PCMAV 4.2 Ragnarok2 + Build2
C:\WINDOWS\desktop.ini
C:\WINDOWS\ssms.exeC:\Documents and Settings\Administrator\current\NetHood\Texas Poker Holdem Cheat .exe
2. Mengganti nama msvbvm60.dll dengan nama baru yang di acak.
3. Membuat pesan di Drive C:\ dengan nama Sabotage.txt seperti pada gambar paling atas.
4. Menambahkan update.sfx di folder startup yang sebenarnya adalah companion dari worm Sabotage.C.
5. Menghapus file dengan ekstensi.vbs dan bila ditemukan file dengan nama mengandung kata “vbs” akan di hapus dan digantikan oleh file Sabotage.C.
6. Menyisipkan pesan di setiap file dengan ekstensi.html yang terdapat di dalam flash disk. Worm Sabotage.C bisa dikatakan sebagai virus karena melakukan penyisipan terhadap file dengan ekstensi.html pada bagian bawah file. Sabotage.C menyisipkan pesan “It’s not about how fast… But, it’s about how smooth…“.
7. Membuat autorun.inf di flash disk yang disamarkan dengan karakter acak di awal coding.
8. Membuat file di flash disk dengan nama seperti Facebook Password Cracker.exe, Pencuri Login.exe.
9. Mendisable dan secara otomatis menghapus file yang di jalankan oleh user jika menggunakan nama-nama di bawah ini.
1)123456.exe
2)360rpt.exe
3)360safe.exe
4)360tray.exe
5)ansav32.exe
6)ansav-beta.exe
7)ansav-beta-setup.exe
8)ansavd.exe
9)ansavgd.exe
10)antv.exe
11)antv-md5-pattern.exe
12)ashSimpl.exe
13)autoruns.exe
14)avcenter.exe
15)avgamsvr.exe
16)avgas.exe
17)avgcc.exe
18)avgcc32.exe
19)avgcfgex.exe
20)avgcmgr.exe
21)avgcrl.exe
22)avgcsrvx.exe
23)avgemc.exe
24)avgfrw.exe
25)avginet.exe
26)avgiproxy.exe
27)avgnsx.exe
28)avgnt.exe
29)avgrssvc.exe
30)avgrsx.exe
31)avgscanx.exe
32)avgserv.exe
33)avgsrmax.exe
34)avgtray.exe
35)avguard.exe
36)avgui.exe
37)avgupd.exe
38)avgupsvc.exe
39)avgw.exe
40)avid.exe
41)avscan.exe
42)boot.exe
43)ccApp.exe
44)cclaw.exe
45)clamwinportable.exe
46)FixRegistry.exe
47)HijackThis.exe
48)IceSword.exe
49)killbox.exe
50)mcafeeframework.exe
51)mcshield.exe
52)morphost.exe
53)nip.exe
54)nipsvc.exe
55)niu.exe
56)njeeves.exe
57)nod32krn.exe
58)nvccf.exe
59)nvcoas.exe
60)nvcode.exe
61)nvcsched.exe
62)PCMAV.exe
63)PCMAV-CLN.exe
64)PCMAV-RTP.exe
65)procexp.exe
66)regalyzer.exe
67)smadav.exe
68)The Killer Machine.exe
69)tkm.exe
70)tkm4.exe
71)Ultimate Washer.exe
72)uw2rc2.exe
73)wintoolspro.exe
74)X-RayPC.exe
75)Zanda.exe
76)zlh.exe
10. List nama file di bawah ini adalah beberapa nama file yang jika di jalankan justru akan memanggil Run32DLL.exe dan bukan program sebenarnya.
1)cscript.exe
2)firefox.exe
3)mmc.exe
4)msconfig.exe
5)msiexec.exe
6)opera.exe
7)regedit.exe
8)regedt32.exe
9)rstrui.exe
10)tasklist.exe
11)taskmgr.exe
12)WinRAR.exe
13)wscript.exe
11. Melakukan Logoff jika user menjalankan file dengan tipe inf, reg, dan batfile.
12. Membuat startup pada registry “HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WinSystem”,”C:\WINDOWS\ssms.exe”.
13. Mendisable user masuk ke folder C:\Windows.
14. Men-DisallowRun file dengan nama WhatEver_1.exe sampai WhatEver_15.exe.
15. Merubah nilai pada registry : HKLM\SOFTWARE\Microsoft\Security Center\
AntivirusDisableNotify
AntivirusOverride
FirewallDisableNotify
FirewallOverride
UacDisableNotify
UpdatesDisableNotify
16. Tidak menampilkan ekstensi file Sfx dan Exe.
17. Mendisable fungsi windows seperti:
Folder Options
Installer MSI
System Restore
Registry
TaskManager
MSConfig
Command Prompt
Hidden File
Flash Disk
19. Menjalankan host Sabotage.C meskipun dalam keadaam Safe Mode.
20. Membuat Folder Δ Smad-Lock (Brankas Smadav) Δ di flash disk. Folder serupa adalah folder yang juga dibuat oleh salah satu antivirus lokal dan berfungsi untuk melindungi file dari infeksi virus serta bermaksud mencegah virus masuk ke folder tersebut. Tetapi dalam kasus ini justru dipergunakan worm Sabotage.C untuk meletakkan file SABOTAGE.txt.
Worm Sabotage.C bisa di tuntaskan sejak PCMAV 4.2 Update Build2 seperti yang terlihat pada gambar di bawah:
PCMAV 4.2 Update Build2
Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 4.2 Update Build2 telah hadir dengan penambahan 101 pengenal varian virus bau. Bagi Anda pengguna PCMAV 4.2, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.
Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet (non-proxy). Fitur Automatic Updates dari
PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV.
Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.
Daftar tambahan virus hingga PCMAV 4.2 Update Build2:
Aksika-Kere.E
Aksika-Kere.E.txt
ArieLiverMartilina
ArieLiverMartilina.inf
ArieLiverMartilina.msg
BassAlac
BassAlac.dll
BlankBin
BlankBin.inf
Boller
Boller.inf
CintaFitri
CintaFitri.bat
ColdHot
ColdHot.inf
CyborgBrondong
Defecha
DEnkrip
DigitalCat
DigitalCat.html.A
DigitalCat.html.B
DigitalCat.inf
DirLock.A
DirLock.A.inf
DirLock.B
DirLock.B.inf
DirLock.B.inf.dll
FullHouse.D
Funva
Hakif
Intimidate
Julia
Julia.cmd.A
Julia.cmd.B
Julia.cmd.C
Julia.html
Julia.vbs.A
Julia.vbs.B
Kanigalindo
Kanigalindo.inf
Kanigalindo.txt
Kopat
Kopat.exe
Momo
Mshearts.vbs.C
MsIps
MsIps.inf
MsIps.ocx.A
MsIps.ocx.B
MsIps.vbs
MyPCMD.B
MyVideo
MyVideo.exe
MyVideo.txt
Out-MGRX
Out-MGRX.txt
PC-Team
PC-Team.bat
PC-Team.inf.A
PC-Team.inf.B
Priza
Priza.bmp
Priza.htm
Priza.inf
Proggy
Ramz
Ramz.inf
Recycler.AX
Recycler.AX.inf
Recycler.AY
Recycler.AY.inf
Recycler.AZ
Recycler.AZ.inf
Recycler.BA
Recycler.BA.inf
Recycler.BB
Recycler.BB.inf
Recycler.BC
Recycler.BC.inf
Rieysha-Jogja.D
Rieysha-Jogja.D.txt
Rieysha-Jogja.ini
Sabotage.C
Sabotage.C.inf
Sabotage.C.ini
Sabotage.C.job
Sabotage.C.txt
Tondano
Tondano.bat
Tondano.inf
Tondano.txt
TripleBox
VB-Shortcut-WinLogon.A
VB-Shortcut-WinLogon.B
VB-Shortcut-WinLogon.C
VB-Shortcut-WinLogon.D
VB-Shortcut-WinLogon.E
VB-Shortcut-WinLogon.F
VB-Shortcut-WinLogon.G
YDU.vbs
YDU.vbs.inf
atau download melalui link dibawah ini
Sabotage.C: It’s Not About How Fast
Sabotage.C. Sudah menjadi ciri khas worm / virus lokal dalam setiap aksinya meninggalkan jejak atau tanda akan kedatangannya. Sama seperti varian Sabotage sebelumnya yang pernah di bahas di http://virusindonesia.com/2009/03/31/sabotageb-pcmav-20-update-build4, kali ini Sabotage.C hadir dengan sedikit sentuhan baru.
Nama : Sabotage.C
Asal : Indonesia
Ukuran File : 88.5 KB
Packer : UPX 0.89
Pemrograman : Borland Delphi
Icon : WinRar SFX
Tipe : Worm
Asal : Indonesia
Ukuran File : 88.5 KB
Packer : UPX 0.89
Pemrograman : Borland Delphi
Icon : WinRar SFX
Tipe : Worm
Varian sebelumnya, tidak menggunakan packer layaknya Sabotage.C, di tambah lagi kemampuan barunya yang mungkin tidak diperhatikan user. Beberapa hal yang dilakukan oleh worm ini antara lain:
1. Menduplikasi beberapa file host worm dan companionnya ke Drive C:\
C:\WINDOWS\Tasks\Updater.jobC:\WINDOWS\desktop.ini
C:\WINDOWS\ssms.exeC:\Documents and Settings\Administrator\current\NetHood\Texas Poker Holdem Cheat .exe
2. Mengganti nama msvbvm60.dll dengan nama baru yang di acak.
3. Membuat pesan di Drive C:\ dengan nama Sabotage.txt seperti pada gambar paling atas.
4. Menambahkan update.sfx di folder startup yang sebenarnya adalah companion dari worm Sabotage.C.
5. Menghapus file dengan ekstensi.vbs dan bila ditemukan file dengan nama mengandung kata “vbs” akan di hapus dan digantikan oleh file Sabotage.C.
6. Menyisipkan pesan di setiap file dengan ekstensi.html yang terdapat di dalam flash disk. Worm Sabotage.C bisa dikatakan sebagai virus karena melakukan penyisipan terhadap file dengan ekstensi.html pada bagian bawah file. Sabotage.C menyisipkan pesan “It’s not about how fast… But, it’s about how smooth…“.
7. Membuat autorun.inf di flash disk yang disamarkan dengan karakter acak di awal coding.
8. Membuat file di flash disk dengan nama seperti Facebook Password Cracker.exe, Pencuri Login.exe.
9. Mendisable dan secara otomatis menghapus file yang di jalankan oleh user jika menggunakan nama-nama di bawah ini.
1)123456.exe
2)360rpt.exe
3)360safe.exe
4)360tray.exe
5)ansav32.exe
6)ansav-beta.exe
7)ansav-beta-setup.exe
8)ansavd.exe
9)ansavgd.exe
10)antv.exe
11)antv-md5-pattern.exe
12)ashSimpl.exe
13)autoruns.exe
14)avcenter.exe
15)avgamsvr.exe
16)avgas.exe
17)avgcc.exe
18)avgcc32.exe
19)avgcfgex.exe
20)avgcmgr.exe
21)avgcrl.exe
22)avgcsrvx.exe
23)avgemc.exe
24)avgfrw.exe
25)avginet.exe
26)avgiproxy.exe
27)avgnsx.exe
28)avgnt.exe
29)avgrssvc.exe
30)avgrsx.exe
31)avgscanx.exe
32)avgserv.exe
33)avgsrmax.exe
34)avgtray.exe
35)avguard.exe
36)avgui.exe
37)avgupd.exe
38)avgupsvc.exe
39)avgw.exe
40)avid.exe
41)avscan.exe
42)boot.exe
43)ccApp.exe
44)cclaw.exe
45)clamwinportable.exe
46)FixRegistry.exe
47)HijackThis.exe
48)IceSword.exe
49)killbox.exe
50)mcafeeframework.exe
51)mcshield.exe
52)morphost.exe
53)nip.exe
54)nipsvc.exe
55)niu.exe
56)njeeves.exe
57)nod32krn.exe
58)nvccf.exe
59)nvcoas.exe
60)nvcode.exe
61)nvcsched.exe
62)PCMAV.exe
63)PCMAV-CLN.exe
64)PCMAV-RTP.exe
65)procexp.exe
66)regalyzer.exe
67)smadav.exe
68)The Killer Machine.exe
69)tkm.exe
70)tkm4.exe
71)Ultimate Washer.exe
72)uw2rc2.exe
73)wintoolspro.exe
74)X-RayPC.exe
75)Zanda.exe
76)zlh.exe
10. List nama file di bawah ini adalah beberapa nama file yang jika di jalankan justru akan memanggil Run32DLL.exe dan bukan program sebenarnya.
1)cscript.exe
2)firefox.exe
3)mmc.exe
4)msconfig.exe
5)msiexec.exe
6)opera.exe
7)regedit.exe
8)regedt32.exe
9)rstrui.exe
10)tasklist.exe
11)taskmgr.exe
12)WinRAR.exe
13)wscript.exe
11. Melakukan Logoff jika user menjalankan file dengan tipe inf, reg, dan batfile.
12. Membuat startup pada registry “HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\WinSystem”,”C:\WINDOWS\ssms.exe”.
13. Mendisable user masuk ke folder C:\Windows.
14. Men-DisallowRun file dengan nama WhatEver_1.exe sampai WhatEver_15.exe.
15. Merubah nilai pada registry : HKLM\SOFTWARE\Microsoft\Security Center\
AntivirusDisableNotify
AntivirusOverride
FirewallDisableNotify
FirewallOverride
UacDisableNotify
UpdatesDisableNotify
16. Tidak menampilkan ekstensi file Sfx dan Exe.
17. Mendisable fungsi windows seperti:
Folder Options
Installer MSI
System Restore
Registry
TaskManager
MSConfig
Command Prompt
Hidden File
Flash Disk
19. Menjalankan host Sabotage.C meskipun dalam keadaam Safe Mode.
20. Membuat Folder Δ Smad-Lock (Brankas Smadav) Δ di flash disk. Folder serupa adalah folder yang juga dibuat oleh salah satu antivirus lokal dan berfungsi untuk melindungi file dari infeksi virus serta bermaksud mencegah virus masuk ke folder tersebut. Tetapi dalam kasus ini justru dipergunakan worm Sabotage.C untuk meletakkan file SABOTAGE.txt.
Worm Sabotage.C bisa di tuntaskan sejak PCMAV 4.2 Update Build2 seperti yang terlihat pada gambar di bawah:
PCMAV 4.2 Update Build2
Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 4.2 Update Build2 telah hadir dengan penambahan 101 pengenal varian virus bau. Bagi Anda pengguna PCMAV 4.2, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.
Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet (non-proxy). Fitur Automatic Updates dari
PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV.
Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.
Daftar tambahan virus hingga PCMAV 4.2 Update Build2:
Aksika-Kere.E
Aksika-Kere.E.txt
ArieLiverMartilina
ArieLiverMartilina.inf
ArieLiverMartilina.msg
BassAlac
BassAlac.dll
BlankBin
BlankBin.inf
Boller
Boller.inf
CintaFitri
CintaFitri.bat
ColdHot
ColdHot.inf
CyborgBrondong
Defecha
DEnkrip
DigitalCat
DigitalCat.html.A
DigitalCat.html.B
DigitalCat.inf
DirLock.A
DirLock.A.inf
DirLock.B
DirLock.B.inf
DirLock.B.inf.dll
FullHouse.D
Funva
Hakif
Intimidate
Julia
Julia.cmd.A
Julia.cmd.B
Julia.cmd.C
Julia.html
Julia.vbs.A
Julia.vbs.B
Kanigalindo
Kanigalindo.inf
Kanigalindo.txt
Kopat
Kopat.exe
Momo
Mshearts.vbs.C
MsIps
MsIps.inf
MsIps.ocx.A
MsIps.ocx.B
MsIps.vbs
MyPCMD.B
MyVideo
MyVideo.exe
MyVideo.txt
Out-MGRX
Out-MGRX.txt
PC-Team
PC-Team.bat
PC-Team.inf.A
PC-Team.inf.B
Priza
Priza.bmp
Priza.htm
Priza.inf
Proggy
Ramz
Ramz.inf
Recycler.AX
Recycler.AX.inf
Recycler.AY
Recycler.AY.inf
Recycler.AZ
Recycler.AZ.inf
Recycler.BA
Recycler.BA.inf
Recycler.BB
Recycler.BB.inf
Recycler.BC
Recycler.BC.inf
Rieysha-Jogja.D
Rieysha-Jogja.D.txt
Rieysha-Jogja.ini
Sabotage.C
Sabotage.C.inf
Sabotage.C.ini
Sabotage.C.job
Sabotage.C.txt
Tondano
Tondano.bat
Tondano.inf
Tondano.txt
TripleBox
VB-Shortcut-WinLogon.A
VB-Shortcut-WinLogon.B
VB-Shortcut-WinLogon.C
VB-Shortcut-WinLogon.D
VB-Shortcut-WinLogon.E
VB-Shortcut-WinLogon.F
VB-Shortcut-WinLogon.G
YDU.vbs
YDU.vbs.inf
atau download melalui link dibawah ini
Download Link :
1. Hanya PCMAV 4.2 Ragnarok 2 :
Link 1 = PCMAV 4.2
Link 2 = PCMAV 4.2
2. Hanya update (.vdb) Build2 :
Link 1 = Update Build 2
Link 2 = Update Build 2
Link 2 = PCMAV 4.2
2. Hanya update (.vdb) Build2 :
Link 1 = Update Build 2
Link 2 = Update Build 2
makasih infonya,,,salam kenal
BalasHapus