengklaim PC Anda terinfeksi dengan malware. Halaman merekomendasikan Anda telepon untuk mendapatkan dukungan teknis untuk membantu menghilangkan malware.
 Halaman web ini tidak memiliki kemampuan untuk menemukan malware dan klaim mereka direkayasa.

Di bawah ini adalah contoh halaman web digunakan oleh ancaman ini.

Ketika halaman pertama dimuat kotak dialog berikut akan ditampilkan :

 Dan diikuti oleh halaman web berikut :

Trojan : Gen.MatrixInj.C

  Antivirus : Smadav
 Karakteristik Trojan :
Pembuat : Software C++
Nama file : minerd.exe, (acak).exe

 Saat trojan aktif di komputer, maka ia akan mengcopy dirinya ke folder StartUp, AppData, dengan nama file minerd.exe, libcurl.dll, pthreadGC2.dll. Untuk lebih jelasnya lihat gambar dibawah ini :

 Mengirimkan data yang sudah terenkripsi menggunakan cURL, adapun isi datanya adalah sebagai berikut :

 > data terenkripsi :
 0=074AAA671A&1=0&2=7429B21C1B2F6C9A988C8A&3=6329BF084F1435C0C
 > Situs Tujuan : www.dwklfiypyj.org/index.php

 Situs-situs penghubung lainnya adalah :
 > www.ynwme8.com
 > www.xsrbwzemow.com
 > www.0ikrrlyx.com

 Trojan ini juga membuat kunci registry pada gambar berikut :

Hacktool : MSIL/Gendows

 Alat ini dapat digunakan untuk mengaktifkan versi bajakan dari Microsoft Windows dan Microsoft Office.
Pengguna dapat membaca dalam Volume 13 dari Laporan Intelijen Keamanan.

 Antivirus : Microsoft Security Essentials. (Windows Vista, 7, 8).

 Informasi :

 Ini diinstal sebagai kunci Manajemen layanan di SystemDrive dan GUI yang biasanya menggunakan layanan untuk secara otomatis mengaktifkan windows dan office. Contoh dapat dilihat dibawah ini :

Ransomware : Win32/Genasom.DR

 Ancaman ini mencoba menghentikan pemuatan Windows dan menampilkan pesan layar penuh, biasa disebut "layar kunci". Ancaman ini meminta untuk membayar biaya atau denda, pesan itu hanyalah penipuan.
 Mencoba untuk menakut-nakuti untuk membayar denda atau SMS dikenakan biaya premium nomor untuk membuka komputer kembali.
 Informasi lebih lanjut : Halaman Ransomware.

 Antivirus : Microsoft Security Essentials, Kaspersky, McAfee, Ikarus.

 Informasi :

 Ancaman perangkat menonaktifkan, Layanan, Dan sopir jika MULAI PC Andari di Safe Mode Dan Modus Aman Artikel Baru jaringan. Hal inisial dilakukan Artikel Baru mengganti kunci registri berikut :

 >  HKLM \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Minimal - Berganti Nama menjadi HKLM \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ M
 > HKLM \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ Jaringan - Berganti Nama menjadi HKLM \ SYSTEM \ CurrentControlSet \ Control \ SafeBoot \ N

 Hal ini mencegah Anda dari mengakses desktop Anda dengan menampilkan gambar di layar Anda. Gambar berisi petunjuk untuk mengirim SMS ke nomor premi sehingga Anda bisa mendapatkan kembali akses ke PC Anda. Gambar mungkin terlihat seperti ini :

 Juga menonaktifkan Explorer.exe dan Taskmgr.exe dan mouse control.

Trojan : Injector.DL

 Antivirus : FortiClient.


 W32/Injector.DL adalah deteksi generik untuk jenis trojan yang menggunakan packer kustom polimorfik karena ini adalah deteksi generik, malware yang terdeteksi sebagai W32/Injector.DL mungkin perilaku yang berbeda-Beda. berikut adalah contoh Bahasa Dari beberapa perilaku ini :

 Malware ini terhubung ke situs pgalv.pt dan men-download file ke % Temp% \ mss [RandomChar]. exe .  file yang didownload adalah aplikasi v5.1.2600.5512 Microsoft Windows Notepad. Ada kemungkinan bahwa penyerang dapat mengganti file berbahaya di kemudian hari.

 Malware ini biasanya datang sebagai pemberitahuan faktur. Di bawah ini adalah screenshot dari email :

 Malware ini menyamar dirinya menggunakan ikon Adobe PDF

Ransomware: Win32/Crowti

 Ini ransomware mengenkripsi file dan mengarahkan ke halaman web dengan petunjuk tentang cara untuk membuka. Ini meminta untuk melakukan pembayaran melalui Bitcoins .
 tebusan atau mengunci layar dapat menggunakan nama CryptoDefense atau CryptoWall.

 Antivirus: Microsoft Security Essentials , AVG , Dan Kaspersky .

 Informasi :

  Malware ini dapat mengenkripsi file pada komputer pengguna menggunakan kunci publik. file-file yang dapat didekripsi dengan kunci pribadi yang disimpan server.

 Ini menampilkan layar kunci serupa yang ditunjukkan di bawah ini untuk memberitahukan bahwa dapat memulihkan file menggunakan link pribadi yang mengarahkan ke halaman Web Tor meminta pembayaran menggunakan Bitcoins sebagai mata uang.

Trojan : Win32/LockScreen.BO

 Win32/LockScreen.BO adalah sebuah trojan yang mencegah pengguna dari mengakses komputer dipengaruhi oleh pengunci layar dan mencegah akses ke desktop. Hal ini memaksa pengguna untuk membeli voucher online untuk mengirim ke remote penyerang untuk membuka komputer.

 Antivirus : Microsoft Security Essentials.

 Informasi :

 Ketika dieksekusi, Trojan menampilkan layar berikut, yang mengklaim bahwa musik dibajak telah ditemukan di komputer dan karena itu komputer dikunci karena kegiatan berikut :

 Layar mengklaim bahwa Organisasi Hak Kinerja di Jerman (GEMA), adalah entitas terletak pada musik bajakan. Namun, layar adalah palsu dan hanyalah penipuan untuk mendapatkan uang dari pengguna.
 Untuk membuka komputer, pengguna harus membeli voucher secara onlinedan mengirimkannya ke remote penyerang. Namun, komputer tidak benar-benar terkunci bahkan jika pengguna mengirimkan voucher.

 Trojan ini memodifikasi pengaturan Internet Explorer berikut untuk mengaktifkan Active Scripting :

 Dalam subkunci :
 > HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ Zones \ 1\
 > HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ Zones \2 \
 Set Value : "1400"
 Data : "0"

 Menyembunyikan ikon Recycle Bin, My Computer, My Network Place.

Virus : HTML/Fraud.C

 Antivirus : FortiClient.

 HTML / Fraud.C adalah file HTML, ketika dibuka, halaman web yang tampak resmi meniru lembaga tertentu dalam upaya untuk mengelabui pengguna agar memasukkan data rahasia, seperti informasi rekening bank pribadi mereka dan bentuk lain dari informasi login.

 Berikut ini adalah beberapa server remote direferensikan oleh malware ini :

 > http://211.24/TruckScout24/infouser.php

 > http://59.12/formulaire.php

 Di bawah ini adalah contoh dari sebuah situs web phishing yang terdeteksi sebagai HTML / Fraud.C :

 

Adware : LBTM ! iPhoneOS

 Antivirus : FortiClient.
 Adware / LBTM! IPhoneOS adalah sebuah aplikasi untuk iPhone yang menampilkan pilihan lelucon di telepon. Hal ini didownload dari Apple AppStore, sebagai aplikasi gratis, dan terutama menargetkan penonton.
 Ketika diluncurkan, menyentuh splashscreen (lihat di bawah) panggilan nomor telepon premium yang korban akan dibebankan.

 Aplikasi ini juga menampilkan beberapa iklan yang berbeda di bagian bawah layar. Tergantung pada iklan, ini dapat menyebabkan telepon menelepon nomor telepon premium yang sesuai.
 Adware / LBTM iPhoneOS tidak diam-diam menempatkan panggilan: iPhone memperingatkan pengguna akhir aplikasi mencoba untuk memanggil nomor telepon yang diberikan. Namun, fakta hanya menyentuh splashscreen aplikasi memicu panggilan telepon, dan pengembang aplikasi fakta itu tidak secara eksplisit memperingatkan pengguna praktek semacam ini adalah batas.
 Sistem administrator mungkin ingin melindungi pengguna akhir mereka dari penagihan yang tak terduga dan karenanya mendeteksi ini.

Virus : Android/Ewalls.A

 Antivirus : FortiClient

 Android/Ewalls bertindak sebagai aplikasi wallpaper untuk ponsel android. Namun, di latar belakang, ia akan mengirimkan banyak informasi melalui HTTP. informasi ini menyangkut telepon, tetapi juga informasipribadi seperti nomor telepon dan IMSI.

 Malware ini juga melaporkan kembali ke website pengembang yang wallpaper dipilih. Semua informasi ini dikirim melalui HTTP tanpa persetujuan pengguna. Tergantung pada langganan, hal ini juga dapat mengakibatkan kerugian finansial.

 Gambar Android/Walls.A Icon kiri bawah.

 Ketika malware diluncurkan, malware ini mengambil IMEI telepon, menciptakan preferensi berbagai file di telepon dan memulai "SyncDeviceInfoService" layanan.
 Kelas utama menangani aplikasi GUI, menciptakan menu pilihan, menampilkan halaman web bantuan, mengirimkan umpan balik kepada penulis.
 Layanan SyncDeviceInfoService memiliki satu tugas yaitu mengambil informasi perangkat dan mengirim informasi tersebut untuk web server jauh, bersama dengan IMEI telepon.
 http://t.us/api/wallpapers/log/device_info?ss=ss
 Post HTTP berisi dua parameter :
 1. uniquely_code : yang berisi IMEI telepon.
 2. device_info : string yang merangkai informasi perangkat.

 setiap kali pengguna, menetapkan wallpaper baru, wallpaper didownload dan disimpan di SD Card. Kemudian malware mengirimkan permintaan ke server berikut :
http://t.us/api/wallpapers/photos/feedback

Dengan sebagai argumen IMEI dan kata kunci "set" pengguna. Log ditulis ke / sdcard / ewallpapers / space.

Trojan : Ramnit

 Keluarga malware ini mencuri informasi sensitif, seperti bank nama pengguna dan sandi anda. Juga dapat memberikan hacker jahat mengakses dan mengontrol komputer.
 Ancaman ini dapat diinstal pada komputer melalui drive removable terinfeksi, seperti USB flash drive.

 Antivirus : Microsoft Security Essentials dan Microsoft Safety Scanner

 Informasi :

 Ini menciptakan entri registry berikut :

 Subkunci : HKLM / Software / Microsoft / Windows NT / CurrentVersion / Winlogon
 Nilai : Userinil
 Data : ProgramFiles / Microsoft / watermark.exe

 Ramnit meluncurkan sebuah instance baru dari sistem proses svchost.exe, itu mencari secara default web browser dan menyuntikkan kodenya ke dalam proses browser.
 Menginfeksi file .exe .dll, dan .scr. Lalu menginfeksi file dokumen HTML, file HTML yang terinfeksi telah ditambahkan VBScript.

  Ramnit membuat installer untuk removable drive dengan nama file acak. File juga dapat di tempatkan dibawah direktori secara acak bernama folder RECYLCER pada root drive.
 Juga menempatkan file autorun.inf dalam direktori root dari drive yang ditargetkan. File autorun.inf tersebut memberitahu sistem operasi untuk memulai file malware secara otomatis ketika drive jaringan diakses dari komputer lainnya yang mendukung fitur autorun.

 Ramnit menghubungi ke server jauh, dihubungkan melalui TCP port 443.
 Dan menghasilkan nama server komando dan kontrol yang menggunakan domain generasi algoritma (tetap), misalnya :
 > caytmlnlrou.com
 > swbadolov.com
 > ubkfgwqslhqyy.com
 > vwaeloyyutodtr.com

 Malware dapat melakukan hal berikut ini :

 1. Mencuri kredensial FTP
 2. Mengaktifkan akses backdoor dan kontrol melalui VNC (Virtual Network Computing)
 3. Mencuri kredensial bank
 4. Memblok antivirus yang berjalan

Trojan : Win32/Kuluoz

 Kuluoz adalah trojan yang mencoba untuk mencuri password yang disimpan dalam aplikasi tertentu dan sensitif file dari komputer.

 Antivirus : Microsoft Windows Malicious Software Removal Tool

 Informasi :

 Trojan mungkin menginfeksi komputer melalui email spam yang memiliki lampiran, biasanya menggunakan ZIP arsip file lampiran. Seperti dalam contoh pesan berikut :

 Lampiran adalah benar-benar salinan trojan ini. Jika membuka arsip ZIP, itu salinan dirinya ke komputer menggunakan nama file seperti ini :
 > csrss.exe
 > urlman.exe
 > txbalmst.exe

 Trojan juga mencuri rincian login disimpan dari aplikasi transfer file dan web browser, dan upload rincian pencurian ke server jauh, Seperti infopepsigoood.ru

 Berikut ini adalah contoh dari remote server yang digunakan oleh trojan ini :
 > krasguatanany.ru
 > everkosmo2012.ru
 > aboutnorth2012.ru

Trojan : Win32/Wysotot.Gen

 Trojan ini dapat membuat perubahan ke browser web pengguna mulai penyedia pencari halaman dan default.
 Biasanya terpasang pada komputer dengan bundlers perangkat lunak yang mengiklankan perangkat lunak bebas atau permainan.

 Antivirus : Microsoft Security Essentials.

 Informasi :

 Satu installer telah mendistribusikan Wysotot.gen ditunjukkan di bawah ini :




 Ketika installer diluncurkan, itu membuat folder dalam direktori %ProgramFiles% dan menjatuhkan file yang ada, misalnya %ProgramFiles% \ v9soft \ v9kb.exe
 Itu juga meluncurkan DLL dalam direktori %TEMP%, misalnya %TEMP% \ v9loader.dll, dan menginstall sebagai sebuah objek browser helper.

 Trojan juga memodifikasi penyedia layanan pencarian default untuk www.v9.com seperti yang ditunjukkan di bawah ini :

Trojan : Win32/Filcout

 Aplikasi ini digunakan untuk membantu menemukan program untuk menjalankan file yang tidak diketahui, namun disisi lain juga dapat download malware lainnya tanpa sepengetahuan .

 Antivirus : Microsoft Safety Scanner

 Informasi :

 aplikasi ini dengan nama FileScout atau filescout.exe
 Ini menginstall file ini :
 > TEMP / 3168_12440 / manifest.json
 > TEMP / 662E.tmp
 > TEMP / capE397.tmp

 Ia menciptakan shortcut pada komputer yang terlihat pada berikut :

 Ini menampilkan jendela berikut ketika mencoba untuk membuka file yang tidak terkait dengan program ini :

 Saat berjalan, aplikasi mengirimkan permintaan GET HTTP ke server jauh, yang kemudian merespon dengan perntah untuk download file dan menginstall varian sefnit.

Exploit : Win32/JSRedir.R

 Antivirus : Sophos

 Biasanya, JSRedir.R ditemukan pada situs yang sah, tersembunyi pada JavaScript dan memuat konten berbahaya dari situs pihak ketiga tanpa sepengetahuan pengguna. Script disembunyikan mencoba untuk download kode berbahaya dari sebuah situs yang disebut gumblar.cn

 Situs lalu lintas tinggi telah terkena serangan termasuk tidak sangat menyenangkan.
 Selain itu, jika pengguna menjalankan sebuah situs web pastikan aman adri gangguan hacker untuk menyuntikkan kode berbahaya ke halaman. Tidak seorang pun harus dalam keraguan bahwa web adalah vektor utama yang digunakan oleh hacker untuk menginfeksi komputer saat ini.

TrojanDropper: O97M/Poshkod.Gen

 Ia adalah generik untuk makro virus berbahaya yang dapat dijalankan secara otomatis ketika membuka dokumen Microsoft Word atau Excel. Ia termasuk ransomware.
 Ancaman tiba pada komputer sebagai spam email attachment.

 Antivirus: Microsoft Safety Scanner, Kaspersky, Sophos.

 Informasi:

 Mereka berjalan ketika dokumen Microsoft Word dan Microsoft Excel spreadsheet dibuka dan Visual Basic for Application (VBA) macro diaktifkan pada komputer.

  Ancaman ini melekat email spam sebagai .doc atau .xlsx.
  Trojan men-download dan menjalankan PowerShell berbahaya dari URL berikut :

http://powerwormjqj42hu.onion/get.php?s=setup&mom=4C4C4544-0050-3010-804C-B4C04F4C5131&uid = <Infected PC UUID>

Skrip berbahaya diundang dan mungkin regular tidak dapat ditulis di disk. Ini dapat melakukan sejumlah tindakan pilihan penyerang dan dapat berubah setiap saat.

Virus : FLyff 666.dll.vbs

 Antivirus : SMADAV

 Semua drive di My Computer akan dihidden :

 Control panel akan didisable :

 Menulis pesan di Internet Explorer :

  Ia mengakibatkan beberapa program tidak berjalan semestinya, contohnya :

 > Mendisable TaskManager, CMD, Regedit, MsConfig.
 > Akan membuat pesan Startup : " H4xOr3d by FLyff 666 " dan " Saya adalah program jahat yang akan mengambil alih komputer kalian !! System Hasbeen Hacked By : FLyff 666 From Indonesian Hackers Community.
 > Disetiap Drive akan ada virus ini dan juga di C:\WINDOWS
 > Akan mendisable klik kanan pada mouse
 > akan memblok beberapa AV, seperti : Ansav, PCMAV, dan NOD32. 

HackTool: Win32/AutoKMS

 Dapat digunakan untuk "crack" atau patch yang terdaftar salinan Microsoft Office.

 Antivirus: Microsoft Security Essentials.

 Informasi:

 Ancaman Suami Mencoba untuk mengaktifkan salinan terdaftar Microsoft Office.
 Suami menunjukkan PESAN berikut:

 Berkas Suami berisi TEKS berikut:

-----------------------------------------------

 AutoKMS 2.4.3.0 Ran Pada run> <date.
 Mencoba Untuk Aktifkan Microsoft Office
 Mencoba Untuk Aktifkan OfficeProPlus-KMS_Client
 <Sukses aktivasi Produk>

-----------------------------------------------
Suami juga menciptakan Tugas sehingga Alat berjalan PADA waktu Yang sama.

Worm : MSIL/Crilock.A

 Crilock.A dapat sebagai pembaruan perangkat lunak atau aktivator untuk software berbayar seperti TeamViewer, Photoshop, ESET antivirus, dan Windows Office. Menyebar ke komputer melalui Removable Drive.
 Ini mengenkripsi file dan meminta untuk membayar uang tebusan untuk mengambilnya. Meminta untuk membayar menggunakan Bitcoin dalam waktu 72 jam.

 Antivirus : Microsoft Security Essentials, Avira, BitDefender.

 Ancaman ini berada di system folder bernama msunet.exe
 Ini menciptakan entri registry berikut sehingga secara otomatis berjalan setiap windows start :

 Subkunci : HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
 Value : MSUpdate
 data : <system folder> \ msunet.exe

 Ini menyalin dirinya dalam semua removable disk dengan nama setup.exe. Hal ini mungkin juga menginfeksi file EXE.

 Ancaman ini mengubah Autorun pada removable USB dan CD/DVD drive ke :

 Subkunci : HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer
 Value : NoDriveTypeAutorun
 Data : 145

 Ancaman berjalan di PC dan mengenkripsi jenis file berikut menggunakan kunci publik yang unik dengan RSA-4096. Ini kemudian meminta untuk membayar untuk menerima kunci pribadi dan dan mengambil file pengguna.
 Ancaman terhubung ke server ini untuk menerima perintah dan mengirim perintah :
 > strathmorej.byethost3.com
 > strathmorej.coolpage.biz

 Hal ini dapat menerima perintah-perintah ini :
 1. Memperbarui sendiri
 2. Menjalankan Denial of Service (DoS)
 3. Menonaktifkan PC pengguna

Trojan: Gen.InjectorNero

 Antivirus: SMADAV

 Informasi:

  Sensei adalah sufiks yang digunakan oleh orang - orang jepang sebagai panggilan untuk orang-orang yang dihormati karena posisinya.

 Karakteristik Virus :

 File: Guru
 CompanyName: Sensei
 Versi: 5.7.2.2
 UKURAN: 186 KB
 Dibuat : Borland Delphi 4.0

 Aksi Virus :

 saat virus aktif, menyalin dirinya pada sistem dengan alamat folder :

 > %APPDATA% \ <Nama_Acak.exe>

 Juga membuat parameter / perintah "Run" agar virus dijalankan otomatis saat komputer dihidupkan pada Registry berikut :

 > HKEY_CURRENT_USER \ Software \ Microsoft \Windows \ CurrentVersion \ Run

 Trojan juga terhubung dengan situs web berikut :

 > dcool.su
 > n0ur.org
 > m4r4.org

Rogue: Win32/Vakcune

 Program Vakcune adalah sebuah Yang dapat menampilkan atau melaporkan Hasil pemindaian Yang menyesatkan. Suami mungkin keliru mengidentifikasi berkas Yang Bersih Desa sebagai malware.

 Antivirus: McAfee .

 Informasi:

 Antarmuka mungkin mirip berikut:

 Vakcune mungkin cara membuat folder berikut * Semua Dan subfolder:

 > % ProgramFiles% \ VIHunter
 > % ProgramFiles% \ VIHunter \ etc \ UpdateMgr.exe
 > % ProgramFiles% \ VIHunter \ VIHunter.exe \ Scan

Trojan : Win32/Dircrypt

 Ancaman mungkin didapat ke PC melalui email spam atau diunduh oleh malware lainnya. Mengenkripsi file dan untuk meminta tebusan menuntut pengguna membayar untuk mendapatkan akses ke file kembali.

 Antivirus : Microsoft Security Essentials, Dr.Web, Norman.

 Informasi :

 Trojan dapat menyebar melalui email spam atau diunduh oleh malware lainnya. Itu bisa drop beberapa salinan ke dalam folder ini menggunakan nama file acak :

 > ProgramFiles \gnucleus \brcduejm.exe
 > APPDATA \adobe \ankiybii.exe
 > TEMP \iazkodqn.exe

 Itu juga bisa drop file lain dalam PC sebagai dari proses instalasi :

 > APPDATA \dirty \ alertwall.jpg -yang terlihat seperti ini :

 > APPDATA \ dirty \ dirtydecrypt.exe

 Ancaman ini juga menciptakan berikut registri perubahan itu berjalan secara otomatis setiap kali windows start :

 Subkunci : HKCU\Software\Microsoft\Windows\CurrentVersion\Run
 Nilai : "<random value name>"
 Data : " %APPDATA%\ <random folder > \ < malware file name >.exe "

 Subkunci : HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
 Nilai : "Userinit"
 Data : <system folder > \ Userinit.exe

TrojanProxy : Win32/Cahecon.A

 Ancaman ini dapat mengarahkan web browser pengguna menggunakan proxy server berbahaya bila menggunakan internet. Ini dapat memberikan hacker mengakses informasi pribadi pengguna.
 Itu dapat diinstall pada PC ketika mengunjungi sebuah situs web  yang meminta menginstal Flash Player palsu.

 Antivirus : Microsoft Safety Scanner, AVG, BitDefender.

 Informasi :

 Mendownload file dengan nama file berikut :

 > FlashPlayer11_install.exe
 > Flash Player12_install.exe

 Trojan memodifikasi entri registry berikut :

 Subkunci : HKLM\SOFTWARE\Microsoft\Security Center
 Nilai : UACDisableNotify
 Data : 1

 Subkunci : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system
 Nilai : EnableLUA
 Data : 0

 Subkunci : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\systemrestore
 Nilai : DisableSR
 Data : 1

 Trojan juga dapat menghubungi server berikut melalui HTTP POST :
  http://uol.conhecaauol.com.br/black/?
 Ketika menjalankan, trojan menginstall dan menjalankan file-file berikut :
 > TEMP \ install.cpl
 > TEMP \  random.bat

HackTool : Android/SMSib

Antivirus : FortiClient
 iSMS adalah sebuah aplikasi yang mampu mengirimkan pesan SMS dari nomor telepon. iSMS adalah MIDlet, yaitu aplikasi Java untuk perangkat mobile. Oleh karena itu berjalan pada setiap ponsel yang mendukung Java / MIDP. Sebagian Symbian atau Windows CE.

 Hal ini dimaksudkan untuk mengirim SMS dengan nomor telepon pengirim palsu ini :

 Pesan tersebut ditransfer ke nomor telepon singkat tergantung negaranya. Nomor telepon singkat bisa diikat dengan industri pornografi. Jumlah pendek tergantung negaranya menerima pesan SMS dan memvalidasi transfer ke penerima yang ditunjukkan berikut :

 Pesan SMS yang dikirim dengan iSMS dengan persetujuan pengguna. Pesan terkirim tidak disimpan dalam pesan telepon yang dikirim.
 Aplikasi iSMS menginstall sebagai aplikasi yang sah berikut :

 Itu menentukan tidak boleh untuk lelucon, membawa palsu dan fitnah informasi. Namun, kemampuannya untuk menipu nomor telepon pengirim adalah terbatas.

Trojan : Win32/Cribit.A

 Cribit.A adalah ransomware yang encypts banyak jenis file, termasuk dokumen dan spreadsheet.

 Antivirus : Microsoft Security Essentials, Kaspersky, Symantec.

 Informasi :

 Cribit.A menyalin dirinya menjadi %APPDATA% \ Folder, menggunakan nama file acak dengan panjang 5 sampai 15 karakter. Sebagai contoh, file bernama " APPDATA \ ylohf.exe ".
 Ini juga membutuhkan file ini sebagai bagian dari proses instalasi :

 > bitcrypt.ccw - file konfigurasi malware.
 > del.bat - file batch yang menggunakan untuk menjalankannya, setelah itu menggunakan file ini untuk menghapusnya sehingga tidak meninggalkan jejak di PC pengguna.

 Trojan Cribit.A terus-menerus memeriksa untuk melihat apakah salah satu proses ini berjalan, dan menghentikannya :

 > taskmgr.exe (Task Manager).
 > regedit.exe (Registry Editor).

 Trojan ini mencari file dengan ekstensi di semua disk drive.
 Untuk setiap file yang ia temukan, mengenkripsi file dengan AES key. File yang dienkripsi memiliki ekstensi .bitcrypt atau .bitcrypt2.

 Setelah semua target file telah dienkripsi, itu membuka catatan tebusan dan perubahan latar belakang desktop :


 

Exploit : JS/Fiexp

 Fiexp adalah komponen JavaScript memiliki sebuah kit mengeksploitasi yang disebut Fiesta. Ia pertama kali memeriksa browser , versi, dan plugin yang terpasang. Hal ini menentukan cara eksploitasi untuk digunakan di PC pengguna. Itu dapat mengeksploitasi kerentanan di Java, Adobe Flash Player, Adobe Acrobat Reader, Microsoft Silverlight, dan Internet Explorer.

 Antivirus : Microsoft Security Essentials.

 Informasi :

 PC pengguna mungkin menemukan infeksi dengan ancaman ini dengan mengklik pada link dalam email, atau hanya dengan mengunjungi website hacker berbahaya.

 Microsoft Silverlight
 Untuk pengguna Internet Explorer, Fiexp sering memeriksa apakah silverlight diinstal dan diaktifkan.
Ia kemudian memeriksa salah satu versi berikut :
 > 4.0.50401.0
 > 5.0.60818.0
 > 5.1.10411.0

 Versi ini sangat rentan terhadap kesalahan yang dijelaskan dalam CVE-2013-0074, mengeksploitasi sebagai Exploit : MSIL/CVE-2013-0074.

Internet Explorer
 Fiexp juga memeriksa apakah Internet Explorer rentan terhadap kekurangan dalam CVE-2013-2551 mengeksploitasi ini sebagai Exploit : JS/CVE-2013-2551.
 Jika versi Internet Explorer rentan, melewati iframe data sehingga Internet Explorer beban data yang memicu kerentanan untuk dimanfaatkan.

 Java Runtime Environmen (JRE)
 Fiexp memeriksa jika pengguna memiliki Java terinstall, dan memeriksa apakah rentan terhadap kekurangan berikut :
 > CVE-2013-2463
 > CVE-2013-1493
 > CVE-2012-0507

 Adobe Acrobat Reader
 Fiexp memeriksa apakah versi Adobe Acrobat Reader rentan terhadap eksploitasi dalam CVE-2011-2104
Mengeksploitasi sebagai Exploit : Win32/pidief.

Adware : Win32/Blindbat

 Program adware ini menunjukkan iklan saat pengguna menelusuri web. Ini dapat diunduh dari situs program atau dibundel dengan beberapa program instalasi perangkat lunak pihak ketiga.

Antivirus : Microsoft Security Essentials

Informasi :

 Adware blindbat menambahkan plug-in untuk Internet Explorer, Seperti contoh berikut :

 Menginstall file-file berikut ke folder %ProgramFiles% \ blindbat :
 > blindbatUninstall.exe
 > blindbatBHO.dll
 > blindbat.ico

 Ia juga memodifikasi kunci registry berikut untuk menginstall pada PC pengguna :
 > HKLM \ software \ blindbat
 > HKLM \ SOFTWARE \ CLASSES \ INTERFACE \ {A653C2BF-2527-4CA5-B18E-CF0199205274}
 > HKLM \ SOFTWARE \ CLASSES \ TYPELIB \ {cb1efc96-b4ad-4a33-b6fe-7f7bf4039d0a}\1.0

Adware blindbat menunjukkan iklan saat pengguna menelusuri internet, Seperti contoh berikut :

Trojan : Win32/Sefnit

 Ini dapat memungkinkan backdoor akses, men-download file, dan menggunakan koneksi PC dan Internet untuk click-fraud.
 Online click-fraud adalah penyalahgunaan yang disengaja dari pendapatan iklan dengan menghasilkan klik yang tidak berasal dari calon pelanggan, atau dengan pembajakan klik dari penerbit yang sah.
 Beberapa versi dari Sefnit dapat memantau Internet Explorer atau Mozilla Firefox untuk membajak hasil pencarian bila menggunakan Google, Yahoo, dan Bing.
 Men-download lewat jaringan peer-to-peer, mungkin adalah sebuah program yang sah. Ia menyebar melalui eMule berbagai program, berpura-pura menjadi program yang sah.
 Gambar dibawah ini adalah contoh dari bundler perangkat lunak yang menginstall Sefnit selama instalasi :

Varian Sefnit menggunakan nama layanan berikut :
 > FlashPlayerUpdateService.exe - Adobe Flash Player Update Service.
 > BleServicesCtrl.exe - Bluetooth LE Services Control Protocol.
 > TrustedInstaller.exe - Windows Modules Installer.

 Beberapa varian host layanan proxy sah yang disebut 3proxy sebagai dari bagian muatan click fraud.

 Versi Sefnit mungkin sampai di sistem file eksekusi dan drop komponen DLL menggunakan berbagai nama file dan folder.
 versi kemudian mengubah registri sehingga salinan menjatuhkan secara otomatis berjalan setiap kali Windows start, seperti berikut :
 Tempat : HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
 File : mfcUserppm
 Aplikasi : rundll32.exe

 Trojan terhubung ke remote server, dikenal sebagai Command and Control (C&C) server. Ketika terhubung, mencoba untuk men-download data yang atau untuk mengambil tindakan.
 Beberapa domain (C&C) yang digunakan oleh trojan ini meliputi :
 > updservice.net
 > svcupd.net
 > updsvc.com

 Trojan menggunakan metode berbeda untuk menghubungi server, contohnya :
 > HTTP
 > HTTP melalui Tor
 > SSH sah menggunakan aplikasi PuTTY.

 Beberapa varian menambahkan layanan Tor dengan nama " Tor Win32 Service " Ini layanan yang sah yang digunakan oleh trojan untuk anonymize trafik jaringan.


  

Rogue : FakeSpypro

 Keluarga rogue ini program palsu yang mengklaim bahwa PC terinfeksi virus. Ia kemudian memaksa untuk membayar produk untuk menghapus virus dari PC.
 Program-program ini dapat menunjukkan peringatan dan deteksi palsu untuk meyakinkan untuk membeli perangkat lunak keamanan palsu. Beberapa program menggunakan nama produk atau logo yang sah meniru produk Microsoft.

Antivirus : Microsoft Security Essentials, McAfee, Symantec, dan Kaspersky.

 FakeSpyro telah didistribusikan dengan banyak nama. Ini pendistribusian dari Trojan menggunakan berbagai macam metode instalasi, dengan nama file dan modifikasi sistem yang dapat dari satu varian ke yang berikutnya.
 FakeSpyro dapat diinstall dari situs web program atau rekayasa sosial dari situs web pihak ketiga. Ketika dijalankan, menyalin dirinya ke "%windir%\ Sysguard.exe" dan menetapkan entri registry untuk menjalankan sendiri.
 Ini komponen DLL untuk " <system folder> \ iehelper.dll " dan menetapkan nilai registry berikut untuk memuat di mulai Windows dan untuk mendaftar komponen DLL sebagai BHO.
 FakeSpyro dapat men-download file dari URL tertentu. Ini men-download file dari spywrprotect-2009.com.

 Ketika Trojan dieksekusi, Menampilkan antarmuka sebagai berikut :

 Trojan secara teratur mengirimkan peringatan palsu adanya infeksi virus :

 DLL, " <system folder> \ iehelper.dll " , dipasang oleh FakeSpyro digunakan sampai surfing penggunaan internet. Dapat memodifikasi hasil pencarian untuk mesin pencari.

 Digunakan untuk mendistribusikan perangkat lunak keamanan palsu. situs ini dapat muncul mirip sebagai berikut :



 Tujuan dari pesan adalah memikat pengguna ke halaman di mana dapat membeli produk palsu, seperti berikut :

 FakeSpyro memodifikasi Windows Host File. Host lokal mengesampingkan DNS dari URL situs web ke alamat IP tertentu. Malware sering memodifikasi file host komputer yang terinfeksi dalam rangka untuk menghentikan pengguna dari dan mengakses situs yang terkait dengan aplikasi yang berhubungan dengan keamanan.
 Contoh alamat IP yang SKPLBI  seperti dalam contoh berikut :
195.245.119.131 browser-security.microsoft.com.

 FakeSpyro memodifikasi registry sehingga Trojan berjalan sebagai Proxy Server sendiri untuk mengelola browsing internet.
 Aplikasi : Proxy Server
 Data : http = 127.0.0.1:5555
 Letak : HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings.

 Trojan ini memungkinkan pengguna untuk menjalankan browser web seperti Internet Explorer, tetapi setiap upaya untuk mengunjungi situs web menghasikan tampilan palsu " Peringatan Internet Explorer " seperti berikut :

Rogue : Win32/Winwebsec

 Wnwebsec adalah sekelompok program yang mengklaim untuk scan PC untuk malware dan menunjukkan peringatan palsu.
 Program meminta membayar untuk daftar perangkat lunak dan menghapusnya.
 Beberapa program ini mencoba untuk meniru Microsoft dengan menggunakan nama dan logo.

Antivirus : Microsoft Security Essentials, McAfee, Norman dan Symantec.

Informasi :

 Trojan ini mungkin menampilkan dialog yang meniru Windows Security Center.
 Antarmuka pengguna dan rincian lainnya bervariasi untuk varian masing-masing merek individu. Ini berbeda dengan trojan menggunakan berbagai metode instalasi, dengan nama file dan modifikasi sistem yang bisa berbeda dari satu varian ke yang berikutnya.
 Varian winwebsec saat ini :

 > Antivirus Security Pro.







> Disk Antivirus Professional.

 > System Doctor 2014.

 > Security Sphere 2012.

 Varian terbaru dari Winwebsec telah menggunakan sertifikat curian untuk menambahkan kepalsuan legitimasi instalasinya.
 Baca Selengkapnya >> 

Adware : Win32/Feven

 Program adware ini menunjukkan iklan saat menelusuri web. Itu dapat didownload dari situs program atau diinstal oleh bundlers perangkat lunak yang menawarkan gratis aplikasi atau games.
 Program ini dapat membuat uninstaller yang dapat diakses dari Panel Control. Saat berjalan uninstaller ini dapat menghapus beberapa atau semua file yan terkait.
 Entri untuk program ini mungkin disebut "Dedi gejuy Pro" atau sesuatu yang serupa dan mungkin terlihat seperti ini :

 Antivirus : Microsoft Security Essentials.

Informasi :

 Ketika berjalan, installer dapat menambahkan plugin untuk Internet Explorer, Firefox, dan Chrome.
Contoh plugin Internet Explorer ditampilkan di bawah ini :



 Pada Mozilla Firefox dapat dilihat di bawah ini :




 Feven menunjukkan iklan saat menelusuri internet. Iklan dapat muncul di kedua situs web dan penelusuran hasil mesin pencari, yang dtampilkan dalam contoh berikut :

 Itu juga dapat mengarahkan ke situs yang berbeda dari yang ingin dikunjungi. Halaman arahan ulang dapat meminta untuk mengisi survei atau menginstall perangkat lunak pada PC. Contoh pengalihan situs web yang mencoba untuk men-download perangkat lunak dibawah ini :

 Mungkin melihat berikut bila menggunakan browser internet :
 > Iklan tambahan ketika menggunakan mesin pencari.
 > Iklan bila mengunjungi sejumlah situs web.