Home > Analisa Virus, Antivirus, Pengumuman > ErrorReport: USPS Delivery Failure Notification

ErrorReport: USPS Delivery Failure Notification

January 17th, 2012 Leave a comment Go to comments

ErrorReport. Pemberitahuan melalui email yang menjelaskan bahwa paket kiriman tidak sampai karena salah alamat. Kemudian muncul sebuah pertanyaan “siapa yang mengirimkan paket serta apa paket yang dikirimkannya?”. Seperti yang terlihat pada gambar di atas, penerima email diinstruksikan mendownload file dokumen yang terlampir, kemudian mencetak dokumen tersebut. Tetapi sebenarnya, dokumen tersebut adalah malware.

A. Info File
Nama Malware : ErrorReport
Asal : Rusia (dugaan sementara)
Ukuran File : ~random
Packer : ~
Pemrograman : Microsoft Visual C++
Icon : Adobe Application
Tipe : Trojan

B. About Malware
Teknik malware menyebarkan diri melalui email ini termasuk teknik yang cukup ampuh. Dari sampel yang kami dapatkan, terlihat email target tidak hanya satu, melainkan banyak sehingga terkesan spam. Antara lain:

  • edwdir@email
  • egus28@email
  • ekaies4val@email
  • dbenko4359@email
  • earieljeffers@email
  • dustinsturner@email
  • ede_baka@email
  • boobz1r@email
  • eddie5712000@email
  • chadiakamal@email
  • eddotha@email
  • carmen35825@email
  • edw-yang@email
  • dowenloader@email
  • dtrobins@email
  • alwassandylicious69@email
  • duffbigpond@email
  • paintbynumber68038@email
  • midn_reynolds@email
  • graymouser1313@email
  • piermontm@email
  • florida_activity_gal@email
  • mahkikm@email
  • lil_cali_chic05@email
  • ltlebrsmom8@email
  • teaboxer40@email
  • ishreal642001@email
  • singh.shalinder@email
  • lykhaai2002@email
  • sheffika2003@email
  • little_sweetheart9594@email
  • bebe032207@email

C. Companion/File yang dibuat

ErrorReport akan membuat host di dalam folder:

C:\Document and Settings\All User\Local Settings\Temp\[nama acak].exe

Salah satu companion yang di downloadnya, memiliki payload yg mirip dengan kebanyakan malware lokal, yaitu mendisable proses dari Registry Editor, serta process viewer seperti Task Manager atau Process Explorer.

D. Hasil Infeksi
Secara teknis, ErrorReport menggunakan teknik menyembunyikan process di balik process lain yang juga dilakukan beberapa malware (misalnya Delp-Shortcut), namun perbedaanya adalah process yang digunakan. Delp-Shortcut bersembunyi dibalik proses Rundll32.exe, sedangkan ErrorReport bersembunyi dibalik proses wuauclt.exe (Windows Automatically Update).  Jika dilihat lebih detail, ErrorReport membuat sebuah mutex dengan nama:
• \BaseNamedObjects\3166214296

Selain itu, ErrorReport juga mencoba mengakses website yang saat ini sudah tidak bisa di akses. Dari nama domainnya, website tersebut menggunakan domanin (.ru / rusia).

E. Pembersihan

ErrorReport dan banyak malware lainnya sudah dapat dibersihkan dengan menggunakan PCMAV 6.2 Update Build3 berikut.

PCMAV 6.2 Update Build3

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 6.2 Update Build3 telah hadir dengan penambahan 120 pengenal varian virus baru. Bagi Anda pengguna PCMAV 6.2, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt. Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.

Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:

SendSpace.com

ZippyShare.com (mirror)

RapidShare.com (mirror)

Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 6.2 Update Build3:
Alice.html
Alice.inf
Angel2
BlackLabel.A
BlackLabel.B
BlackLabel.C
BlackLabel.C.tmp
BlackLabel.D
BlackLabel.D.exe
BlackLabel.drp
BlackLabel.E
BlackLabel.F
BlackLabel.F.exe
BlackLabel.G
BlackLabel.H
BlackLabel.I
BlackN.B
BlackN.C
ErrorReport
FakeAV-Downloader.AH
FakeAV-Downloader.AH.lnk.A
FakeAV-Downloader.AH.lnk.B
FakeAV-Downloader.AI
FakeAV-Downloader.AI.dll
FakeAV-Downloader.AJ
FakeAV-Downloader.AK
FakeAV-Downloader.AL
FakeAV-Downloader.AL.exe
FakeAV-Downloader.AL.lnk
FakeAV-Downloader.AM
FakeAV-Downloader.AN
FakeAV-Downloader.AO
FakeAV-Downloader.AP
FakeAV-Downloader.AP.dll
FakeAV-Downloader.AP.lnk.A
FakeAV-Downloader.AP.lnk.B
FakeAV-Downloader.AQ
FakeAV-Downloader.AQ.mht
FakeAV-Downloader.AR
FakeAV-Downloader.AR.tlb
FakeAV-Downloader.AS
FakeAV-Downloader.AS.dat
FakeAV-Downloader.AS.tmp
FakeAV-Downloader.AT
FakeAV-Downloader.AT.tmp
FakeAV-Downloader.AU
FakeAV-Downloader.AV
FakeAV-Downloader.AV.dat
FakeAV-Downloader.AW
NgrBot.AA
NgrBot.AB
NgrBot.AC
NgrBot.AD
NgrBot.AD.exe.A
NgrBot.AD.exe.B
NgrBot.AE
NgrBot.AE.exe
NgrBot.AE.inf
NgrBot.AF
NgrBot.AF.exe.A
NgrBot.AF.exe.B
NgrBot.AF.exe.C
NgrBot.AF.exe.D
NgrBot.AF.exe.E
NgrBot.AG
NgrBot.AG.exe
NgrBot.AH
NgrBot.AI
NgrBot.AI.exe
NgrBot.AJ
NgrBot.AJ.exe
NgrBot.AK
NgrBot.AL
NgrBot.AL.exe
NgrBot.AM
NgrBot.AM.exe
NgrBot.AN
NgrBot.AN.exe
NgrBot.E.inf
NgrBot.E.inf
NgrBot.P.drp.A
NgrBot.P.drp.B
NgrBot.P.drp.C
NgrBot.P.exe.A
NgrBot.P.exe.B
NgrBot.Q
NgrBot.R
NgrBot.R.drp.A
NgrBot.R.drp.B
NgrBot.R.exe
NgrBot.S
NgrBot.T
NgrBot.T.exe.A
NgrBot.T.exe.B
NgrBot.T.exe.C
NgrBot.U
NgrBot.U.exe
NgrBot.V
NgrBot.V
NgrBot.V.drp
NgrBot.V.drp
NgrBot.V.exe.A
NgrBot.V.exe.A
NgrBot.V.exe.B
NgrBot.V.exe.B
NgrBot.W
NgrBot.W
NgrBot.X
NgrBot.Y
NgrBot.Y.drp
NgrBot.Z
Persist
Sality.drp
Serviks.vbs.D
Serviks.vbs.D.doc
Serviks.vbs.D.tmp
Serviks.vbs.D.vbe
VB-Shortcut-1.lnk.D
VB-Shortcut-4
WmplayerC.lnk

Categories: Analisa Virus, Antivirus, Pengumuman Tags:
  1. Herry Hernandez
    January 17th, 2012 at 05:40 | #1

    Lha… itu doank??
    Update Buildnya mana?

  2. rahman
    January 17th, 2012 at 05:53 | #2

    ada yg ketimggalan tim pcmav

  3. RAHMAN
    January 25th, 2012 at 06:04 | #3

    trima kasih tim PCMAV, update ini build 3 ini yang saya tunggu2…

  4. hari
    January 25th, 2012 at 09:30 | #4

    Jam 09.30 WIB file update.vdb untuk Update Build3 di kresna.c.masterweb.net alias pcXXXXXXXXXX.com belum diperbarui sebagaimana yang tersedia di sendspace.

    Jadi para pengguna PCMAV 6.2 Update Build2 akan mendapatkan pesan “No update found” 🙂
    Karena update yang tersedia masih yang lama

  5. Rampage
    January 25th, 2012 at 15:22 | #5

    lain kali jangan taruh email orang lain di halaman web..ntar kena grabber, dijadiin sasaran spam dah..

  6. Rampage
    January 25th, 2012 at 15:23 | #6

    ternyata udah dimasked. sorry.

  7. faridtwitter
    January 26th, 2012 at 01:05 | #7

    team pcmav indonesia kapan keluar majalah pc media versi asgard v6.3 nanti saya tunggu.
    semoga pc media selalu sukses selalu untuk membasmi virus lokal dan luar negeri ….. Amin

  8. Reza
    January 26th, 2012 at 09:00 | #8

    Sy menggabungkan database PCMAV dg clamav terbaru (0.97.3). Kenapa PCMAV masih belum akur ya dengan Clamav. Klo buat scan drive C pasti CRASH. ada notifikasinya macam gitu. Mohon diperbaiki. Mohon maaf bila ada kata2 yg kurang berkenan. Thx be4. Maju terus PCMAV !!

  9. Ins
    January 26th, 2012 at 09:36 | #9

    Virus Sality.drp sulit dimusnahkan, meskipun menggunakan “force mode”. Ada solusi lain?

  10. Rampage
    January 26th, 2012 at 10:47 | #10

    @Reza
    pake library clamav yg dari dvd pasti ga crash.

  11. Ins
    January 28th, 2012 at 11:00 | #11

    edisi 01/2012 “mungkin” tidak terbit…..

  12. AdeIming
    January 28th, 2012 at 14:34 | #12

    Mana neeh majalah edisi januari 2012………….?

  13. prayitno
    January 28th, 2012 at 20:03 | #13

    Ada yg tau gak tujuan dari link berikut ini :

    bfrcfcuygbmn699.blogspot.com/?830097679

    trim’s sebelumnya

  14. one
    January 29th, 2012 at 03:49 | #14

    Sekarang tanggal 29 januari 2012 kok majalah PCmedia belum terbit.
    Liburan tahun baru kepanjangan ya.

  15. January 29th, 2012 at 06:23 | #15

    sabar ya, kan di pcMedia bulan desember 2011 tertulis pcMedia 01/2012 tunggu bulan januari 2012 dan masih ada hari senin(31-1-2012) terhitung januari, he … he…he.

  16. Ins
    January 29th, 2012 at 11:31 | #16

    Tidak biasanya…… ada apakah gerangan…?

    @akank

  17. asdf
    January 29th, 2012 at 15:36 | #17

    Dulu juga pernah ngaret-ngaret.
    Semoga aja gak ada masalah serius lagi kayak dulu

  18. Xandy
    January 29th, 2012 at 18:16 | #18

    Mana majalah nya (disurabaya)

    Versi Digital beli / downloadnya dimana ? Thanks Sebelumnya

  19. Indra
    January 29th, 2012 at 20:13 | #19

    @Xandy

    beli di wayangforce.com, harga 30rb. cara pembayaran lihat di webnya..