Home > Analisa Virus, Antivirus, Pengumuman > NgrBot Variant: Hati-hati Account Facebook Anda

NgrBot Variant: Hati-hati Account Facebook Anda

NgrBot

NgrBot Variant. Jangan merasa aneh jika salah satu kawan facebook Anda secara tiba-tiba mengirimkan chat yang berisi sebuah link/URL dan membuat penasaran lalu mengakses link tersebut. Setelah di buka, ternyata link tersebut mengarahkan untuk mendownload file dengan nama seperti yang terlihat pada gambar diatas. Sayangnya, file yang akan di download nantinya bukanlah file gambar dengan ekstensi (.jpg) melainkan file lain.

A. Info File

Nama Worm : NgrBot.D, NgrBot.E, NgrBot.F, NgrBot.G
Asal : Unknown
Ukuran File : Random
Packer : ~
Pemrograman : C++
Icon : Random

Tipe : Worm, Trojan, Keylogger

B. About Malware

Salah satu varian NgrBot sebelumnya sudah pernah di bahas di “http://virusindonesia.com/2011/08/09/ngrbot-trojan-pengambil-identitaspassword/” dan removernya (PCMAV Express for NgrBot) sudah bisa di dapatkan di sini “http://virusindonesia.com/2011/08/09/pcmav-express-for-ngrbot/”. Berikut adalah icon yang digunakan NgrBot.A sampai NgrBot.C dengan ciri khasnya yang membentuk karakter tertentu.

NgrBot.A

NgrBot.B

NgrBot.C

Dan sekarang sudah menyebar juga varian lainnya. Antara lain NgrBot.D dan NgrBot.E yang tidak lagi menggunakan icon berbentuk karakter, melainkan icon menyerupai image.

NgrBot.D

NgrBot.E

Varian lainnya yaitu NgrBot.F yang menggunakan icon bernuansa pornografi. Tergantung variannya, NgrBot membuat beberapa mutex yang berbeda, antara lain seperti terlihat dibawah ini.

Mutex

C. Companion/File yang dibuat

Tidak jauh berbeda dengan varian sebelumnya , setelah aktif di memory NgrBot akan mendownload beberapa file yang nantinya dijalankan pada saat startup Windows.

D. Pembersihan
Gunakan update build untuk mendeteksi keberadaan NgrBot, jika NgrBot telah menjangkiti komputer, gunakan PCMAV Express for NgrBot pada halaman http://virusindonesia.com/2011/08/09/pcmav-express-for-ngrbot/ untuk pembersihan secara menyeluruh.

PCMAV 5.4 Update Build2

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 5.4 Update Build2 telah hadir dengan penambahan 49 pengenal varian virus baru. Bagi Anda pengguna PCMAV 5.4, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.

Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:

SendSpace.com

ZippyShare.com (mirror)

RapidShare.com (mirror)

Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 5.4 Update Build2:

Camila.vbs
Camila.vbs.txt
Fandi.vbs.C
Fandi.vbs.C.inf
Invader.vbs.A
Invader.vbs.A.drp
Invader.vbs.B
Invader.vbs.B.drp
NgrBot.A.dat.variant
NgrBot.A.drp.A.variant
NgrBot.A.drp.B.variant
NgrBot.A.drp.C.variant
NgrBot.A.exe.A.variant
NgrBot.A.exe.B.variant
NgrBot.A.inf.variant
NgrBot.A.lnk.variant
NgrBot.A.variant
NgrBot.B.inf.variant
NgrBot.B.variant
NgrBot.C.variant
NgrBot.D.variant
NgrBot.E.variant
NgrBot.F.variant
NgrBot.G.variant
Pluto.C
Pluto.C.drp
Pluto.C.htm
Pluto.D
Redlof.vbs.B
Redlof.vbs.B.drp
Redlof.vbs.B.inf
RezaTera.B
RezaTera.B.drp
RezaTera.B.url
Rieysha-Jogja.E
Rieysha-Jogja.E.hosts
Rieysha-Jogja.E.vbs
Sabotage.D
SkylerElite.vbs
SkylerElite.vbs.B
SkylerElite.vbs.inf
SkylerElite.vbs.txt
UltraSurf.A
UltraSurf.A.bat
UltraSurf.B
UltraSurf.C
UltraSurf.D
UltraSurf.D.bat
Zistro

Categories: Analisa Virus, Antivirus, Pengumuman Tags:
  1. バデラ
    August 29th, 2011 at 19:57 | #1

    wow , kemarin ada yang gitu makanya aku turn off chat bagi orang gak dikenal yang udah kuadd

  2. Frans
    August 29th, 2011 at 21:00 | #2

    wew, jangan2 aku di remove pertemannya gara2 ini \angry\

    blog creator, tolong jelasin dulu nih virus bukan asli dari orang yang ajakin chat
    nih dah sering muncul tanpa dibuat2

    jiah, sial padahal aku dak salah \cry

  3. Indra
    August 30th, 2011 at 15:28 | #3

    Gambarnya ada yg gak keluar, error…

  4. dodolgaruk
    August 30th, 2011 at 18:59 | #4

    diextract malah error. dieksekusi ga apa2 kompie saya malah tambah ngacir.

  5. Indra
    August 30th, 2011 at 21:15 | #5

    Upload.virusindonesia.com koq muncul tulisan “exec(/usr/bin/php5-cgi -C -c /var/lib/php5/0dfe91944ee984d2c528efb91cdaa957 index.php) failed: Cannot allocate memory” ?

  6. vErr0
    August 31st, 2011 at 08:34 | #6

    ▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬ஜ۩۞۩ஜ▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬
    S E L A M A T HARI RAYA IDUL FITRI 1 4 3 2 H MOHON MAAF LAHIR DAN BATIN
    ▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬ஜ۩۞۩ஜ▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬▬

  7. TheAprlz
    August 31st, 2011 at 11:31 | #7

    Ngak dapet pertamax ngapapa… sing penting PEJWAN!
    Bravo PCMAV…
    Tapi, bedain yang virus sama yang beneran ngajakin chat gmn?

  8. Indra
    August 31st, 2011 at 18:26 | #8

    @TheAprlz: Klo virus pasti ngasih link download JPG, padahal pas selesai download bukan file gambar.

  9. Indra
    August 31st, 2011 at 18:26 | #9

    ATTENTION! For best result before starting the Scan & Clean process, please:
    *) Close all GUI applications.
    *) Disconnect LAN/Internet connection.
    Scanning memory…
    – Checking [System Process]; PID: 0;
    – Checking System; PID: 4;
    – Checking smss.exe; PID: 1220;
    – Checking csrss.exe; PID: 1292;
    – Checking winlogon.exe; PID: 1320;
    – Checking services.exe; PID: 1364;
    – Checking lsass.exe; PID: 1376;
    – Checking svchost.exe; PID: 1552;
    – Checking svchost.exe; PID: 1640;
    – Checking svchost.exe; PID: 1776;
    – Checking svchost.exe; PID: 2008;
    – Checking svchost.exe; PID: 188;
    – Checking spoolsv.exe; PID: 340;
    – Checking Explorer.EXE; PID: 692;
    – Checking SOUNDMAN.EXE; PID: 816;
    – Process SOUNDMAN.EXE terminated.
    – Checking VTTimer.exe; PID: 824;
    – Process VTTimer.exe terminated.
    – Checking VTtrayp.exe; PID: 832;
    – Process VTtrayp.exe terminated.
    – Checking egui.exe; PID: 844;
    – Process egui.exe terminated.
    – Checking ekrn.exe; PID: 904;
    – Checking slmdmsr.exe; PID: 1044;
    – Checking wdfmgr.exe; PID: 1208;
    – Checking ctfmon.exe; PID: 1916;
    – Process ctfmon.exe terminated.
    – Checking alg.exe; PID: 208;
    – Checking wscntfy.exe; PID: 776;
    – Process wscntfy.exe terminated.
    – Checking NgrBotKiller.exe; PID: 2332;
    Scanning registry…
    Scanning all drives, please wait…
    – Scanning C:\
    Scanning aborted.
    System time: 29/08/2011 12:55:02
    Scan finished: 0:0:23.406
    File scanned: 4490
    File detected: 0
    File cured: 0
    File removed: 0
    Dari hasil diatas padahal tidak ada virus ngrbot. tapi koq processnya di terminate? Mohon dibalas…

  10. バデラ
    September 1st, 2011 at 21:10 | #10

    @indra: aneh, di komputerku nggak ada process diterminated (ya komputerku saya yakin cure gak ada virus yang bersarang) saya pake win 7 sp 1 ~

  11. michi
    September 2nd, 2011 at 11:59 | #11

    @Indra: sy rasa terminate buat memastikan aja virusnya hilang (kalo ada), awalnya kan udah disarankan: Close all GUI applications.

  12. dasakorn
    September 3rd, 2011 at 15:50 | #12

    btw, SS diatas itu facebooknya gan EDE ya???
    wkwkwkw………..

  13. September 4th, 2011 at 11:10 | #13

    bagus karya indonesia saya selalu mendukungmu oke.
    virus trojan ada yang bisa merusak mas

  14. September 4th, 2011 at 16:29 | #14

    Kalo linknya di shorten kayak pake bit.ly / qr.net gitu gimana?

  15. acong
    September 5th, 2011 at 10:39 | #15

    michi :
    @Indra: sy rasa terminate buat memastikan aja virusnya hilang (kalo ada), awalnya kan udah disarankan: Close all GUI applications.

    kalo ngasih saran,jangan bikin bingung dong bro. dasar koplak!!

  16. laskar bawor
    September 5th, 2011 at 17:30 | #16

    kok baru di kasih tau broo..padahal itu virus dah menyerang facebook di indonesia dah lama
    kenapa baru di buat update nya sekarang..

  17. Rico
    September 7th, 2011 at 17:33 | #17

    Pcmav express kok ngk mendeteksi varian baru virus ini,,,

    tolong di update lg pcmav express nya

    nie sample nya

    h**p://img43.nimageshack.com/img43/i.php?1783-Picture04.JPG

  18. anggi
  19. A.RAHMAN
    September 12th, 2011 at 16:36 | #19

    kapan pcmav terbaru keluar ya????