Menghindari Ancaman CTB Locker

January 30th, 2015 3 comments

Menghindari Ancaman CTB Locker 1

Malware ransomware yang dideteksi PCMAV sebagai variant CryptoLock alias CTB Locker ini disebarkan melalui trojan downloader bernama Dalexis yang menyebar melalui email.

Ada banyak sekali variant dari trojan Dalexis ini. Namun, dari semua sample downloader yang didapat, PCMAV menghasilkan 6 hasil pendeteksian yaitu

CryptoLock.CB

CryptoLock.CC

CryptoLock.CA

CryptoLock.BS

CryptoLock.BY

CryptoLock.BZ

Anda dapat “mengistirahatkan” data yang terenkripsi karena sampai saat ini belum ada program decryptor yang tersedia. Cobalah program file recovery gratis lebih dahulu. Read more…

facebooktwittergoogle_plusredditpinterestlinkedinmail

PC Media 01/2015 & PCMAV 10.0.1

January 30th, 2015 1 comment

PC Media 01/2015Telah hadir Majalah PC Media 01/2015 terbaru dengan Ekstra DVD, yang menyertakan juga antivirus terbaru kebanggaan Indonesia, PCMAV 10.0.1. Saat ini, PCMAV merupakan satu-satunya antivirus yang mampu mengenali 9.313 virus dan variannya yang dilaporkan banyak menyebar di Indonesia.

Segera dapatkan PCMAV 10.0.1 terbaru yang telah disempurnakan hanya dari majalah PC Media 01/2015 yang telah terbit. Segera pesan dan dapatkan di kios/agen terdekat. Demi kenyamanan Anda, kini telah tersedia majalah PC Media edisi digital untuk tablet Android maupun iPad. Lihat info di bawah.

Pertanyaan teknis harap disampaikan langsung ke redaksi PC Media melalui e-mail dengan sebelumnya Anda telah membaca dan memahami isi README.TXT. Dan kami akan berterimakasih jika Anda dapat meluangkan waktu untuk memberikan komentar sebatas penggunaan PCMAV 10.0.1 ini sebagai masukan dalam pengembangannya. Read more…

facebooktwittergoogle_plusredditpinterestlinkedinmail

Dalexis.Q: Si Penyebar CTB Locker

January 23rd, 2015 15 comments

Dalexis.Q Si Penyebar CBT Locker

Dilaporkan menyebar melalui attachment pada email, trojan ini menjebak pengguna komputer untuk menjalankannya. Dalexis.Q dengan menggunakan icon PDF, ketika dibuka malah menampilkan dokumen RTF.

Siapa sangka, jika file pada attachment ini hanyalah jembatan untuk men-download varian ransomware yang mengenkripsi data-data pengguna. Ransomware yang di-download dideteksi PCMAV sebagai CryptoLock.BU atau juga dikenal dengan nama CTB Locker.

Ada beberapa DNS yang diakses oleh Dalexis.Q. Pertama yaitu 69.64.81.225:443, kemudian 112.215.101.80:80 dan terakhir yaitu 8.29.143.169:443. Melalui Internet inilah, ransomware hadir di komputer yang terinfeksi. Lokasi CryptoLock.BU sendiri berada di C:\Documents and Settings\Administrator\Local Settings\Temp\5376937.exe. Perlu diingat jika nama file bersifat acak. Read more…

facebooktwittergoogle_plusredditpinterestlinkedinmail

Kryptik.CD: iexplorede.exe

January 16th, 2015 9 comments

Trojan yang dibuat dengan compiler .NET ini di-obfuscated menggunakan program SmartAssembly.

Untuk aktif di setiap startup, trojan ini membuat file ccdd2c37934990c5732cfb407fa6942e.exe di C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\.

Trojan ini juga membuat file di C:\Documents and Settings\Administrator\Local Settings\Temp\iexplorede.exe dan file ini dipanggil di setiap startup melalui registry HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Run dengan nama key yaitu ccdd2c37934990c5732cfb407fa6942e.

DNS yang akan diakses oleh trojan ini yaitu reedhacker.no-ip.biz
Read more…

facebooktwittergoogle_plusredditpinterestlinkedinmail
Categories: Analisa Virus Tags:

Comet.AH: Backdoor Made In France

December 19th, 2014 3 comments

Comet.AH Backdoor Made In FranceTrojan berukuran 724 KB ini akan menginstal hook SetWindowsHookEx(WH_KEYBOARD_LL) untuk memonitor ketikan pengguna.

Untuk dapat aktif di setiap startup, trojan ini membuat registry berikut:

HKEY_CURRENT_USER\software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
explorer.exe, C:\Documents and Settings\Administrator\Application Data\MicrosoftServices\MicrosoftServices\ajqlqa.exe

File trojan ajqlqa.exe akan dipanggil ketika file explorer.exe aktif. Isi key Shell sendiri harusnya hanya explorer.exe. Dengan adanya explorer.exe aktif di startup, taskbar dan desktop akan muncul dan pengguna dapat membuka Windows Explorer. Oleh karena itu, isi di dalam key Shell yang harus dihapus, bukan key Shell tersebut.

Trojan ini akan membuat registry penanda di HKEY_CURRENT_USER\software\DC3_FEXEC
Read more…

facebooktwittergoogle_plusredditpinterestlinkedinmail
Categories: Pengumuman Tags:

PC Media 12/2014 & PCMAV 10

December 16th, 2014 14 comments

PC Media 20/2014Telah hadir Majalah PC Media 12/2014 terbaru dengan Ekstra DVD, yang menyertakan juga antivirus terbaru kebanggaan Indonesia, PCMAV 10. Saat ini, PCMAV merupakan satu-satunya antivirus yang mampu mengenali 8.822 virus dan variannya yang dilaporkan banyak menyebar di Indonesia.

Segera dapatkan PCMAV 10 terbaru yang telah disempurnakan hanya dari majalah PC Media 12/2014 yang telah terbit. Segera pesan dan dapatkan di kios/agen terdekat. Demi kenyamanan Anda, kini telah tersedia majalah PC Media edisi digital untuk tablet Android maupun iPad. Lihat info di bawah.

Pertanyaan teknis harap disampaikan langsung ke redaksi PC Media melalui e-mail dengan sebelumnya Anda telah membaca dan memahami isi README.TXT. Dan kami akan berterimakasih jika Anda dapat meluangkan waktu untuk memberikan komentar sebatas penggunaan PCMAV 10 ini sebagai masukan dalam pengembangannya. Read more…

facebooktwittergoogle_plusredditpinterestlinkedinmail

Prorat.F: Backdoor Dibalik Foto

December 12th, 2014 2 comments

Prorat.F Backdoor Dibalik Foto

Di-packed menggunakan FSG, trojan ini akan menampilkan foto jika dibuka sehingga berusaha tidak mencurigakan pengguna yang membuka file ini dan membuat beberapa file pada sistem yang terinfeksi.

C:\WINDOWS\services.exe
C:\WINDOWS\system\sservice.exe
C:\WINDOWS\system32\fservice.exe
C:\WINDOWS\system32\lncom.exe
C:\WINDOWS\system32\lncom_.jpg
C:\WINDOWS\system32\reginv.dll
C:\WINDOWS\system32\winkey.dll

Untuk aktif di setiap startup, trojan ini membuat startup di lokasi berikut:

HKEY_LOCAL_MACHINE\software\microsoft\Active Setup\Installed Components\{5Y99AE78-58TT-11dW-BE53-Y67078979Y}\StubPath
C:\WINDOWS\system\sservice.exe

HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\policies\Explorer\Run\DirectX For Microsoft® Windows
C:\WINDOWS\system32\fservice.exe

HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Winlogon\Shell
Explorer.exe C:\WINDOWS\system32\fservice.exe

Ada beberapa registry yang dimodifikasi oleh Prorat.F:

HKEY_CURRENT_USER\software\Microsoft\Windows NT Script Host\Microsoft DxDiag\WinSettings\Hata
Sorry! You have not Mac System. its a protected file and deleted automatically.Kindly open this file on Mac OS.XP_FW_Disable

Read more…

facebooktwittergoogle_plusredditpinterestlinkedinmail
Categories: Pengumuman Tags:

Chanitor.D: Menyebar Via Link Download

December 5th, 2014 4 comments

Dengan berukuran 126 KB, Chanitor.D merupakan trojan downloader yang mendownload malware dari Internet. Trojan ini sendiri disebarkan juga melalui link download website yang terkena hacked.

Chanitor.D akan akan mengumpulkan informasi nama komputer, nama pengguna dan informasi harddisk.

Trojan ini melakukan query ke DNS berikut:

api.ipify.org
ho7rcj6wucosa5bu.tor2web.org
ho7rcj6wucosa5bu.tor2web.ru
ho7rcj6wucosa5bu.tor2web.ru.localdomain

Untuk dapat aktif di setiap startup, trojan membuat registry berikut:

HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Run\winlogin
C:\Documents and Settings\Administrator\Application Data\Windows\winlogin.exe

Read more…

facebooktwittergoogle_plusredditpinterestlinkedinmail
Categories: Analisa Virus Tags:

Delf.L: Trojan Downloader Tersembunyi

November 28th, 2014 4 comments

Saat dijalankan, file yang dibuat menggunakan Delphi ini membuat file induk di C:\WINDOWS\system32\vmdetdhc.exe dengan hash MD5 yang berbeda.

Trojan ini akan mendownload stealer untuk mencuri password yang diketikan pengguna.

Untuk aktif di setiap startup, file induk tersebut dipanggil di registry berikut:

HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Run
vmdetdhc.exe=C:\WINDOWS\system32\vmdetdhc.exe

Trojan ini akan melakukan koneksi ke url aa.9234.net

Delf.L akan menghapus dirinya ketika dijalankan menggunakan perintah berikut:

cmd /c erase /F /A “C:\Documents and Settings\Administrator\Desktop\r.exe

Read more…

facebooktwittergoogle_plusredditpinterestlinkedinmail
Categories: Pengumuman Tags:

PC Media 11/2014 & Windows 10 Technical Preview

November 25th, 2014 8 comments

PC Media 11/2014Telah hadir Majalah PC Media 11/2014 terbaru dengan Ekstra DVD, yang menyertakan Windows 10 Technical Preview.

MAJALAH PC MEDIA FORMAT DIGITAL

Selain versi cetak, Majalah PC Media juga dapat diperoleh dalam format digital bagi pengguna Android/iPad melalui 3 alternatif:

1. Dengan menginstal dan menggunakan aplikasi Scoop.
2. Melalui Wayang Force (http://www.wayangforce.com).
3. Melalui Scanie (http://www.scanie.com).

facebooktwittergoogle_plusredditpinterestlinkedinmail