Home > Analisa Virus > Dorkbot.AK: Startup Adobe Palsu

Dorkbot.AK: Startup Adobe Palsu

Malware yang menyebar via folder yang disharing dan flashdisk ini dibuat menggunakan Microsoft Visual C++ 9.0. Dengan berukuran 219 KB dan tidak memiliki icon alias icon kosong ini akan aktif secara tersembunyi dengan menginject proses svchost.exe, notepad.exe dan calc.exe.

Untuk dapat aktif di setiap startup, Dorkbot.AK membuat registry di HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run\Adobe System Incorporated dengan lokasi file di C:\Documents and Settings\Administrator\Local Settings\Temp\Adobe\Reader_sl.exe serta HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run\Rumqmh dengan lokasi file di C:\Documents and Settings\Administrator\Application Data\Identities\Rumqmh.exe

Malware ini akan mendownload malware lain melalui website berikut:

a.aiphon1egalaxyblack42.com
a.ajjjqws1fkxx42.com
a.adoyou1understandme42.com
a.amous1epadsafa42.com
a.acaraka1lagroup42.com
a.aire1bobohayawen42.com

Dorkbot.AK akan membuat file SItSSrX.exe untuk menyebarkan dirinya melalui flashdisk.

PCMAV 9.9.8 dengan Update Build 1 sudah dapat mengenali Dorkbot.AK dan virus terbaru lainnya yang beredar di Indonesia.

Update online sementara tidak tersedia. Silahkan update secara offline.

Download: https://www.sendspace.com/file/iig2fi

Categories: Analisa Virus Tags:
  1. rahman
    September 20th, 2014 at 13:36 | #1

    Maaf sblmnya mas Fajar, tapi Majalah PC Media edisi bulan 9/2014, belum tersedia toko buku dan di Blog ini pun belum ada pengumuman bahwa Majalahnya sdh terbit.

  2. fish
    September 22nd, 2014 at 14:12 | #2

    Iya betul kata bung rahman. info pcmav 9.9.8 aja blom ada kok sudah muncul update an nya.

  3. MiloMen
    September 23rd, 2014 at 10:13 | #3

    PCMAV 9.9.8 sudah tersedia silakan di unduh dan laporkan bug di forum diskusi. πŸ™‚

  4. Grego
    September 23rd, 2014 at 13:02 | #4

    @MiloMen
    oke.. makasih gan.. πŸ™‚

  5. MiloMen
    September 23rd, 2014 at 14:28 | #5

    Sama2 gan πŸ˜€ @Grego

  6. ruli
    September 23rd, 2014 at 16:58 | #6

    diatas tertulis “proses svchost.exe, notepad.exe dan calc.exe” bukannya notepad itu text editor bukannya virus kali πŸ™‚

  7. September 23rd, 2014 at 19:57 | #7

    ruli :

    diatas tertulis β€œproses svchost.exe, notepad.exe dan calc.exe” bukannya notepad itu text editor bukannya virus kali :)

    Coba baca lagi kalimatnya baik2 πŸ™‚

  8. Ricky
    September 24th, 2014 at 08:03 | #8

    @MiloMen
    Tks gan…

  9. rahman
    September 24th, 2014 at 10:06 | #9

    @ruli
    Yang bilang itu virus siapa? makanya coba baca kembali kalimatnya dgn lengkap jgn sepotong-sepotong nanti maknanya beda.
    Di postingan itu ada kata “menginject proses” berarti virus Dorkbot.AK ini aktif secara tersembunyi dan kita tidak dapat melihat aktifitasnya melalui task manager atau Process Hacker dll. Dampaknya adalah induk virus yang ada di C:\Documents and Settings\Administrator\Application Data\Identities\Rumqmh.exe tidak dapat didelete karena harus di Terminate dulu proses yang d Inject oleh Dorkbot.AK ini.
    Mohon diluruskan kalau salah mas Fajar πŸ™‚

  10. ruli
    September 25th, 2014 at 14:53 | #10

    lah notepad bukan virus, itu text editor salah dimana

  11. [AB]
    September 25th, 2014 at 15:58 | #11

    Hahaha disini keliatan kurang cerdasnya dia..
    Duh nak belajar lagi ya sana..

  12. Grego
    September 26th, 2014 at 09:26 | #12

    lebih sabar aja hadapi komentar tanpa landasan ketelitian. πŸ˜€

  13. ruli
    September 26th, 2014 at 11:21 | #13

    percuma juga kan kita debat, lo gak ngerti yang gw omongin dan gw gak ngerti lo semua ngomong apa. padahal simpel aja kan gw nanya kenapa notepad dibilang virus, jawabannya pake penjelasan panjang lebar gak jelas yang gw kagak ngerti. wajarkan gw nanya lagi πŸ™

  14. Grego
    September 26th, 2014 at 12:20 | #14

    @ruli
    baca lagi dengan teliti ndul :
    “Dengan berukuran 219 KB dan tidak memiliki icon alias icon kosong ini akan aktif secara tersembunyi dengan MENGINJECT proses svchost.exe, notepad.exe dan calc.exe.”