Home > Analisa Virus, Antivirus, Pengumuman > Ebetazijl.B: Made in Spain?

Ebetazijl.B: Made in Spain?

December 21st, 2010 Leave a comment Go to comments

Ebetazijl.B

Ebetazijl.B.  “..Abrir la carpeta para ver los archivos..” merupakan bahasa Spanyol yang dalam bahasa Inggris adalah “Open folder to view files”. Memang sedikit sulit membaca nama malware yang satu ini. Sebelumnya kami pernah mendapatkan Ebetazijl.A yang tidak membuat shortcut di flash disk. Selain VB-Shortcut, Ebetazijl.B menambah data malware yang dibuat menggunakan Visual Basic dan membuat shortcut, meskipun kami dapatkan beberapa varian dibuat menggunakan C++ dan Delphi.

A. File Info

Nama: Ebetazijl.B
Asal: Unknown
Ukuran File: 36.0 KB
Packer: –
Pemrograman: Visual Basic 6.0
Icon: Winlogon.exe
Tipe: Worm

B. Nama Malware

Nama worm ini di ambil dari nama Product Name yang selalu terdapat text Ebetazijl.B seperti yang terlihat pada gambar di bawah ini:

Properties Ebetazijl.B

C. Shortcut dan Autorun

Seperti yang di tuliskan diawal pembahasan, malware ini membuat Shortcut yang sama seperti worm VB-Shortcut.

Folder and ShortCut Ebetazijl.B

Akan tetapi terdapat perbedaan pada Target dari shortcut tersebut dan biasanya, VB-Shortcut selalu meng-hidden semua folder di flash disk, sedangkan Ebetazijl.B hanya membuat shortcut yang semua shortcutnya mengarah pada file autorun.exe. Berikut adalah isi textnya:

%SystemRoot%\system32\rundll32.exe url.dll,FileProtocolHandler DrivesGuideInfo\autorun.exe

Tampilan Autoplay pada gambar di atas, adalah hasil autorun yang dibuat oleh Ebetazijl.B seperti yang terlihat pada gambar di bawah:

AutoRun Ebetazijl.B

Dengan bantuan file autorun.inf di atas, maka jika user memilih menu open pada flash disk, yang di jalankan adalah worm Ebetazijl.B dengan nama autorun.exe yang terdapat pada folder:

<br />DrivesGuideInfo - S-1-7-21-1439977401-7444491467-600013330-9141<br />

Drives Ebetazijl.B

Agar Folder S-1-7-21-1439977401-7444491467-600013330-9141 terlihat sama seperti Recycle Bin, worm ini menambahkan desktop.ini di dalam foldernya.

Companion Ebetazijl.B

Dengan kata lain, dapat di analogikan Autorun dengan fungsi autoplay akan memanggil worm Ebetazijl.B yang terdapat di folder :

DrivesGuideInfo\S-1-7-21-1439977401-7444491467-600013330-9141\autorun.exe

Sedangkan user juga akan mengaktifkan worm Ebetazijl.B jika menjalankan shortcut pada flash disk yang file targetnya mengarah pada folder:

DrivesGuideInfo\autorun.exe

D. Infeksi

Mencoba melakukan update dengan memanfaatkan koneksi internet ke website:

http://www.0-0-0-0-0-0-0-0-0-0-0-0-0-18-…….info/ (sebagian teks disamarkan)

Membuat 2 startup agar bisa langsung aktif setelah masuk windows dan bisa di lihat pada MsConfig.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NVIDIA Media Center Library<br />C:\WINDOWS\winlogon.exe<br />HKCU\\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NVIDIA Media Center Library<br />C:\WINDOWS\winlogon.exe

Worm ini mengecoh user dengan icon yang sama dengan file winlogon.exe milik Windows. Karena perbedaan yang paling mendasar adalah, winlogon (Windows) berada di proses System Idle sedangkan Ebetazijl.B berada di Explorer.

Process Ebetazijl.B

Worm Ebetazijl.B dapat dibersihkan dengan menggunakan PCMAV 4.5 Update Build1. Bagi user yang belum terinfeksi tidak perlu khawatir karena dengan kemampuan RTP-PCMAV dapat menghalau worm Ebetazijl.B.

PCMAV RTP

PCMAV Detection

PCMAV Cleaning


PCMAV 4.5 Update Build1

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 4.5 Update Build1 telah hadir dengan penambahan 65 pengenal varian virus baru. Bagi Anda pengguna PCMAV 4.5, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.

Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:

SendSpace.com

ZippyShare.com (mirror)

Rapidshare.com (mirror)

Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 4.5 Update Build1:
Autoit.FB
Autoit.FC
Autoit.FC.ini
Autoit-ReplaceIcon.B
Autoit-ReplaceIcon.C
Baidu
Baidu.dll
Baidu.dns
Baidu.host
Baidu.inf
Beds
Bekol
BudiLuhur.C
BudiLuhur.C.inf
DelPS
DelPS.ini
Ebetazijl.A
Ebetazijl.A.inf
Ebetazijl.A.ini
Ebetazijl.B
Ebetazijl.B.lnk
HB10
Malingsi.AA
Malingsi.Y
Malingsi.Z
Malingsi.Z.dll
Malingsi.Z.exe
Malingsi.Z.ini
Malingsi.Z.mrc
Mshearts.vbs.C
MsKunti.vbs
MsKunti.vbs.html
MsKunti.vbs.inf
MsKunti.vbs.ini
MsKunti.vbs.txt
Nami-Ternate
Nami-Ternate.bat.A
Nami-Ternate.bat.B
Nami-Ternate.bat.C
Nami-Ternate.bat.D
Nami-Ternate.inf.A
Nami-Ternate.inf.B
Nami-Ternate.ini.A
Nami-Ternate.ini.B
Nami-Ternate.ini.C
Nami-Ternate.txt.A
Nami-Ternate.txt.B
Poet-Kompti
Poet-Kompti.txt
RedWines.B
Samok.vbs
Samok.vbs.bat
Samok.vbs.inf
Serviks.C
Serviks.C.html
Serviks.C.inf
Serviks.C.vbs
Sherry
VB-Shortcut-WLogon.A
VB-Shortcut-WLogon.B
VB-Shortcut-WLogon.C
VB-Shortcut-WLogon.D
VB-Shortcut-WLogon.E
VB-Shortcut-WLogon.F
VB-Shortcut-WLogon.G

Categories: Analisa Virus, Antivirus, Pengumuman Tags:
  1. g4d1ng
    December 21st, 2010 at 07:43 | #1

    saya punya komuter yang terkena Ebetazijl.A.ini tapi anehna setelah di hapus muncul lagi. Bagi kalian yang melihat komentar ini tolong beri bantuannya ya..

  2. bam bam
    December 21st, 2010 at 08:55 | #2

    haloo pcmav….
    saya mau kasih saran ni,,ternyata sampai update trahir hari ini (21-12-2010) pcmav blum mampu mengenali varian2 virus shortcut,,tolong donk ditambah database ny,,

    trimakasih

  3. Alvin5550
    December 21st, 2010 at 10:20 | #3

    Saya jg demikian kenapa komputer saya terkena Ebetazijl.A sudah saya hapus tetap muncul kembali gimana solusinya…
    Tolong bantuannya gan…
    Thx gan…

  4. batax
    December 21st, 2010 at 14:14 | #4

    hai pcmav..bisa bantu saya untuk menghapus virus NEW HEUR LEVEL (9)
    virus ini sangat menjengkelkan krna ia membuat AUTORUN di DRIVE C: dan D:
    virus ini membuat file dengan extensi pif. , exe. , bat
    Regedit dan Task manager locked (g bisa di buka).
    Terdapat program/exe yang namanya berupa angka g karuan. contoh : 2126.exe di DRIVE C: dan D:

  5. ekodomba
    December 21st, 2010 at 14:34 | #5

    sama gan saya juga kena PC saya kena virus Ebetazijl.A kejadiannya mirip dengan g4d1ng dan Alvin5550 mohon bantuannya gan…padahal system restore sudah di non aktifkan

  6. zero
    December 21st, 2010 at 17:51 | #6

    @g4d1ng
    matikan system restore,scan lagi dengan pcmav terbaru. semoga membantu.

  7. g4d1ng
    December 21st, 2010 at 21:05 | #7

    @zero
    terima kasih atas bantuannya!

  8. g4d1ng
    December 21st, 2010 at 21:16 | #8

    @zero
    maaf, saran yang tadi disampaikan sudah dilakukan tetapi anehnya masih muncul juga.

  9. malik
    December 21st, 2010 at 23:36 | #9

    laptop saya juga kena Ebetazijl.A di folder recycler, sudah discan ke delete pcmav tapi discan muncul lagi..padahal system restore juga udah turn off,gimana ni ?

  10. Triyono
    December 22nd, 2010 at 03:41 | #10

    kenapa ya, setiap kali versi baru PCMAV keluar pasti masih aja ada keluhan,

  11. Abghi
    December 22nd, 2010 at 17:40 | #11

    hai pcmav… komputer saya terkena virus, entah virus apa. Virus ini sering memblok situs yg saya buka dan terdapat tulisan “yah! terjadi masalah sewaktu menampilkan laman web ini. Untuk melanjutkan tekan muat ulang atau buka laman berikutnya”. Saya mencoba untuk membersihkannya dengan pcmav 4.5 namun tiap kali saya coba scan pcmavnya tidak mau jalan, mungkin akibat virus tersebut. Tolong bantuannya nih…

  12. December 23rd, 2010 at 08:52 | #12

    itu yg pada komentar kena virus, apakah sudah mensubmitkan sample file/virus ke PCMAV untuk tindak lanjut??

  13. ArSip
    December 23rd, 2010 at 19:30 | #13

    Ijin nyimak gan..
    mungkin bawah ane tauu.. 😀

  14. tongsamcong
    December 23rd, 2010 at 21:24 | #14

    download otomatis aja update build terbaru

  15. Halo
    December 24th, 2010 at 11:07 | #15

    Dah lama gak liat VirusIndonesia lagi
    Maju Terus Antivirus Kebanggaan Indonesia

  16. fish
    December 25th, 2010 at 08:03 | #16

    PCMAV 4.5 mantab! Tanggal 16/12/2010 saat scan terdeteksi virus DirLock.B.inf.B dan tanggal 19/12/2010 terdeteksi virus Ebetazijl.A.ini di laptop saya. Semuanya dah dilibas hehehe… 🙂 Thanks PCMAV. I Love U.

  17. prayitno
    December 25th, 2010 at 09:35 | #17

    Tul……. Wat yg kena Virus ! Sampel virus yg ada dikarantina trus kirim/upload ke PCMAV 🙂

  18. Ayah
    December 28th, 2010 at 10:17 | #18

    udah build 2 yah update hari ini