FakeAV-Downloader.L: Online Scanner Palsu
FakeAV-Downloader.L. Berawal dari e-mail yang di kirimkan menggunakan alamat e-mail salah satu kenalan dan anehnya hanyalah berisi sebuah URL. E-mail tanpa subjek tersebut dikirimkan juga (CC) ke beberapa alamat email lainnya dan diduga kuat e-mail pengirim sudah di bajak atau di salahgunakan oleh malware/pihak tertentu. Setelah URL itu di buka, justru mengarah kepada website lain (direct link) yang menampikan sebuah pesan bahwa komputer yang sedang digunakan telah terinfeksi virus.
A. Info Malware
Nama: FakeAV-Downloader.L
Asal: Chicago, Illinois (dugaan)
Ukuran File: 1.69 MB (1,781,760 bytes)
Packer: Asprotect ver 2
Pemrograman: Delphi
Icon: Installer (Unknown)
Tipe: Trojan Downloader
B. Tentang Malware
Seperti yang sudah dijelaskan sebelumnya bahwa email tersebut hanya berisikan sebuah URL yang jika dibuka maka akan mengarahkan ke website lain. Website tersebut langsung memberikan pesan seperti gambar di bawah ini:
Pesan tersebut berisi peringatan adanya virus di komputer yang sedang digunakan, dan sangat dianjurkan untuk melakukan scanning. User yang merasa bahwa ada yang tidak beres dengan komputernya atau penasaran karena pesan tersebut, kebanyakan akan menekan tombol OK pada halaman tersebut dan yang di dapat adalah:
Web tersebut memberikan gambaran seolah-olah sedang melakukan scanning secara online. Jika diperhatikan lebih detail, ada sedikit keganjilan terhada jumlah drive/local disk yang ditampilkan. Karena hanya menampilkan 2 buah local disk, sedangkan komputer yang kami jadikan pengujian terdiri dari 3 local disk. Yang menarik adalah kemampuan untuk memanipulasi tampilan untuk beberapa versi Windows karena setelah dilakukan pengujian terhdap Windows 7 dan Windows XP, tampilannya akan diubah sesuai dengan versi Windows yang digunakan. Pesan palsu lainnya juga ditampilkan dan dimaksudkan untuk lebih meyakinkan user bahwa terdapat banyak virus di komputernya.
Setelah itu, user akan mendownload sebuah file.
Setelah file tersebut selesai di download yangkemudian dijalankann, malware tersebut menyamar sebagai Microsoft Security Essentials. Selain itu berikut ini adalah berapa screenshot dari beberapa aktivitas “awal” dari Online Scan.
C. Companion/File yang dibuat
Setelah user menjalankan Online Scan, malware ini akan menghapus file aslinya dan langsung membuat host di:
C:\Documents and Settings\[nama user]\Application Data\Microsoft\[nama acak].exe
D. Hasil Infeksi
Inilah tampilah dari Online Scanner yang ternyata adalah antivirus palsu.
Sama seperti antivirus palsu yang lainnya, selalu meminta user memasukan serial number yang bisa didapatkan setelah melakukan pembayaran secara online. Harganyapun beragam, berikut adalah daftar harga yang ditawarkan untuk antivirus palsu ini:
Tanpa disadari, worm ini selalu melakukan koneksi ke beberapa IP, seperti yang terlihat pada gambar berikut.
Jika ditelusuri, IP tersebut mengarah ke beberapa kota seperti, Chicago (Illinois), Mountain View (California) dan Como (Lombardia).
Selain itu, beberapa system tools windows juga di anggap malware, contohnya seperti regedit.exe yang di dianggap sebagai Trojan-DDoS,Win32.
Pertahanan lainnya adalah mendisable setiap aplikasi yang mengancam keberadaan antivirus palsu ini. Berikut ini adalah value key yang dibuat oleh Online Scanner pada regsitry editor.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\afwserv.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avastsvc.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avastui.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ekrn.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msascui.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msmpeng.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msseces.exe]
“Debugger”=”svchost.exe”
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
“EnableLUA”=dword:00000000
“ConsentPromptBehaviorAdmin”=dword:00000000
“ConsentPromptBehaviorUser”=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
“Shell”=”C:\\Documents and Settings\\Administrator\\Application Data\\Microsoft\\jakcbf.exe”
E. Pembersihan
Jika komputer Anda telah terkena malware ini, ubah nama file PCMAV.exe menjadi sebuah nama acak dan jalankan seperti biasa. Malware ini telah dikenali dan dapat dibersihkan pada PCMAV 5.1 Update Build3 ini berikut ini.
PCMAV 5.1 Update Build3
Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 5.1 Update Build3 telah hadir dengan penambahan 101 pengenal varian virus baru. Bagi Anda pengguna PCMAV 5.1, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.
Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.
Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:
ZippyShare.com (mirror)
RapidShare.com (mirror)
Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.
Daftar tambahan virus hingga PCMAV 5.1 Update Build3:
Adeied
Adeied.dll
Autoit.FJ
Autoit.FJ.inf
Autoit.FK
Autoit.FK.inf
AutoPah
BadShortcut
DeathDrive.G
Dhoos.C
Dhoos.C.dll
Dhoos.C.sys
Dini.vbs.A
Dini.vbs.B
Dini.vbs.inf
Dret
EGold
EGold.dll
EGold.drp
EGold.txt
Erci
Erci
Fadss
Fadss.bat
Fadss.bing
Fadss.inf.A
Fadss.inf.B
Fadss.inf.C
Fadss.inf.D
Fadss.inf.E
Fadss.junk
Fadss.pass
Fadss.php
Fadss.vbs
FakeAV-Downloader.K
FakeAV-Downloader.K.dat
FakeAV-Downloader.K.tmp
FakeAV-Downloader.L
FakeAV-Downloader.M
FakeAV-Downloader.M.exe
FakeAV-Downloader.M.ico.A
FakeAV-Downloader.M.ico.B
FakeAV-Downloader.M.ico.C
FakeAV-Downloader.M.lnk.A
FakeAV-Downloader.M.lnk.B
FakeAV-Downloader.M.lnk.C
FakeAV-Downloader.M.lnk.D
FakeAV-Downloader.M.lnk.E
FontPorn
FontPorn.dll.A
FontPorn.dll.B
FontPorn.ini.A.ini
FontPorn.ini.B
FontPorn.lnk
GamesQip
GamesQip.html
Hyart
KitNet.dll
KitNet.drp
KitNet.exe.A
KitNet.exe.B
Kulion
Kulion.dll
Mangerr
Mangerr.dll
Modio
Modio.drp
NuevaCarpeta
Ramnit.G.Variant
Ramnit.H.Variant
Ramnit.I.Variant
Ramnit.J.Variant
Rask.A
Rask.A.drp
Rask.B
Rask.B.drp
Recycler.BP
Recycler.BP.inf
Seppeto
Serviks.D
Serviks.E
Serviks.E.exe.A
Serviks.E.exe.B
Serviks.E.inf
Serviks.E.ini
Serviks.F
Serviks.F.exe.A
Serviks.F.vbs
Serviks.G
Serviks.G.bmp.A
Serviks.G.bmp.B
Serviks.G.bmp.C
Serviks.G.inf
Serviks.G.txt
Serviks.H
Serviks.H.rar
Serviks.I
Svx
TeraBit
TeraBit.txt
X-Rown
Saya pengguna pcmav dari...
Makanya kalo mau...
langsung dl
suraaaam… makin merajalela aja Antivirus gadungan ene…
Terima kasih untuk update vdb-nya…
“Dapatkan PCMedia Edisi 06/2011 mulai tanggal 23 Mei 2011″???????????????????????????????
waduh,….
kayaknya perlu waspada nih….
terhadap antivirus palsu……
terima kasih PCMAV….
maju terus…..
lumayan,6 besarr
mantap PCMAV!!!!!!!!!!!!!!!!!!
masuk pejwan ah….
hahaha :ngakak
langsung menuju tekape min, untuk dunlut apdetannya…..
tak hanya pengguna windows, pengguna MAC juga jadi terget virus ini,,, coba aja buka pake MAC websitenya
<< saya tak bakal meman antivirus palsu karena mempunyai karakteristik tersendiri dan berbeda dengan yang benar benar AV… xD
tenang kok ada sebuah blog yang menjelaskan dan menlist beberapa antivirus… jadi anda bisa lihat apa saja yang ada di list-an
apa sampel yang saya upload sudah dianalisis dan disertakan dalam update kali ini?
kalau boleh, hasil analisisnya kirim ke email ini: arifin91_salji@yahoo.com
trims
team pcmav, tlg utk pcmav versi berikutnya pcmavnya nda buat error Firefox 4, karna di Palu rata-rata pengguna Pcmav mengeluhkan firefoxnya tidak bisa terbuka saat pcmav aktif. trims. dan juga virus file copy shorcut.ink. windows.ink. program file.ink. dll pcmav g bs detect tuh.
@A.Rahman
coba ke forum aja om, diinfoin juga klo pake av lain berbarengan pcmav
pcmav aktif, banyak ditemui di komputer2 yg doc-nya gak bisa kebuka, tapi xls baik2 aja…
@icp_zkom
coba dibuka dulu langsung dari m.word, kebuka ga?
wahhhhhh Online Scanner Palsu nihhh
sedikit saran mbok upload database PCMAVnya pada mediafire aja pertama gratis dan proses downloadnya tidak ribet…
setiap file update.vdb sama norton dianggap Suspicious.Cloud.5.D
@All: coba pakai artav. setahu saya artav adalah AV lokal terbaik dan terindah diindonesia.
numpang promosi ya gan.
salam dr arrival dwi sentosa.
Kalau ARTAV Kenapa pas mau instal ada trj download di dalamnya?????
Kalau saya sich mendingan pcmav.vdb aja.
Kalau BRIGADE confiker-nya udah hilang belum yaa….??!
ARTAV apaan tuh,,, hati-hati antivirus palsu seperti diatas,, jangan dia ngirim data informasi penting di komputer kita,,, waspada-waspadalah
@Arrival88
Artav AV lokal terbaik dan terindah di Indonesia.?
Ga salah tuh gan.?
Dimana letak terbaik dan terindahnya.?
Source code aja boleh copy dari orang laen ngaku2 buatan sendiri..
Ane jalanin 5 sample virus tapi nol besar, artav ga bisa kenalin..
Mending ga usah pake AV sekalian..
bagaimana cara menghilangkan string injeksi virus terhadap file .exe?
saya yakin file induk virus dan entri registri yang berbahaya sudah tidak tersisa (karena tidak terbentuk folder acak lagi di direktori program files.. ha ha ha ha), dan bagusnya file induk sudah diupload ke tim pcmav jadi komen ini masih ada kaitannya dengan wlttpexd itu..
terlebih lagi jika string/kode/entri registri tersebut tidak dihapus, saya tidak bisa menjalankan pcmav maupun instal program
untuk itu mohon tanggapan dan solusinya, bisa dikirim ke email: arifin91_salji@yahoo.com
@bonjovi : sama bro gak bisa, masih dihalang ama pcmav. coz kalo dinonaktifkan rtpnya, dokumen baru bisa terbuka.
@icp_zkom
ga bisa dibuka, ada muncul pesan error yg isinya?
@why: ada trojan? mungkin itu false detek gan,abaikan saja.karna saya jamin gak ada satupun baris byte yg mengandung script jahat di artav
@doni: artav bukan av palsu,tolong sesama anak bangsa dilarang saling menjatuhkan.
@[AB]: artav yg skrng asli buatan saya gan,saya akui saya dulu memang salah,tapi yg versi kali ini saya jamin asli 101% buatan saya sendiri gan
@[AB]: sy katakan terindah karna dari sekian av lokal,hanya artav yg paling bnyak didownload ,CMIWW
Terima kasih bagi yg menggunakan artav juga,karna saya hanya berusaha untuk berbagi ilmu dan membantu sesama.
@arrival88
berbagi ilmu dan membantu sesama.?
Kalau itu tujuannya knapa AV ente dikomersilkan.? Sampai dibedakan jadi 3 versi begitu..
Tenang gan kalau emang agan niatnya untuk membantu pasti akan ada beberapa/banyak orang yang memberikan donasi tanpa dikomersilkan..
Itu saran ane loh sebagai perorangan bukan suatu golongan yang ingin memojokkan hasil karya agan..
Duh nu di luhur kadon debat masalah anti virus…. ceuk kuring mah rek make naon ge anti virusna pek we kumaha kahayang masing-masing, da masing-masing anti virus oge boga kalemahan jeung kaleuwihannana. Kanggo nu “ngadamel” AR*AV, teruskeun perjuangan mun enya mah keur ngabantu sasama, salam ti sami-sami urang Kabupaten Bandung.
cicing maneh.
hubungannya apa indah sama paling banyak didownload???
@[AB]: sebenarnya banyak alasan mengapa sy mengkomersilkan,tp yg jelas cara itu yg paling pas untuk kelangsungan artav.
@zero:ada gan,mungkin agan belum pernah buat AV jadi agan belum bisa merasakan bagaimana hasil keringat kita sendiri didownload oleh orng lain.
Pilih mana Free Open Source atau Komersil !!!
Ayo mau yang mana “Role Cleaner” atau “RTP”
Pilih aja mau “DELETE” atau “Repair/Cure”
Tentukan Agility nya ???
Yang pantas untuk Free Komersil 90% Coding bisa Repair alias Cure.
Kelangsungan ARTAV ?? Emang punya karyawan ? atau kontrak dengan suatu pembuat SC AV ?
@why:di web kan sdh dijelaskan bahwa ada 3 versi,2 diantaranya pro dan advan. dan itu tidak free
@wizardft:bukan gitu gan, hasil karya itu kan sangat berharga,jd tidak ada salahnya klo sy buat yg versi komersil
@bonjovi : tdk ada aktifitas apa2… eh setelah dinonaktifkan rtpnya… muncul aja normal
@Why
Ane lebih milih PCMAV..
@arrival88
bisa dijabarkan alasan yang lainnya..??
kalau untuk kelangsungan artav, brarti pada intinya tidak berbagi ilmu dan membantu sesama.?
@[AB]: Ane dukung gan…
@arrival88: Klo mau donasi, kenapa harus ditentukan besaran biaya? Sm*dav saja membebaskan jumlah donasi, denger2 sih bayar 10.000 dapet key pro. Trus kenapa ARTAV tidak seperti Sm*dav yg bisa mengubah free jadi pro dgn serial key? apakah takut dengan adanya Reversing Code / Rekayasa Perangkat Lunak???
buat bro semuanya kita dukung aja hasil karya arrival88, kita hargai jerih payahnya, kalo yg mau beli silakan, kalau gak mau beli ya udah. @arrival88 : bahasa dan penjelasanmu kurang baik dan kurang tepat (betul kata [AB] & Wizardft), kita maklumi usia kamu… tetap mau belajar dan respect pada semua senior….
@arrival
untuk antivirus, sudah sering saya buat untuk kepentingan sendiri..
yang saya tanyakan hubungan antara keindahan sama paling banyak didownload ada korlasi apa?? tolong diperjelas lagi !!
la ini dia virusnya yg menghack emailku… mantap semoga pcmav 5.2… tambah yahud
pcmav.vdb 100% Good dijamin dech..
Ya Jelas pcmav paling bagus dan inovatif, user friendly ++nya url.bad
smadav ++nya registry
Kalau yang lainnya ++nya anything Deleteeeeeeeeeeeeeeddd…
Menurut saya sih PROTOTYPE AV indonesia terbaik “PCMAV” Numero UNO
Kalo mo promosi lewat iklan atau apa kek yang halal gitu.Malah lewat komentar di blog!Nyampah itu namanya!!!
@Why
setuju sama agan ane lebih suka sama PCMAV dibanding AV Lokal lainnya..
@Varian Joe
iyaa ane juga kurang suka sama komentar arrival88 yang terkesan promosi AV dia dan membangga-banggakan AV nya..
@arrival88
bahasa ente kurang bisa dimengerti semua orang gan. Tolong di rapihin lagi tata bahasa ente gan biar lebih dimengerti orang lain..
@[AB]: sy sudah membuat antivirus tapi kenapa banyak yg tidak suka apa yg sy buat,apakah pelajar seperti saya tidak boleh membuat antivirus?
@varian joe:maksudnya?dimana letak kesalahan saya sehingga disebut nyampah gan?
@All: mohon maaf klo komentar saya menyinggung aga-agan semua disini,saya hanya seorang pelajar yg ingin terus belajar.
@arrival88
tapi cara ente salah gan. Tolonglah bertutur kata yang baik dan kalau bisa janganlah mempromosikan suatu produk disini, kita disini sama2 saling belajar tapi tidak dengan membangga-banggakan suatu produk.
@arrival88
Kamu itu salah tempat buat promosinya.Nih gara2 promosi kamu semuanya jadi ngebahas tentang AV mana yang bagus.Seharusnya ngebahas artikel yang di tulis itu
@all
sudah jangan bertempur lagi,sekarang kita hentikan dulu promo2annya,nah gan sekarang gimana ni caranya bersihin si ramnit?ane udah pusing 7 putaran nih….
thx
@all
sudah jangan bertempur lagi,sekarang kita hentikan dulu promo2annya,nah gan sekarang mari kita bersihin si ramnit yang udah bikin pusing 7 keliling….