Home > Analisa Virus > Kryptik.CD: iexplorede.exe

Kryptik.CD: iexplorede.exe

Trojan yang dibuat dengan compiler .NET ini di-obfuscated menggunakan program SmartAssembly.

Untuk aktif di setiap startup, trojan ini membuat file ccdd2c37934990c5732cfb407fa6942e.exe di C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\.

Trojan ini juga membuat file di C:\Documents and Settings\Administrator\Local Settings\Temp\iexplorede.exe dan file ini dipanggil di setiap startup melalui registry HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Run dengan nama key yaitu ccdd2c37934990c5732cfb407fa6942e.

DNS yang akan diakses oleh trojan ini yaitu reedhacker.no-ip.biz

Kryptik.CD membuat dirinya agar melewati proteksi firewall dengan memanggil perintah CMD berikut:

netsh firewall add allowedprogram "C:\Documents and Settings\Administrator\Local Settings\Temp\iexplorede.exe" "iexplorede.exe" ENABLE

Aksi yang dilakukan oleh trojan ini yaitu merekam ketikan beserta caption jendela program dengan fungsi-fungsi berikut: GetKeyState(), GetKeyboardState() , GetForegroundWindow() , GetWindowTextLength().

PCMAV 10.0.0 dengan Update Build 5 sudah dapat mengenali Kryptik.CD dan virus terbaru lainnya yang beredar di Indonesia.

Categories: Analisa Virus Tags:
  1. rahman
    January 17th, 2015 at 10:50 | #1

    boleh minta post update manualx?

  2. Nd4
    January 17th, 2015 at 16:47 | #2

    sendspace.com/file/zrbkx6

  3. rahman
    January 19th, 2015 at 12:55 | #3

    @Nd4
    Thanks…

  4. harto
    January 20th, 2015 at 03:44 | #4

    sampai sekarang PCMEDIA 12/2014 belum ada di kios.

  5. ruli
    January 20th, 2015 at 11:46 | #5

    susah-susah amat kenapa tidak diganti saja dnsnya sama dns google kalau dnsnya diganti sama virusnya 😀

  6. Nd4
    January 20th, 2015 at 15:26 | #6

    @ruli

    mau diubah gimana pun, virusnya akan akses dns itu. 🙂

  7. PC Ranger
    January 21st, 2015 at 09:29 | #7

    @Nd4 : Hatur nuhun, Sob, buat upload-annya.

    @ruli : Biasakan komen dalam bentuk pertanyaan, Sob. Supaya ente ga malu kalo komen ente dicounter. Telak lagi. Rendah hati itu 1000x lebih baik daripada dianggap sok tahu.

  8. ruli
    January 22nd, 2015 at 17:03 | #8

    kayaknya lo berdua yang sok tahu. dengan merubah DNS jadi googleDNS atau openDNS bukan hanya menghalau satu tapi banyak dari virus-virus sejenis, sedangkan dengan menggunakan antivirus ketemu jenis virus yang sama tapi beda ujung-ujungnya komputer terinfeksi. biarpun gw pengguna ubuntu tapi masalah begini sih ngerti, makanya kalian juga gunakan ubuntu sehingga pikiran terbuka. 🙂

  9. Nd4
    January 23rd, 2015 at 20:17 | #9

    @ruli

    udah di tes klo opendns blok ip dinamis yg pke dns no-ip? atau blok dns no-ip? DNS google aman? coba cari artikel “Google Public DNS Server Spoofed for SNMP based DDoS Attack”. Lagipula ISP besar sekarang sudah dipaksa pemerintah utk gunakan dns trustpositif dan transparent dns. kalau ente ngerasa lebih benar, coba buktikan 🙂