FakeAV-Downloader.N: Your ‘Security’ is Our Priority
FakeAV-Downloader.N. Hampir setiap bulan kami mendapatkan sampel malware yang ternyata adalah antivirus palsu. Metode penyebaran yang sama, dengan teknik mengelabui user yang sama pula. Perbedaan terbesar hanyalah pada tampilan yang selalu diubah-ubah. Kemungkinan besar selalu dibuat ulang dengan di tambahkan kemampuan agar tidak dapat terdeteksi oleh teknik heuristik antivirus.
A. Info File
Nama Worm : FakeAV-Downloader.N (BitDefender Core / Security Protection)
Asal : Rusia
Ukuran File : 854 KB (874,496 bytes)
Packer : UPX 0.89 – 3.xx -> Markus & Laszlo ver. [ 3.07 ]
Pemrograman : Delphi
Icon : Malware Icon
Tipe : Trojan
B. About Malware
Tanpa packer, malware ini berukuran 1.66 MB (1,751,552 bytes) dan diduga kuat berasal dari Rusia. Karena malware ini berusaha mengakses salah satu website yang setelah ditelusuri lebih jauh berasal dari Rusia. Berikut ini adalah rincian dari user registrannya.
Domain name: protection-sec.com
Name servers:
ns1.nameself.com
ns2.nameself.com
Registrar: Regtime Ltd.
Creation date: 2011-05-17
Expiration date: 2012-05-17
Status: active
Registrant:
Eduard Aleksandrov
Email: crisissmula@gmail.com
Organization: Private person
Address: Latishskih-Strelkov 1-48
City: Kazan
State: RU
ZIP: 420087
Country: RU
Phone: +7.8432964725
Sampai serkarang website tersebut masih aktif, akan tetapi user tidak perlu takut karena website tersebut tidak menyediakan download untuk FakeAV-Downloader.N.
C. Companion/File yang dibuat
Setelah aktif, malware ini tidak membuat banyak companion, berdiri sendiri dan hanya melakukan payload secara terus-menerus yang cukup mengganggu user.
D. Hasil Infeksi
Sama seperti trojan pada umumnya yang mencoba mengambil informasi dari korban tanpa diketahui. Hal itu bisa meyebabkan korban kehilanga akun pribadi, kehilangan uang yang tidak diketahui penyebabnya dengan jelas. Begitu juga dengan user yang terinfeksi FakeAV-Downloader.N yang selalu memaksa user untuk membeli serial number dari antivirus palsu tersebut.
Bukan hanya itu, pesan pesan yang berisikan peringatan palsu juga tidak ada hentinya dari malware ini.
FakeAV-Downloader.N hanya membuat 1 buah value key baru pada registry yang bertujuan untuk menjalankan otomatis saat proses startup.
HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run\Security Protection
Value : URL / Alamat malware.
E. Pembersihan
Malware ini telah dikenali dan dapat dibersihkan pada PCMAV 5.3 Update Build1 ini berikut ini.
PCMAV 5.3 Update Build1
Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 5.3 Update Build1 telah hadir dengan penambahan 46 pengenal varian virus baru. Bagi Anda pengguna PCMAV 5.3, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.
Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.
Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:
ZippyShare.com (mirror)
RapidShare.com (mirror)
Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.
Daftar tambahan virus hingga PCMAV 5.3 Update Build1:
BadShortcut
BancosKernel
BancosKernel.dat
CryptocX
CryptocX.dll
FakeAV-Downloader.N
FakeAV-Downloader.N.dat
FakeAV-Downloader.N.dll.A
FakeAV-Downloader.N.dll.B
FakeAV-Downloader.N.drp
FakeAV-Downloader.N.exe
FakeAV-Downloader.N.lnk.A
FakeAV-Downloader.N.lnk.B
FakeAV-Downloader.N.lnk.C
FakeAV-Downloader.N.tmp
FakeDownloader.BL
FakeDownloader.BL.drp
FakeDownloader.BL.exe.A
FakeDownloader.BL.exe.B
FakeDownloader.BL.exe.C
FakeDownloader.BL.tmp
FakeDownloader.BL.zip
FightingDreamer.vbe.inf
NgrBot
NgrBot.bat
NgrBot.dat
NgrBot.drp.A
NgrBot.drp.B
NgrBot.exe.A
NgrBot.exe.B
NgrBot.inf
NgrBot.lnk
Proklamasi
Proklamasi.exe
Proklamasi.lnk
Qvod
Qvod.A.dll.A
Qvod.A.dll.B
Qvod.A.dll.C
Qvod.A.inf
Qvod.A.local
Qvod.B
Qvod.B.dll
Qvod.exe.A
TeraBit.txt
Wukill.D
Saya pengguna pcmav dari...
Makanya kalo mau...
pertamax gan! baru pertama nih pertamax. *sedih
toolong dikoreksi tulisan “scan progress” pada PCMAV,,,
mnurut saya tulisan itu sharusnya mnunjukkan adanya hitungan persen ato indicator loading pada waktu scan berjalan
ke-3
maju terus PCMAV….
ditunggu2 inovasi2 terbarunya….
@ritasugiarto
anda merebut tempat saya!wkwkwk! empatTax gan!
@miki
jadi apa yg salah? bukannya kata kalimat scan progree itu sdh benar? wah anda ngaco,lg mimpi ya?hahaha
bagaimana tuh orang yg buat cari masalah saja
team pcmav, antivirus Smad** skrg udh bs detect ramnit.A sampai Ramnit.Y, jd gmn dengan pcmav? ayo pcmav jgn sampai mengecewakan pengguna setianya.skrg di Palu msh banyak virus shorct yang mengubah file jd ukuran 2 kb. padahal bulan lalu sdh sy upload ke virusindonesia.com tp smpai versi terbarunya belum bs detect tuh virus. MSE baca tuh virus meredrop tp pas dibuka ternyata masih ada juga. smadav jg membantu meng-unhiden file yg di hiden virus itu. tim pcmav buatin juga fitur demikian supaya pcmav benar2 jd no.1 di indonesia. dipalu banyak teman2 yg nanya perbandingan pcmav dengan smadav. jd kalau bs di versi berikutnya udh seperti itu supaya penjualan majalah pcmedia di palu jd laris. tolong duperhatikan ya.
@A.RAHMAN
virus ramnit ga sebanyak itu variannya. trus smadav ga bisa bersiin file yg terinfeksi. betul ga?
- Pendeteksian khusus untuk virus Ramnit & Sality pada USB Flash Disk
Kalau A-Y bisa di deteksi hanya dengan A-K gimana?
Kalau di cuman bisa deteksi tapi gabisa bersihin gimana?
Sy krg th soal itu yang jelas, pengennya chef pcmav bs jelaskan soal itu.
@A.RAHMAN , ke forum saja om tanyanya.
@dean48 = smpyan salah ketik mas… lihat ni
mksudq dsblah kanan kalimat itu seharusny ad hitungan persen ato indicator loading smpe 100% pada waktu scan berjalan
bukannya yg skrg, kyak loading boot xp
@miki
oiya
saya rasa kalo soal itu ga mungkin chef pcmav menjelaskan,karna ga penting banget masih bnyak yg harus dikerjakan ketimbang mikirin tetangga sebelah. yg jelas pcmav masih jauh lebih baik dr si tetangga sebelah itu. dalam membasmi virus, pcmav membersihkan sampai ke akar akarnya,dan terbaik di indonesia..
@dean48
ga malu gan salah..??
hahahahahahaha..
@[AB]
ngga gan,kan kita sama sama koreksi. salah itu biasa,tapi klo yg suka menyalahkan terus itu baru luar biasa, kaya agan. hehehe!
katanya pinter sampe ngajakin adu ilmu, tapi baru begitu aja udah keliatan sejauh mana kepintarannya. Hhmmm jadi cukup tau aja deh, hahahaha..
ke 16 ane telat….
walaupun telat tapi tetap menyimak
Angger ieu mah nya ari geus paadu-adu huntu teh!
Mau tanya, sekarang PCMAV ngeberatin komputer ngga y? Terakhir make PC MAV tahun 2009. Waktu itu rasanya PCMAV berat banget. Sekarang saya pake Panda Cloud antivirus yang super ringan (min RAM 64MB). Kalo misal PCMAV ringan, saya mau coba lagi.
@[AB]
justru mengalah itu menunjukan keilmuan seseorang gan…hahahaha! ah agan ini sensi terus sama saya
@In’s
kunaon kang? saha nu pa adu adu huntu? ari akang ieu aya aya wae.. sanes adu huntu kang, ieu kuring keur ngajarkeun ka babaturan nu enteu ngarti ngarti..wkwkwkwk!
@dicky
wkwkwkwk! gemana see, terakhir pake taun 2009? ya jgn disamain sama tau jadul dong gan. pcmav yg skarang lebih hemat resourches memori gan! jangan lupa, beli majalahnya ya..hehehe
PCiwMap Kapan finalnya Beta trusssssss.. Wajar aja akursi Metriknya 70% Ada yang Baru Buang Yang Lama. 30% bertelor jadi naon tah…??? PriCiTiwwwww
kenapa ya pcmav asal saya mau update slalu not found??
emang pcmav jarang update databasenya ya?
kapan rtp untuk 64bit kluar…bah!
32 bit user lebih banyak daripada 64 bit mungkin nanti setelah ada rencana untuk versi 64 bit karena 64 bit itu bisa lebih cepat lagi dari versi 32 bit, mungkin dalam masa berkembangan, mohon bersabar XD
@Rp_L : jangan asal buang saja, yang lama disimpan buat jaga jaga untuk yang baru XD ingat jangan buang sembarangan (nggak nyambung XD), pokoknya jangan dibuang buat analisis untuk jaga jaga saja
, sejak dulu PCMAV beta terus kok, saya udah mengikuti pcmav udah lama, dari versi 0.9x sampai sekarang XD (versi 5.3)
@dicky: ya itu memakai sistem clound jadi sedikit menggunakan memory RAM, karena database disimpan di cound itu, tetapi akses internet harus dibutuhkan.
@A.RAHMAN: kan pcmav udah ada extension, semoga ada yang buat extension untuk itu XD
Mas admin, minta ijin untuk copy artikel tuk dibagi di blog saya. Boleh kan?
Tim Pcmav, untuk versi berikutnya tlng sample virus ramnit sya upload sdh bs di atasi, krna pcmav blm bs mengatasi ramnit sampai tuntas, ramnit masih bs lolos dari pendeteksian pcmav dan juga versi 5.3 masih ada bug yg muncul, (pesan pcmav error).
@dean48
“Jeung dimana dibacakeun Qur’an, prak darengekeun, jarempe (regepkeun) supaya aranjeun diarasih…….”
Pcmav kamu bisa perbaruan pcmav ya buat diram jadi 1mb
@PCMAV TEAM, PCMAV 5.2 – 5.3 masih muncul pesan crash pada saat scan driva C: … apa yg sebenarnya terjadi dengan PCMAV… mohon koreksinya..thanks
@kampak
coba pake clamav versi terdahulu. link donlot di forum ada.
Team pcmav, di pcmav 5.3 yang perlu di perbaiki adalah bug reportnya (pcmav error) kmudian MS. Word kadang-kadang tidak mau terbuka saat pcmav aktif di sistem tray, jd pcmav mesti di EXIT br bs terbuka. bgtu pula dengan firefox. tlong di versi berikutnya pcmav lbh baik lagi
kalo saya boleh kasih saran, tolong dong icon PCMAV jangan gambar bebek, coba berkreasi dikit gitu. Biar keren lahh
@ Faritwitter: nggak mungkin 1mb, apakah gak butuh database buat mendeteksi virus? kalau membaca langsung ke hard disk ya butuh memory lebih dari 5 mb … tapi lemot, mending ditaruh ke RAM walaupun memakan tempat…. proses scan itu butuh ruang juga, jadi tidak mungkin 1 mb dalam dikondisi aktif, itu cuman idle doank XD
pcmav bravooo pd pc media ajarin donk saya dan anak2 indonesia cara membuat antivirus yg bagus agar bisa melahirkan antivirus2 terbaik buatan anak bangsa supaya kita tdk slalu perpatokan pd antivirus2 buatan luar….. bravoooo pcmav yag slalu saya pantau dari lahir sampai hebat seperti ini…
pc media semoga sukses selalu amin,pcmav bisa cepat keluar update dan pcmav vanala 5.4 bisa jalan diram 1mb karena komputerku berat pakai avg
pcmav payah atasi ramnit, masa haabis restart muncul lagi dan word kdang2 tdk bs terbuka, kemudian untuk cure file lama baru ceklistx. payah antivirus koq lalod amat
@akant
jangan cuma ngomong, fakta ditempatnya sertakan. trus taro di forum.
Nyari AntiVirus Yang Anti Maling Apa Yaww??!
@akant: buat bersihin ramnit, udah coba pake pcmav express for ramnit?
maksudnya apa nih ? anti-spyware ?
Yuapps betul skalih, soalnya ada 1 backdoors susah di Quar and or Del. Pake apa yg TOP Bgt anti-spyware -nya??!
sudah pakai pcmav express tetap juga pas restart ramnitnya balik lagi.
@akant : coba di safe mode, truss coba scan pakai EmsisoftEmergencyKit di safe mode lalu pakai pcmav expressnya di safe mode juga…..
Hmm…
PCMAV Updatenya kog telat y???
kenapa pcmav tidak keluar agustus dibulan ramandhan ya cepat liris update ya aku mendukung mu semoga antivirus pcmav selalu terbaik
@akant
pakai pcmav 5.3 belum bisa bersihkan virus ramnit
Knapa PCMAV logonya bebek..????
apa nggak bisa di ganti…???
trus numpang nanya gw ktemu file yang dikenali PCMAV 5.3 sbagai BadLnk…
BadLnk itu apa y..???trus knapa gak bisa di cure or Quar…????
@faridtwitter
sorry gan….gw aja pake PCMAV 5.3 aja bisa….masa lu nggak…mungkin lu masih connect ke Lan..?????!!!!
@akant
MAsih Connect ke Lan/jaringan kali…??!!!
mana ni? ko ga di update2 … ?
waaa..situs pcmav di-hack ya???