Adware : Win32/Feven

 Program adware ini menunjukkan iklan saat menelusuri web. Itu dapat didownload dari situs program atau diinstal oleh bundlers perangkat lunak yang menawarkan gratis aplikasi atau games.
 Program ini dapat membuat uninstaller yang dapat diakses dari Panel Control. Saat berjalan uninstaller ini dapat menghapus beberapa atau semua file yan terkait.
 Entri untuk program ini mungkin disebut "Dedi gejuy Pro" atau sesuatu yang serupa dan mungkin terlihat seperti ini :

 Antivirus : Microsoft Security Essentials.

Informasi :

 Ketika berjalan, installer dapat menambahkan plugin untuk Internet Explorer, Firefox, dan Chrome.
Contoh plugin Internet Explorer ditampilkan di bawah ini :



 Pada Mozilla Firefox dapat dilihat di bawah ini :




 Feven menunjukkan iklan saat menelusuri internet. Iklan dapat muncul di kedua situs web dan penelusuran hasil mesin pencari, yang dtampilkan dalam contoh berikut :

 Itu juga dapat mengarahkan ke situs yang berbeda dari yang ingin dikunjungi. Halaman arahan ulang dapat meminta untuk mengisi survei atau menginstall perangkat lunak pada PC. Contoh pengalihan situs web yang mencoba untuk men-download perangkat lunak dibawah ini :

 Mungkin melihat berikut bila menggunakan browser internet :
 > Iklan tambahan ketika menggunakan mesin pencari.
 > Iklan bila mengunjungi sejumlah situs web.

Worm : Win32/Dorkbot

Keluarga worm ini dapat mencuri nama pengguna dan password dengan menonton apa yang anda lakukan secara online. Mereka juga dapat download malware lainnya dan menghentikan anda dari mengunjungi situs web yang berhubungan dengan keamanan. Beberapa varian dapat menggunakan PC anda dalam serangan Denial of Service (DoS).

Mereka menyebar melalui infeksi USB Flash Drive, atau dalam link kiriman berbahaya meskipun pesan instan program dan jaringan sosial.

Antivirus : Microsoft Security Essentials dan Trend Micro.

Informasi :
 Dorkbot biasanya tiba sebagai link dalam atau jaringan sosial pesan instan. Link poin salinan worm yang dapat didownload dan berjalan di PC.

Ketika berjalan, varian dari Dorkbot mungkin menyalin diri ke folder %APPDATA% menggunakan nama file enam huruf dihasilkan secara acak, yang didasarkan nomor seri HDD, dengan menelepon GetVolumeInformation() API (misalnya : ozkqke.exe).

Dorkbot mungkin membuat folder bernama "RECYCLER" semua diakses USB Drive, dan mendaftarkannya sebagai Recycle Bin folder. Worm register pemberitahuan perangkat sehingga hal ini diberitahukan setiap kali pasang perangkat USB ke PC,. Kemudian menyalin sendiri ke perangkat USB, menggunakan nama variabel file, dan menciptakan Autorun file konfigurasi yang bernama "autorun.inf" menunjuk ke copy worm, file-file autorun.inf ini memberitahu sistem operasi untuk meluncurkan file worm secara otomatis ketika USB Drive ini diakses dari PC lain yang mendukung file autorun.

Menggunakan fungsi Backdoor, worm dapat dipesan oleh remote hacker menyebar melalui platform pemesanan instan seperti Windows Live Messenger, Pidgin Chat, Xchat, mIRC, dan Skype. Ia akan mengirimkan pesan ke semua kontak anda. Pesan yang dikirim dikonfigurasi oleh remote hacker.

Beberapa varian dorkbot dapat menyebar melalui skype APIs untuk mengirim link berbahaya ke semua kontak pada waktu interval tertentu, pesan yang mengandung tautan berbahaya mungkin terlihat sebagai berikut :

Jika kontak anda menerima dan kunjungi link, Worm men-download ke PC.
Catatan : Pesan mungkin berbeda berdasarkan pada lokasi saat ini dan lokal.

Varian dorkbot dapat dipesan untuk menyebarkan melalui layanan jaringan sosial seperti Facebook, Twitter, Bebo dll. Mirip dengan mengirimkan pesan instan, worm akan membajak pesan terkirim dan menggantinya dengan pesan yang berisi link copy worm. Jumlah pesan yang dikirim link berbahaya juga dikonfigurasi oleh remote hacker.

Varian dari dorkbot mungkin terhubung ke server IRC, bergabung dengan sebuah channel dan menunggu perintah. Worm menggunakan server IRC di domain berikut :
 > lovealiy.com
 > shuwhyyu.com
 > syegyege.com
Menggunakan backdoor ini, remote hacker dapat melakukan tindakan tertentu.

Worm menggunakan rootkit mode pengguna untuk mencegah dari melihat atau gangguan dengan file.

Ketika berjalan, worm menyuntikkan kode ke "explorer.exe" serta banyak proses lainnya berjalan pada PC.

Worm menghasilkan IRC dengan menghubungkan ke "api.wipmania" menggabungkan kode negara, versi sistem operasi, jenis pengguna dan string acak.
 > Versi sistem operasi dapat menjadi salah satu berikut : XP, 2K3, VIS, 2K8, W7, ERR (Error)
 > Kode negara adalah dua digit kode negara (misalnya : US-USA, ID-Indonesia, RU-Rusia dll).
 > Jenis pengguna adalah "a" (administrator) atau "u" (pengguna)

Menggunakan hasil dan server IRC informasi dari konfigurasinya internal, menghubungkan ke server IRC untuk mengambil data lebih lanjut atau infeksi parameter seperti download link, pesan Windows Live Messenger, dan daftar domain diantara informasi lainnya.
Jika log diaktifkan oleh hacker, setiap perintah yang berjalan adalah login dan dikirim ke server IRC dan ditampilkan dalam channel IRC yang mana bot terhubung.

Dorkbot terkait beberapa APIs untuk berbagai keperluan, seperti menyembunyikan komponen, penyebaran nama pengguna, dan sandi.

Karena dorkbot dapat men-download dan menjalankan file, sebagai mekanisme mendistribusikan perangkat lunak jahat mereka. Dalam wild, Dorkbot telah digunakan untuk download dan menjalankan Injector, Ransomware, dan malware lainnya.

Dorkbot berisi petunjuk untuk menghapus file download dan berjalan setelah reboot. perlu fitur yang harus diaktifkan hacker.

Worm menggunakan "pengawasan perilaku" untuk mengidentifikasi dan menghapus file yang muncul untuk berkomunikasi melalui Internet Relay Chat (IRC) atau menunjukkan perilaku worm seperti menyebar melalui USB media atau Removable Drive.

Dorkbot mampu mencegat browser internet dengan berbagai situs dan mendapatkan informasi sensitif. Hal ini dilakukan dengan mengaitkan berbagai APIs dalam Firefox dan Internet Explorer. Worm dapat pula menargetkan kredensial FTP.

Worm mungkin diperintahkan untuk login ke server FTP dan menginfeksi berbagai file HTML dengan menambahkan sebuah IFrame. Tndakan ini dapat memfasilitasi worm.

Worm juga dapat mengunduh daftar domain tambahan atau diperbarui dari sebuah situs web yang tepencil.

Ketika berjalan, melakukan pemeriksaan diri-integritas. Jika gagal, itu menunjukkan kotak pesan dan upaya untuk korup hard drive dengan menulis data sampah ke hard drive.











Ini juga menciptakan mutex untuk menghindari beberapa contoh dari dirinya sendiri, dan menandai kehadirannya. Kebanyakan varian menggunakan "hex-Mutex".

Virus : Gen.Golebert.













Merupakan varian dari virus Trasher, ukurannya hanya 300-an KB. Berikut situs resminya :
 > http://www.truecrypt.org.
Saat pertama virus aktif, virus akan mengcopykan dirinya ke :
 > C:\Documents and Settings\User\Local Settings\Temp\Adobe.
Menyamar sebagai bagian dari program Adobe dengan nama "Reader_sl.exe" yang nantinya akan otomatis aktif saat komputer dihidupkan karena telah dibuat nilai Autorun pada Registry.
Juga mengcopykan diri pada temporary directory dengan nama acak, yang nantinya akan dijalankan ketika user tak sengaja meng-klik shortcut yang telah dibuat virus pada setiap data, yang ada pada root flashdisk.

setelah berhasil mengcopykan diri ke komputer, akan menjalankan "Notepad" (yang dimanfaatkan sebagai jembatan untuk men-download virus beralamatkan IP : 194.1.247.242) dengan bantuan "svchost.exe".

Menyembunyikan file atau folder asli yang berada pada direktori utama flashdisk untuk diganti dengan file shortcut hasil modifikasi virus.



Antivirus : SMADAV 

Rogue : Win32/FakeXPA

FakeXPA adalah program yang mengklaim untuk memindai malware dan menampilkan peringatan palsu program jahat dan virus. Mereka kemudian meminta untuk membayar dan mendaftarkan perangkat lunak untuk menghentikan ancaman palsu ini dari PC. Beberapa varian juga dapat men-download malware lainnya.

Antivirus : Microsoft Safety Scanner dan untuk windows 8, Windows Defender.

Informasi :

1. FakeXPA telah didistribusikan dengan banyak nama yang berbeda. Antarmuka pengguna dan rincian lainnya berubah tergantung pada masing-masing merek individu.

2. Contoh varian fakeXPA antara lain :

 > Antivirus 2009

 > XP Antivirus :

3. Beberapa varian dari FakeXPA menginstal perangkat lunak jahat tambahan, yang menulis ke folder yang sama sebagai scanner palsu. Komponen ini memiliki nama file "win.exe".

4. Beberapa varian memeriksa registry untuk menentukan lokasi instalasi perangkat lunak dari perusahaan berikut :
 > Avast
 > Kaspersky
 > McAfee

5. Jika hadir, akan menggunakan tingkat NTFS (New Technology Fie System) disk untuk menimpa bagian dari file executable yang sesuai. Setelah jadi, file tidak dapat dijalankan. Ini efektif menonaktifkan perangkat lunak keamanan.
6. Jika sistem operasi telah diakses salinan file sebelum malware dijalankan, perubahan tidak mungkin jelas bagi pengguna sampai restart PC. Perubahan ini hanya jika hard disk drive yang berisi file dalam format NTFS.
Setelah selesai berjalan, mungkin menampilkan dialog berikut :

Exploit : JS/Meadgive.A

Itu untuk mengeksploitasi kerentanan di Java dan Silverlight untuk men-download dan menjalankan malware lainnya.

Antivirus : Microsoft Security Essentials dan Microsoft Safety Scanner.

Informasi :

1. Meadgive.A merupakan JavaScript tertanam dalam HTML halaman.
2. Ketika beban di browser, ini akan menampilkan pesan bahwa halaman masih loading, namun, mencoba untuk mengeksploitasi kerentanan berikut :
 > CVE-2012-1723 (Oracle Java SE 7 Update 4 dan sebelumnya, dan 1.4.2_37 dan sebelumnya).
 > CVE-2013-1493 (Oracle Java SE 7 Update 15 dan sebelumnya dan 5.0 Update 40 dan sebelumnya).
 > CVE-2013-3896 (Microsoft Silverlight 5 sebelum 5.1.20913.0).
 > CVE-2013-2551 (Microsoft Internet Explorer 6 sampai 10)
3. Jika berhasil mengeksploitasi salah satu kerentanan ini, ia menjalankan kode dan menjalankan komponen VBScript, men-download dan menjalankan malware lainnya dari server tertentu. Server ini mungkin berbahaya, sementara yang lain mungkin server yang sah yang telah dibajak untuk menjadi tuan rumah malware. Contoh server yang terhubung untuk men-download malware lainnya adalah :
 > arganicaoil.com
 > soylu.net
 > mountainmods.com
 > sd2575.sivit.org

HackTool : Win32/Keygen

Alat ini menghasilkan software kunci. Malware sering dipasang dengan alat ini.


Antivirus : Microsoft Security Essentials dan Kaspersky.

Informasi :

1. Keygen adalah nama untuk alat yang menghasilkan kunci untuk perangkat lunak.
2. Karena keygen sering didistribusikan dengan cara yang sama sebagai malware. Taktik rekayasa sosial yang umum digunakan oleh perangkat lunak jahat adalah untuk menyamar sebagai keygens, dalam mencoba untuk menipu agar men-download dan menjalankan perangkat lunak jahat.
3. Keygen mungkin memiliki antarmuka, tergantung pada tombol atau serial number mereka hasilkan.
Berikut ini adalah salah satu contoh dari generator nomor seri untuk Adobe Photoshop CS3 :

 Adware : Win32/OkitSpace

Antivirus : Microsoft Security Essentials dan Microsoft Safety Scanner.

Adware ini biasanya dipasang di folder berikut :
 > %APPDATA% \ okitspace
 > %APPDATA% \ ProtectExtension

Di Internet Explorer, diinstall sebaagai BHO dengan nama Okitspace Object atau BaseFlash Object :

Mungkin membuat entry registry ketika itu diinstall :
 > HKCR \ OkitSpace
 > HKCR \ OkitSpace.1
 > HKCR \ SOFTWARE \ Classes \ CLSID \ {3543619C-D563-95EA-4DA7E1CC396A}
 > HKLM \ SOFTWARE \ Classes \ OkitSpace
atau
 > HKCR \ BaseFlash
 > HKLM \ SOFTWARE \ Classes \ CLSID \ {C68AE9C0-0909-4DDC-13661-C1AFB9F5AE53}
 > HKLM \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Explorer \ Browser Helper Objects \ {C68AE9C0-0909-4DDC-B661-C1AFB9F5AE53}

Di browser Firefox, diinstall sebagai plugin dengan nama OkitSpace atau BaseFlash :

Di Chrome, diinstall sebagai plugin dengan nama OkitSpace atau BaseFlash :

Adware ini mungkin melakukan hal berikut saat anda menelusuri Internet menggunakan Internet Explorer, Chrome, Firefox :
 > Hubungi servernya (okitspace.com, baseflash.com) untuk mendapatkan pop - up akan ditampilkan di PC anda.
 > Tampilkan iklan yang tidak ada hubungannya dengan situs-situs yang anda kunjungi.
 > Tampilkan link yang tidak ada hubungannya dengan situs web yang anda kunjungi.

Situs-situs host di server yang tidak memiliki banyak informasi tentang program ini, dan memiliki teks yang identik dan layout :

Exploit : JS/Axpergle.A

Menggunakan kerentanan dalam versi terbaru dari Microsoft Silverlight, Adobe Flash Player, dan Java untuk menginstall malware pada PC anda. Mungkin mendapatkan ancaman ini jika anda mengunjungi situs web berbahaya atau hack, atau dengan mengklik link berbahaya dalam email.

Antivirus : Microsoft Security Essentials dan Other.

Informasi :

1. Ancaman ini menentukan browser, sistem operasi, dan versi yang anda gunakan.
Ia memeriksa jika menggunakan versi windows berikut :
 > Windows Vista
 > Windows 7
 > Windows 8 dan 8.1
 > Windows Home Server 2011
 > Windows server 2008 dan 2012
2. Jika anda menggunakan Internet Explorer, ancaman memeriksa apakah plugin diinstall dan diaktifkan.
kemudian memeriksa untuk kerentanan dengan melihat versi berikut :
 > 4.0.50401.0
 > 5.0.60818.0
 > 5.1.10411.0
mengeksploitasi kerentanan disebut sebagai CVE-2013-0074.
3. Pemeriksaan ancaman bagi kerentanan dalam Adobe Flash Player dengan melihat jika memiliki versi berikut :
 > 11.0.1.152
 > 11.4.000.000
 > 11.5.504.146
mengeksploitasi kerentanan disebut sebagai CVE-0634.
4. Pemeriksaan anaman bagi kerentanan dalam Java. Mencoba untuk megeksploitasi kerentanan CVE-2013-2460, yang mempengaruhi Oracle Java SE versi 7 update 21 dan sebelumnya.
5. Jika ancaman tersebut berhasil mengeksploitasi kerentanan, ia mencoba men-download malware ke PC anda. Ancaman ini mencoba men-download PWS : Win32/Zbot.
6. Ancaman ini merupakan bagian dari kit pengeksploitasi disebut "Angler".

Trojan : Win32/Retefe.A

Ancaman ini dapat mencuri informasi pribadi anda, seperti nama user online dan password. Hal ini diinstal pada PC anda ketika membuka file melekat pada phishing email.

Antivirus : Microsft Security Essentials dan Windows Defender.

Informasi :

1. Hal ini biasanya didistribusikan melalui email ditargetkan serangan phishing.
2. Ketika file dijalankan, trojan mencoba download dan install ke %ALLUSERSPROFILE%. itu menggunakan nama file netupdater.exe
3. Untuk tidak terdeteksi trojan dapat menampilkan jendela pesan menyarankan harus diinstall pada saat dibutuhkan untuk dijalankan sebagai administrator. Ini dapat menggunakan pesan dalam bahasa yang berbeda.
4. Trojan ini dapat mencuri data sensitif dari PC anda, seperti nama user online dan password. Hal ini dilakukan dengan memasang sertifikat yang ditandatangani sendiri palsu dan mencegat lalu lintas melalui browser internet anda. Ini menginstall sebuah sertifikat dengan sidik jari, kemudian menginstal sertifikat yang ditandatangani sendiri untuk digunakan oleh browser firefox.
5. Hal ini juga mengubah server DNS ke alamat IP dari server yang dikendalikan oleh penyerang. Berikut alamat IP yang digunakan :
 ● 193.169.244.191
 ● 93.171.202.99
6. Trojan mengakhiri proses berikut jika mereka menjalankan :
 ● Firefox.exe
 ● Iexplore.exe
 ● Chrome.exe