Home > Analisa Virus > Kryptik.O: Backdoor Dari Situs Berbahaya

Kryptik.O: Backdoor Dari Situs Berbahaya

Kryptik.O Backdoor Dari Situs Berbahaya

Backdoor ini menghampiri sistem melalui hasil drop malware lain atau software dari situs-situs berbahaya. Backdoor ini  memiliki ciri khas dengan icon roda berwarna kuning. Informasi Languange pada Properties yaitu “Arabic (Saudi Arabia)”. Informasi Company berisi “Feature zero combine – www.Planning.com dan Description yaitu “Bean consonant gasoline passage stomach”.

Registry Path : HKEY_LOCAL_MACHINE\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN\START WINGMAN PROFILER
Data : C:\Documents and Settings\All Users\explorer.exe
Data Type : REG_SZ

Backdoor ini akan mengecek apabila dijalankan di VMWare, rutin yang dilakukan hanyalah membuka port 3232 dengan protokol TCP untuk menerima perintah atau remote code execution dari luar. Jika tidak dijalankan pada VMWare, backdoor ini akan mendownload malware lain dari C&C server, salah satunya yaitu 85.143.166.119 /srt/404.php

Lokasi malware yang di-download ini yaitu

%User Temp%\[nomor acak].exe
%System Root%\Documents and Settings\All Users\ms[nomor acak].dat

Backdoor ini juga memodifikasi Firewall sehingga akan mem-bypass file backdoor sehingga dapat mulus mengakses C&C server.

Gunakan PCMAV 9.9 dengan Update Build 4 untuk membersihkan backdoor yang dideteksi sebagai Kryptik.O.

  1. Grego
    March 15th, 2014 at 08:58 | #1

    updated..

  2. deni
    March 17th, 2014 at 14:16 | #2

    link donlot pcmav9.9 build 4 dmn?

  3. March 17th, 2014 at 17:25 | #3

    @deni
    <<< Di blog saya ada.

  4. Rudy
    March 20th, 2014 at 16:50 | #4

    halah ginian sih gampang ikutin trik gw nih. lo ganti aja DNS pake openDNS atau Nawala, tanpa antivirus tanpa bloat proses pula.

  5. PC Ranger
    March 22nd, 2014 at 23:21 | #5

    @Rudy :
    Itu betul, masbro. Tapi kalo nyerang router, gimana?
    “Backdoor ini juga memodifikasi Firewall sehingga akan mem-bypass file backdoor sehingga dapat mulus mengakses C&C server.”