Home > Analisa Virus, Antivirus, Pengumuman > Proklamasi: Semangat Perjuangan ala Malware

Proklamasi: Semangat Perjuangan ala Malware

July 4th, 2011


Proklamasi. Sesaat kita terlupa oleh banyaknya malware yang siap menyerang user melalui email seperti Antivirus Palsu dan ancaman paling besar adalah melalui flash disk seperti Ramnit yang saat ini masih banyak menyebar di masyarakat. Akan tetapi, masih ada saja virus maker lokal yang membuat malware tanpa melupakan ciri khas utamanya yaitu pesan-pesan yang menandakan kehadirannya, seperti salah satu malware yang kami beri nama Proklamasi sesuai dengan pesan yang dibuatnya seperti pada gambar di atas.

A. Info File

Nama Worm : Proklamasi Asal : Indonesia Ukuran File : 72.0 KB (73,728 bytes) Packer : ~ Pemrograman : MS Visual Basic 5.0-6.0 Icon : Salah satu Antivirus lokal Tipe : Worm

B. About Malware

Sedikit flash back ke salah satu malware yang pernah di bahas di VirusIndonesia.com awal januari 2010 http://virusindonesia.com/2010/01/08/zhola-pcmav-22c-update-build1/ yang hadir dengan menggunakan icon salah satu antivirus lokal.  Ciri utamanya adalah mengeluarkan pesan palsu setelah worm di jalankan. Dan tanpa sadar, user sudah terinfeksi oleh worm yang satu ini. Worm Proklamasi juga menggunakan teknik social engenering dengan menggunakan icon yang sama seperti antivirus lokal tersebut. Yang berbeda adalah source code yang digunakan bukan hasil modifikasi seperti worm Zhola, selain itu worm ini juga dikhawatirkan akan menyebar luas karena setelah kami mendapatkan sampelnya, hanya beberapa antivirus luar negeri yang mampu mendeteksinya sebagai malware menggunakan teknik heuristik.

Efek yang didapatkan setelah worm ini aktif cukup berbeda karena bagi user yang sudah terinfeksi akan lebih mengenal beberapa lagu-lagu Bondan Prakoso & F2B.

C. Companion/File yang dibuat

Setelah aktif di memori, worm Proklamasi akan membuat beberapa file dan dua buah folder pada setiap drive termasuk removable disk:

  • Lirik Bondan Prakoso & F2B – Kita Selamanya.exe
  • Lirik Bondan Prakoso & F2B – Tetap Semangat.exe
  • Lirik Bondan Prakoso & F2B – Ya Sudahlah.exe
  • Lirik Bondan Prakoso & F2B – Tidurlah.exe
  • Lirik Bondan Prakoso & F2B – Berawal Dari Mimpi.exe
  • Lirik Bondan Prakoso & F2B – For All.exe
  • Lirik Bondan Prakoso & F2B – SOS.exe
  • Lirik Bondan Prakoso & F2B – Kroncong Protol.exe
  • Lirik Bondan Prakoso & F2B – No With Me.exe
  • Lirik Bondan Prakoso & F2B – Respect.exe
  • Lirik Bondan Prakoso & F2B – Expresikan.exe
  • Lirik Bondan Prakoso & F2B -waktu.exe
  • Lirik Bondan RIP (Rhyme In Peace).exe
  • Trik Bisnis Online Murah Meriah.exe

Folder yang dibuat dengan nama “autorun.inf” dan “Smadavlock” serta di dalamnya terdapat 1 buah file dengan nama readme.exe. Meskipun tidak menggunakan autorun.inf, Proklamasi juga menggunakan shorcut yang berfungsi untuk memanggil file readme.exe pada kedua folder tersebut.

D. Hasil Infeksi

Terdapat 3 proses Proklamasi yang ada di dalam berjalan di memory. Keadaan akan semakin memburuk dengan munculnya peringatan Windows File Protection

Agar berjalan otomatis bersamaan dengan proses startup windows, Proklamasi membuat beberapa hots antara lain seperti:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\DeltaRTP

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\DelRTP

C:\WINDOWS\dllhoss.exe
C:\WINDOWS\Temp.exe
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\systray.exe

E. Pembersihan
Malware ini telah dikenali dan dapat dibersihkan pada PCMAV 5.2 Update Build1 ini berikut ini.

PCMAV 5.2 Update Build1

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 5.2 Update Build1 telah hadir dengan penambahan 105 pengenal varian virus baru. Bagi Anda pengguna PCMAV 5.2, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.

Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:

SendSpace.com

ZippyShare.com (mirror)

RapidShare.com (mirror)

Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 5.2 Update Build1:

Adeied
Adeied.dll
AutoPah
BadShortcut
BancosKernel
BancosKernel.dat
Brontok-JoseRay.K
Brontok-JoseRay.K.bat
Brontok-JoseRay.K.exe.A
Brontok-JoseRay.K.exe.B
CryptocX
CryptocX.dll
DeathDrive.G
Dhoos.B
Dhoos.B.dll
Dhoos.B.sys
Dhoos.C
Dhoos.C.dll
Dhoos.C.sys
Dret
EGold
EGold.dll
EGold.drp
EGold.txt
Erci
Erci.html
Fadss
Fadss.bat
Fadss.bing
Fadss.inf.A
Fadss.inf.B
Fadss.inf.C
Fadss.inf.D
Fadss.inf.E
Fadss.junk
Fadss.pass
Fadss.php
Fadss.vbs
FakeAV-Downloader.L
FakeAV-Downloader.M
FakeAV-Downloader.M.exe
FakeAV-Downloader.M.ico.A
FakeAV-Downloader.M.ico.B
FakeAV-Downloader.M.ico.C
FakeAV-Downloader.M.lnk.A
FakeAV-Downloader.M.lnk.B
FakeAV-Downloader.M.lnk.C
FakeAV-Downloader.M.lnk.D
FakeAV-Downloader.M.lnk.E
FakeDownloader.BL
FakeDownloader.BL.drp
FakeDownloader.BL.exe.A
FakeDownloader.BL.exe.B
FakeDownloader.BL.exe.C
FakeDownloader.BL.tmp
FakeDownloader.BL.zip
Fakhricker.vbs.B
Fakhricker.vbs.B.drp
FontPorn
FontPorn.dll.A
FontPorn.dll.B
FontPorn.ini.A.ini
FontPorn.ini.B
FontPorn.lnk
GamesQip
GamesQip.html
HellP2P.Gen.A
HellP2P.Gen.B.exe
HellP2P.Gen.txt
JView.B
KitNet
KitNet.html.A
KitNet.html.B
KitNet.html.C
Mangerr
Mangerr.dll
Modio
Modio.drp
NuevaCarpeta
Parents.C
Proklamasi
Proklamasi.exe
Proklamasi.lnk
PVK-Acehku.A
PVK-Acehku.B
Qvod
Qvod.A.dll.A
Qvod.A.dll.B
Qvod.A.dll.C
Qvod.A.inf
Qvod.A.local
Qvod.B
Qvod.B.dll
Qvod.exe.A
Ramz.Dropper
Rask.A
Rask.A.drp
Rask.B
Rask.B.drp
RazorBlade
SysTask.A
SysTask.B
TeraBit.txt
Wukill.D
ZetKa.B

Categories: Analisa Virus, Antivirus, Pengumuman Tags:
  1. wizardft
    July 4th, 2011 at 15:40 | #1
    Reply | Quote

    SMADAP kena lagi.

  2. arrival88
    July 4th, 2011 at 15:53 | #2
    Reply | Quote

    sungguh terlalu virusmaker yg membuat virus ini.

  3. goenroos
    July 4th, 2011 at 16:26 | #3
    Reply | Quote

    edisi juli kpn nih terbitnya ?

  4. ecoffeholic
    July 4th, 2011 at 19:15 | #4
    Reply | Quote

    ini fakta,bukan bermaksud “mengusik” antivirus tetangga….

  5. Herry
    July 4th, 2011 at 21:32 | #5
    Reply | Quote

    kagak ada read more nyah…

  6. [AB]
    July 5th, 2011 at 02:14 | #6
    Reply | Quote

    inilah salah satu karya anak bangsa.. :)

  7. Triyono
    July 5th, 2011 at 02:18 | #7
    Reply | Quote

    kok ukuran updatenya beda ya, aku download dr SendSpace.com ukurannya 145 kb, tapi kalo aku download dr ZippyShare.com ukurannya 151 kb, itu gimana certanya?

  8. rahman
    July 5th, 2011 at 09:57 | #8
    Reply | Quote

    team pcmav, kpn virus shorcutnya bs di atasi, bulan lalu sy sdh upload samplex. tuh virus mngubh file jd shorcut smw.
    dan pcmav klu di aktifkan buat mozilla n word tidak bs trbuka, alias sending command

  9. heman
    July 5th, 2011 at 10:26 | #9
    Reply | Quote

    @rahman
    dibaw ke forum aja klo mau direspon ama tim pcmav

  10. pox
    July 5th, 2011 at 10:32 | #10
    Reply | Quote

    mantap….wa copas ya gan…hehehehe….

  11. Fredika
    July 5th, 2011 at 13:34 | #11
    Reply | Quote

    smadav emg imagenya bukan antivirus tpi virus
    masih cakep PCMAV

  12. cowox mysterius
    July 5th, 2011 at 13:56 | #12
    Reply | Quote
  13. david satria
    July 5th, 2011 at 18:02 | #13
    Reply | Quote

    wah, gagal pertamax nih….
    bedewe, kok setiap saya update, gagal yah…???

  14. dean48
    July 6th, 2011 at 12:40 | #14
    Reply | Quote

    @All
    sebagai salah satu viser AV lokal,saya juga sedang mencari sampel virus ini. ada yg punya?

  15. kampak
    July 7th, 2011 at 13:40 | #15
    Reply | Quote

    kenapa PCMAV 5.2 sering crash ketika saya coba scan drive C:… apa ada yang salah…. mohon bantuannya, gan…

  16. reza
    July 7th, 2011 at 18:41 | #16
    Reply | Quote

    Iya, betul apa kata kampak. PCMAV crash ketika coba scan drive C. Nggak hanya itu, PCMAV bisa disusupi Win 32/Chir. B (hasil analisa NOD Eset Smart Security); atau Runouce (Clamav). Atas perhatiannya saya ucapkan terima kasih.

  17. vj riyanti
    July 9th, 2011 at 14:14 | #17
    Reply | Quote

    I Like It !

  18. McArmand
    July 9th, 2011 at 14:36 | #18
    Reply | Quote

    JAYA TERUS PCMAV!

    hahay.. kurang ajar ni Virus.!
    bukan hanya icon, tapi Description n Company Name juga dia plagiat dari zm4Dab..
    Pesan Palsu juga dia munculkan, seolah-olah ni zm4Dab sungguhan..
    menjatuhkan image..

    pantes teman-teman sy salah paham., akhir-akhir ni mereka cerita klw zm4Dab selain membuat antiVirus juga membuat Virus.. parah blah.

Comments are closed.