Jumat, 30 Mei 2014

Trojan : Win32/LockScreen.BO

 Win32/LockScreen.BO adalah sebuah trojan yang mencegah pengguna dari mengakses komputer dipengaruhi oleh pengunci layar dan mencegah akses ke desktop. Hal ini memaksa pengguna untuk membeli voucher online untuk mengirim ke remote penyerang untuk membuka komputer.

 Antivirus : Microsoft Security Essentials.

 Informasi :

 Ketika dieksekusi, Trojan menampilkan layar berikut, yang mengklaim bahwa musik dibajak telah ditemukan di komputer dan karena itu komputer dikunci karena kegiatan berikut :


 Layar mengklaim bahwa Organisasi Hak Kinerja di Jerman (GEMA), adalah entitas terletak pada musik bajakan. Namun, layar adalah palsu dan hanyalah penipuan untuk mendapatkan uang dari pengguna.
 Untuk membuka komputer, pengguna harus membeli voucher secara onlinedan mengirimkannya ke remote penyerang. Namun, komputer tidak benar-benar terkunci bahkan jika pengguna mengirimkan voucher.

 Trojan ini memodifikasi pengaturan Internet Explorer berikut untuk mengaktifkan Active Scripting :

 Dalam subkunci :
 > HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ Zones \ 1\
 > HKCU \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Internet Settings \ Zones \2 \
 Set Value : "1400"
 Data : "0"

 Menyembunyikan ikon Recycle Bin, My Computer, My Network Place.

Diposting oleh di Tidak ada komentar:

Kamis, 29 Mei 2014

Virus : HTML/Fraud.C

 Antivirus : FortiClient.
 HTML / Fraud.C adalah file HTML, ketika dibuka, halaman web yang tampak resmi meniru lembaga tertentu dalam upaya untuk mengelabui pengguna agar memasukkan data rahasia, seperti informasi rekening bank pribadi mereka dan bentuk lain dari informasi login.
 Berikut ini adalah beberapa server remote direferensikan oleh malware ini :

 Di bawah ini adalah contoh dari sebuah situs web phishing yang terdeteksi sebagai HTML / Fraud.C :

 
Diposting oleh di Tidak ada komentar:

Rabu, 28 Mei 2014

Adware : LBTM ! iPhoneOS

 Antivirus : FortiClient.
 Adware / LBTM! IPhoneOS adalah sebuah aplikasi untuk iPhone yang menampilkan pilihan lelucon di telepon. Hal ini didownload dari Apple AppStore, sebagai aplikasi gratis, dan terutama menargetkan penonton.
 Ketika diluncurkan, menyentuh splashscreen (lihat di bawah) panggilan nomor telepon premium yang korban akan dibebankan.



 Aplikasi ini juga menampilkan beberapa iklan yang berbeda di bagian bawah layar. Tergantung pada iklan, ini dapat menyebabkan telepon menelepon nomor telepon premium yang sesuai.
 Adware / LBTM iPhoneOS tidak diam-diam menempatkan panggilan: iPhone memperingatkan pengguna akhir aplikasi mencoba untuk memanggil nomor telepon yang diberikan. Namun, fakta hanya menyentuh splashscreen aplikasi memicu panggilan telepon, dan pengembang aplikasi fakta itu tidak secara eksplisit memperingatkan pengguna praktek semacam ini adalah batas.
 Sistem administrator mungkin ingin melindungi pengguna akhir mereka dari penagihan yang tak terduga dan karenanya mendeteksi ini.
Diposting oleh di Tidak ada komentar:

Selasa, 27 Mei 2014

Virus : Android/Ewalls.A

 Antivirus : FortiClient
 Android/Ewalls bertindak sebagai aplikasi wallpaper untuk ponsel android. Namun, di latar belakang, ia akan mengirimkan banyak informasi melalui HTTP. informasi ini menyangkut telepon, tetapi juga informasipribadi seperti nomor telepon dan IMSI.

 Malware ini juga melaporkan kembali ke website pengembang yang wallpaper dipilih. Semua informasi ini dikirim melalui HTTP tanpa persetujuan pengguna. Tergantung pada langganan, hal ini juga dapat mengakibatkan kerugian finansial.



 Gambar Android/Walls.A Icon kiri bawah.

 Ketika malware diluncurkan, malware ini mengambil IMEI telepon, menciptakan preferensi berbagai file di telepon dan memulai "SyncDeviceInfoService" layanan.
 Kelas utama menangani aplikasi GUI, menciptakan menu pilihan, menampilkan halaman web bantuan, mengirimkan umpan balik kepada penulis.
 Layanan SyncDeviceInfoService memiliki satu tugas yaitu mengambil informasi perangkat dan mengirim informasi tersebut untuk web server jauh, bersama dengan IMEI telepon.
 http://t.us/api/wallpapers/log/device_info?ss=ss
 Post HTTP berisi dua parameter :
 1. uniquely_code : yang berisi IMEI telepon.
 2. device_info : string yang merangkai informasi perangkat.

 setiap kali pengguna, menetapkan wallpaper baru, wallpaper didownload dan disimpan di SD Card. Kemudian malware mengirimkan permintaan ke server berikut :
http://t.us/api/wallpapers/photos/feedback

 Dengan sebagai argumen IMEI dan kata kunci "set" pengguna. Log ditulis ke / sdcard / ewallpapers / space.


Diposting oleh di Tidak ada komentar:
Trojan : Ramnit

 Keluarga malware ini mencuri informasi sensitif, seperti bank nama pengguna dan sandi anda. Juga dapat memberikan hacker jahat mengakses dan mengontrol komputer.
 Ancaman ini dapat diinstal pada komputer melalui drive removable terinfeksi, seperti USB flash drive.

 Antivirus : Microsoft Security Essentials dan Microsoft Safety Scanner

 Informasi :

 Ini menciptakan entri registry berikut :

 Subkunci : HKLM / Software / Microsoft / Windows NT / CurrentVersion / Winlogon
 Nilai : Userinil
 Data : ProgramFiles / Microsoft / watermark.exe

 Ramnit meluncurkan sebuah instance baru dari sistem proses svchost.exe, itu mencari secara default web browser dan menyuntikkan kodenya ke dalam proses browser.
 Menginfeksi file .exe .dll, dan .scr. Lalu menginfeksi file dokumen HTML, file HTML yang terinfeksi telah ditambahkan VBScript.

  Ramnit membuat installer untuk removable drive dengan nama file acak. File juga dapat di tempatkan dibawah direktori secara acak bernama folder RECYLCER pada root drive.
 Juga menempatkan file autorun.inf dalam direktori root dari drive yang ditargetkan. File autorun.inf tersebut memberitahu sistem operasi untuk memulai file malware secara otomatis ketika drive jaringan diakses dari komputer lainnya yang mendukung fitur autorun.

 Ramnit menghubungi ke server jauh, dihubungkan melalui TCP port 443.
 Dan menghasilkan nama server komando dan kontrol yang menggunakan domain generasi algoritma (tetap), misalnya :
 > caytmlnlrou.com
 > swbadolov.com
 > ubkfgwqslhqyy.com
 > vwaeloyyutodtr.com

 Malware dapat melakukan hal berikut ini :

 1. Mencuri kredensial FTP
 2. Mengaktifkan akses backdoor dan kontrol melalui VNC (Virtual Network Computing)
 3. Mencuri kredensial bank
 4. Memblok antivirus yang berjalan


Diposting oleh di Tidak ada komentar:

Sabtu, 17 Mei 2014

Trojan : Win32/Kuluoz

 Kuluoz adalah trojan yang mencoba untuk mencuri password yang disimpan dalam aplikasi tertentu dan sensitif file dari komputer.

 Antivirus : Microsoft Windows Malicious Software Removal Tool

 Informasi :

 Trojan mungkin menginfeksi komputer melalui email spam yang memiliki lampiran, biasanya menggunakan ZIP arsip file lampiran. Seperti dalam contoh pesan berikut :





 Lampiran adalah benar-benar salinan trojan ini. Jika membuka arsip ZIP, itu salinan dirinya ke komputer menggunakan nama file seperti ini :
 > csrss.exe
 > urlman.exe
 > txbalmst.exe

 Trojan juga mencuri rincian login disimpan dari aplikasi transfer file dan web browser, dan upload rincian pencurian ke server jauh, Seperti infopepsigoood.ru

 Berikut ini adalah contoh dari remote server yang digunakan oleh trojan ini :
 > krasguatanany.ru
 > everkosmo2012.ru
 > aboutnorth2012.ru
Diposting oleh di Tidak ada komentar:

Rabu, 14 Mei 2014

Trojan : Win32/Wysotot.Gen

 Trojan ini dapat membuat perubahan ke browser web pengguna mulai penyedia pencari halaman dan default.
 Biasanya terpasang pada komputer dengan bundlers perangkat lunak yang mengiklankan perangkat lunak bebas atau permainan.

 Antivirus : Microsoft Security Essentials.

  Informasi :

  Satu installer telah mendistribusikan Wysotot.gen ditunjukkan di bawah ini :




 Ketika installer diluncurkan, itu membuat folder dalam direktori %ProgramFiles% dan menjatuhkan file yang ada, misalnya %ProgramFiles% \ v9soft \ v9kb.exe
 Itu juga meluncurkan DLL dalam direktori %TEMP%, misalnya %TEMP% \ v9loader.dll, dan menginstall sebagai sebuah objek browser helper.



 Trojan juga memodifikasi penyedia layanan pencarian default untuk www.v9.com seperti yang ditunjukkan di bawah ini :

Diposting oleh di Tidak ada komentar:

Jumat, 09 Mei 2014

Trojan : Win32/Filcout

 Aplikasi ini digunakan untuk membantu menemukan program untuk menjalankan file yang tidak diketahui, namun disisi lain juga dapat download malware lainnya tanpa sepengetahuan .

 Antivirus : Microsoft Safety Scanner

 Informasi :

 aplikasi ini dengan nama FileScout atau filescout.exe
 Ini menginstall file ini :
 > TEMP / 3168_12440 / manifest.json
 > TEMP / 662E.tmp
 > TEMP / capE397.tmp

 Ia menciptakan shortcut pada komputer yang terlihat pada berikut :



 Ini menampilkan jendela berikut ketika mencoba untuk membuka file yang tidak terkait dengan program ini :



 Saat berjalan, aplikasi mengirimkan permintaan GET HTTP ke server jauh, yang kemudian merespon dengan perntah untuk download file dan menginstall varian sefnit.
Diposting oleh di Tidak ada komentar:

Rabu, 07 Mei 2014

Exploit : Win32/JSRedir.R

 Antivirus : Sophos

  Biasanya, JSRedir.R ditemukan pada situs yang sah, tersembunyi pada JavaScript dan memuat konten berbahaya dari situs pihak ketiga tanpa sepengetahuan pengguna. Script disembunyikan mencoba untuk download kode berbahaya dari sebuah situs yang disebut gumblar.cn




 Situs lalu lintas tinggi telah terkena serangan termasuk tidak sangat menyenangkan.
 Selain itu, jika pengguna menjalankan sebuah situs web pastikan aman adri gangguan hacker untuk menyuntikkan kode berbahaya ke halaman. Tidak seorang pun harus dalam keraguan bahwa web adalah vektor utama yang digunakan oleh hacker untuk menginfeksi komputer saat ini.



Diposting oleh di Tidak ada komentar:

Selasa, 06 Mei 2014

TrojanDropper: O97M/Poshkod.Gen

 Ia adalah generik untuk makro virus berbahaya yang dapat dijalankan secara otomatis ketika membuka dokumen Microsoft Word atau Excel. Ia termasuk ransomware.
 Ancaman tiba pada komputer sebagai spam email attachment.

  Antivirus: Microsoft Safety Scanner, Kaspersky, Sophos.

  Informasi:

  Mereka berjalan ketika dokumen Microsoft Word dan Microsoft Excel spreadsheet dibuka dan Visual Basic for Application (VBA) macro diaktifkan pada komputer.

   Ancaman ini melekat email spam sebagai .doc atau .xlsx.
  Trojan men-download dan menjalankan PowerShell berbahaya dari URL berikut :

http://powerwormjqj42hu.onion/get.php?s=setup&mom=4C4C4544-0050-3010-804C-B4C04F4C5131&uid = <Infected PC UUID>

Skrip berbahaya diundang dan mungkin regular tidak dapat ditulis di disk. Ini dapat melakukan sejumlah tindakan pilihan penyerang dan dapat berubah setiap saat.

Diposting oleh di Tidak ada komentar:

Senin, 05 Mei 2014

Virus : FLyff 666.dll.vbs

 Antivirus : SMADAV

  Semua drive di My Computer akan dihidden :



 Control panel akan didisable :




 Menulis pesan di Internet Explorer :




  Ia mengakibatkan beberapa program tidak berjalan semestinya, contohnya :

 > Mendisable TaskManager, CMD, Regedit, MsConfig.
 > Akan membuat pesan Startup : " H4xOr3d by FLyff 666 " dan " Saya adalah program jahat yang akan mengambil alih komputer kalian !! System Hasbeen Hacked By : FLyff 666 From Indonesian Hackers Community.
 > Disetiap Drive akan ada virus ini dan juga di C:\WINDOWS
 > Akan mendisable klik kanan pada mouse
 > akan memblok beberapa AV, seperti : Ansav, PCMAV, dan NOD32. 
Diposting oleh di Tidak ada komentar:

Minggu, 04 Mei 2014

HackTool: Win32/AutoKMS

 Dapat digunakan untuk "crack" atau patch yang terdaftar salinan Microsoft Office.

 Antivirus: Microsoft Security Essentials.

 Informasi:

 Ancaman Suami Mencoba untuk mengaktifkan salinan terdaftar Microsoft Office.
 Suami menunjukkan PESAN berikut:



 Berkas Suami berisi TEKS berikut:

-----------------------------------------------

 AutoKMS 2.4.3.0 Ran Pada run> <date.
 Mencoba Untuk Aktifkan Microsoft Office
 Mencoba Untuk Aktifkan OfficeProPlus-KMS_Client
 <Sukses aktivasi Produk>

-----------------------------------------------
Suami juga menciptakan Tugas sehingga Alat berjalan PADA waktu Yang sama.
Diposting oleh di Tidak ada komentar:

Sabtu, 03 Mei 2014

Worm : MSIL/Crilock.A

 Crilock.A dapat sebagai pembaruan perangkat lunak atau aktivator untuk software berbayar seperti TeamViewer, Photoshop, ESET antivirus, dan Windows Office. Menyebar ke komputer melalui Removable Drive.
 Ini mengenkripsi file dan meminta untuk membayar uang tebusan untuk mengambilnya. Meminta untuk membayar menggunakan Bitcoin dalam waktu 72 jam.

 Antivirus : Microsoft Security Essentials, Avira, BitDefender.

 Ancaman ini berada di system folder bernama msunet.exe
 Ini menciptakan entri registry berikut sehingga secara otomatis berjalan setiap windows start :

 Subkunci : HKLM \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
 Value : MSUpdate
 data : <system folder> \ msunet.exe

 Ini menyalin dirinya dalam semua removable disk dengan nama setup.exe. Hal ini mungkin juga menginfeksi file EXE.

 Ancaman ini mengubah Autorun pada removable USB dan CD/DVD drive ke :

 Subkunci : HKCU \ Software \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer
 Value : NoDriveTypeAutorun
 Data : 145

 Ancaman berjalan di PC dan mengenkripsi jenis file berikut menggunakan kunci publik yang unik dengan RSA-4096. Ini kemudian meminta untuk membayar untuk menerima kunci pribadi dan dan mengambil file pengguna.
 Ancaman terhubung ke server ini untuk menerima perintah dan mengirim perintah :
 > strathmorej.byethost3.com
 > strathmorej.coolpage.biz

 Hal ini dapat menerima perintah-perintah ini :
 1. Memperbarui sendiri
 2. Menjalankan Denial of Service (DoS)
 3. Menonaktifkan PC pengguna
Diposting oleh di Tidak ada komentar:
Langganan: Postingan (Atom)