FontPorn. Sample virusnya pertama kali kami dapatkan dari user yang berada di daerah Jember, Jawa Timur. Sampai saat ini laporan akan adanya malware lokal semakin berkurang. Justru malware yang berasal dari luar negeri yang cukup banyak menyebar. Contohnya seperti FakeAV-Downloader yang didapatkan dari email. Atau malware yang masih menggunakan shortcut sebagai jalan pintas menjalankan file malwarenya seperti FontPorn. Malware ini mencoba mengakses IP yang setelah ditelusuri berasal dari Ukraina/Ukraine.

A. Info Malware
Nama: FontPorn
Asal: Ukraina (dugaan)
Ukuran File: 58.0 KB (59,392 bytes)
Packer: -
Pemrograman: Microsoft Visual C++
Icon: Font File
Tipe: Worm

B. Tentang Malware

Namanya di ambil dari iconnya yang seperti file Font dan selalu membuat shortcut dengan nama yang mengandung kata “Porn”. Dengan merubah ekstensi suatu file adalah cara lain untuk menyamar sehingga tidak dicurigai sebagai executable file. Seperti halnya Stuxnet, Delph-Shortcut, Fanny yang sebenarya adalah file DLL (Dynamic-link library). Untuk bisa aktif di memory, malware memanggil Rundll32.exe terlebih dahulu. Maka dari itu, shortcut dibuat untuk menjalankan file DLL dengan menggunakan Rundll32.exe. Contohnya adalah sebagai berikut:

C:\WINDOWS\system32\rundll32.exe [nama malware].*,[parameter dari malware sendiri]

Dengan begitu, apapun extensi file DLLnya tetap saja bisa dijalankan asalkan menggunakan perintah di atas. Shortcut dengan berbagai Icon dan nama yang mengandung unsur social engineering dapat juga digunakan sebagai media pemanggil pengganti autorun.

C. Companion/File yang dibuat

Membuat 2 buah file di folder:
C:\Documents and Settings\[nama user]\Local Settings\Temp\

Membuat 5 Buah file di flash disk.
1. autorun.inf
2. pornmovs.lnk (icon folder)
3. myporno.avi.lnk (icon file video)
4. setup50045.lnk (icon shortcut)
5. setup50045.fon (host dengan icon font file)

Semua shortcut yang dibuat, jika di jalankan akan mengaktifkan FontPorn. Seperti yang terlihat pada isi dari shortcutnya.

D. Hasil Infeksi

Ciri dari FontPorn, selalu membuat file host dengan nama yang diawali kata “srv”, seperti gambar di atas. Setelah akif di memory, proses worm FontPorn menempel pada proses spoolsv.exe atau pada svchost.exe.

Fontporn juga akan melakukan koneksi ke beberapa IP, dan mencoba mengakses sebuah url yang disisipkan pada file DLL yang lain.

http://195.14.xxx.xxx/service/scripts/files/aff_50045.dll

http://195.14.xxx.xxx/service/scripts/files/aff_50046.dll

E. Pembersihan

Worm ini telah dikenali dan dapat dibersihkan pada PCMAV 5.1 Update Build2 ini berikut ini.

PCMAV 5.1 Update Build2

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 5.1 Update Build2 telah hadir dengan penambahan 75 pengenal varian virus baru. Bagi Anda pengguna PCMAV 5.1, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.

Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:

SendSpace.com

ZippyShare.com (mirror)

Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 5.1 Update Build2:

Adeied
Adeied.dll
Autoit.FJ
Autoit.FJ.inf
Autoit.FK
Autoit.FK.inf
AutoPah
BadShortcut
DeathDrive.G
Dhoos.C
Dhoos.C.dll
Dhoos.C.sys
Dini.vbs.A
Dini.vbs.B
Dini.vbs.inf
Dret
EGold
EGold.dll
EGold.drp
EGold.txt
Erci
Erci
Fadss
Fadss.bat
Fadss.bing
Fadss.inf.A
Fadss.inf.B
Fadss.inf.C
Fadss.inf.D
Fadss.inf.E
Fadss.junk
Fadss.pass
Fadss.php
Fadss.vbs
FakeAV-Downloader.K
FakeAV-Downloader.K.dat
FakeAV-Downloader.K.tmp
FontPorn
FontPorn.dll.A
FontPorn.dll.B
FontPorn.ini.A.ini
FontPorn.ini.B
FontPorn.lnk
Hyart
Kulion
Kulion.dll
Ramnit.G.Variant
Ramnit.H.Variant
Ramnit.I.Variant
Ramnit.J.Variant
Recycler.BP
Recycler.BP.inf
Seppeto
Serviks.D
Serviks.E
Serviks.E.exe.A
Serviks.E.exe.B
Serviks.E.inf
Serviks.E.ini
Serviks.F
Serviks.F.exe.A
Serviks.F.vbs
Serviks.G
Serviks.G.bmp.A
Serviks.G.bmp.B
Serviks.G.bmp.C
Serviks.G.inf
Serviks.G.txt
Serviks.H
Serviks.H.rar
Serviks.I
Svx
TeraBit
TeraBit.txt
X-Rown