Home > Analisa Virus, Antivirus, Pengumuman > None: Windows ‘Terbaik’ Sepanjang Masa

None: Windows ‘Terbaik’ Sepanjang Masa

September 13th, 2011 Leave a comment Go to comments

hex

None. Screenshot diatas merupakan pesan yang nantinya akan di tampilkan malware tipe worm yang kami dapatkan baru-baru ini. Selain banyaknya laporan worm yang menyebar lewat Facebook, masih ada saja virus maker lokal yang membuat malware yang bisa dikatakan cukup berbahaya. Terutama bagi user yang telah terinfeksi worm ini. Karena selain sulit mengendalikan cursor mouse, Start Menu pada taskbar dibuatnya selalu bergerak/animasi.

A. Info File
Nama Worm : None
Asal : Indonesia
Ukuran File : 55.1 KB (56,462 bytes)
Packer : ~
Pemrograman : MS Visual Basic 5.0/6.0
Icon : Ms. Word Document
Tipe : Worm

B. About Malware
Sudah jatuh, tertimpa tangga pula” mungkin adalah ungkapan yang bisa mewakili pengguna yang komputernya terinfeksi malware yang kami beri nama None ini. Diduga None menyebar dengan memanfaatkan Social Engineering (rekayasa sosial) berupa nama yang sekilas dapat membuat user lengah. cara_menghapus_virus_win32_ramnit_sality.rar adalah nama yang digunakan untuk mengelabui user. Didalamnya terdapat juga file induk dari malware yang berukuran 2MB dan menggunakan icon dokumen Microsoft Word 2007.

None akan menampilkan pesan:

message

SELAMAT ! WINDOWS ANDA SEKARANG MEMILIKI UPDATE SYSTEM WINDOWS YANG TERBARU, TERBAIK SEPANJANG MASA … !!! Ada masalah setelah instalasi ? Silakan kunjungi **********sini.com/foto-ovj

Jika user membuka URL tersebut, maka akan langsung diarahkan ke salah website porno. Yang menarik adalah teknik yang digunakan setelah malware aktif di memory. Malware ini sengaja di buat dengan ukuran file melebihi 1MB yang bisa jadi dimaksudkan sebagai salah satu cara untuk mencoba melewati teknik pendeteksian heuristik dari antivirus untuk sebuah file PE. Setelah user melihat pesan di atas, None akan secara otomatis memotong dirinya sendiri dan membuat host untuk di jalankan saat startup. Ukuran asli None adalah 55.1 KB, sedangkan source yang membuat ukuran file ini menjadi 2MB hanyalah sebuah baris kosong . Berikut ini adalah perbedaannya:

hexfooter
note: perhatikan pada nilai offset gambar awal screenshot dan gambar di atas ini. Terlihat bahwa text pesan sudah tidak ada lagi seperti pada gambar awal.

C. Companion/File yang dibuat
Seolah-olah worm ini membuat file baru di beberapa path, padahal file tersebut adalah file yang sama seperti file asli, hanya saja ada bagian kode None yang dihilangkan. None akan membuat 2 buah host setelah aktif di memory.
– C:\WINDOWS\system32\regsvc.exe
– C:\Documents and Settings\[user name]\Local Settings\Temp\setup.exe

temp

D. Hasil Infeksi
Mungkin bagi beberapa user yang sudah lama mengikuti perkembangan malware di Indonesia, pernah mendengar worm dengan nama RazorBlade. Setelah aktif worm ini membuat cursor mouse bergerak sendiri secara acak. Terlebih lagi tombol Caps Lock dan Num Lock akan otomatis aktif secara bergantian tanpa di dikendalikan oleh user. Sama halnya dengan None, yang setelah aktif sangat sulit mengendalikan cursor. Meskipun demikian, benar adanya jika ada istilah “tak ada gading yang tak retak”, karena user sebenarnya masih bisa menggunakan Windows Explorer dan masuk ke tiap folder dengan menggunakan fasilitas tombol tab pada keyboard.

Seluruh icon di dekstop akan dibersihkan hingga tidak ada satupun shortcut yang tersisa, file yang terdapat di desktop juga akan dihapus. Selain itu tombol Start Menu akan berjalan ke kanan dan ke kiri dengan sendirinya dan tampilan Date and Time pada taskbar di hilangkan dari Tray Icon. Terlebih lagi None melakukan takskill terhadap aplikasi yang namanya mengandung kata seperti Anti, Virus, Remover, Process, dan lain lain.

Start Menu

Berikut ini adalah value key yang di buat pada registry setelah worm None aktif:
* Disable Folder Options dan Run Command

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
-NoFolderOptions
-NoRun

* Disable Task Manager dan Registry Editors

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system]
-DisableTaskMgr
-DisableRegistryTools

* Disable Command Prompt


[HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System]
-DisableCMD

* Berjalan bersamaan dengan explorer.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="Explorer.exe regsvc.exe"

E. Pembersihan
Untuk membersihkan worm None, ganti nama folder serta nama file PCMAV menjadi nama lain, kemudian jalankan PCMAV seperti biasa. Check list drive yang akan di scan, jika mendapat kesulitan dalam menekan tombol “Scan Now”, bisa lansung menekan tombol Enter atau memanfaatkan tombol tab pada keyboard.

Deteksi

PCMAV 5.4 Update Build3

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 5.4 Update Build3 telah hadir dengan penambahan 70 pengenal varian virus baru. Bagi Anda pengguna PCMAV 5.4, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.

Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:

SendSpace.com

ZippyShare.com (mirror)

RapidShare.com (mirror)

Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 5.4 Update Build3:

Camila.vbs
Camila.vbs.txt
Fandi.vbs.C
Fandi.vbs.C.inf
Invader.vbs.A
Invader.vbs.A.drp
Invader.vbs.B
Invader.vbs.B.drp
Ndra-Banjar.vbs
Ndra-Banjar.vbs.inf
Ndra-Banjar.vbs.txt
NgrBot.A.dat.variant
NgrBot.A.drp.A.variant
NgrBot.A.drp.B.variant
NgrBot.A.drp.C.variant
NgrBot.A.exe.A.variant
NgrBot.A.exe.B.variant
NgrBot.A.inf.variant
NgrBot.A.lnk.variant
NgrBot.A.variant
NgrBot.B.inf.variant
NgrBot.B.variant
NgrBot.C.variant
NgrBot.D.variant
NgrBot.E.variant
NgrBot.F.variant
NgrBot.G.variant
None
Pluto.C
Pluto.C.drp
Pluto.C.htm
Pluto.D
Predator
Predator.inf
Redlof.vbs.B
Redlof.vbs.B.drp
Redlof.vbs.B.inf
RezaTera.B
RezaTera.B.drp
RezaTera.B.url
Rieysha-Jogja.E
Rieysha-Jogja.E.hosts
Rieysha-Jogja.E.vbs
Sabotage.D
SkylerElite.vbs
SkylerElite.vbs.B
SkylerElite.vbs.inf
SkylerElite.vbs.txt
Spidey.vbs
Spidey.vbs.doc
TeraBitAdvanced
TeraBitAdvanced.drp
TeraBitAdvanced.exe
TeraBitAdvanced.txt
Thumbs.C
Thumbs.C.inf
Topinsutki.D
Topinsutki.D.txt
Tracker.vbs
Tracker.vbs.html
Tracker.vbs.inf
Tupai
Tupai.htm
UltraSurf.A
UltraSurf.A.bat
UltraSurf.B
UltraSurf.C
UltraSurf.D
UltraSurf.D.bat
Zistro

Categories: Analisa Virus, Antivirus, Pengumuman Tags:
  1. [AB]
    September 13th, 2011 at 16:12 | #1

    PERTAMAX..!!

  2. sulore
    September 13th, 2011 at 18:40 | #2

    Jadikan aku yang keduaaaaa

  3. hari
    September 13th, 2011 at 19:00 | #3

    PCMAV terbaru versi 5.5 sudah keluar hari ini bersamaan dengan PC Media 9/2011.

  4. gandhung
    September 14th, 2011 at 07:21 | #4

    wah PCMAV 5.5 udah keluar ya, update build 3 ini gak kepake dong . . .

  5. dentori
    September 14th, 2011 at 18:04 | #5

    PCMAV memang AntiVirus kebanggaan Indonesia.
    Ayo maju teruuuuus, hancurkan virus2 pengganggu kemajuan IT Indonesia

  6. In’s
    September 16th, 2011 at 08:00 | #6

    Emang udah keluar gitu? Payah nih, ke Bandung belum ada kabarnya….. Iraha atuh PC Media 09/2011 terbit teh?

  7. Ryan
    September 25th, 2011 at 21:30 | #7

    linknya ga disensor semua tuh