NgrBot Variant. Jangan merasa aneh jika salah satu kawan facebook Anda secara tiba-tiba mengirimkan chat yang berisi sebuah link/URL dan membuat penasaran lalu mengakses link tersebut. Setelah di buka, ternyata link tersebut mengarahkan untuk mendownload file dengan nama seperti yang terlihat pada gambar diatas. Sayangnya, file yang akan di download nantinya bukanlah file gambar dengan ekstensi (.jpg) melainkan file lain.

A. Info File

Nama Worm : NgrBot.D, NgrBot.E, NgrBot.F, NgrBot.G
Asal : Unknown
Ukuran File : Random
Packer : ~
Pemrograman : C++
Icon : Random

Tipe : Worm, Trojan, Keylogger

B. About Malware

Salah satu varian NgrBot sebelumnya sudah pernah di bahas di “http://virusindonesia.com/2011/08/09/ngrbot-trojan-pengambil-identitaspassword/” dan removernya (PCMAV Express for NgrBot) sudah bisa di dapatkan di sini “http://virusindonesia.com/2011/08/09/pcmav-express-for-ngrbot/”. Berikut adalah icon yang digunakan NgrBot.A sampai NgrBot.C dengan ciri khasnya yang membentuk karakter tertentu.

Dan sekarang sudah menyebar juga varian lainnya. Antara lain NgrBot.D dan NgrBot.E yang tidak lagi menggunakan icon berbentuk karakter, melainkan icon menyerupai image.

Varian lainnya yaitu NgrBot.F yang menggunakan icon bernuansa pornografi. Tergantung variannya, NgrBot membuat beberapa mutex yang berbeda, antara lain seperti terlihat dibawah ini.

C. Companion/File yang dibuat

Tidak jauh berbeda dengan varian sebelumnya , setelah aktif di memory NgrBot akan mendownload beberapa file yang nantinya dijalankan pada saat startup Windows.

D. Pembersihan
Gunakan update build untuk mendeteksi keberadaan NgrBot, jika NgrBot telah menjangkiti komputer, gunakan PCMAV Express for NgrBot pada halaman http://virusindonesia.com/2011/08/09/pcmav-express-for-ngrbot/ untuk pembersihan secara menyeluruh.

PCMAV 5.4 Update Build2

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 5.4 Update Build2 telah hadir dengan penambahan 49 pengenal varian virus baru. Bagi Anda pengguna PCMAV 5.4, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.

Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:

SendSpace.com

ZippyShare.com (mirror)

RapidShare.com (mirror)

Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 5.4 Update Build2:

Camila.vbs
Camila.vbs.txt
Fandi.vbs.C
Fandi.vbs.C.inf
Invader.vbs.A
Invader.vbs.A.drp
Invader.vbs.B
Invader.vbs.B.drp
NgrBot.A.dat.variant
NgrBot.A.drp.A.variant
NgrBot.A.drp.B.variant
NgrBot.A.drp.C.variant
NgrBot.A.exe.A.variant
NgrBot.A.exe.B.variant
NgrBot.A.inf.variant
NgrBot.A.lnk.variant
NgrBot.A.variant
NgrBot.B.inf.variant
NgrBot.B.variant
NgrBot.C.variant
NgrBot.D.variant
NgrBot.E.variant
NgrBot.F.variant
NgrBot.G.variant
Pluto.C
Pluto.C.drp
Pluto.C.htm
Pluto.D
Redlof.vbs.B
Redlof.vbs.B.drp
Redlof.vbs.B.inf
RezaTera.B
RezaTera.B.drp
RezaTera.B.url
Rieysha-Jogja.E
Rieysha-Jogja.E.hosts
Rieysha-Jogja.E.vbs
Sabotage.D
SkylerElite.vbs
SkylerElite.vbs.B
SkylerElite.vbs.inf
SkylerElite.vbs.txt
UltraSurf.A
UltraSurf.A.bat
UltraSurf.B
UltraSurf.C
UltraSurf.D
UltraSurf.D.bat
Zistro