Home > Analisa Virus, Antivirus, Pengumuman > Wolf.B: Curahan Hati Melalui Fake Installer

Wolf.B: Curahan Hati Melalui Fake Installer

October 19th, 2010 Leave a comment Go to comments

Wolf.B

Wolf.B. Jarang sekali di temukan malware dengan tipe worm yang dibuat menggunakan Aplikasi Pemrogramangan FreeBasic. Tanpa di-pack worm ini berukuran 509 KB, sedangkan varian sebelumnya berukuran 510 KB. Setelah dijalankan Wolf.B membuat beberapa file di drive C, antara lain:
C:\3gp players.exe
C:\Cheat Engine.exe
C:\Hentai.exe
C:\Love Calculator.exe
C:\Setup.exe
C:\VistaInspirant.exe
C:\wolf.scr
C:\wolf.html
C:\wolf..jpg
C:\Setup.ico
C:\autorun.inf
C:\desktop.ini
C:\WINDOWS\WolvesDen\Wolf.exe
C:\WINDOWS\system32\scvhost.exe
C:\WINDOWS\system32\service.exe

Di setiap drive dan termasuk removable disk terdapat beberapa file buatan Wolf.B seperti, 3gp players.exe, Cheat Engine.exe, Hentai.exe, Love Calculator.exe, Setup.exe, Vista Inspirant.exe, wolf.scr, wolf.html, wolf.jpg, Setup.ico, autorun.inf, desktop.ini.

Selain itu, worm ini juga menginjeksi dan membuat beberapa key baru pada registry, antara lain sebagai berikut:

  • Agar Berjalan di saat startup, Wolf.B membuat String Value seperti:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\system startup
    C:\WINDOWS\WolvesDen\Wolf.exe
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \startup
    C:\WINDOWS\system32\scvhost.exe
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\system startup
    C:\WINDOWS\WolvesDen\Wolf.exe
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\startup
    C:\WINDOWS\system32\scvhost.exe
  • Mengaktifkan C:\WINDOWS\WolvesDen\Wolf.exe dengan di jalankannya Userinit.exe.
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    “Shell”=”Explorer.exe C:\\WINDOWS\\WolvesDen\\wolf.exe”
    “System”=”C:\\WINDOWS\\WolvesDen\\wolf.exe”
    “Userinit”=”C:\\WINDOWS\\system32\\userinit.exe, C:\\WINDOWS\\WolvesDen\\wolf.exe”
  • Otomatis menjalankan “C:\WINDOWS\WolvesDen\Wolf.exe” “%1″%*” jika menjalankan beberapa file dengan ekstensi : 3gp, txt, reg, pif, com, cmd, vbs dan js.
    [HKEY_CLASSES_ROOT\cmdfile\shell\open\command]
    [HKEY_CLASSES_ROOT\comfile\shell\open\command]
    [HKEY_CLASSES_ROOT\inffile\shell\Install\command]
    [HKEY_CLASSES_ROOT\JSFile\Shell\Open\Command]
    [HKEY_CLASSES_ROOT\JSFile\Shell\Open2\Command]
    [HKEY_CLASSES_ROOT\piffile\shell\open\command]
    [HKEY_CLASSES_ROOT\regedit\shell\open\command]
    [HKEY_CLASSES_ROOT\regfile\shell\open\command]
    [HKEY_CLASSES_ROOT\txtfile\shell\open\command]
    [HKEY_CLASSES_ROOT\VBSFile\Shell\Open\Command]
    [HKEY_CLASSES_ROOT\VBSFile\Shell\Open2\Command]
  • Mengaktifkan C:\WINDOWS\System32\scvhost.exe dan C:\WINDOWS\System32\service.exe sekalipun masuk windows dalam posisi Safe Mode.
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot]
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot]
    [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot]

Worm juga menampilkan pesan error palsu setelah program di jalankan seperti pada gambar dibawah ini.

Wolf.B  Error Message

Ia juga akan mengubah tampilan AM dan PM dengan “The Wolf” untuk jam pada Date and Time.

Wolf.B Date Time

Selain registry, perubahan juga terlihat pada tiap drive dan removable disk seperti yang terlihat pada gambar di atas. Dengan adanya file desktop.ini dan wolf.jpg, Wolf.B merubah background dengan gambar seekor srigala yang sedang melolong layaknya membacakan sebuah puisi cinta di bawah bulan sabit. Tidak hanya itu, pesan lain untuk user di buat pada seubah file HTML dengan nama wolf.html.

Wolf.B HTML


PCMAV 4.1 Update Build1

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 4.1 Update Build1 telah hadir dengan penambahan 97 pengenal varian virus baru. Bagi Anda pengguna PCMAV 4.1, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet (non-proxy). Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV.

Namun bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:

SendSpace.com

ZippyShare.com (mirror)

Rapidshare.com (mirror)

Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 4.1 Update Build1:
Bird
Blind.vbs
CacingKita
EmptyCode.vbs
EmptyCode.vbs.inf
FakeAV-Downloader.A
FakeAV-Downloader.B
Freedom.vbs.D
Gabest
Gabest.inf
Gabest.vbs
Gasak.D
Gondronk.vbs.A
Gondronk.vbs.B
Gondronk.vbs.inf
Item
Jusched.A
Jusched.A.yeo
Jusched.B
Jusched.C
Khetex
Khetex.dll
Khetex.exe
KipLeq
Kula
Kula.htm
Kula.inf
M3Reincarnation.C
Malingsi.W
Merdeka.B
Mosquitos
Porn.vbs
Porn.vbs.cfg
Porn.vbs.inf
Porn.vbs.lnk.A
Porn.vbs.lnk.B
Porn.vbs.lnk.C
Random8-1
Random8-2
Random8-3
Restora32.exe
SallyDiardo.vbs.A
SallyDiardo.vbs.B
SallyDiardo.vbs.inf
SallyDiardo.vbs.rtf
Serviks.B
Serviks.B.doc
Serviks.B.htm
Serviks.B.inf
Serviks.B.ocx
Serviks.B.txt
SetRun
SetRun.ico
Shemale.vbs.A
Shemale.vbs.A.dll
Shemale.vbs.A.dls
Shemale.vbs.A.html
Shemale.vbs.A.inf
Shemale.vbs.A.lnk
Shemale.vbs.A.mht
Shemale.vbs.A.tmp
Shemale.vbs.B
Shemale.vbs.B.dll.A
Shemale.vbs.B.dll.B
Shemale.vbs.B.dll.C
Shemale.vbs.B.dll.D
Shemale.vbs.B.dll.E
Shemale.vbs.B.dll.F
Shemale.vbs.B.dll.G
Shemale.vbs.B.dll.H
Shemale.vbs.B.dll.I
Shemale.vbs.B.hosts
Shemale.vbs.B.html
Shemale.vbs.B.inf
Shemale.vbs.B.lnk.A
Shemale.vbs.B.lnk.B
Shemale.vbs.B.lnk.C
Shemale.vbs.B.lnk.D
Shemale.vbs.B.lnk.E
Shemale.vbs.B.lnk.F
Shemale.vbs.B.lnk.G
Shemale.vbs.B.lnk.H
Shemale.vbs.B.lnk.I
Shemale.vbs.B.lnk.J
Shemale.vbs.B.lnk.K
Shemale.vbs.B.lnk.L
Shemale.vbs.B.lnk.M
Shemale.vbs.B.lnk.N
Shemale.vbs.B.lnk.O
Shemale.vbs.B.lnk.P
Shemale.vbs.B.log
Shemale.vbs.B.mht
Shemale.vbs.B.txt
Wayang-Pandawa.E
Wolf.B
Wolf.B.html
Wolf.B.ico

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\system startup

C:\WINDOWS\WolvesDen\Wolf.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \startup

C:\WINDOWS\system32\scvhost.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\system startup

C:\WINDOWS\WolvesDen\Wolf.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\startup

C:\WINDOWS\system32\scvhost.exe

Categories: Analisa Virus, Antivirus, Pengumuman Tags:
  1. Spacezoid
    October 19th, 2010 at 22:51 | #1

    PERTAMAX
    Tampaknya makin lama makin banyak virus yang aneh dan beragam motifnya sebanyak variannya kali.
    Hajar dan basmi secara tuntas dengan PCMAV.

  2. Calon Mantu
    October 20th, 2010 at 00:18 | #2

    Eh, maaf, nggak sabar nunggu diload ….

    Wolf.B baru build 1 ya, kirain dah build 2.

    Kalau build 1 mah, sudah beberapa hari lalu update otomatis.
    PCMAV 4.1+build1+clamav 0.96.3+daily 12155, dapat Virus Signature: 986.809+97 viruses

    safebrowsing masih belum bisa integrasi lagi nih…

  3. October 20th, 2010 at 08:58 | #3

    Wah, mantap,,,,,aku malah beli PC CHIP….kantorku mah yang punya…mau beli PCMEDIA uangnya nipis bang…numpang download aja….terimakasih…

  4. kapista
    October 20th, 2010 at 09:50 | #4

    untuk safebrowsing sudah dapat di integrasikan dgn pcmav 4.1

  5. dark angel
    October 20th, 2010 at 13:13 | #5

    ke 5

    Maju terus PCMAV
    sekarang dah Build 2 gan….

  6. ArSip
    October 21st, 2010 at 01:59 | #6

    Lumayan ke-6..
    Semangatlah PCMAV..

  7. Fredika
    October 21st, 2010 at 20:06 | #7

    ketujuxxxxxxxxx,ok gan mantabs lah PCMAV keren abis,cuma kok elapsed time untuk scan flashdisk ga berfungsi ya?
    sekarang file update.vdb udh ga keanggap virus sama AVG 2011,GOOD LUCK PCMAV
    ngomong ngomong PCMAV new generation ya itu PCMAV Predator kapan launching?

  8. October 21st, 2010 at 21:38 | #8

    gmna y ngilangin autorun.inf yg brbntuk notepad? autorun ni g bs dhpus n bnyk virusnya sprti sality.level(9) n bnyk mcmnya lg.

  9. Triyono
    October 21st, 2010 at 21:58 | #9

    numpang nanya nih, apa si safebrowsing itu, gimana cara menggabugkannya dengan PCMAV? thank’s

  10. Triyono
    October 21st, 2010 at 22:04 | #10

    emangnya udah sampe’ Virus Signature: 986.809+97 viruses yah PCMAV kok punya ku baru Virus Signature: 849.574+126 viruses yah, padahal sudah aku update,

  11. Triyono
    October 21st, 2010 at 22:06 | #11

    PCMAV 4.1 build 2 kadang2 masih dianggap virus tuh sama AVG 10

  12. ICP
    October 22nd, 2010 at 13:35 | #12

    PCMAV 4.1+build 2+clamav 0.96.3+daily 12159, dapat Virus Signature: 1.446.973 + 126 viruses

  13. Halo
    October 22nd, 2010 at 16:46 | #13

    PCMAV Mantap pisan……….

  14. November 11th, 2010 at 13:40 | #14

    itu virus ya ….
    bisa ajarin aku menggunakannya …