Home > Analisa Virus, Antivirus, Pengumuman > Autoit.FF: Lebih dari 4MB

Autoit.FF: Lebih dari 4MB

Autoit.FF

Autoit.FF.Bayangkan jika file dengan ukuran 4.12 MB ada di setiap folder pada flash disk Anda dan resource komputer terasa begitu lambat karena digunakan oleh aktivitas malware untuk membuat file tersebut. Jika ada 10 folder pada flash disk Anda, maka worm ini akan menghabiskan kapasitas 41.2 MB, dan jika ada 200 folder maka worm akan menghabiskan kapasitas sebesar 824 MB file dalam flash disk Anda.

A. Info Malware
Nama: Autoit.FF
Asal: –
Ukuran File: 4.12 MB (4,321,280 bytes)
Packer: –
Pemrograman: Autoit
Icon: Folder
Tipe: Worm

B. Tentang Malware
Tidak seperti yang terlihat bahwa worm ini berukuran lebih dari 4 MB, sebenarnya ukuran asli worm ini hanyalah 751 KB. Hal ini dikarenakan banyaknya data sampah yang sebenarnya tidak diperlukan disimpan oleh worm ini.

Autoit.FF Section

Seperti yang terlihat pada gambar di atas, terdapat 4 buah section yaitu UPX0, UPX1, .rsrc dan .MUPX1. Section UPX itu sendiri adalah section hasil compressing file, sedangkan .rsrc adalah tubuh asli dari worm. Yang menarik adalah .MUPX1 karena jika section ini di pisahkan (dump) maka akan dihasilkan sebuah file dump yang berukuran 3.83 MB (4,016,640 bytes) dan salah satu penggalan isinya adalah seperti gambar di bawah:

Autoit.FF Empty

C. Companion/File yang dibuat

Setelah aktif di memory, worm ini akan membuat beberapa file yang akan dijadikan hostnya seperti:

C:\WINDOWS\regsvr.exe
C:\WINDOWS\system32\regsvr.exe
C:\WINDOWS\system32\svchost .exe
C:\WINDOWS\system32\setting.ini
C:\WINDOWS\system32\setup.ini

Selain banyaknya file yang dibuat pada flash disk, worm ini akan membuat file autorun.inf dan 2 buah file utama yang salah satunya akan dieksekusi jika user menjalankan fungsi autoplaynya.

Autoit.FF Autorun

D. Hasil Infeksi
Agar bisa berjalan saat startup, worm ini membuat startup di registry.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ Msn Messsenger
C:\WINDOWS\system32\regsvr.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = Explorer.exe, regsvr.exe

Diduga kuat worm ini menyebar juga melalui Email, terbukti dengan worm ini membaca seluruh nama user yang terdapat pada phone book serta mengakses beberapa IP dan website seperti:

67.195.xx.xx (disamarkan)
www.yahoo.com
yahoo.com

E. Pembersihan

Worm ini telah dikenali dan dapat dibersihkan pada PCMAV 5.0 update1 ini.

Clean

PCMAV 5.0 Update Build1

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 5.0 Update Build1 telah hadir dengan penambahan 48 pengenal varian virus baru. Bagi Anda pengguna PCMAV 5.0, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.

Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:

SendSpace.com

ZippyShare.com (mirror)

Rapidshare.com (mirror)

Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 5.0 Update Build1:

Arzon.C
Autoit-ReplaceIcon.D
Autoit-ReplaceIcon.E
Autoit-ReplaceIcon.F
Autoit.FF
Autoit.FF.inf
CoolFace-Mutant.I
Crazya
Crazya.inf
Cronograma.A
Cronograma.A.dropper
Cronograma.A.hosts
Cronograma.B
Cronograma.B.dropper
Cronograma.B.hosts
DHelp
DHelp.exe
FakeCalc
FakeCalc.exe.A
FakeCalc.exe.B
Fanny.lnk.G
Gen.VBVimaker.setup
Gen.VBVimaker.setup.SN
Gen.VBVimaker.setup.txt.A
Gen.VBVimaker.setup.txt.B
Gen.VirVBS.B
Locatory.B
Ramnit.A.Variant
Ramnit.B.Variant
Ramnit.C.Variant
Ramnit.D.Variant
Ramnit.E.Variant
Ramnit.F.variant
Ronkor.C
Ronkor.C.htt
Ronkor.C.txt
SystemTools
ViewFiles
XSample.vbs
XSample.vbs.inf
XSample.vbs.ini
XSample.vbs.lnk.A
XSample.vbs.lnk.B
XSample.vbs.lnk.C
XSample.vbs.lnk.D
XSample.vbs.lnk.E
XSample.vbs.lnk.F
XSample.vbs.mp3

Categories: Analisa Virus, Antivirus, Pengumuman Tags:
  1. Calon Mantu
    March 30th, 2011 at 23:19 | #1

    Kok pengumumannya lebih lambat dari rilisnya.
    Saya dah update (auto) build1 sejak 2 hari lalu (Selasa).

    …..
    …..

  2. Calon Mantu
    March 30th, 2011 at 23:21 | #2

    Eh, lupa :

    Update daily.cvd kok server verification error yah ?
    Padahal Update.vdb bisa auto.

    Terpaksa update manual.

  3. Calon Mantu
    March 30th, 2011 at 23:25 | #3

    Mau nanya :

    kalau terdetek di PCMAV terkena RAMNIT, apakah juga bisa dipulihkan seperti sediakala, mengingat RAMNIT bersifat merusak file EXE.

    Pengalaman kemarin, lebih mudah format HDD dan install ulang, karena walaupun terdetek dan berhasil dikarantina, tetap aja di boot berikut terdetek lagi.

    Sorry, kalau book 1 2 3….
    Maklum, pelupa ….

  4. Herry
    March 31st, 2011 at 02:13 | #4

    isi absen dulu…. hadir…. langsuk masuk forum.
    wkwkwkwk

  5. March 31st, 2011 at 03:51 | #5

    langsung ke tekape

  6. [AB]
    March 31st, 2011 at 11:29 | #6

    Ko ga bisa automatic udpdate database ClamAV..??

  7. ipinupin
    March 31st, 2011 at 16:47 | #7

    Thanks. Yang paling senang PCMAV versi 5 Valhalla ini sudah tidak membuat CRASH windows Explorer lagi.

  8. March 31st, 2011 at 18:37 | #8

    kalau dh terinfeksi virus komputernya susah ning buka pcmav nya, padahal sy dah membackupnya kembali ke dalam cd hasil gabungan dengan clamav, kumaha tah ada yang tau?

  9. Mr.
    April 1st, 2011 at 09:21 | #9

    RTP PCMAV 10 membuat trouble browser di kompi saya, setiap klik link selalu muncul download save to. browser kembali normal setelah RTP dimatikan.

  10. bonjovi
    April 1st, 2011 at 09:31 | #10

    @Mr.
    pake browser apa Mr.? coba ke forum aja biar bisa diskusi.

  11. April 1st, 2011 at 09:47 | #11

    kalau dh terinfeksi virus komputernya susah ning buka pcmav nya, padahal sy dah membackupnya kembali ke dalam cd hasil gabungan dengan clamav, kumaha tah ada yang tau?????

  12. Mr.
    April 1st, 2011 at 11:53 | #12

    Sorry, maksudnya PCMAV 5.0
    @bonjovi
    browser FF4 & Chrome.
    Barusan buka forum tenyata udah ada yg posting problem yg sama.. browser minta download file terus..

  13. Karim
    April 1st, 2011 at 12:22 | #13

    @Mr : jangan membuat pernyataan yg sifatnya fake (palsu) ,emang kompi ente aja yg udah kemasukan virus. coba pake antispyware

  14. [AB]
    April 1st, 2011 at 18:40 | #14

    Mau usul dong..
    Gimana kalau PCMAV dibuatkan untuk versi mobile untuk OS Symbian, Android, atau Windows Mobile..?? Pasti sangat bermanfaat.. 🙂

  15. April 2nd, 2011 at 14:39 | #15

    Bravo PCMAV 5.0

  16. Andi
    April 2nd, 2011 at 18:08 | #16

    numpang absen saja XDDDDDDDD, well well XDDDD

  17. alan
    April 3rd, 2011 at 19:44 | #17

    maju terus PCMAV!!

  18. A.Rahman
    April 3rd, 2011 at 20:12 | #18

    team pcmav virus ramnitnya smpai skrg blm bs terdeteksi dgn pcmav, sllu MSE yang dtec? gmn tuh.

  19. registered
    April 4th, 2011 at 10:02 | #19

    kenapa ya sampai hari ini update pcmav selalu di anggap berbahaya sama kis,gimana solusinya?

  20. ryo
    April 4th, 2011 at 10:22 | #20

    kenapa waktu mengaktifkan pcmav selalu keluar perintah RESTART untuk menggunakan current library? dan itu selalu begitu, trims

  21. Karim
    April 4th, 2011 at 14:20 | #21

    @registered: kaciiiiaaaaaan deh lu.makanya jangan pake kis. pake AVG aja.

    @Andi: kalo mau ngejunk jangan disini ya,mending di forum seberang yg warnanya ijo lumut.wkwkwkww!

    @ryo: jangan pake curent library,gitu aja kok repot.

  22. [AB]
    April 4th, 2011 at 19:06 | #22

    @Karim
    aduh hari gini masih pake AVG.??
    Banyak file system yang dianggap virus yang bikin windows crash,.
    Mending pake payung merah (Avira) slalu masuk peringkat 3 besar..

  23. Andi
    April 4th, 2011 at 21:35 | #23

    @karim : udah sangat bosen dengan komentarnya si why, jadinya lupa ngomong apa XD.

    @[AB] : jangan ngejek ya, semua AV itu sama saja kok hanya saja metode pengenalannya saja, karena tidak semuanya sempurna tidak ada yang lebih baik untuk saat ini (sering update! jika ingin aman), cuman yang makai saja apakah bisa mengendalikannya saja, aku mah udah 6 tahun pake AVG tidak ada masalah serius jika memilahnya, jadi jangan memihak AV yang emang disengaja dihebohkan disuatu blog / website. lalu avira, menurutku avira itu dibawahnya avg 2011 kalau diihat dari semua segi tesnya bukan false alarm doank!, avira tuh tidak masuk 5 besar kalau aku ketahui, avg masih eksis didalam 3 besar………

    aku sarankan saja pilih AV yang anda anggap mudah menggunakannya, updateannya jelas, dan sangat disarankan jika tidak mempunyai uang jangan sekali kali pakai aplikasi bajakan hasilnya juga bajakan. aku sudah mencoba beberapa antivirus, dan aku senang dengan AVG dan Emsisoft (versi portablenya), ya sangat handal, kalau ditambah pcmav tambah kuat pertahanan yang sekarang mensupport add-on kan? keren deh, 😀 saya salut dan bangga 😀

    maaf saya tidak bermakud promosi sih XD

  24. edo
    April 4th, 2011 at 22:13 | #24

    @andi:
    setuju banget bro, kalo pake yang bajakan, jgn komen yang gimana gitu loh. ane juga cuma pake yang gratisan kok, pcmav + clamav, so far so good. plus deepfreeze versi standar (gratis juga loh). dah 5 tahun ga pernah instal ulang.

  25. [AB]
    April 5th, 2011 at 09:16 | #25

    @Andi & Edo
    haduhh hari gini masih berpikiran orang slalu menggunakan software bajakan, cape dehh..
    Maaf aja ya punya saya license nya Legal dan atas nama saya sendiri, tidak seperti AVG yang banyak serialnya di internet, jadi siapa aja bisa memakainya.. 😀
    Untuk masalah memilah bagaimana orang itu sendiri ya syukur2 user tersebut udah kategori advanced yang mengerti tentang virus dan software, nah bagaimana jika user tersebut kategori awam yang tidak mengerti akan hal tersebut, yang ada pastinya semua user jika AV nya mendeteksi virus pasti langsung maen hapus saja, bagaimana jika file system yang dihapus yang sering terjadi kesalahan pada AVG.??
    Bisa diliat sendiri di web av-comparative yang slalu melakukan dan mengetes AV setiap 3 bulan sekali, disitu terlihat jelas perbandingan Avira dengan AVG,.

  26. sandra
    April 5th, 2011 at 14:38 | #26

    @edo
    Kalo gak bisa membedakan antara yg WAREZ dengan yg FREE, mending jgn komen dulu lah kk.
    Coba kk cek ke Faronics.com, apakah ada Deep Freeze Standard yang kk bilang GRATIS ?

  27. [AB]
    April 6th, 2011 at 06:12 | #27

    @sandra
    setuju sama anda, saya juga lupa kalau Deep Freeze itu ga ada yang gratis.. Makasih sudah mengingatkan bung edo.. 😀

  28. prayitno
    April 6th, 2011 at 06:23 | #28

    orang gak ngalamin sendiri kok komenin yg orang laen alamin…. @Mr. koneksi internet ente mungkin kurang bagus, ataw coba update database pcmavnya main.cvd, daily.cvd, bytecode.cvd, safebrowsing.cvd, update.vdb, url.bad, urlupd.bad (dengan catatan engine clamav sudah terintegrasi dengan baik) supaya pcmav ente makin ampuh ngenalin banyak virus dan blokir website berbahaya…

  29. Premium
    April 6th, 2011 at 10:02 | #29

    [AB] :
    @Andi & Edo
    haduhh hari gini masih berpikiran orang slalu menggunakan software bajakan, cape dehh..
    Maaf aja ya punya saya license nya Legal dan atas nama saya sendiri, tidak seperti AVG yang banyak serialnya di internet, jadi siapa aja bisa memakainya..
    Untuk masalah memilah bagaimana orang itu sendiri ya syukur2 user tersebut udah kategori advanced yang mengerti tentang virus dan software, nah bagaimana jika user tersebut kategori awam yang tidak mengerti akan hal tersebut, yang ada pastinya semua user jika AV nya mendeteksi virus pasti langsung maen hapus saja, bagaimana jika file system yang dihapus yang sering terjadi kesalahan pada AVG.??
    Bisa diliat sendiri di web av-comparative yang slalu melakukan dan mengetes AV setiap 3 bulan sekali, disitu terlihat jelas perbandingan Avira dengan AVG,.

    saya pake AVG dah luama banget hampir 7 tahunan.AVG sa diset detek lgsg del atau comfirm dlu.dan settingan AVG paling enak disesuaikan dengan usernya….CMIIW

  30. Karim
    April 6th, 2011 at 12:02 | #30

    sandra :
    @edo
    Kalo gak bisa membedakan antara yg WAREZ dengan yg FREE, mending jgn komen dulu lah kk.
    Coba kk cek ke Faronics.com, apakah ada Deep Freeze Standard yang kk bilang GRATIS ?

    ada kok!! waktu itu ane download dari filehippo, namanya deep freeze 6.5 free version. ane tau kok mana yg warez mana yg free. makanya ane berani komen disini!! huh!

  31. Karim
    April 6th, 2011 at 12:04 | #31

    @sandra: tapi ane boong…. hehehehe! si edo ada2 aja tuh! edo, kalo gak ngerti komputer,jangan sok tau!

  32. yo0sa
    April 6th, 2011 at 14:08 | #32

    kalo ada yang gratis kenapa harus bayar????

  33. Why
    April 6th, 2011 at 14:40 | #33

    zzZTrj Spy Shell

  34. A.RAHMAN
    April 6th, 2011 at 19:26 | #34

    team pcmav, kpn virus ramnitnya dapat di atasi dengan tuntas (RAmnit.A dan ramnit.C), pkai build 1 bnr2 tidak bisa

  35. zero
    April 6th, 2011 at 20:07 | #35

    @A.RAHMAN
    masuk forum biar lebih jelas, virus ramnit cukup kompleks baru 2 varian yg bisa tuntas dibersihkan pcmav

  36. Fajar
    April 7th, 2011 at 14:11 | #36

    @A.RAHMAN >> Pake eset Nod32 sob, Ramnit.C udah bisa di clean 🙂

  37. [AB]
    April 7th, 2011 at 17:31 | #37

    Uda ada build 2 nii..

  38. clannick
    April 7th, 2011 at 20:23 | #38

    om2 nanya dong….saya kena virus moonlight-B.I kok udah saya clean pake pcmav kok balik lagi ya virus nya?? saya gaptek virus soalnya

  39. michi
    April 8th, 2011 at 08:17 | #39

    @clannick, mungkin masih sisa, coba di scan full seluruh harddisk dan flashdisk dan cure semua virus yg kedetek trus restart.

  40. [AB]
    April 8th, 2011 at 10:56 | #40

    @clannick
    Jangan lupa matikan dulu system restore Windows..

  41. fir
    April 8th, 2011 at 12:28 | #41

    @all:
    avg avira ga pnya khbatan lwan sality…
    pke bitdefender total security hncur tu virus wkwkwkwk….

  42. wiki-lovers
    April 9th, 2011 at 01:01 | #42

    @fir:
    ancur sih ancur bro but gimana dgn file2 yang terinfeksi?
    bisa di-recovery ga? kalo bisa baru maknyus tuh av…

  43. Kresna
    April 9th, 2011 at 13:13 | #43

    Cara ngapus Mx Antispy tuh kyk mna ya?

  44. [AB]
    April 10th, 2011 at 10:39 | #44

    @wiki-lover
    setuju buat agan, waktu itu nyobain pake bitdefender total security 2011 di laptop temen, emang sih ke detect virus sality trus nyoba di bersihin dan di delete virus sality tapi file yang terinfeksi ikut kehapus juga, hebaattt bener hahaha..

  45. fir
    April 18th, 2011 at 13:22 | #45

    @ab n wiki:bitdefender memiliki fitur disinfect tdak akan mghpus file asli…

  46. xenion
    April 18th, 2011 at 13:54 | #46

    hahaha baru liat virus ukurannya gede banget,,, gmana mau maksimal spreading nya??, udah gtu pasti makan resource besar,,kalo usernya jeli pasti ketauan ada yang aneh di komputernya,,, hmmm…. kembangkan lagi brow..