FakeAV-Downloader.K: All in One Fake Antivirus
FakeAV-Downloader.K. Serangan antivirus palsu masih banyak dijumpai. Teknik yang digunakan cukup beragam, mulai dari pesan palsu yang memanfaatkan fasilitas chatting atau jejaring sosial, ataupun email palsu yang berisi pesan dengan melampirkan sebuah attachment dan berasal dari account yang tidak Anda kenal.
A. Info Malware
Nama: FakeAV-Downloader.K
Asal: Rusia (dugaan)
Ukuran File: 324 KB
Packer: -
Pemrograman: Microsoft Visual C++
Icon: Windows XP Application
Tipe: Trojan Downloader
B. Tentang Malware
Fake Antivirus atau Antivirus palsu termasuk salah satu malware yang sudah tidak asing lagi bagi beberapa pengguna komputer. Banyaknya kejadian di mana seorang user yang tanpa sengaja mendownload sebuah program yang kemudian dijalankan, dan antivirus palsu langsung aktif di komputernya. Seperti pada gambar diatas yang isinya adalah sebuah email yang ditunjukkan kepada beberapa account dengan menyertakan attachment yang tidak jelas. Hasil yang ditimbulkan jika menjalankan file tersebut bisa sangat beragam, mulai dari pembajakan account pribadi, adanya keylogger, mendownload file lain dari website tertentu untuk di jalankan secara otomatis atau mendownload antivirus palsu seperti FakeAV-Downloader.K.
FakeAV-Downloader.K umumnya berasal dari website yang terkadang namanya terbilang cukup aneh. Setelah ditelusuri, terdapat satu buah kesamaan, bahwa dari beberapa domain yang berbeda, memilik satu buah account registrasi yang selalu sama. Contoh:
(Nama Random)
+7122740645 fax: +7122740645
Nevskij pr-kt d.134 lit.B pom.5N
Sankt-Peterburg Sankt-Peterburg 191036
RU
Website yang dibuat seolah menunjukkan tidak adanya ancaman bagi user, contohnya testimonial yang ditampilkan pada halaman utama website. Setelah ditelusuri lebih jauh, testimonial tersebut hanyalah hasil copy paste.
Testimonial yang yang sudah dirubah atau palsu:
“I tried a few different programs in my day. Absolutely none have ever been as effective as [Nama antivirus palsu]. While nothing is perfect, [Nama antivirus palsu] seems to strive to be as close as they can be in their craft. Thanks for making the ‘net possible for me and my family.”
Testimonial asli dari salah satu website antivirus:
“I tried a few different programs in my day. Absolutely none have ever been as effective as AVG. While nothing is perfect, AVG seems to strive to be as close as they can be in their craft. Thanks for making the ‘net possible for me and my family.”
C. Companion/File yang dibuat
Ada 3 buah file yang dibuat. 1 adalah host dari virus dan 2 lainnya adalah companionnya.
1. file host yang selalu ada di folder :
C:\Documents and Settings\[nama user]\Local Settings\Application Data\[nama acak].exe
2. File Temporary dengan nama acak
C:\Documents and Settings\[nama user]\Local Settings\Application Data\[nama acak]
3. File Dat dengan nama acak
C:\Documents and Settings\[nama user]\Local Settings\Application Data\[nama acak].Dat
D. Hasil Infeksi
Yang menarik dari malware ini adalah memiliki beragam caption aplikasi serta hampir seluruh teks utama dari interfacenya berubah, padahal file hostnya tetap sama. Nama nama yang digunakan antara lain adalah:
- XP Home Security 2011
- XP Anti-Virus 2011
- XP Home Security
- XP Security 2011
- XP Anti-Spyware 2011
- XP Anti-Spyware
- XP Internet Security 2011
- XP Total Security
Ini adalah beberapa screenshot dari FakeAV-Downloader.K:
Harga yang ditawarkan untuk antivirus palsu ini:
E. Pembersihan
Worm ini telah dikenali dan dapat dibersihkan pada PCMAV 5.0 Update Build3 ini berikut ini.
PCMAV 5.0 Update Build3
Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 5.0 Update Build3 telah hadir dengan penambahan 89 pengenal varian virus baru. Bagi Anda pengguna PCMAV 5.0, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.
Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.
Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:
ZippyShare.com (mirror)
Rapidshare.com (mirror)
Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.
Daftar tambahan virus hingga PCMAV 5.0 Update Build3:
Arzon.C
Autoit-ReplaceIcon.D
Autoit-ReplaceIcon.E
Autoit-ReplaceIcon.F
Autoit.FF
Autoit.FF.inf
Autoit.FG
Autoit.FG.bat
Autoit.FH
Autoit.FH.inf
Autoit.FI
Autoit.FI.inf
Autoit.FJ
Autoit.FJ.inf
Autoit.FK
Autoit.FK.inf
CoolFace-Mutant.I
Crazya
Crazya.inf
Cronograma.A
Cronograma.A.dropper
Cronograma.A.hosts
Cronograma.B
Cronograma.B.dropper
Cronograma.B.hosts
DHelp
DHelp.exe
Dini.vbs.A
Dini.vbs.B
Dini.vbs.inf
FakeAV-Downloader.K
FakeAV-Downloader.K.dat
FakeAV-Downloader.K.tmp
FakeCalc
FakeCalc.exe.A
FakeCalc.exe.B
Fanny.lnk.G
Gen.VBVimaker.setup
Gen.VBVimaker.setup.SN
Gen.VBVimaker.setup.txt.A
Gen.VBVimaker.setup.txt.B
Gen.VirVBS.B
Hyart
Locatory.B
Long911
MehranRasa
MehranRasa.jpg
Ramnit.A.Variant
Ramnit.B.Variant
Ramnit.C.Variant
Ramnit.D.Variant
Ramnit.E.Variant
Ramnit.F.Variant
Ramnit.G.Variant
Ramnit.H.Variant
Ramnit.I.Variant
Ramnit.J.Variant
Recycler.BP
Recycler.BP.inf
Ronkor.C
Ronkor.C.htt
Ronkor.C.txt
Rrlf.exe
SennaSpy
SennaSpy.dat
SennaSpy.exe.A
SennaSpy.exe.B
SennaSpy.lnk
SennaSpy.txt
Seppeto
Svx
SystemTools
TeraBit
TeraBit.txt
ViewFiles
X-Rown
XSample.vbs
XSample.vbs.inf
XSample.vbs.ini
XSample.vbs.lnk.A
XSample.vbs.lnk.B
XSample.vbs.lnk.C
XSample.vbs.lnk.D
XSample.vbs.lnk.E
XSample.vbs.lnk.F
XSample.vbs.mp3
Zed-Macro
ZeroTolerance.A
ZeroTolerance.B
Saya pengguna pcmav dari...
Makanya kalo mau...
Terima Kasih untuk Update-nya.
lumayan kedua..
virus yang sangat menjengkelkan… ma kasih PCMAV
Virus RAMNIT kelenjatuannya gimana nich…
Apa PCMAV sudah dapat mengatasinya…
^_^
@Alvin Sutanto
sepertinya sudah bisa, soalnya suda ada di list database ini..
wahhh ada antivirus palsu lagi nihhh
good job team ….
Antivirus Botnet …?!!!
!!! Warning !!!
April Authentication can be broke..?!
Study to remove the C&C
wow….
lagi trendnya kali antivirus abal-abal
Maybe Cyberwar is begin ??? pake aja yang ada ICSA
tapi yang keren kontaminasi AV original jagi Fake gan…
Lagi musim Spy Zbot tracker ujung2nya Kucing Garong
“Dapatkan Edisi 05/2011 mulai tangal 18-04-2011″
Mas, aku udah pakai PCMAV, tapi setiap mau update vdb nya selalu dikenali sebagai trojan oleh McAfee.. McAfee nya ngga bisa dimatiin krn bukan administrator (laptop kantor). Apakah ada solusi? thanks sebelumnya
Klo make windows Original dijamin pasti gk kena + antivirus uptode…..klo bajakan??????sampai saat ini komptr gw Sehat2 aja…..
Sampai tadi siang 21 April 2011, buktinya PCMEDIA 05/2011 belum terbit
Terima kasih sekali kalo terbit lebih cepat dari yang dijanjikan, jgn sebalik, kasian orang yang pengen beli duitnya habis kepake yang lain. trims
Saya ada usul bagaimana kalau pcmav dibuat 2 versi/ yang satu seperti biasa sedangkan yang lain sudah terintegrasi dengan clamav. Karena pasti banyak yang kerepotan kalau tiap bulan harus mengulang lagi proses penggabungan tsb.
Clamav yang Full gratis cuma ada di apple mac terbaru, Kalau Clamav win trial aja (Imunet)
Terserah hostmaster aja dech buat-nya asal jangan ada PUPs Malware
@Monne
Yakin windows ori ga akan kena virus..??
@all
Virus Trojan yaa… tadi siang overload 195.235.18.5 kenapa yaa… nggak bisa KOMEN disini ????
Gimana kalau 1 PC pake 6 antivirus terus pakai virtual 3 OS bikin stack nggak yaa….
bukannya kk pinter ya? kan tiap komen kita2 ga mudeng bahasa kk yg ketinggian…
masa kek gitu aja ga tau…
Komputer ane kena virus!!! neh…… tiap kali nyalain komputer selalu minta delete file atau folder untuk dimasukin ke recycle bin, apa lagi kalo buka explorer trus nge’clik folder pasti suruh delete itu folder biar masuk recycle bin… kira-kira virus apa ya…. dah coba pake pcmav 5.0+clamav 0.97 ng’gak ada yg kebaca/detek virus. pake option /regclean trus tampilan suruh ng’delete folder/filenya sudah hilang tapi tiap kali restart komputer selalu muncul bib panajng dan lama trus baru masuk windows, tiap jalanin Run menu selalu ada tanda “=” berulang-ulang/memanjang dan sewaktu sutdown suara sound seperti tombol ditekan lama berulang-ulang trus baru sutdown. Spek komputer Aspire 4740 (laptop)
kalau pengen multi os lewat virtual machine harus memakai lingkungan x64 ==” kan memori RAMnya bisa diexpand 64 GB lebih…….. wkwkwk aku loh pake 4 AV wkkwkwkw kagak ada yang bentrok :p
to prayitno : ni berdasarkan pengalaman. pernah ke guyur air ga keyboardnya,,dl pernah gt taunya deletnya keteken,,msh basah,,tp gak tau jg barangkali iya virus
@ars: kalo soal kesiram air atau benda cair lain gak tau juga soalnya ney laptop punya saudara ane…. tadinya tiap make windows explorer trus ng’clik folder tertentu folder yg disorot minta untuk di delete, tapi waktu ane pasang pcmav 5.0 trus ane jalanin option /regclean ney laptop udah ng’gak nyuruh delete lagi. sekarang tiap Run menu di jalanin selalu nongol tanda “=” berulang/memanjang atau kalau jalanin notepad juga begitu
dan ada satu file yg terdeteksi virus oleh avira yaitu mchInjDrv.sys => TR/Rootkit.Gen Trojan, kalo ane telusurin lewat explorer ke windows/system32/drivers ini file selalu terdeteksi virus… udah ane delete/karantina tapi muncul lagi waktu direstart
@All
Terimakasih komen-nya, mau cobain dulu ahh.. Virtualnya
Buat virus yang susah di delete WEPING aja…
Udah bro… instal ulang aza… hehehehehe….
Btw, PCMEDIA Mei dah nongol lom ya?
Bulan Mei ini PC Media kayaknya terbit dua kali….. Moga-moga sisipan DVDnya lebih berkualitas (kalau isi DVD sudah ng’gak diragukan lagi dah, tapi DVDnya ituloh…. atut cacad lagi) yg edisi ULTAH za lum W tuker ampe sekarang, mwnya seh langsung ke TKP biar tr’jamin and ng’gak perlu gunting2 majalah… Biar mulus ‘n’ Montok… HeHeHe
PCMAV MAJU TERUS!!!!!!!!!!!
pcmav.vdb Loverrrr………..
Saran nih buat tim PCMAV :
minta ditambah paramater buat ilangin splash screen / nag screen pas running.
misal : /NOSPLASH atau apalah karena munculnya sering terlambat jadi agak ganggu pas booting.
!!! Rumor but True !!! Bener nggak yaa…
Tools UI.Net bisa snifing spy ke user login yang udah pake .net 4.0
Ujung2nya injection lagi.. side by side debug wia trace
ngomong apa sih ini diatas gue ? post saja di forum trus dibahas yuk2…
@meong :
si @why tuh sedang eksperimen bro. Moga-moga aza dia bukan sedang bikin super malware yang maha canggih… hehehe… (just kidding bro @why)
Berharap kedepan PCMEDIA lebih menyederhanakan sablon pada DVD bonusnya (gak Full sablon) yah mirip-2 tetangga sebelah yg pake warna merah itu loh (4hurup)
@alpha
setuju gan untuk saran dibuatkan parameter untuk menghilangkan splash screen nya.. Cukup mengganggu dan saya rasa membuat komputer jadi lambat saat splash screen muncul.. Kasihan untuk komputer dengan spek rendah..
AV Norton 2012 pups-nya apa yaa… Something New kayak-nya yaa…???
Si User Agent Kemana Yaa…. ??? nggak muncul mungkin udah update mozilla kali Yaa…
Saya juga menemukan situs antivirus palsu : http://antivirus-store-2011.ce.ms/fast-scan/
(Harap hati-hati jika terbuka window untuk mendownload file “antivirus” tersebut !)
wah sudah tanggal 30 nich,koq blm juga terbit edisi 05??? bisa 2 edisi nich yang bakal terbit di bulan mei…
Hahay 2 edisi….. Edisi pertama 5/2011 dan edisi kedua edisi revisi, revisi DVD yg cacad hikhikhhh… just kidding…. Mantap Jaya untuk PCMAV aka PC Medianya brantas Virus mau yg Import atau yg Export
;D
ha ha..iya nih pcmedia adl 1-1nya mjlh yg telat mulu
ha ha…2 edisi dlm 1 bln bs msk MURI nih…pa lg harga ttp dihitung 1 edisi
Ohh Gitu Soal distribusi terbitan baru. Tapi sekarang BHO Java lagi banyak netass…. sSpyyy…Ganggu Trafic mulu ya.. (TheDarwinTrace)
PCMedia lambat terbitnya.Kecewa aku..
ah pcmedia edisi 05 terlambatnya parah banget masak sampai bulan mei ckckck
waw…tanggal 3 mei udh,tp blm ada info terbit edisi 05…semoga untuk edisi ini aja telat terbitnya….