Home > Analisa Virus, Antivirus, Pengumuman > FontPorn: Menyamar Sebagai File Font

FontPorn: Menyamar Sebagai File Font

May 24th, 2011

FontPorn

FontPorn. Sample virusnya pertama kali kami dapatkan dari user yang berada di daerah Jember, Jawa Timur. Sampai saat ini laporan akan adanya malware lokal semakin berkurang. Justru malware yang berasal dari luar negeri yang cukup banyak menyebar. Contohnya seperti FakeAV-Downloader yang didapatkan dari email. Atau malware yang masih menggunakan shortcut sebagai jalan pintas menjalankan file malwarenya seperti FontPorn. Malware ini mencoba mengakses IP yang setelah ditelusuri berasal dari Ukraina/Ukraine.


A. Info Malware
Nama: FontPorn
Asal: Ukraina (dugaan)
Ukuran File: 58.0 KB (59,392 bytes)
Packer: –
Pemrograman: Microsoft Visual C++
Icon: Font File
Tipe: Worm

B. Tentang Malware

Namanya di ambil dari iconnya yang seperti file Font dan selalu membuat shortcut dengan nama yang mengandung kata “Porn”. Dengan merubah ekstensi suatu file adalah cara lain untuk menyamar sehingga tidak dicurigai sebagai executable file. Seperti halnya Stuxnet, Delph-Shortcut, Fanny yang sebenarya adalah file DLL (Dynamic-link library). Untuk bisa aktif di memory, malware memanggil Rundll32.exe terlebih dahulu. Maka dari itu, shortcut dibuat untuk menjalankan file DLL dengan menggunakan Rundll32.exe. Contohnya adalah sebagai berikut:

C:\WINDOWS\system32\rundll32.exe [nama malware].*,[parameter dari malware sendiri]

Dengan begitu, apapun extensi file DLLnya tetap saja bisa dijalankan asalkan menggunakan perintah di atas. Shortcut dengan berbagai Icon dan nama yang mengandung unsur social engineering dapat juga digunakan sebagai media pemanggil pengganti autorun.

C. Companion/File yang dibuat

Membuat 2 buah file di folder:
C:\Documents and Settings\[nama user]\Local Settings\Temp\

Membuat 5 Buah file di flash disk.
1. autorun.inf
2. pornmovs.lnk (icon folder)
3. myporno.avi.lnk (icon file video)
4. setup50045.lnk (icon shortcut)
5. setup50045.fon (host dengan icon font file)

Semua shortcut yang dibuat, jika di jalankan akan mengaktifkan FontPorn. Seperti yang terlihat pada isi dari shortcutnya.

D. Hasil Infeksi

Ciri dari FontPorn, selalu membuat file host dengan nama yang diawali kata “srv”, seperti gambar di atas. Setelah akif di memory, proses worm FontPorn menempel pada proses spoolsv.exe atau pada svchost.exe.

Fontporn juga akan melakukan koneksi ke beberapa IP, dan mencoba mengakses sebuah url yang disisipkan pada file DLL yang lain.

http://195.14.xxx.xxx/service/scripts/files/aff_50045.dll

http://195.14.xxx.xxx/service/scripts/files/aff_50046.dll

E. Pembersihan

Worm ini telah dikenali dan dapat dibersihkan pada PCMAV 5.1 Update Build2 ini berikut ini.

PCMAV 5.1 Update Build2

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 5.1 Update Build2 telah hadir dengan penambahan 75 pengenal varian virus baru. Bagi Anda pengguna PCMAV 5.1, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.

Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:

SendSpace.com

ZippyShare.com (mirror)

Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 5.1 Update Build2:

Adeied
Adeied.dll
Autoit.FJ
Autoit.FJ.inf
Autoit.FK
Autoit.FK.inf
AutoPah
BadShortcut
DeathDrive.G
Dhoos.C
Dhoos.C.dll
Dhoos.C.sys
Dini.vbs.A
Dini.vbs.B
Dini.vbs.inf
Dret
EGold
EGold.dll
EGold.drp
EGold.txt
Erci
Erci
Fadss
Fadss.bat
Fadss.bing
Fadss.inf.A
Fadss.inf.B
Fadss.inf.C
Fadss.inf.D
Fadss.inf.E
Fadss.junk
Fadss.pass
Fadss.php
Fadss.vbs
FakeAV-Downloader.K
FakeAV-Downloader.K.dat
FakeAV-Downloader.K.tmp
FontPorn
FontPorn.dll.A
FontPorn.dll.B
FontPorn.ini.A.ini
FontPorn.ini.B
FontPorn.lnk
Hyart
Kulion
Kulion.dll
Ramnit.G.Variant
Ramnit.H.Variant
Ramnit.I.Variant
Ramnit.J.Variant
Recycler.BP
Recycler.BP.inf
Seppeto
Serviks.D
Serviks.E
Serviks.E.exe.A
Serviks.E.exe.B
Serviks.E.inf
Serviks.E.ini
Serviks.F
Serviks.F.exe.A
Serviks.F.vbs
Serviks.G
Serviks.G.bmp.A
Serviks.G.bmp.B
Serviks.G.bmp.C
Serviks.G.inf
Serviks.G.txt
Serviks.H
Serviks.H.rar
Serviks.I
Svx
TeraBit
TeraBit.txt
X-Rown

facebooktwittergoogle_plusredditpinterestlinkedinmail
Categories: Analisa Virus, Antivirus, Pengumuman Tags:
  1. May 24th, 2011 at 15:14 | #1

    Pertamax…

    Keren…. udah agak lama cari antivirus yang dapat ngebasmi tuh virus.

    thank PCMAV

  2. f3ndh1
    May 24th, 2011 at 15:59 | #2

    di sini ga boleh ada yg pertamax…..

    wkwkwkkwkwkwkwk

  3. fana
    May 24th, 2011 at 17:21 | #3

    pcmav belum mendeteksi file wlttpexd.exe di direktori user\start menu\program\startup, program files\[folder acak] yang tersembunyi bahkan dari winrar

  4. prayitno
    May 24th, 2011 at 17:40 | #4

    @fana : coba pake xnview aja, dengan filter file bertype All dan aktifin file yg terhiden pada menu optionnya jangan pake winrar apalagi explorer ini program alternatif untuk ng’browse file yg ada dihardisk/flashdisk yg dihiden ame virus. buat ngedelete/ngilangin virusnyamah tetep pake anti-virus…. :D :D :D

  5. Andi
    May 24th, 2011 at 18:26 | #5

    rar/7z/zip itu file archive, tidak masalah jika anda tidak mengeksekusi secara sembarangan, lihat dulu nama filenya/karakteristiknya memang mencurigakan :v

  6. May 24th, 2011 at 19:44 | #6

    wah wah wahwah…
    berbahaya gag yah, kalo ni pirus ada di hape symbian…???

  7. Why
    May 24th, 2011 at 23:30 | #7

    Mungkin selain virusnya menyebar di IND Gangster Ceweknya pun Singgah di IND , paling terkenal di Luar sana FBI pun sampai turun kejalanan. Konon sichhh…. Its the specilist DDOS (penipuan dan Malinggggg). Sebelumnya Maaf atas komen ini kalau berlebihan, Terimakasih.

  8. [AB]
    May 26th, 2011 at 11:09 | #8

    Lumayan 10 Besar.. :D

  9. Andi
    May 27th, 2011 at 19:40 | #9

    @ [AB] : lumayan dapet sembakau komputer (emang ada ??) XDDDDDDD wkwkkwkwk

    pengen bisa / mengerti bahasa pemograman c++ sama VB :/ udah punya ebook, tapi males buka bukanya XD

  10. May 28th, 2011 at 10:21 | #10

    pc media kamu bisa mengani virus ramnit lebil dari 1000 tanpa bantuan clamav

  11. Fredika
    May 28th, 2011 at 21:36 | #11

    @faridtwitter coba pake PCMAV express for ramnit
    coba cari disini http://virusindonesia.com/forum/viewtopic.php?id=830

  12. A.RAHMAN
    May 29th, 2011 at 11:46 | #12

    team pcmav kompter di palu banya terjangkit virus Recyler, copy of shorcut to(1) yang di deteksi pcmav cm sbgai application padahal ini sering menybar di flash disk.
    knp pcmav hanya deteksi itu sebgai file application pdhal itu jelas virus.

  13. Witchen
    May 29th, 2011 at 13:48 | #13

    gan mo nanya pcmav ku kok gx bsa di buka y?eror katanya damaged ato infected by virus please re-instal katanya,jdi gmana tu kena virus ato ap ni gan mohon pencerahan

  14. fana
    May 29th, 2011 at 17:24 | #14

    file wlttpexd.exe nya sudah diupload (akhirnya..),

    jadi di dalam arsip yang tidak terpassword ada arsip yang terpassword dan text passwordnya

  15. May 30th, 2011 at 00:11 | #15

    download dulu ah, antisipasi sebelum terkena virusnya

  16. [AB]
    May 30th, 2011 at 09:36 | #16

    @Witchen
    kemungkinan besar file PCMAV nya sudah terinfeksi virus..
    Solusinya coba jalankan PCMAV langsung dari CD..

  17. Phantomo
    May 31st, 2011 at 22:42 | #17

    PC MAV udah bisa ngedetact ramnit blum? nih virus bener” bikin gw kesel, FD Q sampe penuh shortcut, untung blom sampe di colokin di PC gw, kira” PC MAV udah bisa blom? pas gw jajal di warnet sih masih blom bisa..

  18. michi
    June 1st, 2011 at 07:53 | #18

    @Phantomo
    ada tuh pcmav express for ramnit beta, coba cari di forum.

Comments are closed.