Delp-Shortcut. Rupanya teror worm yang mengeksploitasi shortcut belum berakhir meskipun tahun 2010 telah dilewati. Kami mendapat banyaknya laporan dari user mengenai adanya file shorcut yang tidak bisa di hapus dan ada file mencurigakan dengan nama mso.sys.
A. File Info
Nama: Delp-Shortcut
Asal: Brazil (masih dugaan)
Ukuran File: 25.5 KB (26,112 bytes)
Packer: UPX
Pemrograman: Delphi
Icon: Menyerupai system file
Tipe: Worm
Asal: Brazil (masih dugaan)
Ukuran File: 25.5 KB (26,112 bytes)
Packer: UPX
Pemrograman: Delphi
Icon: Menyerupai system file
Tipe: Worm
B. Tentang Malware
Bebeda dengan kerabat dekatnya yaitu VB-Shorcut yang juga mengeksploitasi shortcut, worm Delp-Shortcut dibuat menggunakan Delphi. Dengan menggunakan ekstensi *.sys, worm yang sebenarnya adalah file DLL32, mampu menyebar begitu cepat dengan bantuan shortcut yang diciptakannya. Agar bisa berjalan di memory, worm ini akan menempel pada file Run32dll.exe.
Kami menduga worm ini berasal dari Brazil, karena Delp-Shortcut mencoba mengakses sebuah alamat IP melalui port 1036, yang jika di trace berasal dari Brazil . Walau tidak tertutup kemungkinan IP tersebut hanyalah IP dari domain / hosting yang sengaja dibuat oleh virus maker-nya dan kebetulan berada di Brazil.
C. Companion/File yang dibuat
Delp-shortcut akan membuat 5 buah file shortcut dengan nama Documment and Settings.lnk, Program Files. lnk, RECYCLER.lnk, System Volume Information.lnk dan WINDOWS.lnk seperti yang terlihat pada gambar di atas. Shortcut yang diciptakan worm ini hanya menginfeksi Drive C, D, E, F, dan G.
Selain itu semua file shortcut yang dibuat akan mengarah kepada file mso.sys yang kemudian mengaktifkan Run32DLL.exe agar bisa berjalan di memory.
D. Hasil Infeksi
Beberapa kali kami mendapatkan Delp-Shortcut mencoba membuat hang explorer.exe setelah mengakses IP yang sudah di jelaskan di atas. Agar bisa berjalan saat startup, worm ini membuat Startup pada registry dan membuat companion dengan nama Microsoft Update.lnk di folder Startup.
Selain itu, companion dari malware ini juga terdapat pada folder:
• C:\Documents and Settings\-ede\Favorites\Microsoft update.lnk
• C:\Documents and Settings\All Users\Start Menu\Internet Explorer.lnk
E. Pembersihan
Gunakan PCMAV 4.6 Update Build1 untuk membersihkan Delp-Shortcut.
PCMAV 4.6 Update Build1
Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 4.6 Update Build1 telah hadir dengan penambahan 60 pengenal varian virus baru. Bagi Anda pengguna PCMAV 4.6, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.
Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.
Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link Dibawah artikel ini:
Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.
Daftar tambahan virus hingga PCMAV 4.6 Update Build1:
Delp-Shortcut
Delp-Shortcut.lnk.A
Delp-Shortcut.lnk.B
Delp-Shortcut.lnk.C
Delp-Shortcut.lnk.D
Delp-Shortcut.lnk.E
Ebetazijl.A
Ebetazijl.A.inf
Ebetazijl.B
Ebetazijl.B.lnk
FakeAV-Downloader.G
FakeDownloader.A
FakeDownloader.B
FakeDownloader.B.dll.A
FakeDownloader.B.dll.B
FakeDownloader.C
FakeDownloader.C.dll.A
FakeDownloader.C.dll.B
FakeDownloader.D
FakeDownloader.D.dll
FakeDownloader.D.exe
FakeDownloader.E
FakeDownloader.F
FakeDownloader.F.bat
FakeDownloader.F.job
FakeDownloader.G
FakeDownloader.G.DLL
FakeDownloader.H
FakeDownloader.H.bat
FakeDownloader.H.job
FakeDownloader.H.sim
FakeDownloader.I
FakeDownloader.J
FakeDownloader.K
FakeDownloader.L
FakeDownloader.L.exe
FakeDownloader.M
FakeDownloader.N
FakeDownloader.O
HoneyMoon.vbs
HoneyMoon.vbs.inf
Khetex.B
NDI.vbs
NDI.vbs.gen
NDI.vbs.inf
NDI.vbs.txt
NineOClock
Rascal.B
Restore.D
Restore.D.inf
Restore.E
Restore.E.inf
SkyNet.F
Spesial
VB-Shortcut-1.lnk.A
VB-Shortcut-1.lnk.B
VB-Shortcut-1.lnk.C
VB-Shortcut-1.lnk.D
Vedasetion
Vedasetion.tmp
PCMAV 4.6 Update Build1 telah tersedia dengan penambahan 60 database virus baru yang telah berhasil ditambahkan pada update build kali ini. Update PCMAV dapat dilakukan secara otomatis dengan memilih “Update” pada menu klik kanan icon PCMAV di system tray, ini salah satu fitur yang telah berhasil ditambahkan pada rilis PCMAV 4.6 Jika Anda ingin mendownload update build secara manual dapat melalui link dibawah ini.
(Keterangan Lengkap Lihat Gambar Di Bawah) .........
Note (Penting) :
- Setelah Download PCMAV 4.6 Ragnarok 3 extraks terlebih dahulu kemudian copy/cut seluruh Isi Yang Terdapat Dalam Folder ekstrakan tersebut kedalam folder PCMAV sebelumnya (PCMAV 4.5 Ragnarok 3), jika belum memiliki PCMAV 4.5 Ragnarok 3 silahkan Download disini PCMAV 4.5
- no.2 di Extract dahulu setelah itu dimasukan dalam folder PCMAV 4.5 Ragnarok 3/vdb
Download Here
1. Hanya PCMAV 4.6 Ragnarok 3 :
Link 1 = PCMAV 4.6
Link 2 = PCMAV 4.6
2. Hanya update (.vdb) Build1 :
Link 1 = Update Build 1
Link 2 = Update Build 1
Link 2 = PCMAV 4.6
2. Hanya update (.vdb) Build1 :
Link 1 = Update Build 1
Link 2 = Update Build 1
Tidak ada komentar:
Posting Komentar