Trojan: Gen.InjectorNero

 Antivirus: SMADAV

 Informasi:

  Sensei adalah sufiks yang digunakan oleh orang - orang jepang sebagai panggilan untuk orang-orang yang dihormati karena posisinya.

 Karakteristik Virus :

 File: Guru
 CompanyName: Sensei
 Versi: 5.7.2.2
 UKURAN: 186 KB
 Dibuat : Borland Delphi 4.0

 Aksi Virus :

 saat virus aktif, menyalin dirinya pada sistem dengan alamat folder :

 > %APPDATA% \ <Nama_Acak.exe>

 Juga membuat parameter / perintah "Run" agar virus dijalankan otomatis saat komputer dihidupkan pada Registry berikut :

 > HKEY_CURRENT_USER \ Software \ Microsoft \Windows \ CurrentVersion \ Run

 Trojan juga terhubung dengan situs web berikut :

 > dcool.su
 > n0ur.org
 > m4r4.org

Rogue: Win32/Vakcune

 Program Vakcune adalah sebuah Yang dapat menampilkan atau melaporkan Hasil pemindaian Yang menyesatkan. Suami mungkin keliru mengidentifikasi berkas Yang Bersih Desa sebagai malware.

 Antivirus: McAfee .

 Informasi:

 Antarmuka mungkin mirip berikut:

 Vakcune mungkin cara membuat folder berikut * Semua Dan subfolder:

 > % ProgramFiles% \ VIHunter
 > % ProgramFiles% \ VIHunter \ etc \ UpdateMgr.exe
 > % ProgramFiles% \ VIHunter \ VIHunter.exe \ Scan

Trojan : Win32/Dircrypt

 Ancaman mungkin didapat ke PC melalui email spam atau diunduh oleh malware lainnya. Mengenkripsi file dan untuk meminta tebusan menuntut pengguna membayar untuk mendapatkan akses ke file kembali.

 Antivirus : Microsoft Security Essentials, Dr.Web, Norman.

 Informasi :

 Trojan dapat menyebar melalui email spam atau diunduh oleh malware lainnya. Itu bisa drop beberapa salinan ke dalam folder ini menggunakan nama file acak :

 > ProgramFiles \gnucleus \brcduejm.exe
 > APPDATA \adobe \ankiybii.exe
 > TEMP \iazkodqn.exe

 Itu juga bisa drop file lain dalam PC sebagai dari proses instalasi :

 > APPDATA \dirty \ alertwall.jpg -yang terlihat seperti ini :

 > APPDATA \ dirty \ dirtydecrypt.exe

 Ancaman ini juga menciptakan berikut registri perubahan itu berjalan secara otomatis setiap kali windows start :

 Subkunci : HKCU\Software\Microsoft\Windows\CurrentVersion\Run
 Nilai : "<random value name>"
 Data : " %APPDATA%\ <random folder > \ < malware file name >.exe "

 Subkunci : HKLM \ Software \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon
 Nilai : "Userinit"
 Data : <system folder > \ Userinit.exe

TrojanProxy : Win32/Cahecon.A

 Ancaman ini dapat mengarahkan web browser pengguna menggunakan proxy server berbahaya bila menggunakan internet. Ini dapat memberikan hacker mengakses informasi pribadi pengguna.
 Itu dapat diinstall pada PC ketika mengunjungi sebuah situs web  yang meminta menginstal Flash Player palsu.

 Antivirus : Microsoft Safety Scanner, AVG, BitDefender.

 Informasi :

 Mendownload file dengan nama file berikut :

 > FlashPlayer11_install.exe
 > Flash Player12_install.exe

 Trojan memodifikasi entri registry berikut :

 Subkunci : HKLM\SOFTWARE\Microsoft\Security Center
 Nilai : UACDisableNotify
 Data : 1

 Subkunci : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\system
 Nilai : EnableLUA
 Data : 0

 Subkunci : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\systemrestore
 Nilai : DisableSR
 Data : 1

 Trojan juga dapat menghubungi server berikut melalui HTTP POST :
  http://uol.conhecaauol.com.br/black/?
 Ketika menjalankan, trojan menginstall dan menjalankan file-file berikut :
 > TEMP \ install.cpl
 > TEMP \  random.bat

HackTool : Android/SMSib

Antivirus : FortiClient
 iSMS adalah sebuah aplikasi yang mampu mengirimkan pesan SMS dari nomor telepon. iSMS adalah MIDlet, yaitu aplikasi Java untuk perangkat mobile. Oleh karena itu berjalan pada setiap ponsel yang mendukung Java / MIDP. Sebagian Symbian atau Windows CE.

 Hal ini dimaksudkan untuk mengirim SMS dengan nomor telepon pengirim palsu ini :

 Pesan tersebut ditransfer ke nomor telepon singkat tergantung negaranya. Nomor telepon singkat bisa diikat dengan industri pornografi. Jumlah pendek tergantung negaranya menerima pesan SMS dan memvalidasi transfer ke penerima yang ditunjukkan berikut :

 Pesan SMS yang dikirim dengan iSMS dengan persetujuan pengguna. Pesan terkirim tidak disimpan dalam pesan telepon yang dikirim.
 Aplikasi iSMS menginstall sebagai aplikasi yang sah berikut :

 Itu menentukan tidak boleh untuk lelucon, membawa palsu dan fitnah informasi. Namun, kemampuannya untuk menipu nomor telepon pengirim adalah terbatas.

Trojan : Win32/Cribit.A

 Cribit.A adalah ransomware yang encypts banyak jenis file, termasuk dokumen dan spreadsheet.

 Antivirus : Microsoft Security Essentials, Kaspersky, Symantec.

 Informasi :

 Cribit.A menyalin dirinya menjadi %APPDATA% \ Folder, menggunakan nama file acak dengan panjang 5 sampai 15 karakter. Sebagai contoh, file bernama " APPDATA \ ylohf.exe ".
 Ini juga membutuhkan file ini sebagai bagian dari proses instalasi :

 > bitcrypt.ccw - file konfigurasi malware.
 > del.bat - file batch yang menggunakan untuk menjalankannya, setelah itu menggunakan file ini untuk menghapusnya sehingga tidak meninggalkan jejak di PC pengguna.

 Trojan Cribit.A terus-menerus memeriksa untuk melihat apakah salah satu proses ini berjalan, dan menghentikannya :

 > taskmgr.exe (Task Manager).
 > regedit.exe (Registry Editor).

 Trojan ini mencari file dengan ekstensi di semua disk drive.
 Untuk setiap file yang ia temukan, mengenkripsi file dengan AES key. File yang dienkripsi memiliki ekstensi .bitcrypt atau .bitcrypt2.

 Setelah semua target file telah dienkripsi, itu membuka catatan tebusan dan perubahan latar belakang desktop :


 

Exploit : JS/Fiexp

 Fiexp adalah komponen JavaScript memiliki sebuah kit mengeksploitasi yang disebut Fiesta. Ia pertama kali memeriksa browser , versi, dan plugin yang terpasang. Hal ini menentukan cara eksploitasi untuk digunakan di PC pengguna. Itu dapat mengeksploitasi kerentanan di Java, Adobe Flash Player, Adobe Acrobat Reader, Microsoft Silverlight, dan Internet Explorer.

 Antivirus : Microsoft Security Essentials.

 Informasi :

 PC pengguna mungkin menemukan infeksi dengan ancaman ini dengan mengklik pada link dalam email, atau hanya dengan mengunjungi website hacker berbahaya.

 Microsoft Silverlight
 Untuk pengguna Internet Explorer, Fiexp sering memeriksa apakah silverlight diinstal dan diaktifkan.
Ia kemudian memeriksa salah satu versi berikut :
 > 4.0.50401.0
 > 5.0.60818.0
 > 5.1.10411.0

 Versi ini sangat rentan terhadap kesalahan yang dijelaskan dalam CVE-2013-0074, mengeksploitasi sebagai Exploit : MSIL/CVE-2013-0074.

Internet Explorer
 Fiexp juga memeriksa apakah Internet Explorer rentan terhadap kekurangan dalam CVE-2013-2551 mengeksploitasi ini sebagai Exploit : JS/CVE-2013-2551.
 Jika versi Internet Explorer rentan, melewati iframe data sehingga Internet Explorer beban data yang memicu kerentanan untuk dimanfaatkan.

 Java Runtime Environmen (JRE)
 Fiexp memeriksa jika pengguna memiliki Java terinstall, dan memeriksa apakah rentan terhadap kekurangan berikut :
 > CVE-2013-2463
 > CVE-2013-1493
 > CVE-2012-0507

 Adobe Acrobat Reader
 Fiexp memeriksa apakah versi Adobe Acrobat Reader rentan terhadap eksploitasi dalam CVE-2011-2104
Mengeksploitasi sebagai Exploit : Win32/pidief.

Adware : Win32/Blindbat

 Program adware ini menunjukkan iklan saat pengguna menelusuri web. Ini dapat diunduh dari situs program atau dibundel dengan beberapa program instalasi perangkat lunak pihak ketiga.

Antivirus : Microsoft Security Essentials

Informasi :

 Adware blindbat menambahkan plug-in untuk Internet Explorer, Seperti contoh berikut :

 Menginstall file-file berikut ke folder %ProgramFiles% \ blindbat :
 > blindbatUninstall.exe
 > blindbatBHO.dll
 > blindbat.ico

 Ia juga memodifikasi kunci registry berikut untuk menginstall pada PC pengguna :
 > HKLM \ software \ blindbat
 > HKLM \ SOFTWARE \ CLASSES \ INTERFACE \ {A653C2BF-2527-4CA5-B18E-CF0199205274}
 > HKLM \ SOFTWARE \ CLASSES \ TYPELIB \ {cb1efc96-b4ad-4a33-b6fe-7f7bf4039d0a}\1.0

Adware blindbat menunjukkan iklan saat pengguna menelusuri internet, Seperti contoh berikut :

Trojan : Win32/Sefnit

 Ini dapat memungkinkan backdoor akses, men-download file, dan menggunakan koneksi PC dan Internet untuk click-fraud.
 Online click-fraud adalah penyalahgunaan yang disengaja dari pendapatan iklan dengan menghasilkan klik yang tidak berasal dari calon pelanggan, atau dengan pembajakan klik dari penerbit yang sah.
 Beberapa versi dari Sefnit dapat memantau Internet Explorer atau Mozilla Firefox untuk membajak hasil pencarian bila menggunakan Google, Yahoo, dan Bing.
 Men-download lewat jaringan peer-to-peer, mungkin adalah sebuah program yang sah. Ia menyebar melalui eMule berbagai program, berpura-pura menjadi program yang sah.
 Gambar dibawah ini adalah contoh dari bundler perangkat lunak yang menginstall Sefnit selama instalasi :

Varian Sefnit menggunakan nama layanan berikut :
 > FlashPlayerUpdateService.exe - Adobe Flash Player Update Service.
 > BleServicesCtrl.exe - Bluetooth LE Services Control Protocol.
 > TrustedInstaller.exe - Windows Modules Installer.

 Beberapa varian host layanan proxy sah yang disebut 3proxy sebagai dari bagian muatan click fraud.

 Versi Sefnit mungkin sampai di sistem file eksekusi dan drop komponen DLL menggunakan berbagai nama file dan folder.
 versi kemudian mengubah registri sehingga salinan menjatuhkan secara otomatis berjalan setiap kali Windows start, seperti berikut :
 Tempat : HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run
 File : mfcUserppm
 Aplikasi : rundll32.exe

 Trojan terhubung ke remote server, dikenal sebagai Command and Control (C&C) server. Ketika terhubung, mencoba untuk men-download data yang atau untuk mengambil tindakan.
 Beberapa domain (C&C) yang digunakan oleh trojan ini meliputi :
 > updservice.net
 > svcupd.net
 > updsvc.com

 Trojan menggunakan metode berbeda untuk menghubungi server, contohnya :
 > HTTP
 > HTTP melalui Tor
 > SSH sah menggunakan aplikasi PuTTY.

 Beberapa varian menambahkan layanan Tor dengan nama " Tor Win32 Service " Ini layanan yang sah yang digunakan oleh trojan untuk anonymize trafik jaringan.


  

Rogue : FakeSpypro

 Keluarga rogue ini program palsu yang mengklaim bahwa PC terinfeksi virus. Ia kemudian memaksa untuk membayar produk untuk menghapus virus dari PC.
 Program-program ini dapat menunjukkan peringatan dan deteksi palsu untuk meyakinkan untuk membeli perangkat lunak keamanan palsu. Beberapa program menggunakan nama produk atau logo yang sah meniru produk Microsoft.

Antivirus : Microsoft Security Essentials, McAfee, Symantec, dan Kaspersky.

 FakeSpyro telah didistribusikan dengan banyak nama. Ini pendistribusian dari Trojan menggunakan berbagai macam metode instalasi, dengan nama file dan modifikasi sistem yang dapat dari satu varian ke yang berikutnya.
 FakeSpyro dapat diinstall dari situs web program atau rekayasa sosial dari situs web pihak ketiga. Ketika dijalankan, menyalin dirinya ke "%windir%\ Sysguard.exe" dan menetapkan entri registry untuk menjalankan sendiri.
 Ini komponen DLL untuk " <system folder> \ iehelper.dll " dan menetapkan nilai registry berikut untuk memuat di mulai Windows dan untuk mendaftar komponen DLL sebagai BHO.
 FakeSpyro dapat men-download file dari URL tertentu. Ini men-download file dari spywrprotect-2009.com.

 Ketika Trojan dieksekusi, Menampilkan antarmuka sebagai berikut :

 Trojan secara teratur mengirimkan peringatan palsu adanya infeksi virus :

 DLL, " <system folder> \ iehelper.dll " , dipasang oleh FakeSpyro digunakan sampai surfing penggunaan internet. Dapat memodifikasi hasil pencarian untuk mesin pencari.

 Digunakan untuk mendistribusikan perangkat lunak keamanan palsu. situs ini dapat muncul mirip sebagai berikut :



 Tujuan dari pesan adalah memikat pengguna ke halaman di mana dapat membeli produk palsu, seperti berikut :

 FakeSpyro memodifikasi Windows Host File. Host lokal mengesampingkan DNS dari URL situs web ke alamat IP tertentu. Malware sering memodifikasi file host komputer yang terinfeksi dalam rangka untuk menghentikan pengguna dari dan mengakses situs yang terkait dengan aplikasi yang berhubungan dengan keamanan.
 Contoh alamat IP yang SKPLBI  seperti dalam contoh berikut :
195.245.119.131 browser-security.microsoft.com.

 FakeSpyro memodifikasi registry sehingga Trojan berjalan sebagai Proxy Server sendiri untuk mengelola browsing internet.
 Aplikasi : Proxy Server
 Data : http = 127.0.0.1:5555
 Letak : HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Internet Settings.

 Trojan ini memungkinkan pengguna untuk menjalankan browser web seperti Internet Explorer, tetapi setiap upaya untuk mengunjungi situs web menghasikan tampilan palsu " Peringatan Internet Explorer " seperti berikut :

Rogue : Win32/Winwebsec

 Wnwebsec adalah sekelompok program yang mengklaim untuk scan PC untuk malware dan menunjukkan peringatan palsu.
 Program meminta membayar untuk daftar perangkat lunak dan menghapusnya.
 Beberapa program ini mencoba untuk meniru Microsoft dengan menggunakan nama dan logo.

Antivirus : Microsoft Security Essentials, McAfee, Norman dan Symantec.

Informasi :

 Trojan ini mungkin menampilkan dialog yang meniru Windows Security Center.
 Antarmuka pengguna dan rincian lainnya bervariasi untuk varian masing-masing merek individu. Ini berbeda dengan trojan menggunakan berbagai metode instalasi, dengan nama file dan modifikasi sistem yang bisa berbeda dari satu varian ke yang berikutnya.
 Varian winwebsec saat ini :

 > Antivirus Security Pro.







> Disk Antivirus Professional.

 > System Doctor 2014.

 > Security Sphere 2012.

 Varian terbaru dari Winwebsec telah menggunakan sertifikat curian untuk menambahkan kepalsuan legitimasi instalasinya.
 Baca Selengkapnya >>