Home > Analisa Virus, Antivirus, Pengumuman > ViewFiles: ALABAMA

ViewFiles: ALABAMA

ViewFile

Alabama. Awalnya kami pikir ini hanyalah worm yang sama seperti VB-Shortcut karena menggunakan icon standar aplikasi Visual Basic. Namun setelah kami coba melakukan analisa lebih jauh, rupanya karakteristik worm ini berbeda dengan VB-Shortcut. Terdapat string “ALABAMA” yang terdapat dalam tubuh worm ViewFiles. Apakah mengindikasikan worm ini berasal dari Alabama?

A. Info Malware
Nama: ViewFiles
Asal: kemungkinan dari Alabama
Ukuran File: 168 KB (172,032 bytes)
Packer : –
Pemrograman : Visual Basic
Icon : Aplikasi Visual Basic
Tipe : Worm

B. Tentang Malware
Selain shortcut yang sedang ramai dibuat oleh beberapa worm belakangan ini, icon aplikasi Visual Basic juga menjadi salah satu ciri worm yang mulai banyak di laporkan sejak Agustus 2010 kemarin. Begitu juga yang dilakukan olah pembuat worm ViewFiles. Namanya diambil dari nama induknya yang menyebar di flash disk dan diberi nama ViewFiles.exe.

C. Companion/File yang dibuat
Pada komputer yang terinfeksi, worm ViewFiles akan membuat file autorun dan file companion pada flash disk yang nantinya akan di panggil oleh autorun.

Induk ViewFile

Isi dari autorun akan selalu berubah seperti contoh di bawah ini, hal ini di maksudkan untuk mengecoh pendeteksian oleh antivirus akan tetapi beberapa penting bagian tidak pernah dirubah oleh worm ini.

Autorun ViewFile

D. Hasil Infeksi

Worm ViewFiles akan bersembunyi di dalam folder RECYCLER dan membuat folder yang hampir sama seperti isi folder RECYCLER seperti gambar di bawah.

ViewFile

Agar bisa berjalan saat startup, worm ini membuat key dengan nama Taksman pada:


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Taskman

Startup

E. Pembersihan

Mulai PCMAV 4.7 Update Build2, ViewFiles beserta file-file companionnya telah dapat dikenali dan dibersihkan dari sistem komputer Anda.

Detected

PCMAV 4.7 Update Build2

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 4.7 Update Build2 telah hadir dengan penambahan 98 pengenal varian virus baru. Bagi Anda pengguna PCMAV 4.7, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.

Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:

SendSpace.com

ZippyShare.com (mirror)

Rapidshare.com (mirror)

Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 4.7 Update Build2:
Aksika-Indramayu
Aksika-Indramayu.txt
AlamarPica.vbs
Angelo.G
Angelo.G.host
AnitaLoroaji
AnitaLoroaji.inf
Autoit-Arif
Autoit-Cyrillic
Autoit-ReplaceIcon.D
Autoit-ReplaceIcon.E
Autoit-ReplaceIcon.F
Autoit.FD
Autoit.FD.ini
Autoit.FE
Autoit.FE.serv
Batam
Batam.inf
Cobax.exe.C
Dhoos
Dhoos.dll
Dhoos.url.A
Dhoos.url.B
Dhoos.url.C
DirLock.C
DirLock.C.host
FakeAV
FakeAV-Downloader.K
FakeAV-Downloader.K.dat
FakeAV-Downloader.K.dll.A
FakeAV-Downloader.K.dll.B
FakeAV-Downloader.K.dll.C
FakeAV-Downloader.K.job
FakeAV-Downloader.K.lnk.A
FakeAV-Downloader.K.lnk.B
FakeAV-Downloader.K.lnk.C
FakeAV-Downloader.K.lnk.D
FakeAV-Downloader.K.ref
FakeAV-Downloader.K.rtf
FakeAV-Downloader.K.setup
FakeAV-Downloader.K.unins
FakeAV-Downloader.K.url
Fakhricker.vbs
FeSilva.vbs
FeSilva.vbs.inf
FnI-DiaryMimi.vbs
FnI-DiaryMimi.vbs.inf
Gabest.B
GavGent-HVM31
GrepoZipTsunami.vbs
GrepoZipTsunami.vbs.inf
GXRG-Snow.vbs
GXRG-Snow.vbs.host
GXRG-Snow.vbs.inf
GXRG.vbs
GXRG.vbs.inf
H323
H323.bat
Halted
KefiUnique.vbs
KefiUnique.vbs.txt
KefiUnique.vbs.upd
Lz32.vbs.B
Lz32.vbs.C
Ossep.vbs
Ossep.vbs.inf
Ramnit.A.Variant
Ramnit.B.Variant
Ramnit.C.Variant
Ramnit.D.Variant
Ramnit.E.Variant
Ramnit.F.variant
Recycler.BO
Recycler.BO.dll
Ronkor.C
Ronkor.C.htt
Ronkor.C.txt
Rose-Loren.E
Serviks.vbs.C
Serviks.vbs.C.doc
Serviks.vbs.C.host
Temps
Temps.INF
TripleExe
TripleExe.inf
VB-Shortcut-1.lnk
VBVN
ViewFiles
XSample.vbs
XSample.vbs.inf
XSample.vbs.ini
XSample.vbs.lnk.A
XSample.vbs.lnk.B
XSample.vbs.lnk.C
XSample.vbs.lnk.D
XSample.vbs.lnk.E
XSample.vbs.lnk.F
XSample.vbs.mp3

Categories: Analisa Virus, Antivirus, Pengumuman Tags:
  1. Silver FoX
    March 7th, 2011 at 23:59 | #1

    Pertamax diamankan!
    Maju terus PCMAV

  2. Nice
    March 8th, 2011 at 01:01 | #2

    Nice . . .

  3. ipinupin
    March 8th, 2011 at 08:59 | #3

    Tetap saja di versi 4.7 ini kalo buka windows explorer masih sering CRASH !. Anehnya kalau ada flashdisk yang ditancapkan ke USB tidak terjadi crash saat buka windows explorer. Mohon perhatian untuk versi selanjutnya.

  4. user
    March 8th, 2011 at 09:19 | #4

    @ipinupin
    bahasanya seperti tidak asing di forum. hahaha

  5. AB
    March 8th, 2011 at 10:52 | #5

    Lumayan ke-5.. 😀

  6. deso
    March 8th, 2011 at 15:11 | #6

    autorun.inf -nya ga masuk ke database?

  7. March 8th, 2011 at 16:41 | #7

    mantabzzzz…………..

    kl nama foldernya peke yg ini &P#3&M#@&V# kg mo autorun pass loading wind

  8. Raven
    March 8th, 2011 at 17:22 | #8

    ke-8 deh! :d maju terus PCMAV!

  9. andi
    March 8th, 2011 at 18:01 | #9

    Sip deh :), pcmav versi ini sama versi betanya lumayan bisa kok, tidak crash di windows 7 sp 1 ku, lancar dan amin aman aman saja 😀 itupun tidak ditancapkan FD/USB, Sip :DDDD, aku mohonkan updatenya di upload di dropbox biar bisa directlink <cuman usul, dan udah tahu untuk mencari uang di beberapa file sharing 🙂 Thank you and Good job PCMAV.

    omong omong disini udah dapet PCMEDIA Edisi 4/2011? pengen beli 🙂

  10. March 8th, 2011 at 21:31 | #10

    wah. sebuah virus dari ALBAMA.. tp ini virus kurang populer.. belum pernah kulihat,,
    😀

  11. triyono
    March 8th, 2011 at 22:14 | #11

    kenapa ya, setiap aku aktifin PCMAV menu klik kanan windows 7 ku berubah jadi klasih, jujur saja, aku agak nggak suka dengan tapilan klasik itu, untuk versi berikutnya tolong dibenahi

  12. kalang
    March 9th, 2011 at 09:54 | #12

    apakh pcmav up 2 bisa membersihkan ramnit b sampai tuntas/hanya mengenali

  13. March 9th, 2011 at 11:54 | #13

    cobaa ah….

  14. Bagus Kusuma
    March 9th, 2011 at 12:40 | #14

    hmm, kapan ya pcmav terbaru dirilis??

  15. andi
    March 9th, 2011 at 19:21 | #15

    mungkin di edisi 4 kan itu ultah pcmedia, pastinya ya mungkin saja XD

    @triyono: benarkah? aku tidak sih, aman aman saja walaupun itu digabungin clam AV, maknyos, tidak berubah kebentuk classic, mungkin ini hardware anda mungkin? kadang kadang saya menggunakan desmume langsung ke classic mode (tidak selalu), karena beban RAMnya berlebihan pada VGAnya.

  16. Bagus
    March 9th, 2011 at 20:01 | #16

    Free Avast 6 digabung sama PCMAV 4.7 >>>>>> Ok
    Free Microsoft Security Essentials digabung sama PCMAV 4.7 >>>>>> Ok

    Good No bug..ss

    98% secure for attacker,malware,virus and spyware

    Use it…….

  17. triyono
    March 10th, 2011 at 18:41 | #17

    @andi: iya brow, saat gue njalanin program PCMAV, menu klik kanan gue berubah jadi klasik, semua tampilan desktop gue guga trasparant, cuma pas klik kanan folder atau file menunya berubah jadi klasik

  18. Rahman
    March 10th, 2011 at 19:06 | #18

    kwn,,, pcmav 4.7 koq berat amat, buat laptopq lemoooot,banget!!!!

  19. Edo
    March 10th, 2011 at 23:26 | #19

    @triyono & @rahman :
    Sabar bro, sabar ya…. tunggu sampe valhalla keluar……..

  20. Alvin5550
    March 11th, 2011 at 23:41 | #20

    Comodo Internet Security Pro 2011 + PCMAV 4.7 build 3 >>> OK
    AVG Internet Security 2011 + PCMAV 4.7 build 3 >>> OK
    BitDefender Total Security + PCMAV 4.7 build 3 >>> OK

    Anti Virus luar + lokal Indonesia digabung DAHSYAT gan…
    ^_^

  21. re-spawn
    March 12th, 2011 at 01:02 | #21

    @Rahman
    wah, di komputer saia yg P4 dgn RAM cuma 512MB aja lancar aja bro..
    mungkin bisa lebih spesifik, lemot dalam hal apa? startup? membuka file? atau apa?
    e.g. lemot di startup, cek semua program yg ada di startup-list, hilangkan yg ga penting untuk dijalankan kali pertama pas komputer nyala.

  22. MRgie
    March 12th, 2011 at 05:52 | #22

    404 heavy traffic hingga internet diskonek di PCMAV tampilan frame-nya nge Blit terlihat ada tulisan HACKERTOOLS dan update clamAV-nya suka diskonek.

  23. Why
    March 12th, 2011 at 06:04 | #23

    pcmavext.dll kenapa terdeteksi SUSPICIOUS

  24. apache-sumbawa
    March 13th, 2011 at 18:09 | #24

    OLaLa Apapun Anti Virusnya Gan Ngesooottttttt Klu engga Terupdate] Mending kek kura² ngesooott Nyampi+celakanya Udah Ngesoooottt engga nyampai² malah jadi Perkara Di OS…

  25. Why
    March 13th, 2011 at 21:17 | #25

    Ternyata kalau PVMAV.exe di delete ??? Internet gue ngacir cepet banget trus update antivirus yang bukan lokalan ngak ada masalah dan bisa di update.

    Kayaknya ada trojan.dropper dech di PCMAV, kalau nggak engine PCMAVnya perlu perbaikan lagi….?! Soalnya Hacker 3 hari yang lalu gunakan Algoritm Code jadi 404 heavy traffic

  26. Why
    March 13th, 2011 at 21:23 | #26

    ++++++++++++++++++++++++++++++
    Zero day from Regenerate New Virus ( _ )

    Scan online>>> can>>> Kill It
    ++++++++++++++++++++++++++++++

  27. Why
    March 13th, 2011 at 21:42 | #27

    Hati-hati banyaknya Web Site Bajakan (Pirate).

    Scamware

    Lumayan pinter si Hacker Steal $1.2 Million of Microsoft Point.

    All about Moneyyyyyyy………

  28. sandra
    March 13th, 2011 at 22:36 | #28

    @Why
    “Kayaknya ada trojan.dropper dech di PCMAV”
    wah… kak kalo komen jangan menyesatkan ah…. menuduh tanpa bukti dan ternyata salah, kakak bisa di tuntut sama yg empunya produk lho…
    kalo baru kenal virus komputer, mending belajar dulu deh… ^_^

  29. Why
    March 13th, 2011 at 23:20 | #29

    Hanya komen doank, sampai tuntut Sgala sich (kritik membangun Brow)

    soalnya virus.vbs lagi banyak meretassss…..lewat “Autoit” Gituhhh

    ??? Rumors fake AV go open source ???

    PCMAV is Good for kill >>> Auto… virus.

    Tapi saya lagi nggak pake dulu PCMAV-nya, soalnya link ke beberapa web atau update antivirus suka FAIL

  30. Andi
    March 13th, 2011 at 23:40 | #30

    @Why : anda geje ==”, kalau begini sih tidak diperbolehkan ngejek kayak gitu, kritik yang ada bukti nyata dan udah terbukti! cuman logika kayak gitu tidak bisa dipertanggung jawabkan dan menyesatkan. tolong diteliti lagi. kalau sekedar mengenal luar tentang virus dan cara kerjanya jangan sok gitu donk, tahu kan bagaimana membuat program, mengkodenya. membuildnya? mengompresnya?

    satu lagi, itu kritik? bukan karena tidak ada bukti yang jelas.

    pcmav.exe di delete atau process pcmav.exe di terminate? walah walah *ngakak sendiri*…….. jadi yang agak sopan karena anda itu terlihat (terlihat masih mengenal).

    mohon maaf juga saya sih udah lama mengenal cuman banyak pikiran saat ini kadang kala lupa. mohon maaf jika ada kata kata menyinggung anda anda disini.

  31. Why
    March 14th, 2011 at 03:29 | #31

    Bukan soal bukti tapi saya pake PCMAV saat ini kalau online suka sering kayak hang webnya, terus antivirus microsoft security essentials-nya suka update FAIL.

    Selain itu kalau mau bukti coba update.vdb yang built 2 discan online dengan Avast Online dari website Avast terditeksi MALWARE nah semenjak itu komputerku sering fails update-nya.
    Tapi kalau update.vdb yang built 3 di scan online avast Its Oke.

    built 2 kan cuma beberapa hari aja langsung built 3

    kadang -kadang saya suka scan online pake panda antivirus dan PCMAV built 3 ini udah bagus, tapi kenapa ya ?

    Kalau di registry sama di system pcmavext.dll nya udah dihapus dan pcmav.exe juga dihapus baru komputerku internetnya ngacir lagi.

    Gitu lohhhh…..

    “saya pake windows 7”

    Bukan bermaksud dan bertujuan nggak baik, saya ini hanya memilih mana yang terbaik.

  32. sandra
    March 14th, 2011 at 07:35 | #32

    “Bukan soal bukti”
    wah, jelas² kk bilang “Kayaknya ada trojan.dropper dech di PCMAV”
    kalo berani berkata² seperti itu, harusnya kk punya dasar yg kuat dong, jgn cuma spekulasi ga jelas. itu sama saja dengan pernyataan yg menyesatkan. haduuh.. –”

    “Selain itu kalau mau bukti coba update.vdb yang built 2 discan online dengan Avast Online dari website Avast terditeksi MALWARE”
    nah, dari sini kk udah salah. produk antivirus manapun gak akan lepas dari yg namanya ‘false-alarm’. (apa itu false alarm? silakan googling kk ^_^)

    “built 2 kan cuma beberapa hari aja langsung built 3”
    setau sandra PCMAV mengeluarkan update vdb (virus database) setiap 1 minggu sekali, yaitu hari sabtu. CMIIW

    dan untuk yg selanjutnya, sandra nunggu kk² di blog ini yg lebih senior deh. sandra juga lagi belajar soalnya ^_^

  33. sandra
    March 14th, 2011 at 07:39 | #33

    @Why
    mending gini aja kk.. kalo emang baru mengenal soal virus komputer, mending kita sama2 belajar di forum VirusIndonesia saja. Dari pada mengeluarkan statement yang tidak jelas sama sekali. xixixixixixixiii ^_^

  34. icp_zkom
    March 14th, 2011 at 08:12 | #34

    aduh gimana seh nich “kakak why” dan “dede sandra” mending sms-an aja.. xixi..
    @bro why : ane juga pake mse. setau ane, update-tan mse gak setiap hari ada. se-pengalaman ane update-tannya itu paling cepat 2 minggu sekali. cuman sayangnya microsoft bilangnya “update fail” padahal perkiraan ane emang belom ada update-tannya.
    udah gitu ada beberapa prasyarat dalam hal mengupdate mse, yaitu (kalo gak salah) :
    a. harus windows asli, at least kalopun bajakan, bajakannya harus yg bener2 canggih cracknya.
    b. speed internet yg mumpuni, minimal speedy
    c. kalo pake proxy sering kali gagal
    d. kalo mse lagi ada di resident memory, pcmav gak boleh aktif (hanya boleh 1 antivirus yang resident di memory)
    cukup sekian informasi yang ane tau. maaf kalo ada salah2 kata…

  35. nugroho
    March 14th, 2011 at 08:54 | #35

    minta tolong dong ini flash disk kena virus pakai PC mav kok tidak dikenali,untuk menyimpan data tidak sempurna, uploadnya kemana ya?

  36. sandra
    March 14th, 2011 at 09:09 | #36

    @icp_zkom
    “microsoft bilangnya “update fail” padahal perkiraan ane emang belom ada update-tannya”
    statement itu ada buktinya ga kk? xixixiii….
    “speed internet yg mumpuni, minimal speedy”
    emang speedy udah pasti cepet ya kk? 😀

    @nugroho
    coba sampel virusnya di jadiin file .rar atau .zip kk, trus di kasih password
    trus kirim lewat email ke alamat (kalo ga salah) ke redaksipcmediacoid
    jangan lupa passwordnya ditulis juga.. ^_^

  37. Why
    March 14th, 2011 at 17:04 | #37

    Komen lagi….

    Menurut analisa saya :
    Saya pake IE 8 udah update tapi masih ada hole ke temp cookies-nya, permasalahannya dari sini dech, sekarang lagi nunggu IE 9 yang final bisa didownload tanggal 14 maret 9.00PM.

    I will be back used PCMAV……Terimakasih atas semua perhatiannya serta komennya.

  38. Why
    March 14th, 2011 at 17:18 | #38

    PCMAV yang sudah di-update + plugins CLAMAV-nya 98% can Kill Virus.

    Warning !!!
    remote attacker can Kill Update Antivirus. (backdoors)

  39. icp_zkom
    March 14th, 2011 at 20:06 | #39

    @sandra : ya itu sepengalaman ane seh.. abisnya mse baru bisa ke update 1-2 minggu. trus kalo speedy itu kan minimal… masa 3g/hsdpa seh xixi… kalo ane sich pake 1stmedia… dan kenyataannya ane pake speedy cukup puas, dan 1stmedia puas. emang menurut de sandra yg bagus pake apa ya…. beri tahu dong. jadi mungkin bisa berpaling hati dari 1stmedia.

  40. ngatijo
    March 14th, 2011 at 22:10 | #40

    @Why
    Why, boleh belajar hacking, tapi jangan norak gitu dong, malu ama ama yg sesepuh 🙂

  41. Why
    March 15th, 2011 at 00:16 | #41

    Maaf kalo ada salah kata ?
    Permisi buat sesepuh, nggak lupa tuh 6 Maret Michelangelo 1992

  42. ngatijo
    March 15th, 2011 at 09:29 | #42

    semua org juga punya google buat liat “tanggalan” 😀

  43. Why
    March 19th, 2011 at 09:43 | #43

    =xxxx.org=
    =FxxxSxxxx=
    =Exp + Web=
    =Will Wait Next….=

  44. zero
    March 19th, 2011 at 10:07 | #44

    @ngatijo
    ada bukti? jgn cuma koar2 aja kalo ga ada bukti.. ga ada juga yg maksa lu buat pake pcmav.

  45. Why
    March 19th, 2011 at 10:07 | #45

    Business Prospects + +
    What is your opinion about antivirus hardware?

  46. Andi
    March 19th, 2011 at 12:42 | #46

    Ya ya oke aku tidak mau ikut campur lagi, biarkan yang ngoceh, yang penting saya belajar, benar dan terbukti oleh sang master xD.

    @ngatijo bener tuh!

    Yo wes kalau ada kesalahan mohon maaf , soalnya aku juga masih belajar. kalau statementku salah ya aku perbaiki.

  47. gee
    March 19th, 2011 at 12:50 | #47

    mse tuh yang aqu tau di update sehari 2x kalo cek pagi, malem udah ada update lg, kalo ga bisa update online, update offline di http://go.microsoft.com/fwlink/?LinkID=87342 .
    Aq pake hp bwt modem, bisa update mse dgn lancar ko

  48. gee
    March 19th, 2011 at 12:54 | #48

    oh ya aq jg pake 3 AV, MSE, AVIRA sama PCMAV, lancar aja ko, kecuali pas update build 4 update.vdb di detect trojan sama AVIRA, tapi di akalin masukin exception aja file update.vdb nya

  49. Why
    March 19th, 2011 at 13:55 | #49

    saya juga pake MSE + PCMAV lancar aja. Plus udah upgrade IE 9 RTW.
    MSE tuh upgrade-nya 24jam 2x update/hari.

  50. Why
    March 19th, 2011 at 14:02 | #50

    Saya ini bukan Hacker cuma User (konsumen PCMEDIA Always). Si ngatijo ngaco dech…
    nama ngatijo setahu saya tempat lapangan latihan tembak SESKOAD Bandung

  51. Why
    March 19th, 2011 at 14:20 | #51

    pake PCMAV yang OS-nya windows di-virtualmesin >>> Nice,Good
    lagi nunggu GNOME 3.0 yang full release.

  52. Why
    March 19th, 2011 at 15:07 | #52

    Warning !!!

    Apache
    PHP
    Kxxx.org
    FireSxxxx

    Bisa Bypas dan Exploit malware + trojan + backdoor

  53. March 20th, 2011 at 11:43 | #53

    @Why

    kira-kira gnome 3 nya kapan full rilisnya ?

  54. Why
    March 20th, 2011 at 22:02 | #54

    Release-nya bulan sekarang sih..
    kan lagi ada Hackfest se-Asia
    Kalau yang beta sih punya, ini juga lagi hunting siapa tau ada yang Leaks kaya microsoft sebelum terbit leak duluan.<<>>

  55. Why
    March 21st, 2011 at 03:18 | #55

    Yeahh the best 40th anniversary ???