Home > Analisa Virus > C731200: Trojan Siluman Pada Sistem

C731200: Trojan Siluman Pada Sistem

C731200 Trojan Siluman Pada SistemAnalisa kami pada trojan C731200 yaitu trojan ini membuat Remote Thread di proses CHARMAP.EXE dan NOTEPAD.EXE yang berada di C:\WINDOWS\SYSTEM32\. Jika Anda mendapati proses CHARMAP.EXE atau NOTEPAD.EXE aktif tanpa Anda jalankan, kemungkinan besar Anda terkena trojan C731200 yang masih satu keluarga dengan varian NgrBot.

Ciri dari trojan ini yaitu informasi Description file ini yaitu Kolevetr INC dan informasi Original name yaitu nqtzo.exe

Cukup canggih, trojan ini juga melakukan Write Virtual Memory pada proses CSRSS.EXE dan SMSS.EXE pada sistem. Teknik-teknik ini umumnya dikenal dengan teknik RunPE. Meski teknik ini sudah mulai ditinggalkan pembuat malware modern, teknik ini masih efisien sebagai metode bersembunyi dan bersemayam di dalam sistem yang telah terinfeksi sehingga proses pembersihan malware menjadi tidak mudah.

Kami juga menduga trojan ini juga menscan memory untuk mencari keberadaan program security dan mengubah Access Protected Virtual Memory dengan tujuan untuk melumpuhkan program sekuriti. Jika kita bandingkan dengan virus lokal, teknik yang dipakai virus lokal umumnya lebih tradisional yaitu dengan berusaha mematikan proses program sekuriti melalui enumurasi proses atau judul window.

Ciri khusus dari trojan ini yaitu mengkopikan ke:

c:\Documents and Settings\Administrator\Local Settings\Temp\Adobe\Reader_sl.exe

Registry startup dari trojan ini yaitu berlokasi di:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\Adobe System Incorporated
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Adobe\Reader_sl.exe

C731200 Trojan Siluman Pada Sistem 2

Trojan ini juga aktif menyebar melalui removable drive dengan nama acak seperti XOMQyYVoTjVJqVd.exe.

PCMAV 9.6 dengan Update build2 telah dapat mendeteksi dan membasmi trojan C731200.

Categories: Analisa Virus Tags:
  1. Xivaln
    January 7th, 2014 at 11:38 | #1

    updatennya mn min?

  2. Indra
    January 7th, 2014 at 11:48 | #2

    Xivaln
    Update Online dari PCMAV 9.6nya

  3. Ara
    January 8th, 2014 at 15:54 | #3

    gan, ada antivirus buat worm gamarue ga??
    di tunggu updatenya

  4. January 8th, 2014 at 16:18 | #4

    @Ara
    Coba update terlebih dahulu dengan Update Build 3.