VB-Shortcut-WinLogon. Gambar diatas adalah hasil infeksi dari worm VB-Shortcut-WinLogon yang sekarang masih banyak menyebar di masyarakat. Sebelumnya PCMAV mengenal worm VB-Shortcut dengan nama Random8, dikarenakan selalu memiliki Properties Name yang terdiri dari 8 karakter dan selalu berubah-ubah pada setiap varian. Akan tetapi, semakin banyaknya user yang melaporkan varian VB-Shortcut, di forum virusindonesia.com ataupun mengirimkan email serta meng-submit menggunakan PCMAV, kami mendapatkan beberapa varian VB-Shortcut dengan kemampuan berbeda. Salah satunya adalah VB-Shortcut-WinLogon.
Masih menggunakan ciri khas yang sama seperti varian yang lain yaitu membuat shortcut di Removable Disk dan menggunakan icon aplikasi pemrograman Visual Basic. Perbedaan yang sangat terlihat adalah pada VB-Shortcut-WinLogon adalah :
1. Di-pack menggunakan UPX.
Terlihat pada gambar di atas bahwa worm VB-Shortcut-WinLogon menggunakan UPX sebagai packernya. Berbeda dengan varian VB-Shortcut sebelumnya yang menyebar di masyarakat tanpa di-pack seperti pada gambar dibawah.
2. Menggunakan folder tempat persembunyian di flash disk.
Hampir sama dengan pola yang digunakan worm Recycler ataupun Conficker yaitu menggunakan folder yang sama dengan Recycler Bin. Caranya juga mirip, yaitu menambahkan file Desktop.ini yang berisi CLSID untuk Recycler Bin. Perbedaannya adalah biasanya folder persembunyian worm Recycler menggunakan nama folder “RECYCLER” pada root drive flash disk, sedangkan untuk worm VB-Shortcut-WinLogon folder yang mirip dengan Recycler Bin adanya di dalam folder dengan nama acak. Misal :
“a3ojiH9luFefkO0mG6Hl1XplgLV3L0YyVfdZRr3dtLhE6i0DnzEPQX8Y2sziakx2axTnS4SA0647SPkbMn4uN”
3. Isi autorun.inf.
Pada varian VB-Shortcut sebelumnya, isi autorun.inf biasanya hanya merubah besar kecil karakter didalamnya, seperti pada gambar dibawah ini.
Berbeda dengan file autorun.inf pada VB-Shortcut-WinLogon, yang memiliki lebih banyak karakter pengecoh teknik pendeteksian file autorun beberapa antivirus karena setiap kali autorun.inf dibuat selalu mengacak isi autorunnya. Contoh autorun.inf yang diciptakan VB-Shortcut-WinLogon adalah seperti pada gambar berikut, dibuka dengan hexa editor:
Beberapa hal di atas adalah ciri umum yang biasanya menjadi ciri khas dari worm VB-Shortcut-WinLogon. Selain itu ada beberapa yang tidak biasa ditemukan pada variant VB-Shortcut sebelumnya, antara lain:
- Merubah bentuk icon shortcut setiap jangka waktu tertentu. Jika varian VB-Shortcut sebelumnya membuat shortcut dengan nama Documents, Music, New Folder, Passwords, Pictures, dan Video atau membuat shortcut dengan nama acak yang terdiri dari 3 karakter dan dapat membuat shortcut sesuai dengan nama semua file dan folder pada flash disk, maka VB-Shortcut-WinLogon ini mampu mebuat shortcut yang berbeda-beda. Selama flash disk terhubung dengan komputer yang sudah terinfeksi worm ini, maka isi flash disknya akan berubah seperti pada dua gambar berikut.
- Memanfaatkan koneksi Internet untuk mengupdate otomatis. Dengan aplikasi CurrPorts dapat dilihat aktivitas worm VB-Shortcut-WinLogon setelah proses startup yang mencoba menggunakan koneksi internet agar bisa dikendalikan sesuai dengan hostnya.
- Mendisable serta otomatis menutup 631 program dengan nama file dan nama caption khusus sepeti di bawah ini:
-----------
a2servic.exe, ackwin32.exe, acs.exe, advxdwin.exe, agentsvr.exe, agentw.exe, ahnsd.exe, alerter.exe, alertsvc.exe, alogserv.exe, amon.exe, amon9x.exe, anti-trojan.exe, antigen.exe, antivirus.exe, ants.exe, apimonitor.exe, aplica32.exe, apvxdwin.exe, ashWebSv.exe, atcon.exe, atguard.exe, atro55en.exe, atupdater.exe, atwatch.exe, aupdate.exe, autodown.exe, autotrace.exe, autoupdate.exe, avcenter.exe, avconfig.exe, avconsol.exe, ave32.exe, avgcc32.exe, avgctrl.exe, avgemc.exe, avgnt.exe, avgserv.exe, avgserv9.exe, avguard.exe, avgw.exe, avkpop.exe, avkserv.exe, avkservice.exe, avkwcl9.exe, avkwctl9.exe, avnotify.exe, avnt.exe, avp.exe, avp32.exe, avpcc.exe, avpdos32.exe, avpexec.exe, avpinst.exe, avpm.exe, avpmon.exe, avpnt.exe, avptc32.exe, avpupd.exe, avrescue.exe, avscanavshadow.exe, avsched32.exe, avsynmgr.exe, avupgsvc.exe, avwebloader.exe, avwin95.exe, avwinnt.exe, avwsc.exe, avwupd32.exe, avxmonitor9x.exe, avxmonitornt.exe, avxquar.exe, avxw.exe, azonealarm.exe, bd_professional.exe, bidef.exe, bidserver.exe, bipcp.exe, bipcpevalsetup.exe, bisp.exe, blackd.exe, blackice.exe, boot.exe, bootwarn.exe, borg2.exe, bs120.exe, BullGuard.exe, callmsi.exe, ccapp.exe, ccevtmgr.exe, cclaw.exe, ccpxysvc.exe, ccsetmgr.exe, ccshtdwn.exe, cdp.exe, cfgwiz.exe, cfiadmin.exe, cfiaudit.exe, cfind.exe, cfinet.exe, cfinet32.exe, chrome.exe, ChromeSetup.exe, clamauto.exe, claw95.exe, claw95cf.exe, claw95ct.exe, clean.exe, cleaner.exe, cleaner3.exe, cleanpc.exe, cmd.exe, cmgrdian.exe, cmon016.exe, connectionmonitor.exe, consent.exe, cpd.exe, cpdclnt.exe, cpf.exe, cpf9x206.exe, cpfnt206.exe, crashreporter.exe, csinject.exe, csinsm32.exe, css1631.exe, ctfmon.exe, ctrl.exe, cv.exe, cwnb181.exe, cwntdwmo.exe, defalert.exe, defscangui.exe, defwatch.exe, deputy.exe, Diskmon.exe, doors.exe, dpf.exe, drvins32.exe, drwatson.exe, drweb32.exe, dumphive.exe, dv95.exe, dv95_o.exe, dvp95.exe, dvp95_0.exe, earthagent.exe, ecengine.exe, ecls.exe, ecmd.exe, edi.exe, efinet32.exe, efpeadm.exe, egui.exe, EHttpSrv.exe, ekrn.exe, ent.exe, esafe.exe, escanh95.exe, escanhnt.exe, escanv95.exe, espwatch.exe, etrustcipe.exe, evpn.exe, ewido.exe, exantivirus-cnet.exe, exit.exe, expert.exe, explored.exe, f-agnt95.exe, f-prot.exe, f-prot95.exe, f-stopw.exe, fa-setup.exe, fact.exe, fameh32.exe, fast.exe, fch32.exe, fih32.exe, Filemon.exe, findviru.exe, firefox.exe, firewall.exe, FirewallControlPanel.exe, FirewallSettings.exe, fix-it.exe, flowprotector.exe, fnrb32.exe, fp-win.exe, fp-win_trial.exe, FPAVServer.exe, fprot.exe, fprot95.exe, frw.exe, fsaa.exe, fsav.exe, fsav32.exe, fsav530stbyb.exe, fsav530wtbyb.exe, fsav95.exe, fsave32.exe, fsgk32.exe, fslaunch.exe, fsm32.exe, fsma32.exe, fsmb32.exe, fssm32.exe, fwenc.exe, fwinstall.exe, gbmenu.exe, gbpoll.exe, GenericRenosFix.exe, generics.exe, gibe.exe, GoogleToolbarInstaller_download_signed.exe, gpedit.exe, guard.exe, guarddog.exe, guardgui.exe, guardhlp.exe, hacktracersetup.exe, helper.exe, HiJackThis.exe, HJTInstall.exe, HostsChk.exe, htlog.exe, hwpe.exe, iamapp.exe, iamserv.exe, iamstats.exe, ibmasn.exe, ibmavsp.exe, icload95.exe, icloadnt.exe, icmon.exe, icmoon.exe, icssuppnt.exe, icsupp.exe, icsupp95.exe, icsuppnt.exe, IEDFix.exe, iface.exe, ifw2000.exe, iomon98.exe, iparmor.exe, iris.exe, isrv95.exe, jammer.exe, jed.exe, jedi.exe, kav8.0.0.357es.exe, kavlite40eng.exe, kavpers40eng.exe, kavsvc.exe, kerio-pf-213-en-win.exe, kerio-wrl-421-en-win.exe, kerio-wrp-421-en-win.exe, killprocesssetup161.exe, kis8.0.0.506latam.exe, kpf.exe, kpfw32.exe, ldnetmon.exe, ldpro.exe, ldpromenu.exe, ldscan.exe, licmgr.exe, localnet.exe, lockdown.exe, lockdown2000.exe, lookout.exe, lsetup.exe, luall.exe, luau.exe, lucomserver.exe, luinit.exe, luspt.exe, mbam.exe, mbamgui.exe, mbamservice.exe, mcagent.exe, mcmnhdlr.exe, mcshield.exe, mctool.exe, mcuimgr.exe, mcupdate.exe, mcvsrte.exe, mcvsshld.exe, mdll.exe, mfw2en.exe, mfweng3.02d30.exe, mgavrtcl.exe, mgavrte.exe, mghtml.exe, mgui.exe, minilog.exe, monitor.exe, monsys32.exe, monsysnt.exe, monwow.exe, moolive.exe, mpfagent.exe, mpfservice.exe, mpftray.exe, mrflux.exe, MSASCui.exe, msblast.exe, msconfig.exe, msinfo32.exe, msn.exe, mspatch.exe, mssmmc32.exe, mu0311ad.exe, mwatch.exe, mxtask.exe, n32scan.exe, n32scanw.exe, nai_vs_stat.exe, nav32_loader.exe, nav80try.exe, navap.exe, navapsvc.exe, navapw32.exe, navauto-protect.exe, navdx.exe, naveng.exe, navengnavex15.exe, navex15.exe, navlu32.exe, navnt.exe, navrunr.exe, navsched.exe, navstub.exe, navw.exe, navw32.exe, navwnt.exe, nc2000.exe, ncinst4.exe, nd98spst.exe, ndd32.exe, ndntspst.exe, neomonitor.exe, neowatchlog.exe, netarmor.exe, netcfg.exe, netinfo.exe, netmon.exe, netscanpro.exe, Netscape.exe, netspyhunter-1.2.exe, netstat.exe, netutils.exe, nisserv.exe, nisum.exe, nmain.exe, nod32.exe, normist.exe, norton_internet_secu_3.0_407.exe, notstart.exe, npf40_tw_98_nt_me_2k.exe, npfmessenger.exe, nprotect.exe, npscheck.exe, npssvc.exe, nsched32.exe, ntdetect.exe, ntrtscan.exe, ntxconfig.exe, nui.exe, nupdate.exe, nupgrade.exe, nvapsvc.exe, nvarch16.exe, nvc95.exe, nvlaunch.exe, nvsvc32.exe, nwinst4.exe, nwservice.exe, nwtool16.exe, offguard.exe, ogrc.exe, opera.exe, Opera_964_int_Setup.exe, ostronet.exe, outpost.exe, outpostinstall.exe, outpostproinstall.exe, padmin.exe, panixk.exe, pathping.exe, pavcl.exe, pavproxy.exe, pavsched.exe, pavw.exe, pcc2002s902.exe, pcc2k_76_1436.exe, pccclient.exe, pccguide.exe, pcciomon.exe, pccmain.exe, pccntmon.exe, pccpfw.exe, pccwin97.exe, pccwin98.exe, pcdsetup.exe, pcfwallicon.exe, pcip10117_0.exe, pcscan.exe, pcscanpdsetup.exe, penis32.exe, periscope.exe, persfw.exe, perswf.exe, pf2.exe, pfwadmin.exe, ping.exe, pingscan.exe, platin.exe, pop3trap.exe, poproxy.exe, popscan.exe, portdetective.exe, portmon.exe, portmonitor.exe, ppinupdt.exe, pptbc.exe, ppvstop.exe, prckiller.exe, Process.exe, processmonitor.exe, procexp.exe, procexplorerv1.0.exe, Procmon.exe, programauditor.exe, proport.exe, protectx.exe, pspf.exe, purge.exe, pview.exe, pview95.exe, qconsole.exe, qserver.exe, rapapp.exe, rav.exe, rav7.exe, rav7win.exe, rav8win32eng.exe, realmon.exe, regedit.exe, regedt32.exe, Regmon.exe, rescue.exe, rescue32.exe, Restart.exe, route.exe, routemon.exe, rrguard.exe, rshell.exe, rstrui.exe, rtvscn95.exe, rulaunch.exe, Safari.exe, safeweb.exe, SandboxieBITS.exe, SandboxieCrypto.exe, SandboxieDcomLaunch.exe, SandboxieRpcSs.exe, SandboxieWUAU.exe, SbieCtrl.exe, SbieSvc.exe, sbserv.exe, scan32.exe, scan95.exe, scanpm.exe, sched.exe, schedapp.exe, scrscan.exe, scvhosl.exe, sd.exe, sdclt.exe, serv95.exe, setupvameeval.exe, setup_flowprotector_us.exe, sgssfw32.exe, sh.exe, sharedaccess.exe, shellspyinstall.exe, shn.exe, smc.exe, SmitfraudFix.exe, sofi.exe, spf.exe, sphinx.exe, spider.exe, spysweeper.exe, spyxx.exe, SrchSTS.exe, srwatch.exe, ss3edit.exe, st2.exe, supftrl.exe, supporter5.exe, sweep.exe, sweep95.exe, sweepnet.exe, sweepsrv.sys.exe, swnetsup.exe, swsc.exe, swxcacls.exe, symproxysvc.exe, symtray.exe, sysdoc32.exe, syshelp.exe, taskkill.exe, tasklist.exe, taskmgr.exe, taskmon.exe, taumon.exe, tauscan.exe, tbscan.exe, tc.exe, tca.exe, tcm.exe, tcpsvs32.exe, tds-3.exe, tds2-98.exe, tds2-nt.exe, tds2.exe, tfak.exe, tfak5.exe, tftpd.exe, tgbob.exe, titanin.exe, titaninxp.exe, tmlisten.exe, tmntsrv.exe, tracerpt.exe, tracert.exe, trjscan.exe, trjsetup.exe, trojantrap3.exe, UCCLSID.exe, UI0Detect.exe, undoboot.exe, unzip.exe, update.exe, updater.exe, UserAccountControlSettings.exe, VACFix.exe, vbcmserv.exe, vbcons.exe, vbust.exe, vbwin9x.exe, vbwinntw.exe, vccmserv.exe, vcleaner.exe, vcontrol.exe, vcsetup.exe, vet32.exe, vet95.exe, vet98.exe, vettray.exe, vfsetup.exe, vir-help.exe, virusmdpersonalfirewall.exe, vmsrvc.exe, vnlan300.exe, vnpc3000.exe, vpc32.exe, vpc42.exe, vpcmap.exe, vpfw30s.exe, vptray.exe, vscan.exe, vscan40.exe, vscenu6.02d30.exe, vsched.exe, vsecomr.exe, vshwin32.exe, vsisetup.exe, vsmain.exe, vsmon.exe, vsscan40.exe, vsstat.exe, vswin9xe.exe, vswinntse.exe, vswinperse.exe, vvstat.exe, w32dsm89.exe, w9x.exe, watchdog.exe, webscan.exe, webscanx.exe, webtrap.exe, WerFault.exe, wfindv32.exe, wgfe95.exe, whoswatchingme.exe, wimmun32.exe, wingate.exe, winhlpp32.exe, wink.exe, winmgm32.exe, winppr32.exe, winrecon.exe, winroute.exe, winservices.exe, winsfcm.exe, wmias.exe, wmiav.exe, wnt.exe, wradmin.exe, wrctrl.exe, WS2Fix.exe, wsbgate.exe, wuauclt.exe, wyvernworksfirewall.exe, xpf202en.exe, xscan.exe, zapro.exe, zapsetup3001.exe, zatutor.exe, zatutorzauinst.exe, zauinst.exe, zlh.exe, zonalarm.exe, zonalm2601.exe, zonealarm.exe, _avp.exe, _avp32.exe, _avpcc.exe, _avpm.exe, _findviru.exe
------------
Hidden dan Superhidden
Hidden File Extension
Folder Option
No File
System Restore
Command Promt
Task Manager
Regedit
Run Command
- Merubah default homepage Internet Explorer ke beberapa website seperti: http://5g7p5rbtw7c12ao.xxx (dimana xxx adalah sebuah domain yang digunakan virus). Angka dan huruf pada subdomain dapat acak dan berbeda pada tiap penginfeksian. Alamat-alamat ini akan di-direct ke website pada tampilan pertama (gambar paling atas) yang mirip dengan search engine Google.
- Membuat file dengan nama winlogon.exe pada root drive C.
Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 4.2 Update Build1 telah hadir dengan penambahan 76 pengenal varian virus bau. Bagi Anda pengguna PCMAV 4.2, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.
Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet (non-proxy). Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV.
Namun bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:
http://www.sendspace.com/file/tcq44f
http://www8.zippyshare.com/v/26628598/file.html
http://rapidshare.com/files/430834346/update.vdb
Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.
ArieLiverMartilina
ArieLiverMartilina.inf
ArieLiverMartilina.msg
BassAlac
BassAlac.dll
BlankBin
BlankBin.inf
Boller
Boller.inf
CintaFitri
CintaFitri.bat
ColdHot
ColdHot.inf
CyborgBrondong
Defecha
DEnkrip
DigitalCat
DigitalCat.html.A
DigitalCat.html.B
DigitalCat.inf
FullHouse.D
Funva
Hakif
Intimidate
Julia
Julia.cmd.A
Julia.cmd.B
Julia.cmd.C
Julia.html
Julia.vbs.A
Julia.vbs.B
Kanigalindo
Kanigalindo.inf
Kanigalindo.txt
Kopat
Kopat.exe
Momo
Mshearts.vbs.C
MyPCMD.B
Priza
Priza.bmp
Priza.htm
Priza.inf
Proggy
Ramz
Ramz.inf
Recycler.AX
Recycler.AX.inf
Recycler.AY
Recycler.AY.inf
Recycler.AZ
Recycler.AZ.inf
Recycler.BA
Recycler.BA.inf
Rieysha-Jogja.D
Rieysha-Jogja.D.txt
Rieysha-Jogja.ini
Sabotage.C
Sabotage.C.inf
Sabotage.C.ini
Sabotage.C.job
Sabotage.C.TXT
Tondano
Tondano.bat
Tondano.inf
Tondano.txt
TripleBox
VB-Shortcut-WinLogon.A
VB-Shortcut-WinLogon.B
VB-Shortcut-WinLogon.C
VB-Shortcut-WinLogon.D
VB-Shortcut-WinLogon.E
VB-Shortcut-WinLogon.F
VB-Shortcut-WinLogon.G
YDU.vbs
YDU.vbs.inf
Artikel ini tidak lengkap...
Jika ingin yang lengkap silahkan menuju ke : http://virusindonesia.com
Source : virusindonesia.com
0 komentar:
Posting Komentar