Home > Analisa Virus, Antivirus, PCMAV Express > PCMAV Express for Dorifel

PCMAV Express for Dorifel

PCMAV Express for Dorifel
Dorifel. Virus yang dapat menginfeksi file dokumen Microsoft Word (*.doc), Microsoft Excel (*.xls), dan executable file (*.exe). Pada file yang terinfeksi, file asli dienkripsi oleh virus dengan menggunakan metode enkripsi RC4.

A. Tentang Virus

Nama: Dorifel, beberapa antivirus mengenalinya dengan nama Quervar atau DocCrypt.
Ukuran: bervariasi tergantung variannya, kurang lebih berkisar dari 100KB – 300KB
Info : Menginfeksi dokumen *.doc, *.xls, dan file executable.

B. Companion/File yang dibuat

Dorifel menciptakan file dropper dengan nama acak pada folder Application Data, juga terdapat file *.ini dan shortcut *.lnk pada komputer yang terinfeksi. Pada varian tertentu Dorifel juga menciptakan file DLL dengan nama xpsp2res.dll (mengikuti nama salah satu file DLL Windows) yang diletakkan pada folder Windows jika komputer korban menggunakan sistem operasi Windows XP. DLL dari virus ini menginjeksi explorer.exe dan berusaha mempertahankan dirinya agar tetap aktif.

C .Aksi

Dorifel menginfeksi file targetnya dengan cara menaruh file asli dalam keadaan terenkripsi pada akhir  file executable Dorifel, sehingga pada setiap file yang telah terinfeksi Dorifel akan memiliki data overlay yang menyimpan file asli. Dorifel menggunakan marker khusus sebagai penanda mulainya byte yang merupakan file asli yang terenkripsi dengan algortima RC4, marker tersebut berbeda-beda tergantung varian Dorifel, antara lain adalah:

[+++scarface+++]
[—zxfgthbv—]
[—deadline—]

Agar file dokumen yang terinfeksi tetap dapat dieksekusi oleh user, maka Dorifel mengubah extensionnya menjadi *.scr (khusus untuk file *.exe  yang terinfeksi, extension tidak berubah). Dorifel juga menambahkan karakter unicode tertentu yang membuat nama file yang terinfeksi tidak terlihat extensionnya di Windows Explorer Windows Vista atau yang lebih baru, sehingga user tidak menyadari bahwa file tersebut adalah file executable dengan extension *.scr. Contoh file dokumen yang telah terinfeksi terlihat pada gambar berikut:

Dokumen Terinfeksi Dorifel


D. Pembersihan

Untuk pembersihan tuntas termasuk mengembalikan file-file yang terinfeksi seperti semula, gunakan PCMAV Express for Dorifel yang dapat didownload melalui link di bawah ini.

Link Downloadhttp://www.sendspace.com/file/06kz0d

Categories: Analisa Virus, Antivirus, PCMAV Express Tags:
  1. Rizki
    July 15th, 2013 at 09:47 | #1

    tak coba dulu 😀

  2. zekegaiden
    July 16th, 2013 at 10:52 | #2

    ijin sedot min buat nambah tool di flashdisk. 🙂

  3. one
    July 17th, 2013 at 02:44 | #3

    Kenapa kok tidak langsung di buat data base update?
    Jadi PCMEDIA langsung fresh.

  4. @bima
    July 17th, 2013 at 09:05 | #4

    @one : ga bisa gitu lah mas bro, di PCMAV setiap virus pasti punya “cleaner”-nya masing-masing, kecuali si dorifel tipe worm yang cuma rajin copy file sama buat autorun.inf 😀

  5. PC Ranger
    July 17th, 2013 at 16:41 | #5

    @one :
    “Mungkin” PCMAV reguler-nya dah keburu dibuat & dirilis jadi database/cleaner virus dorifel-nya lom sempat difusion. Biasanya sih sudah terlaksana pada PCMAV versi berikutnya.

  6. Hide
    August 1st, 2013 at 11:13 | #6

    nice 🙂

  7. August 3rd, 2013 at 05:24 | #7

    makasih udah share link downloadnya….cobain!!

  8. TONO
    August 11th, 2013 at 17:53 | #8

    PC MEDIA bulan juli mana nih kok di surabaya belum muncul sih

  9. Boedi
    August 12th, 2013 at 18:06 | #9

    PC media edisi bulan Juli kok belum terbit juga, padahal sekarang sudah bulan Agustus, beritanya akan jadi basi semua, bagaimana tanggapan redaksi, apakah ada masalah internal, berilah penjelasan kepada para pembaca PC Media yang sudah menunggu sejak 1 bulan lalu.

  10. Koplak
    August 12th, 2013 at 22:01 | #10

    Koplak ney adminnya, ga mau kasih penjelasan knp telat terbit PC Magz bln juli… KECEWA BERAAAATTT….

  11. Koplak
    August 12th, 2013 at 22:02 | #11

    Koplak :
    Koplak ney adminnya, ga mau kasih penjelasan knp telat terbit PC Magz bln juli… KECEWA BERAAAATTT….

    PC MEDIA SUCKS!!!!!!