Jangan Komentar...!!! Tapi Baca Dulu Baru Komentar Thank's Jika Mo Kasih Saran & Kritikan

Build 3




XSample.vbs


XSample.vbs. Gambar di atas adalah salah satu hasil infeksi dari salah satu malware yang kami dapatkan dengan nama XSample.vbs. Worm ini menggunakan rekayasa sosial yang cukup menarik, yaitu dengan menggunakan nama FreeJAV.com_Hot-Student.avi akan membuat beberapa user mengabaikannya atau malah menjalankannya. Dan hasilnya adalah file tersebut tidak akan bisa di putar layaknya file video karena file tersebut adalah file VBS.



A. Info File
Nama Worm : XSample.vbs
Asal : Indonesia
Ukuran File : 17.1 KB (17,564 bytes)
Packer : ~
Pemrograman : VBScript
Icon : AVI
Tipe : Worm

B. About Malware
Seakan mengikuti tren malware tipe worm saat ini, XSample.vbs juga banyak membuat shortcut. Akan tetapi yang menarik adalah justru bukan shortcut yang dibuatnya, melainkan penyamaran yang digunakan oleh worm ini. Pada dasarnya worm ini hanyalah memotong beberapa line codenya yang setelah diteliti lebih jauh adalah line code yang biasa dijadikan signature atau teknik pendeteksian secara heuristik untuk file VBS oleh beberapa antivirus. Sebagai contoh seperti yang terlihat pada gambar di bawah ini.

XSample.vbs

Jarang sekali teknik pemotongan line code yang kemudian di panggil kembali digunakan oleh malware tipe worm yang dibuat dengan menggunakan bahasa pemrograman VBScript. Selain itu, dengan menggunakan parameter //E:VBSCript yang sama seperti Serviks.vbs.B yaitu membuat wscript.exe tetap menjalankan file vbs meskipun tidak berekstensi *.vbs. Penggunaan parameter ini adalah untuk mejalankan malware yang dihasilkan dengan ekstensi .AVI. Rekayasa sosial yang digunakan adalah dengan membawa kata-kata yang mengandung unsur pornografi.

C. Companion/File yang dibuat
Worm XSample.vbs mengcopykan hostnya ke folder Windows dan membuat autorun di setiap drive. Selain itu membuat shortcut pada desktop dengan nama:
  • Int3rn3t Xpl0r3r.lnk
  • L0g 0ff C0mput3r.lnk
  • R3st4T C0mput3r.lnk
  • Turn 0ff C0mput3R.lnk
Membuat folder dengan nama “RECYCLER” di tiap drive yanbg ditemui, dan di dalamnya juga terdapat folder dengan nama “um4K-r3tupm0K-3K-ku54M-l154hr3B-uk4” yang jika diperhatikan membentuk sebuah kalimat :
um4K-r3tupm0K-3K-ku54M-l154hr3B-uk4
4ku-B3rh451l-M45uk-K3-K0mput3r-K4mu
Aku Berhasil Masuk Ke Komputer Kamu

Worm ini juga membuat folder dengan nama “? Smad-Lock (Brankas Smadav) ?” yang di dalamnya terdapat file dengan nama Read Me.txt dan berisi pesan dari malware :

XSample.vbs

Pesan XSample.vbs juga ditunjukkan melalui sebuah file dengan nama “Kedatanganku – X-5ampl3.mp3” dan bukan benar-benar file MP3 melaikan file Text dan isinya adalah :

XSample.vbs

D. Hasil Infeksi
Tidak terlalu banyak registry yang dirubah oleh XSample.vbs, tetapi payload yang dibuatnya cukup merepotkan user yang terinfeksi malware ini.
  • Mendisable File dengan nama seperti:
    1. 123.exe
    2. 12345.exe
    3. 123456.exe
    4. abc.exe
    5. abcd.exe
    6. cmd.exe
    7. install.exe
    8. msconfig.exe
    9. mspaint.exe
    10. notepad.exe
    11. notepad++.exe
    12. PCMAV.exe
    13. processexplorer.exe
    14. processhacker.exe
    15. regedit.exe
    16. regedt32.exe
    17. RegistryEditor.exe
    18. SbieCtrl.exe
    19. setup.exe
    20. Smadav.exe
    21. taskmgr.exe
    22. vmware-vmx.exe
  • Mengcopykan file FreeJAV.com_Hot-Student.avi ke Folder Windows
  • Membuat Startup dengan nama Drives:
    • 1
    2
    HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Drives
    wscripT.exe //E:VBScripT C:\WINDOWS\FreeJAV.com_Hot-Student.avi
  • Disable beberapa fungsi windows:
    1. Turn Off
    2. Log Off
    3. Run Command
    4. Search
    5. File Associate
    6. MSI Installer
    7. Limit System Restore dan disable Sysem Restore
  • Merubah nama Properties pada My Computer
XSample.vbs
  • Merubah Nama Internet Explorer menjadi:
XSample.vbs
  • Membuat file shortcut pengganti untuk Shutdown, Restart, dan Log Off.
XSample.vbs
  • Menghapus salah satu key pada registry yang berfungsi untuk membedakan file shortcut dan yang bukan shorcut. Sehingga hasilnya adalah tanda panah ka atas pada file shortcut menjadi hilang.
  • Membuat File shortcut dengan nama yang bisa menipu user.
XSample.vbs
  • Jika mouse di arahkan ke dalam folder RECYCER, maka akan ada pesan sepert gambar di bawah ini.
XSample.vbs

PCMAV 4.6 Update Build3
Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 4.6 Update Build3 telah hadir dengan penambahan 120 pengenal varian virus baru. Bagi Anda pengguna PCMAV 4.6, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.

Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link dibawah artikel ini:

Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 4.6 Update Build3 :
Acehku.vbs
Amoumain
BlackId
Delp-Shortcut
Delp-Shortcut.lnk.A
Delp-Shortcut.lnk.B
Delp-Shortcut.lnk.C
Delp-Shortcut.lnk.D
Delp-Shortcut.lnk.E
Dhoos
Dhoos.dll
Dhoos.url.A
Dhoos.url.B
Dhoos.url.C
Ebetazijl.A
Ebetazijl.A.inf
Ebetazijl.B
Ebetazijl.B.lnk
FakeAV-Downloader.G
FakeAV-Downloader.H
FakeAV-Downloader.H.job
FakeAV-Downloader.H.lnk.A
FakeAV-Downloader.H.lnk.B
FakeAV-Downloader.H.lnk.C
FakeAV-Downloader.H.msi
FakeAV-Downloader.H.setup
FakeAV-Downloader.H.url
FakeAV-Downloader.H.xml
FakeAV-Downloader.I
FakeAV-Downloader.I.dat
FakeAV-Downloader.I.job
FakeAV-Downloader.I.lnk.
FakeAV-Downloader.I.lnk.A
FakeAV-Downloader.I.lnk.B
FakeAV-Downloader.I.lnk.C
FakeAV-Downloader.I.ref
FakeAV-Downloader.I.rtf
FakeAV-Downloader.I.setup
FakeAV-Downloader.I.unins
FakeAV-Downloader.I.url
FakeAV-Downloader.J.host
FakeAV-Downloader.J.ico
FakeAV-Downloader.J.job
FakeAV-Downloader.J.lnk.A
FakeAV-Downloader.J.lnk.B
FakeAV-Downloader.J.lnk.C
FakeAV-Downloader.J.setup
FakeAV-Downloader.J.url
FakeAV-Downloader.J.xml
FakeAV-Downloader.K
FakeAV-Downloader.K.dat
FakeAV-Downloader.K.dll.A
FakeAV-Downloader.K.dll.B
FakeAV-Downloader.K.dll.C
FakeAV-Downloader.K.job
FakeAV-Downloader.K.lnk.A
FakeAV-Downloader.K.lnk.B
FakeAV-Downloader.K.lnk.C
FakeAV-Downloader.K.lnk.D
FakeAV-Downloader.K.ref
FakeAV-Downloader.K.rtf
FakeAV-Downloader.K.unins
FakeAV-Downloader.K.url
FakeDownloader.A
FakeDownloader.B
FakeDownloader.B.dll.A
FakeDownloader.B.dll.B
FakeDownloader.C
FakeDownloader.C.dll.A
FakeDownloader.C.dll.B
FakeDownloader.D
FakeDownloader.D.dll
FakeDownloader.D.exe
FakeDownloader.E
FakeDownloader.F
FakeDownloader.F.bat
FakeDownloader.F.job
FakeDownloader.G
FakeDownloader.G.DLL
FakeDownloader.H
FakeDownloader.H.bat
FakeDownloader.H.job
FakeDownloader.H.sim
FakeDownloader.I
FakeDownloader.J
FakeDownloader.K
FakeDownloader.L
FakeDownloader.L.exe
FakeDownloader.M
FakeDownloader.N
FakeDownloader.O
HoneyMoon.vbs
HoneyMoon.vbs.inf
Khetex.B
NDI.vbs
NDI.vbs.gen
NDI.vbs.inf
NDI.vbs.txt
NineOClock
Rascal.B
Restore.D
Restore.D.inf
Restore.E
Restore.E.inf
SkyNet.F
Spesial
VB-Shortcut-1.lnk
Vedasetion
Vedasetion.tmp
Vemo-AV
XSample.vbs
XSample.vbs.inf
XSample.vbs.ini
XSample.vbs.lnk.A
XSample.vbs.lnk.B
XSample.vbs.lnk.C
XSample.vbs.lnk.D
XSample.vbs.lnk.E
XSample.vbs.lnk.F
XSample.vbs.mp3


PCMAV 4.6 Update Build3 telah tersedia dengan penambahan 120 database virus baru yang telah berhasil ditambahkan pada update build kali ini. berarti ada penambahan 35 database virus dari build2 yang hanya 85 database. Update PCMAV dapat dilakukan secara otomatis dengan memilih “Update” pada menu klik kanan icon PCMAV di system tray, ini salah satu fitur yang telah berhasil ditambahkan pada rilis PCMAV 4.6 Jika Anda ingin mendownload update build secara manual dapat melalui link dibawah ini...

(Keterangan Lengkap Lihat Gambar Di Bawah) .........







>>> Selamat Mencoba <<<

Note (Penting) :
  1. Setelah  Download PCMAV 4.6 Ragnarok 3 extraks terlebih dahulu kemudian copy/cut seluruh Isi Yang Terdapat Dalam Folder ekstrakan tersebut kedalam folder PCMAV sebelumnya (PCMAV 4.5 Ragnarok 3), jika belum memiliki PCMAV 4.5 Ragnarok 3 silahkan Download disini PCMAV 4.5
  2. no.2 di Extract dahulu setelah itu dimasukan dalam folder PCMAV 4.5 Ragnarok 3/vdb


Download Here

1. Hanya PCMAV 4.6 Ragnarok 3 :
Link 1 = PCMAV 4.6
Link 2 = PCMAV 4.6

2. Hanya update (.vdb) Build3 :
Link 1 = Update Build 3
Link 2 = Update Build 3
Posted by
Labels: , ,

1 komentar:

Langganan: Posting Komentar (Atom)