Worm : Autorun.AGG
Ancaman ini adalah worm-program sendiri dapat menyebar sendiri dari komputer. Worm dapat menyebar melalui berbagai saluran sendiri yang berbeda untuk membahayakan komputer baru. Worm biasanya menyebar menggunakan metode yang berhubung, tetapi regular tidak terbatas. Mungkin, menyalin diri untuk removable disk atau jaringan dan menempatkan autorun.inf dalam direktori dan masih terkait langsung mendorong yang teekena dampak. Dalam upaya untuk memastikan bahwa worm dijalankan ketika removable drive yang terpasang.
Antivirus : Microsoft Security Essentials, Kaspersky dan McAfee.
Informasi :
1. Ancaman ini dapat melakukan perubahan konfigurasi sistem yang terkena regular tidak dapat dipulihkan oleh pendeteksian.
2. Worm ini berupaya untuk menyebarkan melalui removable drive pada komputer yang mendukung fungsionalitas autorun. Ini adalah menggunakan metode yang sangat umum menyebar bagi malware.
3. Ketika dieksekusi, worm salinan sendiri untuk %windir%\temp\_istmpi.dir\mmc32.exe
4. Worm menciptakan berkas pada komputer yang terkena dampak, yaitu :
● %Windir%\temp\log.txt
● %Windir%\temp\_istmpi.dir\autorun.inf
● < Folder Sistem >\crss.exe
Catatan : < sistem folder > merunjuk ke lokasi variabel yang diposkan malware oleh SISTEM untuk Net. PT ANEKA TAMBANG Tbk instalasi standar untuk folder sistem untuk Windows 2000 dan NT adalah C:\Winnt\System32 dan untuk Vista, XP dan 7 adalah C:\Windows\System32.
5. Malware menggunakan kode injeksi untuk menghalangi deteksi dan penghapusan. Ketika worm mengeksekusi, itu mungkin menyuntikkan kode ke dalam, menjalankan alt proses, misalnya :
● explorer.exe
● services.exe
6. Worm dapat menghubungi remote host di cococh.b0b.org menggunakan port 53.
Kamis, 27 Februari 2014
Selasa, 18 Februari 2014
BrowserModifier : Win32/Zwangi
Ini browsermodifier membuat perubahan pada browser internet anda. Hal ini dapat memgubah hasil mesin pencari anda dan menunjukkan iklan pop-up.
Antivirus : Windows Defender dan Symantec.
Informaai :
1. Program ini menimbulkan ancaman tinggi untuk PC anda.
2. Program ini dapat membuat sebuah uninstaller yang dapat diakses dari Control Panel. Menjalankan uninstaller ini mungkin menghapus beberapa atau semua file yang terkait dengan program ini.
3. Entri untuk program ini dapat disebut Zwangi 1.0 build 127.
4. Ancaman ini menciptakan folder berikut dan file menggunakan format berikut :
> Folder
● %ProgramFiles%\<Screen <name
● %APPDATA%\<Screen <name
> Nama file
● <Screen Name="">.dll
● <Screen Name="">.exe
● Uninstall.exe
5. Nama-nama awal menjatuhkan file yang juga tergantung pada nama layar dan versi software, melainkan menggunakan format berikut :
● <Screen Name <version> .exe
6. Di luar sana, ancaman ini berjalan pada browser berikut :
● Firefox 3.6
● Google Chrome Beta
● Internet Explorer 6
● Internet Explorer 7
● Internet Explorer 8
7. Bila memasukan kata kunci di address bar browser, ia mengubahnya menjadi sebuah kotak pencarian internet dengan membuka halaman hasil pencarian di halaman web sendiri, yaitu :
● questbrowse.com
● weemi.com
● zwangi.com
8. Ancaman ini juga dapat mengganti atau menimpa halaman error yang biasanya ditampilkan ketika browser mengakses halaman web yang tidak dapat diselesaikan (HTTP error 404).
9. Anda lihat kunci ini di registry anda :
● HKLM\SYSTEM\ControlSet001\ZwangiSearch Service.
Ini browsermodifier membuat perubahan pada browser internet anda. Hal ini dapat memgubah hasil mesin pencari anda dan menunjukkan iklan pop-up.
Antivirus : Windows Defender dan Symantec.
Informaai :
1. Program ini menimbulkan ancaman tinggi untuk PC anda.
2. Program ini dapat membuat sebuah uninstaller yang dapat diakses dari Control Panel. Menjalankan uninstaller ini mungkin menghapus beberapa atau semua file yang terkait dengan program ini.
3. Entri untuk program ini dapat disebut Zwangi 1.0 build 127.
4. Ancaman ini menciptakan folder berikut dan file menggunakan format berikut :
> Folder
● %ProgramFiles%\<Screen <name
● %APPDATA%\<Screen <name
> Nama file
● <Screen Name="">.dll
● <Screen Name="">.exe
● Uninstall.exe
5. Nama-nama awal menjatuhkan file yang juga tergantung pada nama layar dan versi software, melainkan menggunakan format berikut :
● <Screen Name <version> .exe
6. Di luar sana, ancaman ini berjalan pada browser berikut :
● Firefox 3.6
● Google Chrome Beta
● Internet Explorer 6
● Internet Explorer 7
● Internet Explorer 8
7. Bila memasukan kata kunci di address bar browser, ia mengubahnya menjadi sebuah kotak pencarian internet dengan membuka halaman hasil pencarian di halaman web sendiri, yaitu :
● questbrowse.com
● weemi.com
● zwangi.com
8. Ancaman ini juga dapat mengganti atau menimpa halaman error yang biasanya ditampilkan ketika browser mengakses halaman web yang tidak dapat diselesaikan (HTTP error 404).
9. Anda lihat kunci ini di registry anda :
● HKLM\SYSTEM\ControlSet001\ZwangiSearch Service.
Senin, 17 Februari 2014
Virus : DOS/Rovnix.W
Tojan ini dapat membuat PC anda kecelakaan tiba-tiba. Jika anda dapat reboot PC anda setelah kecelakaan, anda harus menjalankan scan penuh antivirus.
Antivirus : Windows Defender Offline dan Microsoft Security Essentials.
Informasi :
1. Ancaman ini adalah bahaya Volume Boot Record (VBR), yang dimuat dijalankan saat boot. Mencoba mengutak-atik beberapa data kernel windows untuk me-load driver sendiri. Ini mungkin bypass Driver Signature Enforcement pada sistem 64-bit.
2. Trojan berbahaya menyuntikkan malware komponen lain, ke proses explorer.exe.
3. Untuk menyembunyikan kehadirannya, driver dimuat penyadapan hard disk operasi (input/output) dan kembali bersih salinan asli jika VBR diakses.
Tojan ini dapat membuat PC anda kecelakaan tiba-tiba. Jika anda dapat reboot PC anda setelah kecelakaan, anda harus menjalankan scan penuh antivirus.
Antivirus : Windows Defender Offline dan Microsoft Security Essentials.
Informasi :
1. Ancaman ini adalah bahaya Volume Boot Record (VBR), yang dimuat dijalankan saat boot. Mencoba mengutak-atik beberapa data kernel windows untuk me-load driver sendiri. Ini mungkin bypass Driver Signature Enforcement pada sistem 64-bit.
2. Trojan berbahaya menyuntikkan malware komponen lain, ke proses explorer.exe.
3. Untuk menyembunyikan kehadirannya, driver dimuat penyadapan hard disk operasi (input/output) dan kembali bersih salinan asli jika VBR diakses.
Minggu, 16 Februari 2014
TrojanDropper : Win32/Rovnix.A
Trojan ini adalah trojan yang memodifikasi New Technology File System (NTFS) sektor boot dari hard drive untuk mengeksekusi malware lainnya. Trojan ini juga menginstall komponen, untuk me-restart komputer sehingga sektor boot NTFS diubah akan mengeksekusi.
Antivirus : Microsoft Safety Scanner, Kaspersky, dan Trend Micro.
Informasi :
1. Ketika dijalankan, trojan ini menulis kode berbahaya ke sektor-sektor tertentu disk dari hard drive lokal. Ia juga memodifikasi sektor boot NTFS untuk mengeksekusi kode yang tertulis.
Pada 32-bit Windows, kode terdeteksi sebagai VirTool : WinNT/Rovnix.A.
Pada 64-bit Windows, kode terdeteksi sebagai VirTool : Win64/Rovnix.A.
2. Trojan ini menginstall komponen, yang me-restart komputer. Selama proses boot komputer terkena, sektor boot NTFS diubah akan mencoba untuk memuat kode berbahaya yang ditulis oleh trojan itu sendiri.
Trojan ini adalah trojan yang memodifikasi New Technology File System (NTFS) sektor boot dari hard drive untuk mengeksekusi malware lainnya. Trojan ini juga menginstall komponen, untuk me-restart komputer sehingga sektor boot NTFS diubah akan mengeksekusi.
Antivirus : Microsoft Safety Scanner, Kaspersky, dan Trend Micro.
Informasi :
1. Ketika dijalankan, trojan ini menulis kode berbahaya ke sektor-sektor tertentu disk dari hard drive lokal. Ia juga memodifikasi sektor boot NTFS untuk mengeksekusi kode yang tertulis.
Pada 32-bit Windows, kode terdeteksi sebagai VirTool : WinNT/Rovnix.A.
Pada 64-bit Windows, kode terdeteksi sebagai VirTool : Win64/Rovnix.A.
2. Trojan ini menginstall komponen, yang me-restart komputer. Selama proses boot komputer terkena, sektor boot NTFS diubah akan mencoba untuk memuat kode berbahaya yang ditulis oleh trojan itu sendiri.
Sabtu, 15 Februari 2014
Virus : Gen.Autoit(Fake Webcam)
Karakteristik Virus :
Ukuran : 775 Kb
Icon : WebCam
File Version :3.3.6.1
Software pembuat : Autoit Versi 3
> HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell = “Explorer.exe “C:\windows\system32_.exe
> HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Yahoo Messengger = “C:\windows\system32\system32_.exe”
Search Engine Virus
Karakteristik Virus :
Ukuran : 775 Kb
Icon : WebCam
File Version :3.3.6.1
Software pembuat : Autoit Versi 3
File Induk Virus :
Saat aktif virus akan menanamkan file induknya disistem, lokasi file induk tersebut berada di :
> C:\Windows\System32\system32_.exe
File induk tersebut akan dijadikan proses utama oleh virus, agar file induk bisa berjalan secara otomatis.
> HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell = “Explorer.exe “C:\windows\system32_.exe
> HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Yahoo Messengger = “C:\windows\system32\system32_.exe”
Search Engine Virus
saat pertama kali aktif, virus membuat beberapa shortcut yang mengarah langsung ke website search engine yang dibuat oleh pembuat virus, file-file shortcut tersebut berada di :
> C:\Users\<NamaUser>\Desktop\Sioril.lnk
> C:\ProgramData\Microsoft\Windows\StartMenu\Programs\Startup\Google.lnk
> C:\Users\<NamaUser>\Favorites\Make Friends.lnk
> C:\Users\<NamaUser>\Documents\New Jobs info.lnk
Dari shortcut tersebut mengarah ke website search engine virus berikut :
> www.sioril.com
> www.todaygoogle.com
> www.My3.in
> www.smsopen.com
Virus juga merubah search engine dan HomePage browser Internet Explorer & Firefox, serta menambahkan task scheduled yang mengarah pada website search engine virus.
Kill Process
Kill Process
Berikut beberapa program dan tools windows yang akan ditutup paksa oleh virus :
> game_y.exe
> Bkav2006
> cmd.exe
Infeksi seluruh drive & Network share
Virus ini mencoba menyebarkan dirinya secara menyeluruh pada setiap drive yang ada dikomputer korban, dengan membuat duplikat virus diroot drive dan sub folder yang ada didalam drive tersebut,mjadi berapa banyak folder yang ada disetiap drive, akan segitu juga banyaknya duplikat virus :
> New Folder.exe (Attribut Normal)
> system32_.exe (Attribut Hidden)
> <NamaFolder> \ <NamaFolder>.exe
Virus ini juga mencoba menginfeksi data / folder yang tersharing dijaringan, jika drive / folder sharing tersebut memiliki akses Full Access, maka virus akan membuat satu duplikat disana dengan nama New Folder.exe
Menyebar Via Instan Messaging
Sama seperti variant terdahulu virus ini mentargetkan beberapa aplikasi instan messaging yang biasa digunakan orang untuk chating, berikut ini daftar aplikasi yang menjadi target penyebaran virus :
> Yahoo Messenger
> Google Talk
> Skype
Virus juga akan menambahkan akun si pembuat virus dengan ID foxjones9 didaftar kontak YM. jika ada permintaan dengan id tersebut segera tolak dan hapus dari list pertemanan anda.
Auto Update Virus
Pada variant baru ini, pembuat virus menambahkan fungsi otomatis update variant virus, jika virus menemukan variant baru maka virus akan mendownload dan mengganti virus yang lama dengan variant terbarunya, hal ini dibuat tentunya untuk menghindari deteksi scaner Antivirus.
Link yg digunakan virus untuk mengupdate variantnya :
> http://h1.ripway.com/ssecuremycam (##Sensor ##)
Antivirus : SMADAV (Versi Terbaru)
> Google Talk
> Skype
Virus juga akan menambahkan akun si pembuat virus dengan ID foxjones9 didaftar kontak YM. jika ada permintaan dengan id tersebut segera tolak dan hapus dari list pertemanan anda.
Auto Update Virus
Pada variant baru ini, pembuat virus menambahkan fungsi otomatis update variant virus, jika virus menemukan variant baru maka virus akan mendownload dan mengganti virus yang lama dengan variant terbarunya, hal ini dibuat tentunya untuk menghindari deteksi scaner Antivirus.
Link yg digunakan virus untuk mengupdate variantnya :
> http://h1.ripway.com/ssecuremycam (##Sensor ##)
Antivirus : SMADAV (Versi Terbaru)
Kamis, 13 Februari 2014
Backdoor : Win32/Ripinip.P
Ancaman ini dapat memberikan hacker akses tidak sah dan kendalikan PC anda.
Antivirus : Microsoft Safety Scanner dan Windows Defender.
Informasi :
1. Backdoor ini adalah trojan yang memungkinkan akses yang tidak sah dan kontrol pada PC anda.
2. Backdoor ini menciptakan file-file berikut pada PC anda :
● Men-download dan menjalankan file
● Meng-upload file
● Memodifikasi pengaturan sistem anda
● Menjalankan dan mematikan aplikasi
● Menghapus file
3. Backdoor ini menciptakan file-file berikut pada PC anda :
● <system folder> \ Chrome.exe
● c:\dokumen dan pengaturan\LocalService\aplikasi data\conhost.exe
4. Terdeteksi oleh definisi : 1.165.3736.0
Tingkat alert : parah
Ancaman ini dapat memberikan hacker akses tidak sah dan kendalikan PC anda.
Antivirus : Microsoft Safety Scanner dan Windows Defender.
Informasi :
1. Backdoor ini adalah trojan yang memungkinkan akses yang tidak sah dan kontrol pada PC anda.
2. Backdoor ini menciptakan file-file berikut pada PC anda :
● Men-download dan menjalankan file
● Meng-upload file
● Memodifikasi pengaturan sistem anda
● Menjalankan dan mematikan aplikasi
● Menghapus file
3. Backdoor ini menciptakan file-file berikut pada PC anda :
● <system folder> \ Chrome.exe
● c:\dokumen dan pengaturan\LocalService\aplikasi data\conhost.exe
4. Terdeteksi oleh definisi : 1.165.3736.0
Tingkat alert : parah
Rabu, 12 Februari 2014
Trojan : Win32/Drawnetz.A
Ancaman ini dapat melakukan sejumlah tindakan seorang hacker pilihan pada PC anda.
Antivirus : Windows Defender, Kaspersky, dan McAfee.
Informasi :
1. Trojan ini menciptakan berkas-berkas berikut pada PC anda :
● c:\dokumen dan pengaturan\administrator\aplikasi data\avcheck.exe
● c:\dokumen dan pengaturan\administrator\aplikasi data\pendencias.exe
● c:\dokumen dan pengaturan\administrator\aplikasi data\tfile.jsp
2. Trojan menonaktifkan User Account (LUA), juga dikenal sebagai administrator di mode persetujuan admin jenis pengguna.
Catatan : Menonaktifkan LUA memungkinkan semua aplikasi untuk menjalankan secara default dengan semua hak akses administratif. Anda tidak akan dimintai persetujuan eksplisit.
3. Perangkat lunak jahat dapat menghubungi host remote berikut menggunakan port 80 :
● printlux.by
● www.tobiasteka.hu
4. Umumnya, malware melakukan ini untuk :
● Mengkonfirmasi konektivitas internet
● Menerima instrusi dari remote hacker
● Meng-upload data yang diambil dari PC anda
Ancaman ini dapat melakukan sejumlah tindakan seorang hacker pilihan pada PC anda.
Antivirus : Windows Defender, Kaspersky, dan McAfee.
Informasi :
1. Trojan ini menciptakan berkas-berkas berikut pada PC anda :
● c:\dokumen dan pengaturan\administrator\aplikasi data\avcheck.exe
● c:\dokumen dan pengaturan\administrator\aplikasi data\pendencias.exe
● c:\dokumen dan pengaturan\administrator\aplikasi data\tfile.jsp
2. Trojan menonaktifkan User Account (LUA), juga dikenal sebagai administrator di mode persetujuan admin jenis pengguna.
Catatan : Menonaktifkan LUA memungkinkan semua aplikasi untuk menjalankan secara default dengan semua hak akses administratif. Anda tidak akan dimintai persetujuan eksplisit.
3. Perangkat lunak jahat dapat menghubungi host remote berikut menggunakan port 80 :
● printlux.by
● www.tobiasteka.hu
4. Umumnya, malware melakukan ini untuk :
● Mengkonfirmasi konektivitas internet
● Menerima instrusi dari remote hacker
● Meng-upload data yang diambil dari PC anda
Minggu, 09 Februari 2014
Exploit : Win32/CVE-2011-0104
Ini adalah file microsoft office berbahaya yang mengeksploitasi kerentanan.
File ini mungkin akan tiba sebagai lampiran ke email spam dan mungkin menggunakan teknik rekayasa sosial untuk mendapatkan anda untuk membukanya.
Antivirus : Kaspersky, Avira, McAfee dan Norman.
Informasi :
1. Kerentanan ini mempengaruhi microsoft excel 2002 SP3 dan 2003 SP3, microsoft office 2004 dan 2008 for Mac dan Open XML File Format Converter for Mac.
2. Jika PC anda dipengaruhi oleh kerentanan ini, membuka file excel berbahaya mungkin memicu mengeksploitasi untuk menjalankan kode berbahaya, seperti mendownload malware lainnya.
Ini adalah file microsoft office berbahaya yang mengeksploitasi kerentanan.
File ini mungkin akan tiba sebagai lampiran ke email spam dan mungkin menggunakan teknik rekayasa sosial untuk mendapatkan anda untuk membukanya.
Antivirus : Kaspersky, Avira, McAfee dan Norman.
Informasi :
1. Kerentanan ini mempengaruhi microsoft excel 2002 SP3 dan 2003 SP3, microsoft office 2004 dan 2008 for Mac dan Open XML File Format Converter for Mac.
2. Jika PC anda dipengaruhi oleh kerentanan ini, membuka file excel berbahaya mungkin memicu mengeksploitasi untuk menjalankan kode berbahaya, seperti mendownload malware lainnya.
MSIL/Bepush
Ini adalah keluarga trojan yang men-download dan menginstall Chrome dan Firefox plugin. Plugin ini mengarahkan browser anda ke situs lain.
Trojan ini juga menggunakan plugin untuk menyebarkan diri mereka sendiri melalui situs media sosial, seperti Facebook, Twitter, VK (VKontakte), YouTube dan Google +, dengan posting link ke palsu video.
Antivirus : Microsoft Security Essentials dan Microsoft Safety Scanner.
Informasi :
1. Ketika ia memiliki akses posting link pada halaman anda yang mendorong teman atau pengikut anda untuk pergi ke video, Biasanya, pesan yang diposting dalam bahasa anda sendiri.
2. Ketika orang pergi ke video, mereka diberitahu mereka perlu untuk men-download update untuk Flash Player. Download adalah benar-benar salinan trojan, dan begitu mereka PC dan halaman pribadi maka terinfeksi.
3. Plugin perubahan pengaturan browser anda sehingga ketika anda membuka tab baru di Chrome atau Firefox, anda akan diarahkan ke situs www.fileshareservices.net/start.html.
4. Trojan ini mencoba untuk men-download Flash Player palsu pembaruan dari lokasi berikut :
● http://www.fileshareservices.org/extFiles/buflash.xpi
● http://www.fileshareservices.org/extFiles/bunelo.zip
● http://www.fileshareservices.org/extFiles/NewFile000305.exe
Domain yang host file yang sering berubah. Ini merupakan upaya untuk berkeliling perlindungan domain-blocking.
5. Trojan ini men-download file ke %ProgramData% folder dengan nama file berikut :
● FLVUpdate.exe
● Sextension\Flash_Plugin.exe
● Sextension\buflash.xpi
● Sextension\Sextension\bunelo.zip
● YokExe.exe
Ini adalah keluarga trojan yang men-download dan menginstall Chrome dan Firefox plugin. Plugin ini mengarahkan browser anda ke situs lain.
Trojan ini juga menggunakan plugin untuk menyebarkan diri mereka sendiri melalui situs media sosial, seperti Facebook, Twitter, VK (VKontakte), YouTube dan Google +, dengan posting link ke palsu video.
Antivirus : Microsoft Security Essentials dan Microsoft Safety Scanner.
Informasi :
1. Ketika ia memiliki akses posting link pada halaman anda yang mendorong teman atau pengikut anda untuk pergi ke video, Biasanya, pesan yang diposting dalam bahasa anda sendiri.
2. Ketika orang pergi ke video, mereka diberitahu mereka perlu untuk men-download update untuk Flash Player. Download adalah benar-benar salinan trojan, dan begitu mereka PC dan halaman pribadi maka terinfeksi.
3. Plugin perubahan pengaturan browser anda sehingga ketika anda membuka tab baru di Chrome atau Firefox, anda akan diarahkan ke situs www.fileshareservices.net/start.html.
4. Trojan ini mencoba untuk men-download Flash Player palsu pembaruan dari lokasi berikut :
● http://www.fileshareservices.org/extFiles/buflash.xpi
● http://www.fileshareservices.org/extFiles/bunelo.zip
● http://www.fileshareservices.org/extFiles/NewFile000305.exe
Domain yang host file yang sering berubah. Ini merupakan upaya untuk berkeliling perlindungan domain-blocking.
5. Trojan ini men-download file ke %ProgramData% folder dengan nama file berikut :
● FLVUpdate.exe
● Sextension\Flash_Plugin.exe
● Sextension\buflash.xpi
● Sextension\Sextension\bunelo.zip
● YokExe.exe
Jumat, 07 Februari 2014
Trojan : Autolt/Clodow
Ini adalah sebuah trojan yang men-download malware lain ke PC dari akun SkyDrive berbahaya atau dikompromikan.
Penulis malware dapat menempatkan setiap file dalam akun SkyDrive.
Antivirus : Microsoft Security Essentials dan Windows Defender.
Informasi :
1. Trojam ini dapat didownload dan dijalankan secara otomatis jika anda mengunjungi situs berbahaya. Hal ini biasanya download dengan nama file flashplayer.exe
2. Ketika dijalankan trojan akan menampilkan pesan berikut :
-----------------------------------------------------------
Installing latest Flash Player
Please Wait....
-----------------------------------------------------------
3. Trojan terhubung ke http://82.146.49.70/stats.php sebagai cara menghitung jumlah mesin yang telah terinfeksi.
4. Ini menggunakan format berikut untuk membuat URL dari mana ia men-download file berbahaya :
CID dan Resid nilai adalah string alfanumerik yang hardcoded dalam trojan asli. CID mengacu pada akun SkyDrive, dan Resid ke file atau sumber daya pada akun itu.
5. Trojan tetes dirinya sebagai %ProgramData%\Explorer.exe dan memodifikasi entri registry.
6. Trojan tersebut yang menggunakan sebagai skrip logon terhubung ke akun SkyDrive dan mengambil file :
● %APPDATA%\flashplayer2.exe
7. Ini menjalankan file batch yang akan menghapus file utama dan file batch sendiri. Varian Clodow menggunakan nama file winproc.bat dan uecubrb.bat.
8. Trojan menciptakan mutex.dldl. Ini bisa menjadi penanda infeksi untuk mencegah lebih dari satu salinan dari ancaman yang berjalan pada PC anda.
9. Trojan ini berjalan di kedua 32-bit dan 64-bit versi windows
Ini adalah sebuah trojan yang men-download malware lain ke PC dari akun SkyDrive berbahaya atau dikompromikan.
Penulis malware dapat menempatkan setiap file dalam akun SkyDrive.
Antivirus : Microsoft Security Essentials dan Windows Defender.
Informasi :
1. Trojam ini dapat didownload dan dijalankan secara otomatis jika anda mengunjungi situs berbahaya. Hal ini biasanya download dengan nama file flashplayer.exe
2. Ketika dijalankan trojan akan menampilkan pesan berikut :
-----------------------------------------------------------
Installing latest Flash Player
Please Wait....
-----------------------------------------------------------
3. Trojan terhubung ke http://82.146.49.70/stats.php sebagai cara menghitung jumlah mesin yang telah terinfeksi.
4. Ini menggunakan format berikut untuk membuat URL dari mana ia men-download file berbahaya :
CID dan Resid nilai adalah string alfanumerik yang hardcoded dalam trojan asli. CID mengacu pada akun SkyDrive, dan Resid ke file atau sumber daya pada akun itu.
5. Trojan tetes dirinya sebagai %ProgramData%\Explorer.exe dan memodifikasi entri registry.
6. Trojan tersebut yang menggunakan sebagai skrip logon terhubung ke akun SkyDrive dan mengambil file :
● %APPDATA%\flashplayer2.exe
7. Ini menjalankan file batch yang akan menghapus file utama dan file batch sendiri. Varian Clodow menggunakan nama file winproc.bat dan uecubrb.bat.
8. Trojan menciptakan mutex.dldl. Ini bisa menjadi penanda infeksi untuk mencegah lebih dari satu salinan dari ancaman yang berjalan pada PC anda.
9. Trojan ini berjalan di kedua 32-bit dan 64-bit versi windows
Rabu, 05 Februari 2014
Trojan : VBS.Encrypted.A
Code maker atau virus maker dari virus ini memang bukanlah pemain baru, melainkan pemain lama dalam dunia pervirusan, sehingga pada virus yang akan dibahas kali ini memang agak sulit untuk dianalisa begitu saja untuk mengetahui aktifitas virus ini, karena memang sourcecode-nya terenkripsi, VBS.Encrypted.
Karakteristik Virus :
Tipe file: VBS
Tipe serangan: Trojan, BackDoor
Ukuran file: 95.2 KB (97,525 bytes)
Self defence: Encrypted sourcecode
Ukuran file virus saat terenkripsi menjadi lebih besar karena memiliki karakter code yang lebih banyak, terlebih memang menggunakan fungsi Char to String, tepatnya menggunakan ChrW (tipe data unicode).
Antivirus : SMADAV (Versi Terbaru)
Informasi :
1. Saat virus (trojan) ini aktif pada komputer, dia menanamkan diri pada sistem komputer, yaitu pada “Start Up” dan “Temp”. Membuat perintah Run pada Registry.
2. virus ini juga menyebar pada USB FlashDisk, tepatnya dengan menyamar menjadi file atau folder yang ada pada FlashDisk (pada root, bukan sub-folder), dalam bentuk Shortcut, sedangkan file atau folder aslinya dijadikan Hidden oleh virus ini.
Code maker atau virus maker dari virus ini memang bukanlah pemain baru, melainkan pemain lama dalam dunia pervirusan, sehingga pada virus yang akan dibahas kali ini memang agak sulit untuk dianalisa begitu saja untuk mengetahui aktifitas virus ini, karena memang sourcecode-nya terenkripsi, VBS.Encrypted.
Karakteristik Virus :
Tipe file: VBS
Tipe serangan: Trojan, BackDoor
Ukuran file: 95.2 KB (97,525 bytes)
Self defence: Encrypted sourcecode
Ukuran file virus saat terenkripsi menjadi lebih besar karena memiliki karakter code yang lebih banyak, terlebih memang menggunakan fungsi Char to String, tepatnya menggunakan ChrW (tipe data unicode).
Antivirus : SMADAV (Versi Terbaru)
Informasi :
1. Saat virus (trojan) ini aktif pada komputer, dia menanamkan diri pada sistem komputer, yaitu pada “Start Up” dan “Temp”. Membuat perintah Run pada Registry.
2. virus ini juga menyebar pada USB FlashDisk, tepatnya dengan menyamar menjadi file atau folder yang ada pada FlashDisk (pada root, bukan sub-folder), dalam bentuk Shortcut, sedangkan file atau folder aslinya dijadikan Hidden oleh virus ini.
Worm : Vobfus.WX
Ancaman ini adalah anggota dari Win32/Vobfus keluarga cacing. Beberapa cacing ini dapat men-download dan menjalankan file pada PC Anda.
Ancaman ini adalah anggota dari Win32/Vobfus keluarga cacing. Beberapa cacing ini dapat men-download dan menjalankan file pada PC Anda.
Mereka menyebar melalui jaringan dan removable drive.
Antivirus : Microsoft Malicious Software dan Windows Defender
Informasi :
1. Ancaman ini bisa membuat perubahan yang abadi tidak akan dikembalikan dengan mendeteksi dan menghapus itu.Ada informasi lebih lanjut di bawah ini tentang kembali PC ke kondisi pra-terinfeksi nya.
2. Worm:Win32/Vobfus.WX mencoba untuk menggunakan fungsi autorun Windows untuk menyebar melalui removable drive, seperti USB Flashdisk.
3. Worm:Win32/Vobfus.WX salinan dirinya ke lokasi-lokasi berikut:
- c:\dokumen dan pengaturan\administrator\passwords.exe
- c:\dokumen dan pengaturan\administrator\porn.exe
- c:\dokumen dan pengaturan\administrator\sexy.exe
- c:\dokumen dan pengaturan administrator\ c \secret.exe
4. Malware menciptakan berkas-berkas berikut PADA PC Anda :
- c:\dokumen dan pengaturan\administrator\rcx10.exe
- c:\dokumen dan pengaturan\administrator\rcx11.exe
- c:\dokumen dan pengaturan\administrator\rcx12.exe
5. Mendorong Removable drive dan jaringan
- < ditargetkan berkendara >: \passwords.exe
- < drive yang ditargetkan >: \porn.exe
- < ditargetkan berkendara >: \secret.exe
- dokumen dan pengaturan >: \sexy.exe
6. File ini juga menciptakan autorun.inf folderdi drive root removable. file instruksi penghubung untuk meluncurkan perangkat perusak secara otomatis ketika removable drive yang terhubung ke PC artikel baru fitur Autorun dihidupkan.
Namun, berkas autorun.inf sendiri ITU regular tidak sepenting tanda infeksi. Mereka juga digunakan program diposkan oleh yang sah.
7. worm ini mungkin menghubungi remote host di ns1.backdates.com menggunakan port 7008.
8. Terdeteksi oleh definisi : 1.165.3263.0
Tingkat Alert : Parah
Selasa, 04 Februari 2014
Trojan : Win32/Comine.M
Ancaman ini dapat melakukan sejumlah tindakan seorang hacker pilihan pada PC anda.
Antivirus : Microsoft Security Essentials dan Microsoft Safety Scanner.
Informasi :
1. Trojan ini menciptakan berkas-berkas berikut pada PC anda :
● c:\document and settings\administrator\local settings\temp\a1e.tmp
2. Trojan ini mungkin menghubungi remote host di ceigqweqwaywiqgu.org, menggunakan port 80.
3. Terdeteksi oleh definisi : 1.165.2427.0
Tingkat alert : parah
Ancaman ini dapat melakukan sejumlah tindakan seorang hacker pilihan pada PC anda.
Antivirus : Microsoft Security Essentials dan Microsoft Safety Scanner.
Informasi :
1. Trojan ini menciptakan berkas-berkas berikut pada PC anda :
● c:\document and settings\administrator\local settings\temp\a1e.tmp
2. Trojan ini mungkin menghubungi remote host di ceigqweqwaywiqgu.org, menggunakan port 80.
3. Terdeteksi oleh definisi : 1.165.2427.0
Tingkat alert : parah
Senin, 03 Februari 2014
VirTool : Win32/Injector.CL
Ini adalah deteksi generik untuk file berbahaya yang menyembunyikan dirinya sendiri untuk membuatnya lebih sulit untuk perangkat lunak keamanan untuk mendeteksi dan menghapusnya.
Ancaman ini dapat memiliki hampir semua prupose.
Antivirus : Microsoft Security Essentials dan Microsoft Safety Scanner.
Informasi :
1. Virus ini adalah deteksi generik untuk file berbahaya yang baru menggunakan teknik-teknik tertentu untuk melindungi mereka dari deteksi atau analisis.
2. File berbahaya umumnya dienkripsidan/atau dikompres atau disimpan dalam program lain yang decode file berbahaya atau beban itu. Program berbahaya dapat disuntikkan ke dalam proses yang bersih atau dimuat dalam proses baru sendiri. Tidak seperti "pipet", executable berbahaya tidak pernah ditulis ke disk sebagai file terpisah.
3. Program berbahaya terdeteksi sebagai VirTool : Win32/Injector.CL dapat memiliki hampir memiliki semua tujuan. Teknik ini digunakan oleh banyak keluarga malware yang berbeda untuk melindungi mereka dari deteksi dari analisis.
4. Terdeteksi oleh definisi : 1.131.1153.0
Ini adalah deteksi generik untuk file berbahaya yang menyembunyikan dirinya sendiri untuk membuatnya lebih sulit untuk perangkat lunak keamanan untuk mendeteksi dan menghapusnya.
Ancaman ini dapat memiliki hampir semua prupose.
Antivirus : Microsoft Security Essentials dan Microsoft Safety Scanner.
Informasi :
1. Virus ini adalah deteksi generik untuk file berbahaya yang baru menggunakan teknik-teknik tertentu untuk melindungi mereka dari deteksi atau analisis.
2. File berbahaya umumnya dienkripsidan/atau dikompres atau disimpan dalam program lain yang decode file berbahaya atau beban itu. Program berbahaya dapat disuntikkan ke dalam proses yang bersih atau dimuat dalam proses baru sendiri. Tidak seperti "pipet", executable berbahaya tidak pernah ditulis ke disk sebagai file terpisah.
3. Program berbahaya terdeteksi sebagai VirTool : Win32/Injector.CL dapat memiliki hampir memiliki semua tujuan. Teknik ini digunakan oleh banyak keluarga malware yang berbeda untuk melindungi mereka dari deteksi dari analisis.
4. Terdeteksi oleh definisi : 1.131.1153.0
TrojanSpy : Dosdekso.A
Trojan ini mengmpulkan informasi sensitif anda dan mengirimkan kepada hacker.
Antivirus : Trend Micro dan Microsoft Security Essentials
Informasi :
1. Trojan ini salinan dirinya ke c:\dokumen dan pengaturan\administrator\aplikasi data\getinfo.exe
2. Trojan ini mungkin menghubungi remote host di smtp.mail.yahoo.com menggunakan port 587.
3. Terdeteksi oleh definisi : 1.165.2320.0
Tingkat alert : parah
Trojan ini mengmpulkan informasi sensitif anda dan mengirimkan kepada hacker.
Antivirus : Trend Micro dan Microsoft Security Essentials
Informasi :
1. Trojan ini salinan dirinya ke c:\dokumen dan pengaturan\administrator\aplikasi data\getinfo.exe
2. Trojan ini mungkin menghubungi remote host di smtp.mail.yahoo.com menggunakan port 587.
3. Terdeteksi oleh definisi : 1.165.2320.0
Tingkat alert : parah
Sabtu, 01 Februari 2014
Worm : Win32/Shard.A
Worm ini menyebar melalui jaringan peer-to-peer (P2P) file sharing.
Antivirus : Sophos dan Microsoft Safety Scannet.
Informasi :
1. Worm ini dapat menyebar melalui peer-to-peer (P2P) file sharing dengan menyalin dirinya ke folder bersama dari beberapa aplikasi P2P. Worm salinan dirinya dengan nama yang di rancang untuk mendorong pengguna lain untuk men-download dan menjalankannya.
2. Worm ini menciptakan file-file berikut pada PC anda :
● c:\dokumen dan pengaturan\data administrator\aplikasi\microsoft windows\\task.exe
3. > Jika program-program berikut yang diinstall :
● bearshare
● emule
● Grokster
● Shareaza
> Malware dapat menyalin dirinya ke folder berikut :
● %ProgramFiles%\bearshare\bersama
● %ProgramFiles%\emule\yang masuk
● %ProgramFiles%\kazaa lite k+++\folder saya berbagi folder
● %ProgramFiles%\Grokster\Grokster saya
● %ProgramFiles%\Shareaza\downloads
4. Worm mungkin menghubungi remote host di tazbox.zapto.org menggunakan port 80.
5. Terdeteksi oleh definisi 1.165.2309.0
Tingkat alert : parah
Worm ini menyebar melalui jaringan peer-to-peer (P2P) file sharing.
Antivirus : Sophos dan Microsoft Safety Scannet.
Informasi :
1. Worm ini dapat menyebar melalui peer-to-peer (P2P) file sharing dengan menyalin dirinya ke folder bersama dari beberapa aplikasi P2P. Worm salinan dirinya dengan nama yang di rancang untuk mendorong pengguna lain untuk men-download dan menjalankannya.
2. Worm ini menciptakan file-file berikut pada PC anda :
● c:\dokumen dan pengaturan\data administrator\aplikasi\microsoft windows\\task.exe
3. > Jika program-program berikut yang diinstall :
● bearshare
● emule
● Grokster
● Shareaza
> Malware dapat menyalin dirinya ke folder berikut :
● %ProgramFiles%\bearshare\bersama
● %ProgramFiles%\emule\yang masuk
● %ProgramFiles%\kazaa lite k+++\folder saya berbagi folder
● %ProgramFiles%\Grokster\Grokster saya
● %ProgramFiles%\Shareaza\downloads
4. Worm mungkin menghubungi remote host di tazbox.zapto.org menggunakan port 80.
5. Terdeteksi oleh definisi 1.165.2309.0
Tingkat alert : parah
Langganan:
Postingan (Atom)