Home > Analisa Virus, Antivirus, Pengumuman > Delp-Shortcut: Meneruskan Tren Serangan Shortcut

Delp-Shortcut: Meneruskan Tren Serangan Shortcut

January 24th, 2011 Leave a comment Go to comments

Delp-Shortcut

Delp-Shortcut. Rupanya teror worm yang mengeksploitasi shortcut belum berakhir meskipun tahun 2010 telah dilewati. Kami mendapat banyaknya laporan dari user mengenai adanya file shorcut yang tidak bisa di hapus dan ada file mencurigakan dengan nama mso.sys.

A. File Info

Nama: Delp-Shortcut
Asal: Brazil (masih dugaan)
Ukuran File: 25.5 KB (26,112 bytes)
Packer: UPX
Pemrograman: Delphi
Icon: Menyerupai system file
Tipe: Worm

B. Tentang Malware

Bebeda dengan kerabat dekatnya yaitu VB-Shorcut yang juga mengeksploitasi shortcut, worm Delp-Shortcut dibuat menggunakan Delphi. Dengan menggunakan ekstensi *.sys, worm yang sebenarnya adalah file DLL32, mampu menyebar begitu cepat dengan bantuan shortcut yang diciptakannya. Agar bisa berjalan di memory, worm ini akan menempel pada file Run32dll.exe.

Delp-Shortcut

Kami menduga worm ini berasal dari Brazil, karena Delp-Shortcut mencoba mengakses sebuah alamat IP melalui port 1036, yang jika di trace berasal dari Brazil . Walau tidak tertutup kemungkinan IP tersebut hanyalah IP dari domain / hosting yang sengaja dibuat oleh virus maker-nya dan kebetulan berada di Brazil.

IP Delp-Shortcut


C. Companion/File yang dibuat

Delp-shortcut akan membuat 5 buah file shortcut dengan nama Documment and Settings.lnk, Program Files. lnk, RECYCLER.lnk, System Volume Information.lnk dan WINDOWS.lnk seperti yang terlihat pada gambar di atas. Shortcut yang diciptakan worm ini hanya menginfeksi Drive C, D, E, F, dan G.

Shortcut Worm 1

Shortcut Worm 2

Shortcut Worm 3

Shortcut Worm 4

Shortcut Worm 5

Selain itu semua file shortcut yang dibuat akan mengarah kepada file mso.sys yang kemudian mengaktifkan Run32DLL.exe agar bisa berjalan di memory.

Proses Worm

D. Hasil Infeksi

Beberapa kali kami mendapatkan Delp-Shortcut mencoba membuat hang explorer.exe setelah mengakses IP yang sudah di jelaskan di atas. Agar bisa berjalan saat startup, worm ini membuat Startup pada registry dan membuat companion dengan nama Microsoft Update.lnk di folder Startup.

MS Config

Selain itu, companion dari malware ini juga terdapat pada folder:
• C:\Documents and Settings\-ede\Favorites\Microsoft update.lnk
• C:\Documents and Settings\All Users\Start Menu\Internet Explorer.lnk

E. Pembersihan
Gunakan PCMAV 4.6 Update Build1 untuk membersihkan Delp-Shortcut.

Cleaning


PCMAV 4.6 Update Build1

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 4.6 Update Build1 telah hadir dengan penambahan 60 pengenal varian virus baru. Bagi Anda pengguna PCMAV 4.6, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.

Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:

SendSpace.com

ZippyShare.com (mirror)

Rapidshare.com (mirror)

Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 4.6 Update Build1:
Delp-Shortcut
Delp-Shortcut.lnk.A
Delp-Shortcut.lnk.B
Delp-Shortcut.lnk.C
Delp-Shortcut.lnk.D
Delp-Shortcut.lnk.E
Ebetazijl.A
Ebetazijl.A.inf
Ebetazijl.B
Ebetazijl.B.lnk
FakeAV-Downloader.G
FakeDownloader.A
FakeDownloader.B
FakeDownloader.B.dll.A
FakeDownloader.B.dll.B
FakeDownloader.C
FakeDownloader.C.dll.A
FakeDownloader.C.dll.B
FakeDownloader.D
FakeDownloader.D.dll
FakeDownloader.D.exe
FakeDownloader.E
FakeDownloader.F
FakeDownloader.F.bat
FakeDownloader.F.job
FakeDownloader.G
FakeDownloader.G.DLL
FakeDownloader.H
FakeDownloader.H.bat
FakeDownloader.H.job
FakeDownloader.H.sim
FakeDownloader.I
FakeDownloader.J
FakeDownloader.K
FakeDownloader.L
FakeDownloader.L.exe
FakeDownloader.M
FakeDownloader.N
FakeDownloader.O
HoneyMoon.vbs
HoneyMoon.vbs.inf
Khetex.B
NDI.vbs
NDI.vbs.gen
NDI.vbs.inf
NDI.vbs.txt
NineOClock
Rascal.B
Restore.D
Restore.D.inf
Restore.E
Restore.E.inf
SkyNet.F
Spesial
VB-Shortcut-1.lnk.A
VB-Shortcut-1.lnk.B
VB-Shortcut-1.lnk.C
VB-Shortcut-1.lnk.D
Vedasetion
Vedasetion.tmp

    • Mendisable fungsi windows seperti, Registry Editor, Disable Show Hidden File and Show Extension, Task Manager.

    • Membuat startup pada registry:

Categories: Analisa Virus, Antivirus, Pengumuman Tags:
  1. Rushella
    January 24th, 2011 at 20:18 | #1

    Akhirnya mso.sys ketangkep juga.
    Thx PCMAV

  2. Edo
    January 24th, 2011 at 22:12 | #2

    Latest update nehh…….
    download ya………
    Maju terus PCMAV!!!!!!

  3. January 24th, 2011 at 22:14 | #3

    sebenarnya, apa saja sih,jenis2 virus, worm dan lain-lain yang menyebar di indonesia, soalnya,komputer saya sering sekali bermasalah dengan yang namnya virus….

    itu juga, sudah di clean install ulangnya…

    mohon pnecerahannya…. 😀

    salam….

  4. Edo
    January 24th, 2011 at 22:23 | #4

    @david satria :
    baca file readme.txt-nya PCMAV…. paling tidak “itu” yang nongol di indonesia.

    Setelah clean install, coba cek dengan PCMAV file-file yang ada di hard disk. Jangan-jangan ada yang sudah terinfeksi.

  5. deso
    January 25th, 2011 at 00:12 | #5

    virus sragen belum tuntas nih, file autoran.inf masih ada.

  6. Xavi
    January 25th, 2011 at 05:34 | #6

    @david satria,
    Walaupun komputernya dah diinstall ulang, tapi kalau di flashdisknya masih ada virus yang belum dibersihkan atau sembarang flashdiks teman maen colok ke komputer kita ya sami mawon.

  7. January 25th, 2011 at 08:29 | #7

    tetep aja ga bisa. . .virusnya mzh muncul lagi. . .. gimana ini?

  8. ArSip
    January 25th, 2011 at 09:28 | #8

    lumayan 10 besar..
    hahahahaha..

  9. michi
    January 25th, 2011 at 09:51 | #9

    @rinu, udah scan seluruhnya (harddisk,flashdisk)? atau coba diskusikan di forum, lebih enak karena thread udah disusun berdasarkan kategori.

  10. January 25th, 2011 at 15:46 | #10

    Bravo PCMAV

    ramnit…masih yg merugikan…huhuhu

  11. January 25th, 2011 at 20:55 | #11

    @michi,
    sya sudah update dngn yg baru PCMAV 4.6 Update Build1 (Delp-Shortcut)
    tapi ternyata hanya menghapus file shorcut dan mso.sys nya saja. . hal ini sama saja dengan saya menghapus file-file tersebut secara manual.. . dan beberapa detik lagi kemudian file-file shorcut dan mso.sys itu muncul kembali di flashdisk saya. . lalu bagaimana agar file tersebut tidak muncul lagi?bagaimana memperbaiki registry nya?mungkin hardisk nya pun bgtu sdh terinfeksi. .

  12. zero
    January 26th, 2011 at 04:40 | #12

    @rinu
    matikan system restore sebelum scan dengan pcmav.

  13. jupri
    January 26th, 2011 at 09:17 | #13

    @rinu coba scan harddisknya pake safe mode gan

  14. prayitno
    January 26th, 2011 at 10:14 | #14

    PCMEDIA 02/2011 : K’napa gak dicoba scan virus lewat LIVE-CD yg ada di majalah ini… dengan catatan kompi bisa konek internet bwat update database AV-na… S’moga bermanfaat

  15. January 26th, 2011 at 14:35 | #15

    @zero n @jupri
    udh sma aja. . tpi kan sya pke deepfreez jdi ga’pp. .

    cuman yg jadi masalah ketika sya msuk flashdisk sya dengan klik ikon flashdisk di my computr, virus itu nybar lagi. . sya lhat prosesnya di TaskMan

    jdi gmna nihh? ada solusi gan?

  16. Edo
    January 26th, 2011 at 19:15 | #16

    @rinu :
    kalo gitu flash disknya dunk yang terinfeksi?
    Atau jangan-jangan sistem windowsnya bukan di partisi C?
    jadi biar C yang di-deepfreeze, tetap aza terinfeksi…..?
    Atau jangan-jangan sebelum di-deepfreeze dah terinfeksi dulu…?

  17. January 26th, 2011 at 19:32 | #17

    Tolongin neh, gw udah update PCMAV ke versi 4.6 buillt 1 tapi virus di kompi gw blum ilang.
    kalo discan virusnya ga dapat. waktu kita buka flash disk, RTPnya ngedetect tapi ada tulisan Protection was requested by user.

    kira2 itu apa ya? virusnya jadi ga bisa dihapus. tolongin dong gimana caranya biar flash gw bisa bersih.

  18. ngatijo
    January 26th, 2011 at 22:47 | #18

    @Raymond
    * Block Program on the USB/Card: USB flash disk/card umumnya digunakan sebagai media pertukaran data, tetapi tidak jarang disusupi oleh malware dalam bentuk kode yang dapat dieksekusi. Bagi Anda yang tidak ingin kecolongan malware yang aktif dari USB flash disk/card (seperti di lingkungan perkantoran), dapat mengaktifkan pilihan Block Program On USB/Card pada menu PCMAV di system tray.

  19. sikatro
    January 27th, 2011 at 11:18 | #19

    Edo :
    @rinu :
    kalo gitu flash disknya dunk yang terinfeksi?
    Atau jangan-jangan sistem windowsnya bukan di partisi C?
    jadi biar C yang di-deepfreeze, tetap aza terinfeksi…..?
    Atau jangan-jangan sebelum di-deepfreeze dah terinfeksi dulu…?

    kalo mo ngasih saran,mbok ya yg sederhana. jaangan bikin orang bingung coyy

  20. prayitno
    January 27th, 2011 at 14:14 | #20

    F-Secure Rescue CD 3.11 Build 23804 & G Data BootCD 2011… dh pd coba burning & coba 2 file.iso ni lum…..

  21. gabe
    January 27th, 2011 at 16:07 | #21

    Gan,,w mau nanya Blocked Host masuk virus/worm ga si???,,gw hapus masi ada

  22. michi
    January 28th, 2011 at 09:20 | #22

    @gabe
    nama filenya apa dan di folder mana?
    terdeteksi sebagai apa?
    bisa jadi file ciptaan virus, atau bisa juga file dari windows.

  23. mpheem
    January 29th, 2011 at 05:59 | #23

    @rinu
    udah coba d scan pake AV luar ga??siapa tau memang belum tuntas waktu di scan hehehe

  24. January 29th, 2011 at 18:31 | #24

    gan apakah antivirus ini juga ampuh untuk Trojan? atau hanya untuk yg model shortcut?

  25. January 30th, 2011 at 05:51 | #25

    Edo :
    @rinu :
    kalo gitu flash disknya dunk yang terinfeksi?
    Atau jangan-jangan sistem windowsnya bukan di partisi C?
    jadi biar C yang di-deepfreeze, tetap aza terinfeksi…..?
    Atau jangan-jangan sebelum di-deepfreeze dah terinfeksi dulu…?

    iyh flash disknya yang terinfeksi. . . ya di partisi dunk. .

    virus ini bru kluar.. lptop ny udh sya frez 6 bulan yg lalu. . dn ga prnah sya unfrezz lg. .

  26. January 30th, 2011 at 17:24 | #26

    @Aku Cinta Produk Indonesia

    Makasih PCMAV.. JAYA SELALU.. 😉

  27. January 30th, 2011 at 19:08 | #27

    gila abbzz….nich antivirus terbaik dunia nich…TOP MARKOTOP….

  28. February 1st, 2011 at 11:02 | #28

    Mantap Nih kang….makasih ya kang……..salam kenal ya semuanya….pada mampir ya ke blog aku and minta sarannya ya…..masih Newbie nih dalam blog…

  29. sikatro
    February 1st, 2011 at 15:14 | #29

    Software News :
    Mantap Nih kang….makasih ya kang……..salam kenal ya semuanya….pada mampir ya ke blog aku and minta sarannya ya…..masih Newbie nih dalam blog…

    blog ente parah coy!!! kalo mau promosi jangan sekarang ya,tunggu blog ente udah bagus dulu!bener-bener parah! artikelnya plagiat semua tuh!

  30. Edo
    February 1st, 2011 at 23:10 | #30

    @rinu :
    coba deh cek pake norman malware cleaner (bukan installer yah tapi yang portabel) atau stinger (latest version) atau kaspersky (bukan installer). Kalo ada pesan terinfeksi, yo wes langsung apus aza daripada nyimpen bom waktu (ni metode ane loh)….
    Kalo pake deepfreeze selama lum pernah di-unfreeze/anti-deepfreeze, ane yakin tuh sistem baek2 aza.

  31. monz
    February 4th, 2011 at 03:33 | #31

    PCMAV emang bagus dan top, tapi….satu – satunya kekurangan yang ikin saya kadang males buat instal di laptop saya , ya DVD drive saya jadi ga bisa jalan, tp gitu PCMAV nya di uninstal 2 hari kemudian bisa lagi, nah gitu terus klo saya instal versi terbaru PCMAV, kejadiannya gitu mulu, ga tau napa

  32. monz
    February 4th, 2011 at 15:40 | #32

    setelah baca-baca tentang virus delp, saya beranggapan kompie saya kena deh, soalna saya ga bisa lagi update MSE maupun vista updatenya, nah pas saya scan ada ke detect
    C:\users\all users\microsoft\crypto\rsa\machinekeys…… “file Locked by another application”
    virus name nya gda, nah ini file windows apa virus seh?
    mohon bantuannya soalnya saya masih awam soal virus

    udah coba donlot Dr.web tapi koneksinya dialihin ke situs laen
    (saya pake modem sierra)