Home > Analisa Virus, Antivirus, Pengumuman > Lolsix: have you ever seen me before?

Lolsix: have you ever seen me before?

Lolsix. Berkurangnya laporan user akan adanya ancaman malware lokal, seakan menggambarkan tanda-tanda kepunahan malware lokal. Namun salah satu user yang berasal dari Jakarta mengirimkan kami sampel malware tipe worm yang sekilas hanyalah file HTML biasa.

A. Info File
Nama Worm : Lolsix.vbe
Asal : Jakarta
Ukuran File : 12.0 KB (12,318 bytes)
Packer : ~
Pemrograman : Visual Basic Script
Icon : VBS File
Tipe : Worm

B. About Malware
Lolsix terbilang worm yang cukup menarik. Secara fisik, worm ini menyebar dalam keadaan terencode menggunakan Microsoft Script Encoder sehingga akan terlihat sangat acak. Pada bagian awal coding, terdapat pula source code HTML yang digunakan untuk menipu user yang mencoba untuk melihat source code dari Lolsix.

Untuk sebuah worm, terutama yang dibuat menggunakan bahasa pemrograman Visual Basic Script, Lolsix memiliki ukuran file yang cukup besar karena pada umumnya worm VBS berukuran kurang dari 10 KB.

C. Companion/File yang dibuat
Worm Lolsix akan men-drop beberapa file setelah aktif di memory. Dan worm ini memang sengaja membuat user tidak bisa mengakses beberapa website antivirus karena di blok oleh file hosts buatannya. Berikut ini adalah beberapa website yang di blok oleh worm Lolsix.

Jika diperhatikan lebih jauh, beberapa website yang di blok adalah website antivirus yang terdaftar pada VirusTotal.com. selain itu, ada juga file yang di drop pada folder temporary dengan nama acak. Pesan yang disampaikan worm Lolsix, adalah berupa file HTML yang terdapat pada folder My Pictures.

Untuk setiap root drive terdapat 2 buah file yang terdiri dari:

  • Tip.html
  • Autorun.inf

D. Hasil Infeksi
Untuk melindungi dirinya, worm ini men-disable beberapa aplikasi yang dapat menghentikan payload worm Lolsix.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
• regedit.exe
• regedit32.exe
• taskmgr.exe
• commandprompt.exe
• cmd.exe
• msconfig.exe
• procexp.exe
• ProcessHacker.exe

Dengan men-disable aplikasi tersebut, maka jika user mencoba menjalankannya, yang akan muncul adalah peringatan seperti ini:

E. Pembersihan


PCMAV 6.5 Update Build2

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 6.5 Update Build2 telah hadir dengan penambahan 59 pengenal varian virus baru. Bagi Anda pengguna PCMAV 6.5, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt. Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.

Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:

SendSpace.com

ZippyShare.com (mirror)

RapidShare.com (mirror)

Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 6.5 Update Build2:

Alisie.vbs
Angel2.C
Autoruner.F
Autoruner.F.inf
BlackN.L
BlackN.L.inf.A
BlackN.L.inf.B
BlackN.M
BlackN.O
BlackN.P
BlackN.Q
BlackN.R
FakeDownloader.FE
FakeDownloader.FF
FloodIRC.C
FloodIRC.C.fat32
FloodIRC.C.ini
FreashTool
GPcode
Kiss
Lolsix.vbe
Lolsix.vbe.hosts
Lolsix.vbe.html
Lolsix.vbe.inf
Microshit
MSkype
NgrBot.AW
NgrBot.AX
NgrBot.AY
NgrBot.AZ
NgrBot.BA
NgrBot.BB
NgrBot.BC
ORC-Dec
Pocho.B
ProRat.E
Raila-Odinga
Raila-Odinga.gif
Rieysha.C
Risky
Risky.dll
SlenfBot.A
SlenfBot.B
Spatet
Spatet.inf
SystemCheck
SystemCheck.tmp
USBView
USBView.dll
Wigon.A
Wigon.B
WindowsLogon.exe
Winlogon.C
Winlogon.D
Winlogon.E
Zahyan
Zahyan.exe.A
Zahyan.exe.B
ZBot

Categories: Analisa Virus, Antivirus, Pengumuman Tags:
  1. rahman
    April 2nd, 2012 at 16:26 | #1

    Updte build 2 udah muncul nih,,
    mdh2n tdk lama lg Predator final diluncurkan….
    Smgt Team PCMAV

  2. April 4th, 2012 at 09:53 | #2

    Terima kasih banyak bagi tim PCMAV dari zaman saya kuliah dulu hingga sekarang selalu menjadi andalan untuk mengembalikan dokumen yang rusak akibat ulah virus2 lokal. Semoga tim PCMAV selalu diberikan semangat oleh Yang Maha Kuasa untuk terus mengembangkan antivirus tercinta ini. Sekali lagi SEMANGAT untuk semua tim PCMAV!! TRIMS

  3. April 11th, 2012 at 09:06 | #3

    I don’t even know how I ended up here, but I thought this post was great. I don’t know who you are but definitely you are going to a famous blogger if you are not already 😉 Cheers!