Home > Analisa Virus, Antivirus > BlackLabel: Adult Content as Fake Online Scanner

BlackLabel: Adult Content as Fake Online Scanner

November 22nd, 2011 Leave a comment Go to comments

BlackLabel. Terkadang kita mendapatkan sesuatu yang tidak pernah kita bayangkan atau kita minta. Bahkan ada kalanya kita mendapatkan sesuatu yang tidak kita inginkan. Sama seperti kejadian yang dilaporkan oleh salah satu user kepada kami, yang katanya sedang mencari sebuah gambar dengan menggunakan keyword yang sebenarnya amat jauh dari kesan malware.

A. Info File
Nama Worm : BlackLabel
Asal : ~
Ukuran File : random
Packer : UPX
Pemrograman : Microsoft Visual C++
Icon : Old Application
Tipe : Trojan, Worm

B. About Malware

Seperti yang sudah dijelaskan di atas, malware yang diberi nama BlackLabel ini berasal dari salah satu website yang diluar dugaan justru mengarahkan pada situs yang berisi malware. Wajar jika seorang user akan langsung kaget setelah ditemukan adanya virus di komputernya. Padahal, sebenarnya user tersebut sedang membuka browser dan mengakses website yang mensimulasikan sebuah antivirus melakukan proses scanning. Website ini akan memaksa user untuk mendownload file yang nantinya jika di jalankan akan mendownload varian malware yang lain.

Sebelum user mendapatkan komputernya seolah-olah terinfeksi oleh banyak malware, terdapat 1 buah halaman webiste yang dibuat sengaja untuk mengarahkan user agar tertarik dan mengakses website yang sudah ditentukan.

Jika user memilih YES, akan muncul sebuah pesan peringatan adanya malware yang sedang aktif di komputernya.

Apapun pilihan user, baik itu menekan tombol OK atau Cancel, maka akan tetap masuk ke halaman yang sama. Dan pada akhirnya, user akan dipaksa untuk mendownload file yang sudah disiapkan oleh website tersebut.

C. Companion/File yang dibuat
Sampai saat ini PCMAV bisa mendeteksi sampai 9 varian. Hal ini dikarenakan begitu banyak file yang didownload oleh BlackLabel ini. Berikut ini adalah companion BlackLabel yang terdapat pada folder temporary. Menariknya, BlackLabel sudah menyiapkan 1 buah file dengan nama 123.tmp yang isinya adalah list alamat companion yang akan didownload. Hebatnya, bukan hanya 1 alamat website yang dijadikan tempat menyimpan companion yang akan di download. Hal ini menyebabkan sulit ntuk melacak keberadaan host BlackLabel yang sebenarnya.

D. Hasil Infeksi
Payload yang lain dari malware ini adalah melakukan koneksi Internet untuk mendownload beberapa file companion yang nantinya akan diaktifkan dan saling melindungi proses hostnya.

Meskipun mendownload companion, hanya beberapa yang diaktifkan saat proses startup. Terhitung hanyak 2 companion dan 1 lagi adalah dropper yang bertugas untuk mendownload file-file tersebut.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\[nama acak 1]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\[nama acak 2]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\[nama acak 3]

E. Pembersihan

PCMAV 6.1 Update Build1

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 6.1 Update Build1 telah hadir dengan penambahan 45 pengenal varian virus baru. Bagi Anda pengguna PCMAV 6.1, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt. Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.

Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:

SendSpace.com

ZippyShare.com (mirror)

RapidShare.com (mirror)

Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 6.1 Update Build1:
AryaN
AryaN.inf
AryaN.lnk
BlackLabel.A
BlackLabel.B
BlackLabel.C
BlackLabel.C.tmp
BlackLabel.D
BlackLabel.D.exe
BlackLabel.drp
BlackLabel.E
BlackLabel.F
BlackLabel.F.exe
BlackLabel.G
BlackLabel.H
BlackLabel.I
BlackN
BlackN.cpl
BlackN.lnk
Chat-FB.J
Chat-FB.K
Chat-FB.L
Chat-FB.M
MateInfect
MateInfect.bat
MateInfect.html
MateInfect.inf
MateInfect.lnk.A
MateInfect.lnk.B
MateInfect.vbs.A
MateInfect.vbs.B
MateInfect.zip.A
MateInfect.zip.B
MateInfect.zip.C
NgrBot.D.inf
NgrBot.K
NgrBot.K.exe
NgrBot.L
NgrBot.M
NgrBot.M.exe.A
NgrBot.M.exe.B
NgrBot.M.exe.C
NgrBot.N
NgrBot.O
NgrBot.P

Categories: Analisa Virus, Antivirus Tags:
  1. ant
    November 22nd, 2011 at 07:39 | #1

    wuihhhh,
    pertamax,pejwan gan.

  2. Chris Andersen
    November 22nd, 2011 at 08:18 | #2

    MD5 Checker and Registry Fixer infected by virus win 32 malware gen by avast security

  3. CyberElite
    November 22nd, 2011 at 18:26 | #3

    @Chris: itu false alarm, laporkan ke pembuat AV anda..

  4. [AB]
    November 24th, 2011 at 09:05 | #4

    Perbedaan engine ClamAV 0.97.2 sama 0.97.3 apaan sih..??

  5. CyberElite
    November 24th, 2011 at 22:35 | #5

    [AB]: Changelog= git.clamav.net/gitweb?p=clamav-devel.git;a=blob_plain;f=ChangeLog;hb=clamav-0.97.3

  6. Toge
    November 25th, 2011 at 12:08 | #6

    MD5 Checker, Autorun Disable, Autorun Remover ke detect sama Kaspersky.

  7. ant
    November 25th, 2011 at 13:27 | #7

    @[AB]: hari gini gan tau gan? kemane aje lo wkwkwkwk. makanya kalo nanya yg jelas. nanya nya sm gw aja,gw jago soal kompi deh

  8. November 29th, 2011 at 11:52 | #8

    mau tanya, gagajeje.exe itu virus atau apa sich, makasih sebelumnya

  9. CyberElite
    November 29th, 2011 at 19:18 | #9

    @Mull amur: itu virus NgrBot = DorkBot = BitCominer , Silahkan anda download PCMAV Express for NgrBot yang terbaru.

  10. December 1st, 2011 at 02:12 | #10

    waduh pcmav dah versi 6 aja,mantep dah,teru maju nih pcmedia

  11. December 3rd, 2011 at 14:03 | #11

    mas ini pcmav diperbarui saya pakai antivirus pcmav saja tidak error saya pakai avira terdekteksi virus MD5 Checker, Autorun Disable, Autorun Remover

  12. December 4th, 2011 at 10:18 | #12

    informasi virus yang bermanfaat, semoga PCMAV versi ini sudah bisa mengatasi itu semua….