FontPorn.B. Masih ingat dengan worm yang iconnya mirip sebuah file font?, FontPorn yang pernah di bahas kini datang lagi dengan pola penyebaran dan teknik yang hampir sama. Nyaris tidak ada perbedaan dari varian sebelumnya. Yang menarik adalah, berbeda dengan FontPorn.A yang mengakses sebuah website yang berasal dari Ukraina/Ukraine, kali ini website yang berasal dari Romania.

A. Info File
Nama Worm : FontPorn.B
Asal : Romania
Ukuran File : 62.5 KB (64,000 bytes) / 64.0 KB (65,536 bytes)
Packer : ~
Pemrograman : Microsoft Visual C++ ver. ~6.0~7.10
Icon : Font File
Tipe : Worm

B. About Malware

FontPorn.A pernah di bahas di link berikut : http://virusindonesia.com/2011/05/24/font-porn/ , laporan akan adanya virus dengan icon font yang gejalanya mirip  infeksi FontPorn, pertama kali kami dapatkan dari forum virusindonesia.com (http://virusindonesia.com/forum/viewtopic.php?id=1086) dan sampelnya kami dapatkan dari salah satu user yang berasal dari Surabaya. Selain itu, kami juga mendapatkan sampel dari Pekan Baru dan Riau. Hal ini menandakan bahwa worm FontPorn ini masih menyebar Indonesia.

C. Companion/File yang dibuat

Tidak jauh berbeda dengan varian sebelumnya, FontPorn membuat Host di folder Temporary
C:\Documents and Settings\Administrator\Local Settings\Temp\srv****.tmp (*** berisi angka acak, file ini sebenarnya merupakan file DLL)

Dan beberapa shortcut di Removable Disk :
- myporno.avi.lnk
- pornmovs.lnk
- setup1911.lnk

Autorun.inf, yang isi sourcenya terdiri dari beberapa karakter acak:

[AutoRuN]
AcTIon=OPeN
tostpqxvrjomspfti=nqrpswtrveposhyrvbvlpdmecbrnqsdw
icoN=%WIndIr%\SYsTem32\shELl32.dll,4
qguvwxwcrurfmlq=bqomtnxycqgkjdwovpppdri
USeAUtOPlaY=1
yhmprvxmaexaymhlkyuekgrqwyue=dgdthyfaxieuovqb
open=RunDLl32.exE SeTuP1911.foN,29dcC
dmcxuoyhxfu=rjhjwhlrmtusiwnvkovlxdmvggieoflt
sHeLl\exPLOrE\cOmmaND=RuNdll32.eXe SEtuP1911.FON,29DCC
lglhxb=sekxuadigguiboukpwqmoxikgmgggwqowsh
SheLl\opeN\cOMMand=RUNdll32.ExE setuP1911.FoN,29Dcc
ordshvveeefgmb=qwycdgrawtyymtscusyc


Yang ditampilkan pada AutoPlay adalah:

Dan yang terakhir adalah host yang dibuat nantinya akan dipanggil oleh shortcut atau autorun.inf dengan nama:
- setup1911.fon

D. Hasil Infeksi
1. Mencoba menyebar melalu jaringan dan menginfeksi komputer yang terhubung dengan jaringan tersebut.

2. Mencoba mengakses suatu website melalui porses svchost.exe atau spoolsv.exe dan melakukan pengiriman paket data tanpa sepengetahuan user.

Mengakses website melalui svchost.exe

Mengakses website melalui spoolsv.exe

Mengirimkan data paket ke website yang dituju.

3. Jika user dengan sengaja membuka Alamat yang diakses oleh FontPorn.B, maka user akan diminta untuk mendownload sebuah file dengan alasan browser yang sedang digunakan harus di-update. File yang di download tidak lain ada companion dari FontPorn.B sendiri.

tampilan website yang dituju oleh FontPorn.B

Tampilan Download Security Warning jika user mencoba mendownload file tersebut.

setelah diperhatikan lebih jauh, ternyata di dalam source code halaman website terdapat copyright pembuatnya. Serta pesan yang tidak ditampilkan.

E. Pembersihan

PCMAV 5.5 Update Build2

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 5.5 Update Build2 telah hadir dengan penambahan 52 pengenal varian virus baru. Bagi Anda pengguna PCMAV 5.5, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.

Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:

SendSpace.com

ZippyShare.com (mirror)

RapidShare.com (mirror)

Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 5.5 Update Build2:

ErrorLove.vbs
ErrorLove.vbs.inf
ErrorLove.vbs.txt
FBSurprise
FBSurprise.drp
FBSurprise.exe.A
FBSurprise.exe.B
FBSurprise.job.A
FBSurprise.job.B
FBSurprise.jpg
FBSurprise.tmp.A
FBSurprise.tmp.B
FBSurprise.tmp.C
FontPorn.B
FontPorn.B.exe.A
FontPorn.B.exe.B
FontPorn.B.lnk
FontPorn.B.tmp
NgrBot.A.dat.variant
NgrBot.A.drp.A.variant
NgrBot.A.drp.B.variant
NgrBot.A.drp.C.variant
NgrBot.A.exe.A.variant
NgrBot.A.exe.B.variant
NgrBot.A.inf.variant
NgrBot.A.lnk.variant
NgrBot.A.variant
NgrBot.B.inf.variant
NgrBot.B.variant
NgrBot.C.variant
NgrBot.D.variant
NgrBot.E.variant
NgrBot.F.variant
NgrBot.G.variant
NgrBot.H.variant
None
Romantic
Romantic.inf
SmallSmile.vbs
SmallSmile.vbs.inf
TODO
TODO.drp
UltraSurf.A
UltraSurf.A.bat
UltraSurf.B
UltraSurf.C
UltraSurf.D
UltraSurf.D.bat
X-Sample.vbs.C
X-Sample.vbs.C.inf
X-Sample.vbs.C.ini
X-Sample.vbs.C.mp3