ErrorReport. Pemberitahuan melalui email yang menjelaskan bahwa paket kiriman tidak sampai karena salah alamat. Kemudian muncul sebuah pertanyaan “siapa yang mengirimkan paket serta apa paket yang dikirimkannya?”. Seperti yang terlihat pada gambar di atas, penerima email diinstruksikan mendownload file dokumen yang terlampir, kemudian mencetak dokumen tersebut. Tetapi sebenarnya, dokumen tersebut adalah malware.

A. Info File
Nama Malware : ErrorReport
Asal : Rusia (dugaan sementara)
Ukuran File : ~random
Packer : ~
Pemrograman : Microsoft Visual C++
Icon : Adobe Application
Tipe : Trojan

B. About Malware
Teknik malware menyebarkan diri melalui email ini termasuk teknik yang cukup ampuh. Dari sampel yang kami dapatkan, terlihat email target tidak hanya satu, melainkan banyak sehingga terkesan spam. Antara lain:

• edwdir@email
• egus28@email
• ekaies4val@email
• dbenko4359@email
• earieljeffers@email
• dustinsturner@email
• ede_baka@email
• boobz1r@email
• eddie5712000@email
• chadiakamal@email
• eddotha@email
• carmen35825@email
• edw-yang@email
• dowenloader@email
• dtrobins@email
• alwassandylicious69@email
• duffbigpond@email
• paintbynumber68038@email
• midn_reynolds@email
• graymouser1313@email
• piermontm@email
• florida_activity_gal@email
• mahkikm@email
• lil_cali_chic05@email
• ltlebrsmom8@email
• teaboxer40@email
• ishreal642001@email
• singh.shalinder@email
• lykhaai2002@email
• sheffika2003@email
• little_sweetheart9594@email
• bebe032207@email

C. Companion/File yang dibuat

ErrorReport akan membuat host di dalam folder:

C:\Document and Settings\All User\Local Settings\Temp\[nama acak].exe

Salah satu companion yang di downloadnya, memiliki payload yg mirip dengan kebanyakan malware lokal, yaitu mendisable proses dari Registry Editor, serta process viewer seperti Task Manager atau Process Explorer.

D. Hasil Infeksi
Secara teknis, ErrorReport menggunakan teknik menyembunyikan process di balik process lain yang juga dilakukan beberapa malware (misalnya Delp-Shortcut), namun perbedaanya adalah process yang digunakan. Delp-Shortcut bersembunyi dibalik proses Rundll32.exe, sedangkan ErrorReport bersembunyi dibalik proses wuauclt.exe (Windows Automatically Update).  Jika dilihat lebih detail, ErrorReport membuat sebuah mutex dengan nama:
• \BaseNamedObjects\3166214296

Selain itu, ErrorReport juga mencoba mengakses website yang saat ini sudah tidak bisa di akses. Dari nama domainnya, website tersebut menggunakan domanin (.ru / rusia).

E. Pembersihan

ErrorReport dan banyak malware lainnya sudah dapat dibersihkan dengan menggunakan PCMAV 6.2 Update Build3 berikut.

PCMAV 6.2 Update Build3

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 6.2 Update Build3 telah hadir dengan penambahan 120 pengenal varian virus baru. Bagi Anda pengguna PCMAV 6.2, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt. Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.

Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:

SendSpace.com

ZippyShare.com (mirror)

RapidShare.com (mirror)

Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 6.2 Update Build3:
Alice.html
Alice.inf
Angel2
BlackLabel.A
BlackLabel.B
BlackLabel.C
BlackLabel.C.tmp
BlackLabel.D
BlackLabel.D.exe
BlackLabel.drp
BlackLabel.E
BlackLabel.F
BlackLabel.F.exe
BlackLabel.G
BlackLabel.H
BlackLabel.I
BlackN.B
BlackN.C
ErrorReport
FakeAV-Downloader.AH
FakeAV-Downloader.AH.lnk.A
FakeAV-Downloader.AH.lnk.B
FakeAV-Downloader.AI
FakeAV-Downloader.AI.dll
FakeAV-Downloader.AJ
FakeAV-Downloader.AK
FakeAV-Downloader.AL
FakeAV-Downloader.AL.exe
FakeAV-Downloader.AL.lnk
FakeAV-Downloader.AM
FakeAV-Downloader.AN
FakeAV-Downloader.AO
FakeAV-Downloader.AP
FakeAV-Downloader.AP.dll
FakeAV-Downloader.AP.lnk.A
FakeAV-Downloader.AP.lnk.B
FakeAV-Downloader.AQ
FakeAV-Downloader.AQ.mht
FakeAV-Downloader.AR
FakeAV-Downloader.AR.tlb
FakeAV-Downloader.AS
FakeAV-Downloader.AS.dat
FakeAV-Downloader.AS.tmp
FakeAV-Downloader.AT
FakeAV-Downloader.AT.tmp
FakeAV-Downloader.AU
FakeAV-Downloader.AV
FakeAV-Downloader.AV.dat
FakeAV-Downloader.AW
NgrBot.AA
NgrBot.AB
NgrBot.AC
NgrBot.AD
NgrBot.AD.exe.A
NgrBot.AD.exe.B
NgrBot.AE
NgrBot.AE.exe
NgrBot.AE.inf
NgrBot.AF
NgrBot.AF.exe.A
NgrBot.AF.exe.B
NgrBot.AF.exe.C
NgrBot.AF.exe.D
NgrBot.AF.exe.E
NgrBot.AG
NgrBot.AG.exe
NgrBot.AH
NgrBot.AI
NgrBot.AI.exe
NgrBot.AJ
NgrBot.AJ.exe
NgrBot.AK
NgrBot.AL
NgrBot.AL.exe
NgrBot.AM
NgrBot.AM.exe
NgrBot.AN
NgrBot.AN.exe
NgrBot.E.inf
NgrBot.E.inf
NgrBot.P.drp.A
NgrBot.P.drp.B
NgrBot.P.drp.C
NgrBot.P.exe.A
NgrBot.P.exe.B
NgrBot.Q
NgrBot.R
NgrBot.R.drp.A
NgrBot.R.drp.B
NgrBot.R.exe
NgrBot.S
NgrBot.T
NgrBot.T.exe.A
NgrBot.T.exe.B
NgrBot.T.exe.C
NgrBot.U
NgrBot.U.exe
NgrBot.V
NgrBot.V
NgrBot.V.drp
NgrBot.V.drp
NgrBot.V.exe.A
NgrBot.V.exe.A
NgrBot.V.exe.B
NgrBot.V.exe.B
NgrBot.W
NgrBot.W
NgrBot.X
NgrBot.Y
NgrBot.Y.drp
NgrBot.Z
Persist
Sality.drp
Serviks.vbs.D
Serviks.vbs.D.doc
Serviks.vbs.D.tmp
Serviks.vbs.D.vbe
VB-Shortcut-1.lnk.D
VB-Shortcut-4
WmplayerC.lnk