Home > Analisa Virus, Antivirus, Pengumuman > FakeAV-Downloader.N: Your ‘Security’ is Our Priority

FakeAV-Downloader.N: Your ‘Security’ is Our Priority


FakeAV-Downloader.N. Hampir setiap bulan kami mendapatkan sampel malware yang ternyata adalah antivirus palsu. Metode penyebaran yang sama, dengan teknik mengelabui user yang sama pula. Perbedaan terbesar hanyalah pada tampilan yang selalu diubah-ubah. Kemungkinan besar selalu dibuat ulang dengan di tambahkan kemampuan agar tidak dapat terdeteksi oleh teknik heuristik antivirus.

A. Info File

Nama Worm : FakeAV-Downloader.N (BitDefender Core / Security Protection)
Asal : Rusia
Ukuran File : 854 KB (874,496 bytes)
Packer : UPX 0.89 – 3.xx -> Markus & Laszlo ver. [ 3.07 ]
Pemrograman : Delphi
Icon : Malware Icon
Tipe : Trojan

B. About Malware


Tanpa packer, malware ini berukuran 1.66 MB (1,751,552 bytes) dan diduga kuat berasal dari Rusia. Karena malware ini berusaha mengakses salah satu website yang setelah ditelusuri lebih jauh berasal dari Rusia. Berikut ini adalah rincian dari user registrannya.

Domain name: protection-sec.com

Name servers:
ns1.nameself.com
ns2.nameself.com
Registrar: Regtime Ltd.
Creation date: 2011-05-17
Expiration date: 2012-05-17
Status: active

Registrant:
Eduard Aleksandrov
Email: crisissmula@gmail.com
Organization: Private person
Address: Latishskih-Strelkov 1-48
City: Kazan
State: RU
ZIP: 420087
Country: RU
Phone: +7.8432964725

Sampai serkarang website tersebut masih aktif, akan tetapi user tidak perlu takut karena website tersebut tidak menyediakan download untuk FakeAV-Downloader.N.

C. Companion/File yang dibuat
Setelah aktif, malware ini tidak membuat banyak companion, berdiri sendiri dan hanya melakukan payload secara terus-menerus yang cukup mengganggu user.

D. Hasil Infeksi

Sama seperti trojan pada umumnya yang mencoba mengambil informasi dari korban tanpa diketahui. Hal itu bisa meyebabkan korban kehilanga akun pribadi, kehilangan uang yang tidak diketahui penyebabnya dengan jelas. Begitu juga dengan user yang terinfeksi FakeAV-Downloader.N yang selalu memaksa user untuk membeli serial number dari antivirus palsu tersebut.

Bukan hanya itu, pesan pesan yang berisikan peringatan palsu juga tidak ada hentinya dari malware ini.

FakeAV-Downloader.N hanya membuat 1 buah value key baru pada registry yang bertujuan untuk menjalankan otomatis saat proses startup.

HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run\Security Protection
Value : URL / Alamat malware.

E. Pembersihan
Malware ini telah dikenali dan dapat dibersihkan pada PCMAV 5.3 Update Build1 ini berikut ini.

PCMAV 5.3 Update Build1

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 5.3 Update Build1 telah hadir dengan penambahan 46 pengenal varian virus baru. Bagi Anda pengguna PCMAV 5.3, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.

Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:

SendSpace.com

ZippyShare.com (mirror)

RapidShare.com (mirror)

Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 5.3 Update Build1:

BadShortcut
BancosKernel
BancosKernel.dat
CryptocX
CryptocX.dll
FakeAV-Downloader.N
FakeAV-Downloader.N.dat
FakeAV-Downloader.N.dll.A
FakeAV-Downloader.N.dll.B
FakeAV-Downloader.N.drp
FakeAV-Downloader.N.exe
FakeAV-Downloader.N.lnk.A
FakeAV-Downloader.N.lnk.B
FakeAV-Downloader.N.lnk.C
FakeAV-Downloader.N.tmp
FakeDownloader.BL
FakeDownloader.BL.drp
FakeDownloader.BL.exe.A
FakeDownloader.BL.exe.B
FakeDownloader.BL.exe.C
FakeDownloader.BL.tmp
FakeDownloader.BL.zip
FightingDreamer.vbe.inf
NgrBot
NgrBot.bat
NgrBot.dat
NgrBot.drp.A
NgrBot.drp.B
NgrBot.exe.A
NgrBot.exe.B
NgrBot.inf
NgrBot.lnk
Proklamasi
Proklamasi.exe
Proklamasi.lnk
Qvod
Qvod.A.dll.A
Qvod.A.dll.B
Qvod.A.dll.C
Qvod.A.inf
Qvod.A.local
Qvod.B
Qvod.B.dll
Qvod.exe.A
TeraBit.txt
Wukill.D

Categories: Analisa Virus, Antivirus, Pengumuman Tags:
  1. ritasugiarto
    July 13th, 2011 at 14:05 | #1

    pertamax gan! baru pertama nih pertamax. *sedih

  2. miki
    July 13th, 2011 at 14:15 | #2

    toolong dikoreksi tulisan “scan progress” pada PCMAV,,,

    mnurut saya tulisan itu sharusnya mnunjukkan adanya hitungan persen ato indicator loading pada waktu scan berjalan

  3. July 13th, 2011 at 15:02 | #3

    ke-3

    maju terus PCMAV….
    ditunggu2 inovasi2 terbarunya….

  4. dean48
    July 13th, 2011 at 18:13 | #4

    @ritasugiarto
    anda merebut tempat saya!wkwkwk! empatTax gan!

    @miki
    jadi apa yg salah? bukannya kata kalimat scan progree itu sdh benar? wah anda ngaco,lg mimpi ya?hahaha

  5. Aldi
    July 13th, 2011 at 18:39 | #5

    bagaimana tuh orang yg buat cari masalah saja

  6. A.RAHMAN
    July 13th, 2011 at 21:12 | #6

    team pcmav, antivirus Smad** skrg udh bs detect ramnit.A sampai Ramnit.Y, jd gmn dengan pcmav? ayo pcmav jgn sampai mengecewakan pengguna setianya.skrg di Palu msh banyak virus shorct yang mengubah file jd ukuran 2 kb. padahal bulan lalu sdh sy upload ke virusindonesia.com tp smpai versi terbarunya belum bs detect tuh virus. MSE baca tuh virus meredrop tp pas dibuka ternyata masih ada juga. smadav jg membantu meng-unhiden file yg di hiden virus itu. tim pcmav buatin juga fitur demikian supaya pcmav benar2 jd no.1 di indonesia. dipalu banyak teman2 yg nanya perbandingan pcmav dengan smadav. jd kalau bs di versi berikutnya udh seperti itu supaya penjualan majalah pcmedia di palu jd laris. tolong duperhatikan ya.

  7. sulore
    July 13th, 2011 at 22:14 | #7

    @A.RAHMAN
    virus ramnit ga sebanyak itu variannya. trus smadav ga bisa bersiin file yg terinfeksi. betul ga?

  8. smafud
    July 14th, 2011 at 07:39 | #8

    A.RAHMAN :
    team pcmav, antivirus Smad** skrg udh bs detect ramnit.A sampai Ramnit.Y, jd gmn dengan pcmav?

    – Pendeteksian khusus untuk virus Ramnit & Sality pada USB Flash Disk

    Kalau A-Y bisa di deteksi hanya dengan A-K gimana?
    Kalau di cuman bisa deteksi tapi gabisa bersihin gimana?

  9. A.RAHMAN
    July 14th, 2011 at 08:47 | #9

    Sy krg th soal itu yang jelas, pengennya chef pcmav bs jelaskan soal itu.

  10. ritasugiarto
    July 14th, 2011 at 08:50 | #10

    @A.RAHMAN , ke forum saja om tanyanya.

  11. miki
    July 14th, 2011 at 12:51 | #11

    @dean48 = smpyan salah ketik mas… lihat ni

    dean48 :
    @miki
    jadi apa yg salah? bukannya kata kalimat scan progree itu sdh benar? wah anda ngaco,lg mimpi ya?hahaha

    mksudq dsblah kanan kalimat itu seharusny ad hitungan persen ato indicator loading smpe 100% pada waktu scan berjalan
    bukannya yg skrg, kyak loading boot xp

  12. dean48
    July 14th, 2011 at 14:17 | #12

    @miki
    oiya

    A.RAHMAN :
    Sy krg th soal itu yang jelas, pengennya chef pcmav bs jelaskan soal itu.

    saya rasa kalo soal itu ga mungkin chef pcmav menjelaskan,karna ga penting banget masih bnyak yg harus dikerjakan ketimbang mikirin tetangga sebelah. yg jelas pcmav masih jauh lebih baik dr si tetangga sebelah itu. dalam membasmi virus, pcmav membersihkan sampai ke akar akarnya,dan terbaik di indonesia..

  13. [AB]
    July 14th, 2011 at 17:38 | #13

    @dean48
    ga malu gan salah..??
    hahahahahahaha..

  14. dean48
    July 15th, 2011 at 06:42 | #14

    @[AB]
    ngga gan,kan kita sama sama koreksi. salah itu biasa,tapi klo yg suka menyalahkan terus itu baru luar biasa, kaya agan. hehehe!

  15. [AB]
    July 15th, 2011 at 10:28 | #15

    katanya pinter sampe ngajakin adu ilmu, tapi baru begitu aja udah keliatan sejauh mana kepintarannya. Hhmmm jadi cukup tau aja deh, hahahaha..

  16. July 15th, 2011 at 13:54 | #16

    ke 16 ane telat….
    walaupun telat tapi tetap menyimak 😀

  17. In’s
    July 15th, 2011 at 14:31 | #17

    Angger ieu mah nya ari geus paadu-adu huntu teh!

  18. dicky
    July 15th, 2011 at 16:00 | #18

    Mau tanya, sekarang PCMAV ngeberatin komputer ngga y? Terakhir make PC MAV tahun 2009. Waktu itu rasanya PCMAV berat banget. Sekarang saya pake Panda Cloud antivirus yang super ringan (min RAM 64MB). Kalo misal PCMAV ringan, saya mau coba lagi.

  19. dean48
    July 15th, 2011 at 17:14 | #19

    @[AB]
    justru mengalah itu menunjukan keilmuan seseorang gan…hahahaha! ah agan ini sensi terus sama saya 😀

    @In’s
    kunaon kang? saha nu pa adu adu huntu? ari akang ieu aya aya wae.. sanes adu huntu kang, ieu kuring keur ngajarkeun ka babaturan nu enteu ngarti ngarti..wkwkwkwk!

    @dicky
    wkwkwkwk! gemana see, terakhir pake taun 2009? ya jgn disamain sama tau jadul dong gan. pcmav yg skarang lebih hemat resourches memori gan! jangan lupa, beli majalahnya ya..hehehe 😀

  20. Rp_L
    July 16th, 2011 at 03:24 | #20

    PCiwMap Kapan finalnya Beta trusssssss.. Wajar aja akursi Metriknya 70% Ada yang Baru Buang Yang Lama. 30% bertelor jadi naon tah…??? PriCiTiwwwww

  21. fransetya_AL
    July 16th, 2011 at 09:12 | #21

    kenapa ya pcmav asal saya mau update slalu not found??
    emang pcmav jarang update databasenya ya?

  22. yukimura12
    July 16th, 2011 at 20:47 | #22

    kapan rtp untuk 64bit kluar…bah!

  23. バデラ
    July 17th, 2011 at 10:29 | #23

    32 bit user lebih banyak daripada 64 bit mungkin nanti setelah ada rencana untuk versi 64 bit karena 64 bit itu bisa lebih cepat lagi dari versi 32 bit, mungkin dalam masa berkembangan, mohon bersabar XD

    @Rp_L : jangan asal buang saja, yang lama disimpan buat jaga jaga untuk yang baru XD ingat jangan buang sembarangan (nggak nyambung XD), pokoknya jangan dibuang buat analisis untuk jaga jaga saja :D, sejak dulu PCMAV beta terus kok, saya udah mengikuti pcmav udah lama, dari versi 0.9x sampai sekarang XD (versi 5.3)

    @dicky: ya itu memakai sistem clound jadi sedikit menggunakan memory RAM, karena database disimpan di cound itu, tetapi akses internet harus dibutuhkan.

    @A.RAHMAN: kan pcmav udah ada extension, semoga ada yang buat extension untuk itu XD

  24. July 20th, 2011 at 09:21 | #24

    Mas admin, minta ijin untuk copy artikel tuk dibagi di blog saya. Boleh kan?

  25. A.RAHMAN
    July 20th, 2011 at 10:21 | #25

    Tim Pcmav, untuk versi berikutnya tlng sample virus ramnit sya upload sdh bs di atasi, krna pcmav blm bs mengatasi ramnit sampai tuntas, ramnit masih bs lolos dari pendeteksian pcmav dan juga versi 5.3 masih ada bug yg muncul, (pesan pcmav error).

  26. In’s
    July 20th, 2011 at 10:53 | #26

    @dean48
    “Jeung dimana dibacakeun Qur’an, prak darengekeun, jarempe (regepkeun) supaya aranjeun diarasih…….”

  27. July 24th, 2011 at 09:34 | #27

    Pcmav kamu bisa perbaruan pcmav ya buat diram jadi 1mb

  28. kampak
    July 25th, 2011 at 11:55 | #28

    @PCMAV TEAM, PCMAV 5.2 – 5.3 masih muncul pesan crash pada saat scan driva C: … apa yg sebenarnya terjadi dengan PCMAV… mohon koreksinya..thanks

  29. sulore
    July 25th, 2011 at 12:52 | #29

    @kampak
    coba pake clamav versi terdahulu. link donlot di forum ada.

  30. A.RAHMAN
    July 25th, 2011 at 18:51 | #30

    Team pcmav, di pcmav 5.3 yang perlu di perbaiki adalah bug reportnya (pcmav error) kmudian MS. Word kadang-kadang tidak mau terbuka saat pcmav aktif di sistem tray, jd pcmav mesti di EXIT br bs terbuka. bgtu pula dengan firefox. tlong di versi berikutnya pcmav lbh baik lagi

  31. Aldi
    July 29th, 2011 at 13:43 | #31

    kalo saya boleh kasih saran, tolong dong icon PCMAV jangan gambar bebek, coba berkreasi dikit gitu. Biar keren lahh

  32. バデラ
    July 31st, 2011 at 18:39 | #32

    @ Faritwitter: nggak mungkin 1mb, apakah gak butuh database buat mendeteksi virus? kalau membaca langsung ke hard disk ya butuh memory lebih dari 5 mb … tapi lemot, mending ditaruh ke RAM walaupun memakan tempat…. proses scan itu butuh ruang juga, jadi tidak mungkin 1 mb dalam dikondisi aktif, itu cuman idle doank XD

  33. iand
    July 31st, 2011 at 23:29 | #33

    pcmav bravooo pd pc media ajarin donk saya dan anak2 indonesia cara membuat antivirus yg bagus agar bisa melahirkan antivirus2 terbaik buatan anak bangsa supaya kita tdk slalu perpatokan pd antivirus2 buatan luar….. bravoooo pcmav yag slalu saya pantau dari lahir sampai hebat seperti ini…

  34. August 2nd, 2011 at 10:59 | #34

    pc media semoga sukses selalu amin,pcmav bisa cepat keluar update dan pcmav vanala 5.4 bisa jalan diram 1mb karena komputerku berat pakai avg

  35. akant
    August 2nd, 2011 at 12:07 | #35

    pcmav payah atasi ramnit, masa haabis restart muncul lagi dan word kdang2 tdk bs terbuka, kemudian untuk cure file lama baru ceklistx. payah antivirus koq lalod amat

  36. wizardft
    August 2nd, 2011 at 17:51 | #36

    @akant

    jangan cuma ngomong, fakta ditempatnya sertakan. trus taro di forum.

  37. mang_user
    August 2nd, 2011 at 18:19 | #37

    Nyari AntiVirus Yang Anti Maling Apa Yaww??!

  38. michi
    August 3rd, 2011 at 21:44 | #38

    @akant: buat bersihin ramnit, udah coba pake pcmav express for ramnit?

  39. wizardft
    August 5th, 2011 at 21:59 | #39

    mang_user :
    Nyari AntiVirus Yang Anti Maling Apa Yaww??!

    maksudnya apa nih ? anti-spyware ?

  40. mang_user
    August 6th, 2011 at 02:42 | #40

    Yuapps betul skalih, soalnya ada 1 backdoors susah di Quar and or Del. Pake apa yg TOP Bgt anti-spyware -nya??!

  41. akant
    August 6th, 2011 at 09:55 | #41

    sudah pakai pcmav express tetap juga pas restart ramnitnya balik lagi.

  42. バデラ
    August 6th, 2011 at 13:31 | #42

    @akant : coba di safe mode, truss coba scan pakai EmsisoftEmergencyKit di safe mode lalu pakai pcmav expressnya di safe mode juga…..

  43. August 7th, 2011 at 08:52 | #43

    Hmm…
    PCMAV Updatenya kog telat y???

  44. August 7th, 2011 at 11:01 | #44

    kenapa pcmav tidak keluar agustus dibulan ramandhan ya cepat liris update ya aku mendukung mu semoga antivirus pcmav selalu terbaik

  45. August 7th, 2011 at 11:03 | #45

    @akant
    pakai pcmav 5.3 belum bisa bersihkan virus ramnit

  46. August 7th, 2011 at 21:02 | #46

    Knapa PCMAV logonya bebek..????
    apa nggak bisa di ganti…???
    trus numpang nanya gw ktemu file yang dikenali PCMAV 5.3 sbagai BadLnk…
    BadLnk itu apa y..???trus knapa gak bisa di cure or Quar…????

  47. August 7th, 2011 at 21:28 | #47

    @faridtwitter
    sorry gan….gw aja pake PCMAV 5.3 aja bisa….masa lu nggak…mungkin lu masih connect ke Lan..?????!!!!

  48. August 7th, 2011 at 21:31 | #48

    @akant
    MAsih Connect ke Lan/jaringan kali…??!!!

  49. 4nt1-h4x0r
    August 8th, 2011 at 07:21 | #49

    mana ni? ko ga di update2 … ?

  50. goenroos
    August 8th, 2011 at 17:38 | #50

    waaa..situs pcmav di-hack ya???

  51. goenroos
    August 8th, 2011 at 17:40 | #51

    kebangeten bgt nih, masak http://pcmav.web.id/ di-hack??? buat apa sih ??? kan situs itu berguna buat kepentingan oemoem ?

  52. Bego
    August 8th, 2011 at 18:32 | #52

    bro, pcmav web id bukan resmi situs pcmav, jadi kalo dihack ya ndak masalah bro.

  53. August 8th, 2011 at 18:52 | #53

    wah gan apa sih manfaatnya ngehack situs pcmav.web.id?

  54. akant
    August 9th, 2011 at 11:21 | #54

    kapan nh majalah pc media terbit, udah 9 hari nunggu nggak kluar2. kpn team pcmav????? mudah2n bsk sudah terbit