PCMAV 4.5 Ragnarok 3 + Clamav 0.96.5 + Build 1

PCMAV 4.5 Ragnarok 3 + Clamav 0.96.5 + Bulid 1

Ebetazijl.B: Made in Spain?

Ebetazijl.B.  “..Abrir la carpeta para ver los archivos..” merupakan bahasa Spanyol yang dalam bahasa Inggris adalah “Open folder to view files”. Memang sedikit sulit membaca nama malware yang satu ini. Sebelumnya kami pernah mendapatkan Ebetazijl.A yang tidak membuat shortcut di flash disk. Selain VB-Shortcut, Ebetazijl.B menambah data malware yang dibuat menggunakan Visual Basic dan membuat shortcut, meskipun kami dapatkan beberapa varian dibuat menggunakan C++ dan Delphi.

A. File Info

Nama: Ebetazijl.B
Asal: Unknown
Ukuran File: 36.0 KB
Packer: -
Pemrograman: Visual Basic 6.0
Icon: Winlogon.exe
Tipe: Worm

B. Nama Malware

Nama worm ini di ambil dari nama Product Name yang selalu terdapat text Ebetazijl.B seperti yang terlihat pada gambar di bawah ini:




C. Shortcut dan Autorun

Seperti yang di tuliskan diawal pembahasan, malware ini membuat Shortcut yang sama seperti worm VB-Shortcut.



Akan tetapi terdapat perbedaan pada Target dari shortcut tersebut dan biasanya, VB-Shortcut selalu meng-hidden semua folder di flash disk, sedangkan Ebetazijl.B hanya membuat shortcut yang semua shortcutnya mengarah pada file autorun.exe. Berikut adalah isi textnya:

1	%SystemRoot%\system32\rundll32.exe url.dll,FileProtocolHandler DrivesGuideInfo\autorun.exe

Tampilan Autoplay pada gambar di atas, adalah hasil autorun yang dibuat oleh Ebetazijl.B seperti yang terlihat pada gambar di bawah:



Dengan bantuan file autorun.inf di atas, maka jika user memilih menu open pada flash disk, yang di jalankan adalah worm Ebetazijl.B dengan nama autorun.exe yang terdapat pada folder:

?

1	DrivesGuideInfo - S-1-7-21-1439977401-7444491467-600013330-9141

Agar Folder S-1-7-21-1439977401-7444491467-600013330-9141 terlihat sama seperti Recycle Bin, worm ini menambahkan desktop.ini di dalam foldernya.



Dengan kata lain, dapat di analogikan Autorun dengan fungsi autoplay akan memanggil worm Ebetazijl.B yang terdapat di folder :

DrivesGuideInfo\S-1-7-21-1439977401-7444491467-600013330-9141\autorun.exe
Sedangkan user juga akan mengaktifkan worm Ebetazijl.B jika menjalankan shortcut pada flash disk yang file targetnya mengarah pada folder:

DrivesGuideInfo\autorun.exe


D. Infeksi

Mencoba melakukan update dengan memanfaatkan koneksi internet ke website:

http://www.0-0-0-0-0-0-0-0-0-0-0-0-0-18-…….info/ (sebagian teks disamarkan)

Membuat 2 startup agar bisa langsung aktif setelah masuk windows dan bisa di lihat pada MsConfig.

1	HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NVIDIA Media Center Library C:\WINDOWS\winlogon.exe HKCU\\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NVIDIA Media Center Library C:\WINDOWS\winlogon.exe

Worm ini mengecoh user dengan icon yang sama dengan file winlogon.exe milik Windows. Karena perbedaan yang paling mendasar adalah, winlogon (Windows) berada di proses System Idle sedangkan Ebetazijl.B berada di Explorer.



Worm Ebetazijl.B dapat dibersihkan dengan menggunakan PCMAV 4.5 Update Build1. Bagi user yang belum terinfeksi tidak perlu khawatir karena dengan kemampuan RTP-PCMAV dapat menghalau worm Ebetazijl.B.










PCMAV 4.5 Update Build1

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 4.5 Update Build1 telah hadir dengan penambahan 65 pengenal varian virus baru. Bagi Anda pengguna PCMAV 4.5, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.

Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 4.5 Update Build1:
Autoit.FB
Autoit.FC
Autoit.FC.ini
Autoit-ReplaceIcon.B
Autoit-ReplaceIcon.C
Baidu
Baidu.dll
Baidu.dns
Baidu.host
Baidu.inf
Beds
Bekol
BudiLuhur.C
BudiLuhur.C.inf
DelPS
DelPS.ini
Ebetazijl.A
Ebetazijl.A.inf
Ebetazijl.A.ini
Ebetazijl.B
Ebetazijl.B.lnk
HB10
Malingsi.AA
Malingsi.Y
Malingsi.Z
Malingsi.Z.dll
Malingsi.Z.exe
Malingsi.Z.ini
Malingsi.Z.mrc
Mshearts.vbs.C
MsKunti.vbs
MsKunti.vbs.html
MsKunti.vbs.inf
MsKunti.vbs.ini
MsKunti.vbs.txt
Nami-Ternate
Nami-Ternate.bat.A
Nami-Ternate.bat.B
Nami-Ternate.bat.C
Nami-Ternate.bat.D
Nami-Ternate.inf.A
Nami-Ternate.inf.B
Nami-Ternate.ini.A
Nami-Ternate.ini.B
Nami-Ternate.ini.C
Nami-Ternate.txt.A
Nami-Ternate.txt.B
Poet-Kompti
Poet-Kompti.txt
RedWines.B
Samok.vbs
Samok.vbs.bat
Samok.vbs.inf
Serviks.C
Serviks.C.html
Serviks.C.inf
Serviks.C.vbs
Sherry
VB-Shortcut-WLogon.A
VB-Shortcut-WLogon.B
VB-Shortcut-WLogon.C
VB-Shortcut-WLogon.D
VB-Shortcut-WLogon.E
VB-Shortcut-WLogon.F
VB-Shortcut-WLogon.G


Inilah dia yang ditunggu-tunggu CLAMAV 0.96.5 plugins untuk PCMAV 4.5 Ragnarok3 yang telah saya coba integrasikan ternyata berhasil (Keterangan Lengkap Lihat Gambar Di Bawah) .........

>>> Selamat Mencoba <<<

Note :

no.2 di Extract dahulu setelah itu dimasukan dalam folder PCMAV 4.5 Ragnarok 3/vdb

1. Hanya PCMAV 4.5 Ragnarok 3 :

Link 1 = PCMAV 4.5
Link 2 = PCMAV 4.5

2. Hanya update (.vdb) Build1 :
Link 1 = Update Build 1
Link 2 = Update Build 1