Ebetazijl.B: Made in Spain?
Ebetazijl.B. “..Abrir la carpeta para ver los archivos..” merupakan bahasa Spanyol yang dalam bahasa Inggris adalah “Open folder to view files”. Memang sedikit sulit membaca nama malware yang satu ini. Sebelumnya kami pernah mendapatkan Ebetazijl.A yang tidak membuat shortcut di flash disk. Selain VB-Shortcut, Ebetazijl.B menambah data malware yang dibuat menggunakan Visual Basic dan membuat shortcut, meskipun kami dapatkan beberapa varian dibuat menggunakan C++ dan Delphi.
A. File Info
Nama: Ebetazijl.B
Asal: Unknown
Ukuran File: 36.0 KB
Packer: -
Pemrograman: Visual Basic 6.0
Icon: Winlogon.exe
Tipe: Worm
B. Nama Malware
Nama worm ini di ambil dari nama Product Name yang selalu terdapat text Ebetazijl.B seperti yang terlihat pada gambar di bawah ini:
C. Shortcut dan Autorun
Seperti yang di tuliskan diawal pembahasan, malware ini membuat Shortcut yang sama seperti worm VB-Shortcut.
Akan tetapi terdapat perbedaan pada Target dari shortcut tersebut dan biasanya, VB-Shortcut selalu meng-hidden semua folder di flash disk, sedangkan Ebetazijl.B hanya membuat shortcut yang semua shortcutnya mengarah pada file autorun.exe. Berikut adalah isi textnya:
%SystemRoot%\system32\rundll32.exe url.dll,FileProtocolHandler DrivesGuideInfo\autorun.exe
Tampilan Autoplay pada gambar di atas, adalah hasil autorun yang dibuat oleh Ebetazijl.B seperti yang terlihat pada gambar di bawah:
Dengan bantuan file autorun.inf di atas, maka jika user memilih menu open pada flash disk, yang di jalankan adalah worm Ebetazijl.B dengan nama autorun.exe yang terdapat pada folder:
<br />DrivesGuideInfo - S-1-7-21-1439977401-7444491467-600013330-9141<br />
Agar Folder S-1-7-21-1439977401-7444491467-600013330-9141 terlihat sama seperti Recycle Bin, worm ini menambahkan desktop.ini di dalam foldernya.
Dengan kata lain, dapat di analogikan Autorun dengan fungsi autoplay akan memanggil worm Ebetazijl.B yang terdapat di folder :
DrivesGuideInfo\S-1-7-21-1439977401-7444491467-600013330-9141\autorun.exe
Sedangkan user juga akan mengaktifkan worm Ebetazijl.B jika menjalankan shortcut pada flash disk yang file targetnya mengarah pada folder:
DrivesGuideInfo\autorun.exe
D. Infeksi
Mencoba melakukan update dengan memanfaatkan koneksi internet ke website:
http://www.0-0-0-0-0-0-0-0-0-0-0-0-0-18-…….info/ (sebagian teks disamarkan)
Membuat 2 startup agar bisa langsung aktif setelah masuk windows dan bisa di lihat pada MsConfig.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NVIDIA Media Center Library<br />C:\WINDOWS\winlogon.exe<br />HKCU\\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NVIDIA Media Center Library<br />C:\WINDOWS\winlogon.exe
Worm ini mengecoh user dengan icon yang sama dengan file winlogon.exe milik Windows. Karena perbedaan yang paling mendasar adalah, winlogon (Windows) berada di proses System Idle sedangkan Ebetazijl.B berada di Explorer.
Worm Ebetazijl.B dapat dibersihkan dengan menggunakan PCMAV 4.5 Update Build1. Bagi user yang belum terinfeksi tidak perlu khawatir karena dengan kemampuan RTP-PCMAV dapat menghalau worm Ebetazijl.B.
PCMAV 4.5 Update Build1
Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 4.5 Update Build1 telah hadir dengan penambahan 65 pengenal varian virus baru. Bagi Anda pengguna PCMAV 4.5, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.
Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.
Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:
ZippyShare.com (mirror)
Rapidshare.com (mirror)
Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.
Daftar tambahan virus hingga PCMAV 4.5 Update Build1:
Autoit.FB
Autoit.FC
Autoit.FC.ini
Autoit-ReplaceIcon.B
Autoit-ReplaceIcon.C
Baidu
Baidu.dll
Baidu.dns
Baidu.host
Baidu.inf
Beds
Bekol
BudiLuhur.C
BudiLuhur.C.inf
DelPS
DelPS.ini
Ebetazijl.A
Ebetazijl.A.inf
Ebetazijl.A.ini
Ebetazijl.B
Ebetazijl.B.lnk
HB10
Malingsi.AA
Malingsi.Y
Malingsi.Z
Malingsi.Z.dll
Malingsi.Z.exe
Malingsi.Z.ini
Malingsi.Z.mrc
Mshearts.vbs.C
MsKunti.vbs
MsKunti.vbs.html
MsKunti.vbs.inf
MsKunti.vbs.ini
MsKunti.vbs.txt
Nami-Ternate
Nami-Ternate.bat.A
Nami-Ternate.bat.B
Nami-Ternate.bat.C
Nami-Ternate.bat.D
Nami-Ternate.inf.A
Nami-Ternate.inf.B
Nami-Ternate.ini.A
Nami-Ternate.ini.B
Nami-Ternate.ini.C
Nami-Ternate.txt.A
Nami-Ternate.txt.B
Poet-Kompti
Poet-Kompti.txt
RedWines.B
Samok.vbs
Samok.vbs.bat
Samok.vbs.inf
Serviks.C
Serviks.C.html
Serviks.C.inf
Serviks.C.vbs
Sherry
VB-Shortcut-WLogon.A
VB-Shortcut-WLogon.B
VB-Shortcut-WLogon.C
VB-Shortcut-WLogon.D
VB-Shortcut-WLogon.E
VB-Shortcut-WLogon.F
VB-Shortcut-WLogon.G
saya punya komuter yang terkena Ebetazijl.A.ini tapi anehna setelah di hapus muncul lagi. Bagi kalian yang melihat komentar ini tolong beri bantuannya ya..
haloo pcmav….
saya mau kasih saran ni,,ternyata sampai update trahir hari ini (21-12-2010) pcmav blum mampu mengenali varian2 virus shortcut,,tolong donk ditambah database ny,,
trimakasih
Saya jg demikian kenapa komputer saya terkena Ebetazijl.A sudah saya hapus tetap muncul kembali gimana solusinya…
Tolong bantuannya gan…
Thx gan…
hai pcmav..bisa bantu saya untuk menghapus virus NEW HEUR LEVEL (9)
virus ini sangat menjengkelkan krna ia membuat AUTORUN di DRIVE C: dan D:
virus ini membuat file dengan extensi pif. , exe. , bat
Regedit dan Task manager locked (g bisa di buka).
Terdapat program/exe yang namanya berupa angka g karuan. contoh : 2126.exe di DRIVE C: dan D:
sama gan saya juga kena PC saya kena virus Ebetazijl.A kejadiannya mirip dengan g4d1ng dan Alvin5550 mohon bantuannya gan…padahal system restore sudah di non aktifkan
@g4d1ng
matikan system restore,scan lagi dengan pcmav terbaru. semoga membantu.
@zero
terima kasih atas bantuannya!
@zero
maaf, saran yang tadi disampaikan sudah dilakukan tetapi anehnya masih muncul juga.
laptop saya juga kena Ebetazijl.A di folder recycler, sudah discan ke delete pcmav tapi discan muncul lagi..padahal system restore juga udah turn off,gimana ni ?
kenapa ya, setiap kali versi baru PCMAV keluar pasti masih aja ada keluhan,
hai pcmav… komputer saya terkena virus, entah virus apa. Virus ini sering memblok situs yg saya buka dan terdapat tulisan “yah! terjadi masalah sewaktu menampilkan laman web ini. Untuk melanjutkan tekan muat ulang atau buka laman berikutnya”. Saya mencoba untuk membersihkannya dengan pcmav 4.5 namun tiap kali saya coba scan pcmavnya tidak mau jalan, mungkin akibat virus tersebut. Tolong bantuannya nih…
itu yg pada komentar kena virus, apakah sudah mensubmitkan sample file/virus ke PCMAV untuk tindak lanjut??
Ijin nyimak gan..
mungkin bawah ane tauu..
download otomatis aja update build terbaru
Dah lama gak liat VirusIndonesia lagi
Maju Terus Antivirus Kebanggaan Indonesia
PCMAV 4.5 mantab! Tanggal 16/12/2010 saat scan terdeteksi virus DirLock.B.inf.B dan tanggal 19/12/2010 terdeteksi virus Ebetazijl.A.ini di laptop saya. Semuanya dah dilibas hehehe…
Thanks PCMAV. I Love U.
Tul……. Wat yg kena Virus ! Sampel virus yg ada dikarantina trus kirim/upload ke PCMAV
udah build 2 yah update hari ini