Autoit.FF: Lebih dari 4MB
Autoit.FF.Bayangkan jika file dengan ukuran 4.12 MB ada di setiap folder pada flash disk Anda dan resource komputer terasa begitu lambat karena digunakan oleh aktivitas malware untuk membuat file tersebut. Jika ada 10 folder pada flash disk Anda, maka worm ini akan menghabiskan kapasitas 41.2 MB, dan jika ada 200 folder maka worm akan menghabiskan kapasitas sebesar 824 MB file dalam flash disk Anda.
A. Info Malware
Nama: Autoit.FF
Asal: -
Ukuran File: 4.12 MB (4,321,280 bytes)
Packer: -
Pemrograman: Autoit
Icon: Folder
Tipe: Worm
B. Tentang Malware
Tidak seperti yang terlihat bahwa worm ini berukuran lebih dari 4 MB, sebenarnya ukuran asli worm ini hanyalah 751 KB. Hal ini dikarenakan banyaknya data sampah yang sebenarnya tidak diperlukan disimpan oleh worm ini.
Seperti yang terlihat pada gambar di atas, terdapat 4 buah section yaitu UPX0, UPX1, .rsrc dan .MUPX1. Section UPX itu sendiri adalah section hasil compressing file, sedangkan .rsrc adalah tubuh asli dari worm. Yang menarik adalah .MUPX1 karena jika section ini di pisahkan (dump) maka akan dihasilkan sebuah file dump yang berukuran 3.83 MB (4,016,640 bytes) dan salah satu penggalan isinya adalah seperti gambar di bawah:
C. Companion/File yang dibuat
Setelah aktif di memory, worm ini akan membuat beberapa file yang akan dijadikan hostnya seperti:
C:\WINDOWS\regsvr.exe
C:\WINDOWS\system32\regsvr.exe
C:\WINDOWS\system32\svchost .exe
C:\WINDOWS\system32\setting.ini
C:\WINDOWS\system32\setup.ini
Selain banyaknya file yang dibuat pada flash disk, worm ini akan membuat file autorun.inf dan 2 buah file utama yang salah satunya akan dieksekusi jika user menjalankan fungsi autoplaynya.
D. Hasil Infeksi
Agar bisa berjalan saat startup, worm ini membuat startup di registry.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ Msn Messsenger
C:\WINDOWS\system32\regsvr.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = Explorer.exe, regsvr.exe
Diduga kuat worm ini menyebar juga melalui Email, terbukti dengan worm ini membaca seluruh nama user yang terdapat pada phone book serta mengakses beberapa IP dan website seperti:
67.195.xx.xx (disamarkan)
www.yahoo.com
yahoo.com
E. Pembersihan
Worm ini telah dikenali dan dapat dibersihkan pada PCMAV 5.0 update1 ini.
PCMAV 5.0 Update Build1
Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 5.0 Update Build1 telah hadir dengan penambahan 48 pengenal varian virus baru. Bagi Anda pengguna PCMAV 5.0, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.
Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.
Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:
ZippyShare.com (mirror)
Rapidshare.com (mirror)
Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.
Daftar tambahan virus hingga PCMAV 5.0 Update Build1:
Arzon.C
Autoit-ReplaceIcon.D
Autoit-ReplaceIcon.E
Autoit-ReplaceIcon.F
Autoit.FF
Autoit.FF.inf
CoolFace-Mutant.I
Crazya
Crazya.inf
Cronograma.A
Cronograma.A.dropper
Cronograma.A.hosts
Cronograma.B
Cronograma.B.dropper
Cronograma.B.hosts
DHelp
DHelp.exe
FakeCalc
FakeCalc.exe.A
FakeCalc.exe.B
Fanny.lnk.G
Gen.VBVimaker.setup
Gen.VBVimaker.setup.SN
Gen.VBVimaker.setup.txt.A
Gen.VBVimaker.setup.txt.B
Gen.VirVBS.B
Locatory.B
Ramnit.A.Variant
Ramnit.B.Variant
Ramnit.C.Variant
Ramnit.D.Variant
Ramnit.E.Variant
Ramnit.F.variant
Ronkor.C
Ronkor.C.htt
Ronkor.C.txt
SystemTools
ViewFiles
XSample.vbs
XSample.vbs.inf
XSample.vbs.ini
XSample.vbs.lnk.A
XSample.vbs.lnk.B
XSample.vbs.lnk.C
XSample.vbs.lnk.D
XSample.vbs.lnk.E
XSample.vbs.lnk.F
XSample.vbs.mp3
Kok pengumumannya lebih lambat dari rilisnya.
Saya dah update (auto) build1 sejak 2 hari lalu (Selasa).
…..
…..
Eh, lupa :
Update daily.cvd kok server verification error yah ?
Padahal Update.vdb bisa auto.
Terpaksa update manual.
Mau nanya :
kalau terdetek di PCMAV terkena RAMNIT, apakah juga bisa dipulihkan seperti sediakala, mengingat RAMNIT bersifat merusak file EXE.
Pengalaman kemarin, lebih mudah format HDD dan install ulang, karena walaupun terdetek dan berhasil dikarantina, tetap aja di boot berikut terdetek lagi.
Sorry, kalau book 1 2 3….
Maklum, pelupa ….
isi absen dulu…. hadir…. langsuk masuk forum.
wkwkwkwk
langsung ke tekape
Ko ga bisa automatic udpdate database ClamAV..??
Thanks. Yang paling senang PCMAV versi 5 Valhalla ini sudah tidak membuat CRASH windows Explorer lagi.
kalau dh terinfeksi virus komputernya susah ning buka pcmav nya, padahal sy dah membackupnya kembali ke dalam cd hasil gabungan dengan clamav, kumaha tah ada yang tau?
RTP PCMAV 10 membuat trouble browser di kompi saya, setiap klik link selalu muncul download save to. browser kembali normal setelah RTP dimatikan.
@Mr.
pake browser apa Mr.? coba ke forum aja biar bisa diskusi.
kalau dh terinfeksi virus komputernya susah ning buka pcmav nya, padahal sy dah membackupnya kembali ke dalam cd hasil gabungan dengan clamav, kumaha tah ada yang tau?????
Sorry, maksudnya PCMAV 5.0
@bonjovi
browser FF4 & Chrome.
Barusan buka forum tenyata udah ada yg posting problem yg sama.. browser minta download file terus..
@Mr : jangan membuat pernyataan yg sifatnya fake (palsu) ,emang kompi ente aja yg udah kemasukan virus. coba pake antispyware
Mau usul dong..
Gimana kalau PCMAV dibuatkan untuk versi mobile untuk OS Symbian, Android, atau Windows Mobile..?? Pasti sangat bermanfaat..
Bravo PCMAV 5.0
numpang absen saja XDDDDDDDD, well well XDDDD
maju terus PCMAV!!
team pcmav virus ramnitnya smpai skrg blm bs terdeteksi dgn pcmav, sllu MSE yang dtec? gmn tuh.
kenapa ya sampai hari ini update pcmav selalu di anggap berbahaya sama kis,gimana solusinya?
kenapa waktu mengaktifkan pcmav selalu keluar perintah RESTART untuk menggunakan current library? dan itu selalu begitu, trims
@registered: kaciiiiaaaaaan deh lu.makanya jangan pake kis. pake AVG aja.
@Andi: kalo mau ngejunk jangan disini ya,mending di forum seberang yg warnanya ijo lumut.wkwkwkww!
@ryo: jangan pake curent library,gitu aja kok repot.
@Karim
aduh hari gini masih pake AVG.??
Banyak file system yang dianggap virus yang bikin windows crash,.
Mending pake payung merah (Avira) slalu masuk peringkat 3 besar..
@karim : udah sangat bosen dengan komentarnya si why, jadinya lupa ngomong apa XD.
@[AB] : jangan ngejek ya, semua AV itu sama saja kok hanya saja metode pengenalannya saja, karena tidak semuanya sempurna tidak ada yang lebih baik untuk saat ini (sering update! jika ingin aman), cuman yang makai saja apakah bisa mengendalikannya saja, aku mah udah 6 tahun pake AVG tidak ada masalah serius jika memilahnya, jadi jangan memihak AV yang emang disengaja dihebohkan disuatu blog / website. lalu avira, menurutku avira itu dibawahnya avg 2011 kalau diihat dari semua segi tesnya bukan false alarm doank!, avira tuh tidak masuk 5 besar kalau aku ketahui, avg masih eksis didalam 3 besar………
aku sarankan saja pilih AV yang anda anggap mudah menggunakannya, updateannya jelas, dan sangat disarankan jika tidak mempunyai uang jangan sekali kali pakai aplikasi bajakan hasilnya juga bajakan. aku sudah mencoba beberapa antivirus, dan aku senang dengan AVG dan Emsisoft (versi portablenya), ya sangat handal, kalau ditambah pcmav tambah kuat pertahanan yang sekarang mensupport add-on kan? keren deh,
saya salut dan bangga 
maaf saya tidak bermakud promosi sih XD
@andi:
setuju banget bro, kalo pake yang bajakan, jgn komen yang gimana gitu loh. ane juga cuma pake yang gratisan kok, pcmav + clamav, so far so good. plus deepfreeze versi standar (gratis juga loh). dah 5 tahun ga pernah instal ulang.
@Andi & Edo
haduhh hari gini masih berpikiran orang slalu menggunakan software bajakan, cape dehh..
Maaf aja ya punya saya license nya Legal dan atas nama saya sendiri, tidak seperti AVG yang banyak serialnya di internet, jadi siapa aja bisa memakainya..
Untuk masalah memilah bagaimana orang itu sendiri ya syukur2 user tersebut udah kategori advanced yang mengerti tentang virus dan software, nah bagaimana jika user tersebut kategori awam yang tidak mengerti akan hal tersebut, yang ada pastinya semua user jika AV nya mendeteksi virus pasti langsung maen hapus saja, bagaimana jika file system yang dihapus yang sering terjadi kesalahan pada AVG.??
Bisa diliat sendiri di web av-comparative yang slalu melakukan dan mengetes AV setiap 3 bulan sekali, disitu terlihat jelas perbandingan Avira dengan AVG,.
@edo
Kalo gak bisa membedakan antara yg WAREZ dengan yg FREE, mending jgn komen dulu lah kk.
Coba kk cek ke Faronics.com, apakah ada Deep Freeze Standard yang kk bilang GRATIS ?
@sandra
setuju sama anda, saya juga lupa kalau Deep Freeze itu ga ada yang gratis.. Makasih sudah mengingatkan bung edo..
orang gak ngalamin sendiri kok komenin yg orang laen alamin…. @Mr. koneksi internet ente mungkin kurang bagus, ataw coba update database pcmavnya main.cvd, daily.cvd, bytecode.cvd, safebrowsing.cvd, update.vdb, url.bad, urlupd.bad (dengan catatan engine clamav sudah terintegrasi dengan baik) supaya pcmav ente makin ampuh ngenalin banyak virus dan blokir website berbahaya…
saya pake AVG dah luama banget hampir 7 tahunan.AVG sa diset detek lgsg del atau comfirm dlu.dan settingan AVG paling enak disesuaikan dengan usernya….CMIIW
ada kok!! waktu itu ane download dari filehippo, namanya deep freeze 6.5 free version. ane tau kok mana yg warez mana yg free. makanya ane berani komen disini!! huh!
@sandra: tapi ane boong…. hehehehe! si edo ada2 aja tuh! edo, kalo gak ngerti komputer,jangan sok tau!
kalo ada yang gratis kenapa harus bayar????
zzZTrj Spy Shell
team pcmav, kpn virus ramnitnya dapat di atasi dengan tuntas (RAmnit.A dan ramnit.C), pkai build 1 bnr2 tidak bisa
@A.RAHMAN
masuk forum biar lebih jelas, virus ramnit cukup kompleks baru 2 varian yg bisa tuntas dibersihkan pcmav
@A.RAHMAN >> Pake eset Nod32 sob, Ramnit.C udah bisa di clean
Uda ada build 2 nii..
om2 nanya dong….saya kena virus moonlight-B.I kok udah saya clean pake pcmav kok balik lagi ya virus nya?? saya gaptek virus soalnya
@clannick, mungkin masih sisa, coba di scan full seluruh harddisk dan flashdisk dan cure semua virus yg kedetek trus restart.
@clannick
Jangan lupa matikan dulu system restore Windows..
@all:
avg avira ga pnya khbatan lwan sality…
pke bitdefender total security hncur tu virus wkwkwkwk….
@fir:
ancur sih ancur bro but gimana dgn file2 yang terinfeksi?
bisa di-recovery ga? kalo bisa baru maknyus tuh av…
Cara ngapus Mx Antispy tuh kyk mna ya?
@wiki-lover
setuju buat agan, waktu itu nyobain pake bitdefender total security 2011 di laptop temen, emang sih ke detect virus sality trus nyoba di bersihin dan di delete virus sality tapi file yang terinfeksi ikut kehapus juga, hebaattt bener hahaha..
@ab n wiki:bitdefender memiliki fitur disinfect tdak akan mghpus file asli…
hahaha baru liat virus ukurannya gede banget,,, gmana mau maksimal spreading nya??, udah gtu pasti makan resource besar,,kalo usernya jeli pasti ketauan ada yang aneh di komputernya,,, hmmm…. kembangkan lagi brow..