FakeAV-Downloader.L. Berawal dari e-mail yang di kirimkan menggunakan alamat e-mail salah satu kenalan dan anehnya hanyalah berisi sebuah URL. E-mail tanpa subjek tersebut dikirimkan juga (CC) ke beberapa alamat email lainnya dan diduga kuat e-mail pengirim sudah di bajak atau di salahgunakan oleh malware/pihak tertentu. Setelah URL itu di buka, justru mengarah kepada website lain (direct link) yang menampikan sebuah pesan bahwa komputer yang sedang digunakan telah terinfeksi virus.

A. Info Malware
Nama: FakeAV-Downloader.L
Asal: Chicago, Illinois (dugaan)
Ukuran File: 1.69 MB (1,781,760 bytes)
Packer: Asprotect ver 2
Pemrograman: Delphi
Icon: Installer (Unknown)
Tipe: Trojan Downloader

B. Tentang Malware

Seperti yang sudah dijelaskan sebelumnya bahwa email tersebut hanya berisikan sebuah URL yang jika dibuka maka akan mengarahkan ke website lain. Website tersebut langsung memberikan pesan seperti gambar di bawah ini:

Pesan tersebut berisi peringatan adanya virus di komputer yang sedang digunakan, dan sangat dianjurkan untuk melakukan scanning. User yang merasa bahwa ada yang tidak beres dengan komputernya atau penasaran karena pesan tersebut, kebanyakan akan menekan tombol OK pada halaman tersebut dan yang di dapat adalah:

Web tersebut memberikan gambaran seolah-olah sedang melakukan scanning secara online. Jika diperhatikan lebih detail, ada sedikit keganjilan terhada jumlah drive/local disk yang ditampilkan. Karena hanya menampilkan 2 buah local disk, sedangkan komputer yang kami jadikan pengujian terdiri dari 3 local disk. Yang menarik adalah kemampuan untuk memanipulasi tampilan untuk beberapa versi Windows karena setelah dilakukan pengujian terhdap Windows 7 dan Windows XP, tampilannya akan diubah sesuai dengan versi Windows yang digunakan. Pesan palsu lainnya juga ditampilkan dan dimaksudkan untuk lebih meyakinkan user bahwa terdapat banyak virus di komputernya.

Setelah itu, user akan mendownload sebuah file.

Setelah file tersebut selesai di download yangkemudian dijalankann, malware tersebut menyamar sebagai Microsoft Security Essentials. Selain itu berikut ini adalah berapa screenshot dari beberapa aktivitas “awal” dari Online Scan.

C. Companion/File yang dibuat

Setelah user menjalankan Online Scan, malware ini akan menghapus file aslinya dan langsung membuat host di:

C:\Documents and Settings\[nama user]\Application Data\Microsoft\[nama acak].exe

D. Hasil Infeksi

Inilah tampilah dari Online Scanner yang ternyata adalah antivirus palsu.

Sama seperti antivirus palsu yang lainnya, selalu meminta user memasukan serial number yang bisa didapatkan setelah melakukan pembayaran secara online. Harganyapun beragam, berikut adalah daftar harga yang ditawarkan untuk antivirus palsu ini:

Tanpa disadari, worm ini selalu melakukan koneksi ke beberapa IP, seperti yang terlihat pada gambar berikut.

Jika ditelusuri, IP tersebut mengarah ke beberapa kota seperti, Chicago (Illinois), Mountain View (California) dan Como (Lombardia).

Selain itu, beberapa system tools windows juga di anggap malware, contohnya seperti regedit.exe yang di dianggap sebagai Trojan-DDoS,Win32.

Pertahanan lainnya adalah mendisable setiap aplikasi yang mengancam keberadaan antivirus palsu ini. Berikut ini adalah value key yang dibuat oleh Online Scanner pada regsitry editor.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\afwserv.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avastsvc.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avastui.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ekrn.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msascui.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msmpeng.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msseces.exe]
“Debugger”=”svchost.exe”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
“EnableLUA”=dword:00000000
“ConsentPromptBehaviorAdmin”=dword:00000000
“ConsentPromptBehaviorUser”=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
“Shell”=”C:\\Documents and Settings\\Administrator\\Application Data\\Microsoft\\jakcbf.exe”

E. Pembersihan

Jika komputer Anda telah terkena malware ini, ubah nama file PCMAV.exe menjadi sebuah nama acak dan jalankan seperti biasa. Malware ini telah dikenali dan dapat dibersihkan pada PCMAV 5.1 Update Build3 ini berikut ini.

PCMAV 5.1 Update Build3

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 5.1 Update Build3 telah hadir dengan penambahan 101 pengenal varian virus baru. Bagi Anda pengguna PCMAV 5.1, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.

Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:

SendSpace.com

ZippyShare.com (mirror)

RapidShare.com (mirror)

Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 5.1 Update Build3:

Adeied
Adeied.dll
Autoit.FJ
Autoit.FJ.inf
Autoit.FK
Autoit.FK.inf
AutoPah
BadShortcut
DeathDrive.G
Dhoos.C
Dhoos.C.dll
Dhoos.C.sys
Dini.vbs.A
Dini.vbs.B
Dini.vbs.inf
Dret
EGold
EGold.dll
EGold.drp
EGold.txt
Erci
Erci
Fadss
Fadss.bat
Fadss.bing
Fadss.inf.A
Fadss.inf.B
Fadss.inf.C
Fadss.inf.D
Fadss.inf.E
Fadss.junk
Fadss.pass
Fadss.php
Fadss.vbs
FakeAV-Downloader.K
FakeAV-Downloader.K.dat
FakeAV-Downloader.K.tmp
FakeAV-Downloader.L
FakeAV-Downloader.M
FakeAV-Downloader.M.exe
FakeAV-Downloader.M.ico.A
FakeAV-Downloader.M.ico.B
FakeAV-Downloader.M.ico.C
FakeAV-Downloader.M.lnk.A
FakeAV-Downloader.M.lnk.B
FakeAV-Downloader.M.lnk.C
FakeAV-Downloader.M.lnk.D
FakeAV-Downloader.M.lnk.E
FontPorn
FontPorn.dll.A
FontPorn.dll.B
FontPorn.ini.A.ini
FontPorn.ini.B
FontPorn.lnk
GamesQip
GamesQip.html
Hyart
KitNet.dll
KitNet.drp
KitNet.exe.A
KitNet.exe.B
Kulion
Kulion.dll
Mangerr
Mangerr.dll
Modio
Modio.drp
NuevaCarpeta
Ramnit.G.Variant
Ramnit.H.Variant
Ramnit.I.Variant
Ramnit.J.Variant
Rask.A
Rask.A.drp
Rask.B
Rask.B.drp
Recycler.BP
Recycler.BP.inf
Seppeto
Serviks.D
Serviks.E
Serviks.E.exe.A
Serviks.E.exe.B
Serviks.E.inf
Serviks.E.ini
Serviks.F
Serviks.F.exe.A
Serviks.F.vbs
Serviks.G
Serviks.G.bmp.A
Serviks.G.bmp.B
Serviks.G.bmp.C
Serviks.G.inf
Serviks.G.txt
Serviks.H
Serviks.H.rar
Serviks.I
Svx
TeraBit
TeraBit.txt
X-Rown