Home > Pengumuman > Comet.AH: Backdoor Made In France

Comet.AH: Backdoor Made In France

Comet.AH Backdoor Made In FranceTrojan berukuran 724 KB ini akan menginstal hook SetWindowsHookEx(WH_KEYBOARD_LL) untuk memonitor ketikan pengguna.

Untuk dapat aktif di setiap startup, trojan ini membuat registry berikut:

HKEY_CURRENT_USER\software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
explorer.exe, C:\Documents and Settings\Administrator\Application Data\MicrosoftServices\MicrosoftServices\ajqlqa.exe

File trojan ajqlqa.exe akan dipanggil ketika file explorer.exe aktif. Isi key Shell sendiri harusnya hanya explorer.exe. Dengan adanya explorer.exe aktif di startup, taskbar dan desktop akan muncul dan pengguna dapat membuka Windows Explorer. Oleh karena itu, isi di dalam key Shell yang harus dihapus, bukan key Shell tersebut.

Trojan ini akan membuat registry penanda di HKEY_CURRENT_USER\software\DC3_FEXEC

Koneksi yang dilakukan Comet.AH yaitu ke IP berikut:

178.33.189.79
61.180.31.43

Ada ADS yang dibuat oleh trojan ini yaitu di

C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\DESKTOP\0001_83.21.75.206_BOTVOTE.EXE:ZONE.IDENTIFIER
C:\DOCUMENTS AND SETTINGS\ADMINISTRATOR\APPLICATION DATA\MICROSOFTSERVICES\MICROSOFTSERVICES\AJQLQA.EXE:ZONE.IDENTIFIER

berikut perintah yang dijalankan oleh trojan ini :

"C:\WINDOWS\system32\cmd.exe" /c echo [zoneTransfer]ZoneID = 2 > "C:\Documents and Settings\Administrator\Application Data\MicrosoftServices\MicrosoftServices\ajqlqa.exe":ZONE.identifier & exit, C:\Documents and Settings\Administrator\Desktop

PCMAV 10.0.0 dengan Update Build 2 sudah dapat mengenali Comet.AH dan virus terbaru lainnya yang beredar di Indonesia.

Categories: Pengumuman Tags:
  1. rahman
    December 19th, 2014 at 21:11 | #1

    Disediakanlah kalau boleh update offlinenya.

  2. brandon
    January 14th, 2015 at 19:03 | #2

    ketahuan banget ini sih virusnya windows xp yg udah lama bgt end of life 😀 knp nggak ganti aja ke windows 7 lebih secure

  3. Nd4
    January 18th, 2015 at 13:53 | #3

    @brandon

    virus mau di xp,windows 8.1 tetep jalan. analisa masih bisa di windows xp 🙂