FakeAV-Downloader.N: Your ‘Security’ is Our Priority
FakeAV-Downloader.N. Hampir setiap bulan kami mendapatkan sampel malware yang ternyata adalah antivirus palsu. Metode penyebaran yang sama, dengan teknik mengelabui user yang sama pula. Perbedaan terbesar hanyalah pada tampilan yang selalu diubah-ubah. Kemungkinan besar selalu dibuat ulang dengan di tambahkan kemampuan agar tidak dapat terdeteksi oleh teknik heuristik antivirus.
A. Info File
Nama Worm : FakeAV-Downloader.N (BitDefender Core / Security Protection)
Asal : Rusia
Ukuran File : 854 KB (874,496 bytes)
Packer : UPX 0.89 – 3.xx -> Markus & Laszlo ver. [ 3.07 ]
Pemrograman : Delphi
Icon : Malware Icon
Tipe : Trojan
B. About Malware
Tanpa packer, malware ini berukuran 1.66 MB (1,751,552 bytes) dan diduga kuat berasal dari Rusia. Karena malware ini berusaha mengakses salah satu website yang setelah ditelusuri lebih jauh berasal dari Rusia. Berikut ini adalah rincian dari user registrannya.
Domain name: protection-sec.com
Name servers:
ns1.nameself.com
ns2.nameself.com
Registrar: Regtime Ltd.
Creation date: 2011-05-17
Expiration date: 2012-05-17
Status: active
Registrant:
Eduard Aleksandrov
Email: crisissmula@gmail.com
Organization: Private person
Address: Latishskih-Strelkov 1-48
City: Kazan
State: RU
ZIP: 420087
Country: RU
Phone: +7.8432964725
Sampai serkarang website tersebut masih aktif, akan tetapi user tidak perlu takut karena website tersebut tidak menyediakan download untuk FakeAV-Downloader.N.
C. Companion/File yang dibuat
Setelah aktif, malware ini tidak membuat banyak companion, berdiri sendiri dan hanya melakukan payload secara terus-menerus yang cukup mengganggu user.
D. Hasil Infeksi
Sama seperti trojan pada umumnya yang mencoba mengambil informasi dari korban tanpa diketahui. Hal itu bisa meyebabkan korban kehilanga akun pribadi, kehilangan uang yang tidak diketahui penyebabnya dengan jelas. Begitu juga dengan user yang terinfeksi FakeAV-Downloader.N yang selalu memaksa user untuk membeli serial number dari antivirus palsu tersebut.
Bukan hanya itu, pesan pesan yang berisikan peringatan palsu juga tidak ada hentinya dari malware ini.
FakeAV-Downloader.N hanya membuat 1 buah value key baru pada registry yang bertujuan untuk menjalankan otomatis saat proses startup.
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run\Security Protection
Value : URL / Alamat malware.
E. Pembersihan
Malware ini telah dikenali dan dapat dibersihkan pada PCMAV 5.3 Update Build1 ini berikut ini.
PCMAV 5.3 Update Build1
Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 5.3 Update Build1 telah hadir dengan penambahan 46 pengenal varian virus baru. Bagi Anda pengguna PCMAV 5.3, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.
Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.
Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:
ZippyShare.com (mirror)
RapidShare.com (mirror)
Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.
Daftar tambahan virus hingga PCMAV 5.3 Update Build1:
BadShortcut
BancosKernel
BancosKernel.dat
CryptocX
CryptocX.dll
FakeAV-Downloader.N
FakeAV-Downloader.N.dat
FakeAV-Downloader.N.dll.A
FakeAV-Downloader.N.dll.B
FakeAV-Downloader.N.drp
FakeAV-Downloader.N.exe
FakeAV-Downloader.N.lnk.A
FakeAV-Downloader.N.lnk.B
FakeAV-Downloader.N.lnk.C
FakeAV-Downloader.N.tmp
FakeDownloader.BL
FakeDownloader.BL.drp
FakeDownloader.BL.exe.A
FakeDownloader.BL.exe.B
FakeDownloader.BL.exe.C
FakeDownloader.BL.tmp
FakeDownloader.BL.zip
FightingDreamer.vbe.inf
NgrBot
NgrBot.bat
NgrBot.dat
NgrBot.drp.A
NgrBot.drp.B
NgrBot.exe.A
NgrBot.exe.B
NgrBot.inf
NgrBot.lnk
Proklamasi
Proklamasi.exe
Proklamasi.lnk
Qvod
Qvod.A.dll.A
Qvod.A.dll.B
Qvod.A.dll.C
Qvod.A.inf
Qvod.A.local
Qvod.B
Qvod.B.dll
Qvod.exe.A
TeraBit.txt
Wukill.D
sumber : http://virusindonesia.com
Tidak ada komentar:
Posting Komentar