Home > Analisa Virus, Antivirus > ISoftwere: Bukan Software tetapi Softwere

ISoftwere: Bukan Software tetapi Softwere

ISoftwere. Antivirus Palsu adalah salah satu jenis malware yang terhitung cukup lama tidak terdengar lagi eksistensinya. Berawal dari laporan salah satu rekan yang mengatakan komputernya terinfeksi virus ketika sedang browsing, yang ternyata setelah di cek, sebenarnya hanyalah sebuah website yang mencoba mengelabui user dengan cara mensimulasikan tampilan Windows Explorer yang sedang melakukan proses scanning dan menemukan beberapa virus dan tanpa disadari diam-diam mendownload 1 buah file virus (FakeOnline Scanner).



A. Info File

Nama Malware : ISoftwere
Asal : UnKnown
Ukuran File : 2.15 MB (2,257,920 bytes)
Packer : ~
Pemrograman : Microsoft Visual C++
Icon : Malware Icon
Tipe : Worm, Trojan

B. About Malware

Kenyataanya adalah komputer tersebut tidaklah terinfeksi, karena seperti yang terlihat pada gambar berikut, local drive yang tertera hanyalah drive C, sementara sebenarnya local drive komputer tersebut tidak hanya drive C, tetapi sampai drive E.

Namanya diambil dari mutex yang dibuatnya setelah aktif di memory. Hal ini befungsi sebagai penanda ISoftwere telah aktif di memory, sehingga tidak terjadi pemanggilan proses malware yang berulang di memory.

Jika di lihat secara langsung, tidak terdapat string yang menunjukan bahwa ISoftwere dibuat menggunakan bahasa pemrograman tertentu. Namun setelah aktif di memory kemudian dengan menggunakan tools Process Explorer, beberapa string menunjukkan bahwa ISoftwere dibuat menggunakan bahasa pemrograman C++.

C:\Builds\TP\emuvcl\utilcls.h
name
C:\Builds\TP\emuvcl\utilcls.h
IsBound()
C:\Builds\TP\emuvcl\utilcls.h
IsBound()
C:\Builds\TP\emuvcl\utilcls.h
(hasRetVal==false && args==0) || (hasRetVal==false && args!=0) || (hasRetVal==true && args!=0)
C:\Builds\TP\emuvcl\utilcls.h
Parms.VType == (VT_ARRAY|VT_VARIANT)
variant.cpp
ParmTypes.VType == (VT_ARRAY|VT_I4)
variant.cpp

Untuk lebih memperjelas, berikut ini adalah beberapa screenshot-nya.




C. Companion/File yang dibuat

File host ISoftwere bersembunyi di dalam folder Application Data. Dan setelah di eksekusi, malware ini membuat 1 buah file dengan nama result.db yang diduga kuat sangat berhubungan dengan file host ISoftwere karena di dalamnya terdapat kata-kata yang akan ditampilkan pada main window host ISoftwere. Berikut ini adalah isi sourcenya:

AdWare.Win32.BHO
Low
Fix
Infected
28
Kernel32.dll
first
Net-Worm
Medium
Remove
Not cleaned
57
User32.dll
first
Backdoor.Win32.Rbot
High
Fix
Infected
26
regedit.exe
first
Trojan.Win32.Qhost
Critical
Remove
Not cleaned
3
msconfig.exe
first
Client-P2P
Medium
Remove
Not cleaned
33
C:\WINDOWS\system32\dllcache\kbdca.dll
first
Email-Flooder
Low
Fix
Infected
52
C:\WINDOWS\system32\dllcache\npwmsdrm.dll
first
Hoax
Critical
Remove
Not cleaned
50
C:\WINDOWS\system32\dllcache\sprc0410.dll
first
Client-IRC
Low
Fix
Infected
32
C:\WINDOWS\system32\eudcedit.exe
first
Spoofer
Medium
Remove
Not cleaned
49
C:\WINDOWS\system32\msxml3r.dll
first
Trojan-FakeAV
Critical
Remove
Not cleaned
11
C:\WINDOWS\system32\slbiop.dll
first

D. Hasil Infeksi
Beberapa aplikasi tidak bisa di eksekusi, kemudian tools Windows seperti Task Manager, Regedit, MSConfig juga tidak bisa dibuka. Selain itu ada beberapa payload yang juga akan menyulitkan user jika terinfeksi ISoftwere.

Blok IP

Notifikasi Palsu

E. Pembersihan

Pastikan Anda memilki update build terbaru karena PCMAV 8.0 Update Build1 telah dapat mendeteksi dan membersihkan malware ini.

PCMAV 8.0 Update Build1

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 8.0 Update Build1 telah hadir dengan penambahan 27 pengenal varian virus baru. Bagi Anda pengguna PCMAV 8.0, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada menu Setup – Updater. Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik tombol “Check for Updates” pada menu Update.

Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui link ini:

SendSpace.com

Letakkan file hasil download tersebut (vx1.sig) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah vx1.sig, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 8.0 Update Build1:

AllInOne.A
AllInOne.A.bat.A
AllInOne.A.bat.B
AllInOne.A.drp
AllInOne.A.exe.A
AllInOne.A.exe.B
AllInOne.A.exe.C
AllInOne.A.lnk.A
AllInOne.A.lnk.B
AllInOne.A.vbs
AllInOne.A.xls
AllInOne.B
AllInOne.B.bat.A
AllInOne.B.bat.B
AllInOne.B.drp
AllInOne.B.html
AllInOne.B.lnk.A
AllInOne.B.lnk.B
AllInOne.B.vbs
AllInOne.B.xls
BlueFantasy-Erikimo.F
ISoftwere
NgrBot.BX
NgrBot.BY
NgrBot.BZ
NgrBot.CB
NgrBot.CC

Categories: Analisa Virus, Antivirus Tags:
  1. Indra
    July 24th, 2012 at 00:23 | #1

    Klo ane gak bakalan kena jebakan kayak gini

  2. PC Ranver
    July 24th, 2012 at 01:52 | #2

    Daftar tambahan virus hingga PCMAV 8.0 Update Build1:

    NgrBot.BX
    NgrBot.BY
    NgrBot.BZ
    NgrBot.CB
    NgrBot.CC

    >>> Yang ini neh, yang ane tunggu-tunggu… Makasih PCMAV !

  3. July 25th, 2012 at 22:29 | #3

    Untuk ngrbootnya masih banyak terjadi false alarm tolong diperbaiki lagi ya pak..
    Dan untuk metode scan archive nya masih banyak meninggalkan file-2 sampah di folder temp
    Bisa nggak kalau saat scaning archive itu file archivenya tidak di extrak di folder temp tapi di jadiin file .tmp yang setelah scaning file tmp nya itu juga langsung terhapus.
    Metode mengextrak terlebih dulu file archive di folder temp sangat beresiko terutama untuk file virus yang belum terdeteksi oleh pcmav terbaru.
    Virus yang terextrak saat scaning dan blm dikenali pcmav langsung aktive.

  4. July 26th, 2012 at 15:09 | #4

    gan pcmav sering muncul program is trying send message email,gmana itu gan

  5. michi
    July 30th, 2012 at 10:45 | #5

    @wahyudi
    capture dan laporkan di forum gan

  6. August 1st, 2012 at 13:00 | #6

    Gan, maaf nih sebelumnya, ane oot. Ane buat blog yang berisi kumpulan-kumpulan istilah dan pengertiannya yang saya gunakan untuk tujuan pendidikan, dan kumpulan istilah-istilah tersebut saya dapat dari rubrik Terminologi Majalah PC Media, dan Inilah Definisinya pada Tabloid PC Mild. Apakah saya boleh meneruskan blog ini, mengingat blog ini telah berjalan 2 bulan dan pengunjung semakin bertambah terutama dari kalangan pelajar?

    Demikian, terimakasih.

  7. Robin
    August 3rd, 2012 at 23:10 | #7

    mana majalahnya 8.2012??

  8. rahman
    August 4th, 2012 at 13:29 | #8

    Admin: kenapa dihapus postingan Malware yg update build 2???