Home > Analisa Virus, Antivirus, Pengumuman > Tondano: Cara Lain Bermain Game Poker

Tondano: Cara Lain Bermain Game Poker

November 12th, 2010 Leave a comment Go to comments

Tondano

Tondano. Poker adalah salah satu bentuk permainan kartu yang marak dimainkan belakangan ini. Para pengguna Facebook pasti tidak asing dengan salah satu aplikasi permainan yang disediakan di dalam jejaring sosial tersebut dengan nama Texas Holdem Poker. Tetapi jangan terjebak menjalankan worm yang menyamar sebagai permainan poker.

Spesifikasi Worm Tondano

Nama : Tondano
Asal : Indonesia
Ukuran File : 41.0 KB
Packer : PEcompact
Pemrograman : Visual Basic 6.0
Icon : Game Poker

Worm ini menerapkan rekayasa sosial yang mencoba mengelabui user dengan sebuah file dengan nama “Free Chips Poker” yang sebenarya adalah sebuah malware. Setelah aktif di memory, worm Tondano akan melakukan beberapa playload seperti:

  1. Membuat file Autorun.inf di setiap Drive dengan attribut file hidden.

  2. Tondano Autorun

  3. Membuat duplikat worm dengan format “Hallo [Nama user].exe”, jika Anda login sebagai Administrator, maka worm akan menciptakan file dengan nama “Hallo Administrator.exe”.

  4. Membuat sebuah pesan dengan nama “Pesan.txt” di setiap drive.

  5. Tondano Pesan

  6. Membuat sebuah file dengan nama Systs.bat dengan attribut file hidden di Drive C:\

  7. Tondano Systs.bat

  8. Membuat folder dengan nama Tondano di setiap drive dan menyisipkan file Poker.exe.

  9. Mengkopikan file-file dengan folder dan nama sebagai berikut:

  10. C:\Tondano.exe
    C:\WINDOWS\msvbvm60.dll
    C:\WINDOWS\system32\IExplorer.exe
    C:\WINDOWS\system32\shell.exe
    C:\WINDOWS\system32\smsx.scr
    C:\WINDOWS\Tondano.exe
    

  11. Agar bisa berjalan otomatis, Worm Tondano juga mengkopikan filenya ke folder Startup C:\Documents and Settings\All Users\Start Menu\Programs\Startup\Empty.pif

  12. Menampilkan pesan error jika mencoba menupup program yang sedang berjalan.

  13. Tondano Restriction

  14. Mendisable beberapa sistem registry Windows seperti:

  15. NoControlPanel
    NoCommonGroups
    NoPropertiesMyComputer
    NoManageMyComputer
    NoRunAs
    NoExpendedNewMenu
    NoToolbarCustomize
    NoFileURL
    NoTrayItemsDisplay
    NoViewContextMenu
    NoDesktop
    NoStartMenuMorePrograms
    DisableCMD
    NoVirtMemPage
    NoDispCPL
    DisableRegistryTools
    SystemRestore
    

  16. Membuat banyak Startup di registry:

  17. HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run\ Tondano
    C:\WINDOWS\Tondano.exe”

    HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run\MSMSGS
    C:\Documents and Settings\Administrator\Local Settings\Application Data\WINDOWS\WINLOGON.EXE”

    HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run\ServiceAdministrator
    C:\Documents and Settings\Administrator\Local Settings\Application Data\WINDOWS\SERVICES.EXE

    HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Run\LogonAdministrator
    C:\Documents and Settings\Administrator\Local Settings\Application Data\WINDOWS\CSRSS.EXE

    HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Run\System Monitoring
    C:\Documents and Settings\Administrator\Local Settings\Application Data\WINDOWS\LSASS.EXE

    HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Winlogon
    Shell=Explorer.exe “C:\WINDOWS\system32\IExplorer.exe

    HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Winlogon
    Userinit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\IExplorer.exe

  18. Mendisable beberapa fungsi pada Internet Explorer:

  19. Remove Netscape Help
    Remove Tutorial
    Remove Feedback
    NoSearchCustomization
    NoBrowserClose
    NoBrowserSaveAs
    NoFileView
    NoFavorites
    NoViewSource
    NoFileOpen
    NoBrowserOptions
    

  20. Selain file asli Windows seperti Notepad, Wordpad, worm Tondano akan mendisable file dengan tipe:

  21. Batfile
    Comfile
    Exefile
    Lnkfile
    Piffile
    

Tidak tanggung-tanggung, Tondano membuat 9 proses secara terus-menerus sehingga membuat worm ini sangat sulit dihentikan aktivitasnya di memory secara manual. Selain itu worm ini membuat file duplikat dari file dengan tipe: bmp, mp3, avi, exe, doc, rar sebanyak 40 dengan cara menambahkan spasi di belakang nama file dan file aslinya diberi attribut hidden.

Karena worm Tondano mendisable user menjalankan/membuka file dengan tipe seperti yang telah dijelaskan di atas, maka ada cara lain untuk menghapus worm ini, yaitu menggunakan file dengan ekstensi .cmd yang dapat dibuat menggunakan Notepad dan bertujuan untuk menjalankan file PCMAV.exe. Caranya, buka program notepad dan masukan code seperti gambar dibawah kemudian simpan dengan nama bebas tetapi harus berekstensi (.cmd).

PCMAV CMD

PCMAV 4.1 Update Build3

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 4.1 Update Build3 telah hadir dengan penambahan 151 pengenal varian virus baru. Bagi Anda pengguna PCMAV 4.1, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet (non-proxy). Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV.

Namun bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:

SendSpace.com

ZippyShare.com (mirror)

Rapidshare.com (mirror)

Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 4.1 Update Build3:
ArieLiverMartilina
ArieLiverMartilina.inf
ArieLiverMartilina.msg
BassAlac
BassAlac.dll
Bird
Blind.vbs
CacingKita
CintaFitri
CintaFitri.bat
Defecha
DEnkrip
EmptyCode.vbs
EmptyCode.vbs.inf
FakeAV-Downloader.A
FakeAV-Downloader.B
FakeNtldr
FakeNtldr.inf
Freedom.vbs.D
FullHouse.D
FuVirus
Gabest
Gabest.inf
Gabest.vbs
Gasak.D
Gondronk.vbs.A
Gondronk.vbs.B
Gondronk.vbs.inf
Hakif
Intimidate
Item
Julia
Julia.cmd.A
Julia.cmd.B
Julia.cmd.C
Julia.html
Julia.vbs.A
Julia.vbs.B
Jusched.A
Jusched.A.yeo
Jusched.B
Jusched.C
Khetex
Khetex.dll
Khetex.exe
KipLeq
Kopat
Kopat.exe
Kula
Kula.htm
Kula.inf
M3Reincarnation.C
Malingsi.W
Merdeka.B
Momo
Mosquitos
MyPCMD.B
OjanBlank
OjanBlank.doc
Porn.vbs
Porn.vbs.cfg
Porn.vbs.inf
Porn.vbs.lnk.A
Porn.vbs.lnk.B
Porn.vbs.lnk.C
Random8-1
Random8-2
Random8-3
Recycler.AX
Recycler.AX.inf
Recycler.AY
Recycler.AY.inf
Recycler.AZ
Recycler.AZ.inf
Recycler.BA
Recycler.BA.inf
Restora32.exe
Rieysha.C
Rieysha.C.inf
Rieysha.C.ini
Rieysha.C.msg
Rieysha.C.oem
Rieysha.C.vbs.A
Rieysha.C.vbs.B
Rieysha.C.vbs.C
Sabotage.C
Sabotage.C.inf
Sabotage.C.ini
Sabotage.C.job
Sabotage.C.TXT
SallyDiardo.vbs.A
SallyDiardo.vbs.B
SallyDiardo.vbs.inf
SallyDiardo.vbs.rtf
Serviks.B
Serviks.B.doc
Serviks.B.htm
Serviks.B.inf
Serviks.B.ocx
Serviks.B.txt
SetRun
SetRun.ico
Shemale.vbs.A
Shemale.vbs.A.dll
Shemale.vbs.A.dls
Shemale.vbs.A.html
Shemale.vbs.A.inf
Shemale.vbs.A.lnk
Shemale.vbs.A.mht
Shemale.vbs.A.tmp
Shemale.vbs.B
Shemale.vbs.B.dll.A
Shemale.vbs.B.dll.B
Shemale.vbs.B.dll.C
Shemale.vbs.B.dll.D
Shemale.vbs.B.dll.E
Shemale.vbs.B.dll.F
Shemale.vbs.B.dll.G
Shemale.vbs.B.dll.H
Shemale.vbs.B.dll.I
Shemale.vbs.B.hosts
Shemale.vbs.B.html
Shemale.vbs.B.inf
Shemale.vbs.B.lnk.A
Shemale.vbs.B.lnk.B
Shemale.vbs.B.lnk.C
Shemale.vbs.B.lnk.D
Shemale.vbs.B.lnk.E
Shemale.vbs.B.lnk.F
Shemale.vbs.B.lnk.G
Shemale.vbs.B.lnk.H
Shemale.vbs.B.lnk.I
Shemale.vbs.B.lnk.J
Shemale.vbs.B.lnk.K
Shemale.vbs.B.lnk.L
Shemale.vbs.B.lnk.M
Shemale.vbs.B.lnk.N
Shemale.vbs.B.lnk.O
Shemale.vbs.B.lnk.P
Shemale.vbs.B.log
Shemale.vbs.B.mht
Shemale.vbs.B.txt
Tondano
Tondano.bat
Tondano.inf
Tondano.txt
Vhier
Wayang-Pandawa.E
Wolf.B
Wolf.B.html
Wolf.B.ico

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\system startup

C:\WINDOWS\WolvesDen\Wolf.exe

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run \startup

C:\WINDOWS\system32\scvhost.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\system startup

C:\WINDOWS\WolvesDen\Wolf.exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\startup

C:\WINDOWS\system32\scvhost.exe

Categories: Analisa Virus, Antivirus, Pengumuman Tags:
  1. Fufu_KerenZ
    November 12th, 2010 at 16:21 | #1

    Pertamax
    Terus Update PCMAV virus database
    Thanks

  2. Edo
    November 12th, 2010 at 16:49 | #2

    Update PCMAV 4.1 Ragnarok 2 ….?
    Dah pake yang ver 4.2 neh…
    Artinya data virus ini dah ada di ver 4.2 kan?

  3. onegin
    November 12th, 2010 at 18:35 | #3

    Terima kasih taz updatenya…
    lanjutkan perjuangan melawan virus…

  4. Edo
    November 14th, 2010 at 03:39 | #4

    Bravo PCMAV……….
    Terima kash untuk tip file ekstensi .cmd -nya…
    Jadi terkenang sama masa-masa kejayaan DOS….

  5. p0kerm4nia
    December 11th, 2010 at 09:38 | #5

    tanggung amat tuh virus, sekalian ja ambil akun fb yg punya chip poker bnyak kan lumayan tuh, wkwkwkwkwk

  6. December 12th, 2010 at 09:19 | #6

    wow,,,, baru tau… =.=