Comet.AH: Backdoor Made In France

December 19th, 2014 1 comment

Comet.AH Backdoor Made In FranceTrojan berukuran 724 KB ini akan menginstal hook SetWindowsHookEx(WH_KEYBOARD_LL) untuk memonitor ketikan pengguna.

Untuk dapat aktif di setiap startup, trojan ini membuat registry berikut:

HKEY_CURRENT_USER\software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
explorer.exe, C:\Documents and Settings\Administrator\Application Data\MicrosoftServices\MicrosoftServices\ajqlqa.exe

File trojan ajqlqa.exe akan dipanggil ketika file explorer.exe aktif. Isi key Shell sendiri harusnya hanya explorer.exe. Dengan adanya explorer.exe aktif di startup, taskbar dan desktop akan muncul dan pengguna dapat membuka Windows Explorer. Oleh karena itu, isi di dalam key Shell yang harus dihapus, bukan key Shell tersebut.

Trojan ini akan membuat registry penanda di HKEY_CURRENT_USER\software\DC3_FEXEC
Read more…

facebooktwittergoogle_plusredditpinterestlinkedinmail
Categories: Pengumuman Tags:

PC Media 12/2014 & PCMAV 10

December 16th, 2014 7 comments

PC Media 20/2014Telah hadir Majalah PC Media 12/2014 terbaru dengan Ekstra DVD, yang menyertakan juga antivirus terbaru kebanggaan Indonesia, PCMAV 10. Saat ini, PCMAV merupakan satu-satunya antivirus yang mampu mengenali 8.822 virus dan variannya yang dilaporkan banyak menyebar di Indonesia.

Segera dapatkan PCMAV 10 terbaru yang telah disempurnakan hanya dari majalah PC Media 12/2014 yang telah terbit. Segera pesan dan dapatkan di kios/agen terdekat. Demi kenyamanan Anda, kini telah tersedia majalah PC Media edisi digital untuk tablet Android maupun iPad. Lihat info di bawah.

Pertanyaan teknis harap disampaikan langsung ke redaksi PC Media melalui e-mail dengan sebelumnya Anda telah membaca dan memahami isi README.TXT. Dan kami akan berterimakasih jika Anda dapat meluangkan waktu untuk memberikan komentar sebatas penggunaan PCMAV 10 ini sebagai masukan dalam pengembangannya. Read more…

facebooktwittergoogle_plusredditpinterestlinkedinmail

Prorat.F: Backdoor Dibalik Foto

December 12th, 2014 2 comments

Prorat.F Backdoor Dibalik Foto

Di-packed menggunakan FSG, trojan ini akan menampilkan foto jika dibuka sehingga berusaha tidak mencurigakan pengguna yang membuka file ini dan membuat beberapa file pada sistem yang terinfeksi.

C:\WINDOWS\services.exe
C:\WINDOWS\system\sservice.exe
C:\WINDOWS\system32\fservice.exe
C:\WINDOWS\system32\lncom.exe
C:\WINDOWS\system32\lncom_.jpg
C:\WINDOWS\system32\reginv.dll
C:\WINDOWS\system32\winkey.dll

Untuk aktif di setiap startup, trojan ini membuat startup di lokasi berikut:

HKEY_LOCAL_MACHINE\software\microsoft\Active Setup\Installed Components\{5Y99AE78-58TT-11dW-BE53-Y67078979Y}\StubPath
C:\WINDOWS\system\sservice.exe

HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\policies\Explorer\Run\DirectX For Microsoft® Windows
C:\WINDOWS\system32\fservice.exe

HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Winlogon\Shell
Explorer.exe C:\WINDOWS\system32\fservice.exe

Ada beberapa registry yang dimodifikasi oleh Prorat.F:

HKEY_CURRENT_USER\software\Microsoft\Windows NT Script Host\Microsoft DxDiag\WinSettings\Hata
Sorry! You have not Mac System. its a protected file and deleted automatically.Kindly open this file on Mac OS.XP_FW_Disable

Read more…

facebooktwittergoogle_plusredditpinterestlinkedinmail
Categories: Pengumuman Tags:

Chanitor.D: Menyebar Via Link Download

December 5th, 2014 4 comments

Dengan berukuran 126 KB, Chanitor.D merupakan trojan downloader yang mendownload malware dari Internet. Trojan ini sendiri disebarkan juga melalui link download website yang terkena hacked.

Chanitor.D akan akan mengumpulkan informasi nama komputer, nama pengguna dan informasi harddisk.

Trojan ini melakukan query ke DNS berikut:

api.ipify.org
ho7rcj6wucosa5bu.tor2web.org
ho7rcj6wucosa5bu.tor2web.ru
ho7rcj6wucosa5bu.tor2web.ru.localdomain

Untuk dapat aktif di setiap startup, trojan membuat registry berikut:

HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Run\winlogin
C:\Documents and Settings\Administrator\Application Data\Windows\winlogin.exe

Read more…

facebooktwittergoogle_plusredditpinterestlinkedinmail
Categories: Analisa Virus Tags:

Delf.L: Trojan Downloader Tersembunyi

November 28th, 2014 4 comments

Saat dijalankan, file yang dibuat menggunakan Delphi ini membuat file induk di C:\WINDOWS\system32\vmdetdhc.exe dengan hash MD5 yang berbeda.

Trojan ini akan mendownload stealer untuk mencuri password yang diketikan pengguna.

Untuk aktif di setiap startup, file induk tersebut dipanggil di registry berikut:

HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\Run
vmdetdhc.exe=C:\WINDOWS\system32\vmdetdhc.exe

Trojan ini akan melakukan koneksi ke url aa.9234.net

Delf.L akan menghapus dirinya ketika dijalankan menggunakan perintah berikut:

cmd /c erase /F /A “C:\Documents and Settings\Administrator\Desktop\r.exe

Read more…

facebooktwittergoogle_plusredditpinterestlinkedinmail
Categories: Pengumuman Tags:

PC Media 11/2014 & Windows 10 Technical Preview

November 25th, 2014 8 comments

PC Media 11/2014Telah hadir Majalah PC Media 11/2014 terbaru dengan Ekstra DVD, yang menyertakan Windows 10 Technical Preview.

MAJALAH PC MEDIA FORMAT DIGITAL

Selain versi cetak, Majalah PC Media juga dapat diperoleh dalam format digital bagi pengguna Android/iPad melalui 3 alternatif:

1. Dengan menginstal dan menggunakan aplikasi Scoop.
2. Melalui Wayang Force (http://www.wayangforce.com).
3. Melalui Scanie (http://www.scanie.com).

facebooktwittergoogle_plusredditpinterestlinkedinmail

Zortob.L: Raja Mass Mailer

November 21st, 2014 5 comments

Zortob.L Raja Mass Mailer

Trojan yang satu ini sangat aktif dalam menyebarkan diri melalui email sebagai attachment berjenis file zip.

Jenis-jenis subjek pada email bervariasi, misalnya Notifikasi WhatsApp, FedEx hingga Free Pizza.

Zortob.L akan mencuri file dokumen seprti .doc, xls, key.db dan signons.sqlite.

Untuk dapat aktif di setiap startup, Zortob.L akan membuat registry berikut:

HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run
akbqmkiq=”C:\Documents and Settings\Administrator\Local Settings\Application Data\wbajdbxv.exe

Nama key dan nama file merupakan nama file yang acak.

Ada 2 mutex yang dibuat trojan ini yaitu abNamaUser dan aaNamaUser.

Dengan menginjeksi proses svchost.exe, trojan berusaha melakukan koneksi ke Internet untuk mem-bypass firewall.
Read more…

facebooktwittergoogle_plusredditpinterestlinkedinmail
Categories: Pengumuman Tags:

Delf.J: Pencuri Data Khas Turki

November 15th, 2014 5 comments

Delf.J Pencuri Data Khas TurkiDibuat menggunakan Delphi dan merupakan trojan open-source, Delf.J merupakan backdoor sekaligus keylogger canggih yang mencuri data pengguna.

Dengan memonitor ketikan dengan 4 fungsi API berikut:

  • GetForegroundWindow()
  • GetRawInputData()
  • GetKeyboardState()
  • GetKeyState()

Hasil rekaman ketikan disimpan di file C:\windows\pLsd.dat. Read more…

facebooktwittergoogle_plusredditpinterestlinkedinmail
Categories: Analisa Virus Tags:

MSIL-BladaBindi.BM: Anonymous Trojan

November 8th, 2014 3 comments

MSIL-BladaBindi.BM Anonymous TrojanDengan berukuran sebesar 37.7 KB, ketika trojan ini dijalankan, ia akan sleep terlebih dahulu selama 50 detik sebelum melakukan aksinya yang lain yaitu menjalankan file system.exe yang merupakan file duplikat yang diciptakan di lokasi C:\Documents and Settings\Administrator\Local Settings\Temp\

Untuk dapat aktif di setiap startup, trojan ini mengkopikan dirinya ke folder startup.
Read more…

facebooktwittergoogle_plusredditpinterestlinkedinmail
Categories: Analisa Virus Tags:

CryptoLock.AM: Trojan Mengerikan Era Ini

October 31st, 2014 12 comments

CryptoLockRansomware yang mengenkripsi data dengan algoritma enkripsi kompleks sehingga secara hitung-hitungan tidak mungkin data dapat terselamatkan.

Saat dijalankan, trojan  ini menampilakan pesan jika foto, video dan dokumen terenkripsi dengan virus Cryptolocker dan satu-satunya cara untuk mengembalikan data yaitu dengan memberi software decrypter yang ditawarkan. Read more…

facebooktwittergoogle_plusredditpinterestlinkedinmail
Categories: Analisa Virus Tags: