Home > Analisa Virus, Antivirus, Pengumuman > FakeAV-Downloader.K: All in One Fake Antivirus

FakeAV-Downloader.K: All in One Fake Antivirus

April 15th, 2011

FakeAV-Downloader.K

FakeAV-Downloader.K. Serangan antivirus palsu masih banyak dijumpai. Teknik yang digunakan cukup beragam, mulai dari pesan palsu yang memanfaatkan fasilitas chatting atau jejaring sosial, ataupun email palsu yang berisi pesan dengan melampirkan sebuah attachment dan berasal dari account yang tidak Anda kenal.

A. Info Malware
Nama: FakeAV-Downloader.K
Asal: Rusia (dugaan)
Ukuran File: 324 KB
Packer: –
Pemrograman: Microsoft Visual C++
Icon: Windows XP Application
Tipe: Trojan Downloader

B. Tentang Malware
Fake Antivirus atau Antivirus palsu termasuk salah satu malware yang sudah tidak asing lagi bagi beberapa pengguna komputer. Banyaknya kejadian di mana seorang user yang tanpa sengaja mendownload sebuah program yang kemudian dijalankan, dan antivirus palsu langsung aktif di komputernya. Seperti pada gambar diatas yang isinya adalah sebuah email yang ditunjukkan kepada beberapa account dengan menyertakan attachment yang tidak jelas. Hasil yang ditimbulkan jika menjalankan file tersebut bisa sangat beragam, mulai dari pembajakan account pribadi, adanya keylogger, mendownload file lain dari website tertentu untuk di jalankan secara otomatis atau mendownload antivirus palsu seperti FakeAV-Downloader.K.

FakeAV-Downloader.K umumnya berasal dari website yang terkadang namanya terbilang cukup aneh. Setelah ditelusuri, terdapat satu buah kesamaan, bahwa dari beberapa domain yang berbeda, memilik satu buah account registrasi yang selalu sama. Contoh:

(Nama Random)
+7122740645 fax: +7122740645
Nevskij pr-kt d.134 lit.B pom.5N
Sankt-Peterburg Sankt-Peterburg 191036
RU

Website yang dibuat seolah menunjukkan tidak adanya ancaman bagi user, contohnya testimonial yang ditampilkan pada halaman utama website. Setelah ditelusuri lebih jauh, testimonial tersebut hanyalah hasil copy paste.

Testimonial yang yang sudah dirubah atau palsu:
“I tried a few different programs in my day. Absolutely none have ever been as effective as [Nama antivirus palsu]. While nothing is perfect, [Nama antivirus palsu] seems to strive to be as close as they can be in their craft. Thanks for making the ‘net possible for me and my family.”

Testimonial asli dari salah satu website antivirus:
“I tried a few different programs in my day. Absolutely none have ever been as effective as AVG. While nothing is perfect, AVG seems to strive to be as close as they can be in their craft. Thanks for making the ‘net possible for me and my family.”

C. Companion/File yang dibuat

Ada 3 buah file yang dibuat. 1 adalah host dari virus dan 2 lainnya adalah companionnya.
1. file host yang selalu ada di folder :
C:\Documents and Settings\[nama user]\Local Settings\Application Data\[nama acak].exe
2. File Temporary dengan nama acak
C:\Documents and Settings\[nama user]\Local Settings\Application Data\[nama acak]
3. File Dat dengan nama acak
C:\Documents and Settings\[nama user]\Local Settings\Application Data\[nama acak].Dat

D. Hasil Infeksi

Yang menarik dari malware ini adalah memiliki beragam caption aplikasi serta hampir seluruh teks utama dari interfacenya berubah, padahal file hostnya tetap sama. Nama nama yang digunakan antara lain adalah:

– XP Home Security 2011
– XP Anti-Virus 2011
– XP Home Security
– XP Security 2011
– XP Anti-Spyware 2011
– XP Anti-Spyware
– XP Internet Security 2011
– XP Total Security

Ini adalah beberapa screenshot dari FakeAV-Downloader.K:

Screenshot 1

Screenshot 2

Screenshot 3

Screenshot 4

Screenshot 4

Harga yang ditawarkan untuk antivirus palsu ini:

Screenshot 4

E. Pembersihan

Worm ini telah dikenali dan dapat dibersihkan pada PCMAV 5.0 Update Build3 ini berikut ini.

Scan

PCMAV 5.0 Update Build3

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 5.0 Update Build3 telah hadir dengan penambahan 89 pengenal varian virus baru. Bagi Anda pengguna PCMAV 5.0, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.

Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:

SendSpace.com

ZippyShare.com (mirror)

Rapidshare.com (mirror)

Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 5.0 Update Build3:

Arzon.C
Autoit-ReplaceIcon.D
Autoit-ReplaceIcon.E
Autoit-ReplaceIcon.F
Autoit.FF
Autoit.FF.inf
Autoit.FG
Autoit.FG.bat
Autoit.FH
Autoit.FH.inf
Autoit.FI
Autoit.FI.inf
Autoit.FJ
Autoit.FJ.inf
Autoit.FK
Autoit.FK.inf
CoolFace-Mutant.I
Crazya
Crazya.inf
Cronograma.A
Cronograma.A.dropper
Cronograma.A.hosts
Cronograma.B
Cronograma.B.dropper
Cronograma.B.hosts
DHelp
DHelp.exe
Dini.vbs.A
Dini.vbs.B
Dini.vbs.inf
FakeAV-Downloader.K
FakeAV-Downloader.K.dat
FakeAV-Downloader.K.tmp
FakeCalc
FakeCalc.exe.A
FakeCalc.exe.B
Fanny.lnk.G
Gen.VBVimaker.setup
Gen.VBVimaker.setup.SN
Gen.VBVimaker.setup.txt.A
Gen.VBVimaker.setup.txt.B
Gen.VirVBS.B
Hyart
Locatory.B
Long911
MehranRasa
MehranRasa.jpg
Ramnit.A.Variant
Ramnit.B.Variant
Ramnit.C.Variant
Ramnit.D.Variant
Ramnit.E.Variant
Ramnit.F.Variant
Ramnit.G.Variant
Ramnit.H.Variant
Ramnit.I.Variant
Ramnit.J.Variant
Recycler.BP
Recycler.BP.inf
Ronkor.C
Ronkor.C.htt
Ronkor.C.txt
Rrlf.exe
SennaSpy
SennaSpy.dat
SennaSpy.exe.A
SennaSpy.exe.B
SennaSpy.lnk
SennaSpy.txt
Seppeto
Svx
SystemTools
TeraBit
TeraBit.txt
ViewFiles
X-Rown
XSample.vbs
XSample.vbs.inf
XSample.vbs.ini
XSample.vbs.lnk.A
XSample.vbs.lnk.B
XSample.vbs.lnk.C
XSample.vbs.lnk.D
XSample.vbs.lnk.E
XSample.vbs.lnk.F
XSample.vbs.mp3
Zed-Macro
ZeroTolerance.A
ZeroTolerance.B

facebooktwittergoogle_plusredditpinterestlinkedinmail
Categories: Analisa Virus, Antivirus, Pengumuman Tags:
  1. RioTheMan
    May 3rd, 2011 at 22:39 | #1

    Wah,abis ultah PCMEDIA koq terlmbat gni ya..
    jangan2 majalah PCMEDIA udah g terbit nih. selamanya g terbit ,
    kalo g terbit truz aku baca mjalah apaAn,?,

  2. one
    May 4th, 2011 at 04:01 | #2

    Waaaah telat lagi jangan-jangan harganya mau naik lagi nie. he he he h e
    Atau di intern ada masalah personilnya?
    Mohon penjelasan keterlambatannya.

  3. [AB]
    May 4th, 2011 at 10:41 | #3

    Sampe tanggal 04/05/2011 belum keluar juga PCMEDIA.. :(

  4. prayitno
    May 4th, 2011 at 13:41 | #4

    Ade masalah Ame pihak yg duplikasi’in DVD sisipan PC Media kali Yee… Biar kagak lagi timbul kaskus yg kayak maren-maren lagi Dah…. :D :D :D Yg penting TOP dah…..

  5. In’s
    May 4th, 2011 at 14:47 | #5

    Hebat PC Media….. udah ga respon lagi sama pelanggannya……. ada apa ini?

  6. bonjovi
    May 4th, 2011 at 16:18 | #6

    In’s :
    Hebat PC Media….. udah ga respon lagi sama pelanggannya……. ada apa ini?

    Liat dulu dong ah ke forum diskusi =D

  7. Fajar
    May 4th, 2011 at 16:26 | #7

    @bonjovi
    Podo wae Sob…..

  8. prayitno
    May 5th, 2011 at 08:16 | #8

    gk respon n’dasmu m’locot ! podo moro wae ning virusindonesia.com ng’goleki antivirus PCMAV sing anyar…. karepe download ora gelem tuku majalah PC Media, ooOwalah nek arep PCMAV e’ maju yo podo tuku majalah iki to Bro…. Bro…. (boso jowo sa’karepedewe.com)

  9. In’s
    May 5th, 2011 at 08:59 | #9

    @prayitno
    Teu baleg maneh mah ngomong teh. Nu kaharti kku batur atuh…..

  10. May 5th, 2011 at 12:54 | #10

    semoga belum banayk yangtertipu yah

    sukses buat pcMav :)

  11. prayitno
    May 5th, 2011 at 13:54 | #11

    masak ngomong az kudu udah baleg, maneh teh urang mana…. Kabayan urang sunda urang sunda bukan si Kabayan atuh… :D :D ;D

  12. Why
    May 5th, 2011 at 14:43 | #12

    kan udah ketahuan virus JAVA yang sering exploit rek naon deui atuh, kan ku kuring geus di beja’an ??? Ojo lali Mas….. iexplorer.dll iFrame.dll BHO nu anyar modifikasi Trojan lama.

  13. In’s
    May 5th, 2011 at 16:21 | #13

    @prayitno
    Kumaha maneh we ahhhhhh

  14. sc 234
    May 5th, 2011 at 17:59 | #14

    @prayitno
    mana bro sampai sekarang majalahnya belom ada di lapak koran,lagipula ane ngak butuh pcmavnya yang ane butuhin cuman majalahnya

  15. prayitno
    May 5th, 2011 at 18:35 | #15

    Sabar-sabar majalahna moga-moga masih terbit, sembari nunggu majalahnya terbit mari main dan baca-baca dolo kesini… http://diajarbasasunda.com/ :D :D :D

  16. prayitno
    May 5th, 2011 at 18:41 | #16

    Sabar-sabar majalahna moga-moga masih medal, bari nunggu majalahna medal hayu ulin sarta baca-baca dolo kadieu… http://diajarbasasunda.com/ :D :D :D

  17. alpha
    May 6th, 2011 at 20:25 | #17

    wah ada fitur “virus upload”…! mantap rek!
    biasanya sesuatu yang semakin lama keluar tuh semakin mantap… alon-alon asal kelakon!
    daku tetap sabar menunggumu, oh pcmedia-ku… cepat datang ya…! hiks…

  18. Andi
    May 7th, 2011 at 18:06 | #18

    mungkin edisi dobel? wkwkwkwkkwkwkwk

  19. Why
    May 8th, 2011 at 00:09 | #19

    “virus baru apalagi yaa… Kayak-nya virus Bokek alias kagak punya Duit /?

  20. goenroos
    May 9th, 2011 at 20:57 | #20

    udah hadirkah majalah pcmedia kita ini ? Agan2, adakah yg pasang PCMAV di win7 ? bisakah icon-nya selalu nempel otomatis tiap kali start up? kok punya sy tdk bs ya ???

  21. [AB]
    May 10th, 2011 at 01:09 | #21

    @goenroos
    alhamdulillah sampe sekarang belum terbit koo, hahaha.. :D
    wahh punya ane ada ko di systray kebetulan ane pake win 7 ultimate SP1 lancar ajah tuh gan..

  22. ecoffeholic
    May 10th, 2011 at 10:03 | #22

    bro..ada yg ngecek kagak di kios majalah tabloid PC Mild sama Majalah Info Linux soalnya mereka masih satu group sama PC Media,barangkali ada info kenapa PC Media blm juga launching…

  23. Andi
    May 10th, 2011 at 10:23 | #23

    nempelnya di systray atau di taskbar? wkkwkwkwk aku pakai win 7 sp 1, sama win 8 m3 XD tapi percuma di win 8 m3 pcmavnya error melulu XD

    – di taskbar anda cuman klik kanan dan “pin this program”, kalau di systray, kan anda bisa masukan ke startup program, seingatku pcmav undah otomatis dalam hal ini, kalau tidak lihat readme.txt – nya…

  24. irfan
    May 10th, 2011 at 11:03 | #24

    hmm,, virus game house dan kawan2 shortcut sedang merajalela,, mohon bantuannya

  25. [AB]
    May 10th, 2011 at 22:17 | #25

    ataukah sudah tidak beredar lagi PCMEDIA.??

  26. Why
    May 11th, 2011 at 01:16 | #26

    Entah dech ??? Mungkin udah pada basi kalehh..
    !!!Hati-hati attacker lewat browser add-ons !!! kalau di pelajari sih terorganisir.
    Yang lebih Gila virus baru buat system 64bit sudah mulai nongol Varian-nya.
    =Rumors but Trusted=

  27. Andi
    May 11th, 2011 at 22:33 | #27

    @ Why : jangan ngejek donk :P
    berita anda sangat basi basi basi :PPPPPPPP soalnya anda begitu sih :PP

  28. Why
    May 12th, 2011 at 22:22 | #28

    Gimana ? kalau Android aja biar nggak Basi ?!!! Semuanya juga udah ada TIME-LINES dirancang sedemikian rupa biar ” Hidup LEBIH HIDUP ”
    = Forecasting baru 2030-2070 Apacoba???= yang pasti SsSeruuu…!!!

  29. Andi
    May 13th, 2011 at 16:09 | #29

    gak peduli :PPPPP dan anda telat :P aku mah tahu :P dan androit bakal mati jika windows 8 akan sukses mematikan androit :P

  30. Why
    May 14th, 2011 at 18:41 | #30

    Yang ada Mati-matian….. produksi terusss….Pake terusss.. Beli lagi dan lagiiii…..
    Yang paling TOP Processor ” Tech-4 ns “

Comment pages
1 2 1575
Comments are closed.