Archive

Archive for the ‘Analisa Virus’ Category

MSIL-Stealer.D: Private Backdoor

October 30th, 2015 2 comments

MSIL-Stealer.D Private Backdoor
Disebar dengan nama MSHostService.exe, trojan ini tergolong sangat baru dan belum pernah di upload di VirusTotal. Dengan karakteristik sebagai pencuri data, berikut informasi yang diambil oleh malware ini pada sistem yang terinfeksi:
– Cookies Chrome dan Firefox
– History Chrome dan Firefox

Kemampuan lain malware ini yaitu mampu meremote file korban hingga menghapus data korban. Ketikan pengguna dan tampilan layar pun juga dimonitor oleh malware ini dan log disimpan di C:\Logs\Log.txt. MSIL-Stealer.D akan mengupdate dirinya melalui hxxp://nomand128.ddns.net/MSU/mshost.exe
Read more…

Categories: Analisa Virus Tags:

VB-Spy.P: Kembalinya Malware Lokal

October 3rd, 2015 1 comment

Worm yang bersifat keylogger ini diperkirakan merupakan malware lokal. Dibuat dengan menggunakan Visual Basic 6 dan bericon bertuliskan PB, malware ini membuat beberapa file dengan atribut hidden yaitu

- C:\windows\spoolsv.exe
- C:\windows\svchost.exe
- C:\windows\system32\explorer.exe
- C:\Documents and Settings\Administrator\Local Settings\Application Data\mrsys.exe

Untuk dapat aktif di setiap startup, berikut registry yang dibuat oleh malware

HKEY_LOCAL_MACHINE\software\microsoft\Active Setup\Installed Components\{F146C9B1-VMVQ-A9RC-NUFL-D0BA00B4E999}
StubPath=C:\Documents and Settings\Administrator\Local Settings\Application Data\mrsys.exe MR

HKEY_LOCAL_MACHINE\software\microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}
StubPath=C:\Documents and Settings\Administrator\Local Settings\Application Data\mrsys.exe MR

HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\RunOnce
Explorer=c:\windows\system32\explorer.exe RO

HKEY_LOCAL_MACHINE\software\microsoft\Windows\CurrentVersion\RunOnce
Svchost=c:\windows\svchost.exe RO

HKEY_LOCAL_MACHINE\software\microsoft\Windows NT\CurrentVersion\Winlogon
shell=C:\windows\explorer.exe, c:\windows\system32\explorer.exe

Read more…

Categories: Analisa Virus Tags:

MSIL-Autorun.U: Mengincar Browser

September 11th, 2015 4 comments

MSIL-Autorun.U merupakan malware pencuri data yang mengincar password yang tersimpan di browser dan steam. Dengan mendrop beberapa malware, berikut file-file yang dikopi:

C:\Program Files\TeamSpeak3Client\Team Speak 3 Audio-PlugIn\Uninstall.exe
C:\Program Files\TeamSpeak3Client\Team Speak 3 Audio-PlugIn\Uninstall.ini
C:\Documents and Settings\Administrator\Local Settings\Temp\azerty.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\azerty.exe
C:\WINDOWS\soundsetup.exe
C:\WINDOWS\micsetup.exe
C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\svchost.exe

Untuk mencuri password browser, malware menjalankan proses berikut:

C:\Documents and Settings\Administrator\Local Settings\Temp\azerty.exe /stext C:\Documents and Settings\Administrator\Local Settings\Temp\pass.txt Read more…

Categories: Analisa Virus Tags:

MSIL-Dropper.ASU: Aplikasi Hack FB 2015

August 28th, 2015 1 comment

Tampilan MSIL-Dropper.ASU

Malware yang bernama Aplikasi Hack FB 2015 ini selain menipu pengguna karena tidak ada hasil yang didapatkan, namun juga dijual oleh pembuatnya di website blognya. Meskipun tidak ada aktifitas yang mengarah ke pencurian data, malware ini membuka beberapa halaman di blognya untuk menambah statistik pengunjung dan menambah peluang iklan diklik pengunjung sehingga ada keuntungan profit.

Program palsu ini terdapat isian link, email dan password. Tidak ada rutin pencurian data yang dikirim melalui email berdasarkan analisa sejauh ini. Read more…

Categories: Analisa Virus Tags:

Pstinb.A: Trojan PasteBin

August 7th, 2015 5 comments

Pstinb.A Trojan PasteBin

Dengan berkedok sebagai crack untuk Windows semua versi yaitu 7/8/8.1/10, trojan ini diam-diam men-drop file clean.exe yang berfungsi sebagai downloader.

File downloader akan mendownload trojan lagi tapi tidak secara langsung, melainkan dengan memanfaatkan website PasteBin. File yang di-download akan disimpan dengan nama file 72.cs yang berisi kode heksa yang di-encode terlebih dahulu. Setelah di-decode, troja tersebut merupakan variant MSIL-Bladabindi.
Read more…

Categories: Analisa Virus Tags:

ViralMark.A: Promosi Website Dengan Worm

July 1st, 2015 9 comments

ViralMark.A Promosi Website Dengan WormDi-bundled menggunakan SFX, worm lokal ini dideteksi PCMAV sebagai ViralMark.A. Worm ini akan membuka website tertentu agar korban tertarik dengan informasi yang ditawarkan oleh website tersebut.

Berikut website yang dibuka worm:
hXXp://rt.ninjahealth.XXfo/2" diredirect ke hXXp://blackhatadsenXX.com/
hXXp://XXcian.com/movie diredirect ke http://paidtowatchmoviXX.com/

Meski belum tentu pemilik website yang membuat malware, tapi opini penulis menyatakan bahwa website tersebut tidak bermanfaat untuk mencari uang di Internet. Sekali lagi, hindari penipuan apalagi website yang mencurigakan.
Read more…

Categories: Analisa Virus Tags:

OnGames.K : Clash of Clans Hack Tools

June 25th, 2015 1 comment

Gambar 1. Tampilan Login Palsu

Saat file malware dijalankan, muncul tampilan yang bertuliskan Clash of Clans Login dengan input Email , Password, Phone Number dan Town Hall. Informasi pada tampilan login ini akan secara langsung dikirim melalui email ketika tombol Login diklik.

OnGames.K dibuat menggunakan bahasa pemrograman .NET. Di dalam badan file malware sebenarnya terdapat 3 file lagi yaitu informasi Original filename yaitu Kambing.exe, w.exe dan kecoa.exe OnGames.K sendiri bernama Clash of Clans Hack Tools.exe.

Read more…

Categories: Analisa Virus Tags:

RaniaCrypter.A: Buat Virus Tidak Terdeteksi

May 26th, 2015 2 comments

RaniaCrypter.A Buat Virus Tidak Terdeteksi

Laporan yang team PCMAV dapatkan yaitu program crypter beserta generator trojan Bladabindi yang sudah di-compile menggunakan bahasa Indonesia.

Tersedia petunjuk lengkap berserta link video yang terdapat di dalam bundle trojan Remote Administration Tool ini. Tidak lain tujuan dari trojan ini yaitu untuk membajak komputer lain sehingga komputer terinfeksi dapat di-remote hingga data pun dapat dicuri.
Read more…

Categories: Analisa Virus Tags:

Ciusky.C: Keylogger In The Wild

May 9th, 2015 3 comments

Ciusky.C Keylogger In The WildVariant sebelumnya dari trojan ini dilaporkan banyak menyebar di Indonesia, Ciusky.C hampir memiliki karakteristik yang sama yaitu sebagai trojan pencuri data.

Semua ketikan yang direkam oleh Ciusky.C disimpan di folder Application Data\Logs\ dengan nama file berupa tanggal bulan dan tahun seperti 08-05-2015.

Untuk dapat aktif di setiap startup, trojan ini membuat file di C:\Documents and Settings\Administrator\Application Data\microsoft\Host.exe dan registry startup di user\current\software\Microsoft\Windows\CurrentVersion\Run\java.

Registry lain yang digunakan untuk aktif yaitu menggunakan ActiveX yaitu machine\software\microsoft\Active Setup\Installed Components\{ON0L586T-6SEA-58C6-J5H8-AJ6H23333E13}\StubPath Read more…

Categories: Analisa Virus Tags:

Zbot.BX: Botnet Sejuta Umat

April 3rd, 2015 3 comments

Zbot.BX Botnet Sejuta UmatMalware yang bertipe botnet ini acapkali hilir mudik di jaringan untuk penyebarannya. Dengan bocornya source code Zbot alias Zeus, siapa saja dapat memodifikasi untuk mengincar website tertentu termasuk website perbankan di Indonesia. Meskipun demikian, biasanya pembuat malware yang memanfaatkan source code Zbot tidaklah up-to-date dalam melakukan form grabbing pada browser untuk mengecoh atau mencuri data sensitif pengguna. Read more…

Categories: Analisa Virus Tags: