Home > Analisa Virus > FakeAV-WindowsEfficiencyKit.B: Jangan Asal Pilih Antivirus

FakeAV-WindowsEfficiencyKit.B: Jangan Asal Pilih Antivirus

FakeAV-WindowsEfficiencyKit.B Jangan Asal Pilih AntivirusKetika menjalankan antivirus palsu ini, ada banyak sekali rutin yang dilakukan untuk memanipulasi sistem dan komputer pun di-shutdown. Sekali Anda nyalakan, hanya FakeAV-WindowsEfficiencyKit.B yang Anda dapatkan. Semua service antivirus dan firewall berusaha dimatikan oleh antivirus palsu ini.

Malware ini berusaha aktif setiap startup dengan membuat registry key di:

HKEY_CURRENT_USER\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON\SHELL
c:\documents and settings\administrator\application data\svc-jvft.exe

Mengakses protokol UDP melalui Local Port 65535 dan Remote Port 53.

Mengakses situs berikut melalui C:\WINDOWS\system32\mshta.exe

http://93.115.86.197/?0=1&1=1&2=14&3=i&4=2600&5=0&6=1111&7=spycvdaeyt

Mematikan service aplikasi sekuriti:

stop bckwfs
config bckwfs start = disabled
config wuauserv start = disabled
stop wscsvc
config wscsvc start = disabled
config windefend start= disabled
config msmpsvc start= disabled

Membuat registry service:

HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET001\SERVICES\BCKD\IMAGEPATH
C:\WINDOWS\123123.sys

Malware ini juga berusaha mematikan proses antivirus menggunakan fungsi API TerminateProcess. Fungsi API menarik lainnya yang dipanggil yaitu AttachThreadInput.

FakeAV-WindowsEfficiencyKit.B melakukan COM/DLL Hijacking dengan perintah:

verclsid.exe /C {7A80E4A8-8005-11D2-BCF8-00C04F72C717} /I {0000010B-0000-0000-C000-00000000046} /X 0x401

Gunakan PCMAV 9.7 dengan Update Build 5 mampu mencegah dan membasmi FakeAV-WindowsEfficiencyKit.B.

Categories: Analisa Virus Tags:
  1. Calon Mantu
    February 1st, 2014 at 09:27 | #1

    Betul itu …
    Harus hati-hati dengan AV.
    Termasuk dengan yang ngakunya program AV tetapi performanya ga ada, baik AV lokal maupun AV luar.
    Diduga AV tersebut buatan orang yang lagi belajar buat AV.

  2. Calon Mantu
    February 1st, 2014 at 09:33 | #2

    Bagaimana cara mengetahui proses svchost itu dilakukan oleh virus atau windows?

  3. PC Ranger
    February 3rd, 2014 at 08:03 | #3

    @Calon Mantu :
    Bukankah dicek dengan AV, masbro?

  4. Calon Mantu
    February 3rd, 2014 at 14:47 | #4

    @PC :
    Saya belum percaya 100% sama AV karena virus selalu lebih duluan muncul daripada AV….
    Teringat virus stuxnet (klo g salah yang serang nuklir iran) dan sejenisnya dll, beberapa tahun kemudian baru stuxnet itu terlacak…

    Entah sekarang ada AV nya atau tidak untuk virus itu….

  5. akue
    February 5th, 2014 at 15:45 | #5

    stuxnet udah ada di database pcmav