Autoit.FF.Bayangkan jika file dengan ukuran 4.12 MB ada di setiap folder pada flash disk Anda dan resource komputer terasa begitu lambat karena digunakan oleh aktivitas malware untuk membuat file tersebut. Jika ada 10 folder pada flash disk Anda, maka worm ini akan menghabiskan kapasitas 41.2 MB, dan jika ada 200 folder maka worm akan menghabiskan kapasitas sebesar 824 MB file dalam flash disk Anda.
A. Info Malware
Nama: Autoit.FF
Asal: -
Ukuran File: 4.12 MB (4,321,280 bytes)
Packer: -
Pemrograman: Autoit
Icon: Folder
Tipe: Worm
B. Tentang Malware
Tidak seperti yang terlihat bahwa worm ini berukuran lebih dari 4 MB, sebenarnya ukuran asli worm ini hanyalah 751 KB. Hal ini dikarenakan banyaknya data sampah yang sebenarnya tidak diperlukan disimpan oleh worm ini.
Seperti yang terlihat pada gambar di atas, terdapat 4 buah section yaitu UPX0, UPX1, .rsrc dan .MUPX1. Section UPX itu sendiri adalah section hasil compressing file, sedangkan .rsrc adalah tubuh asli dari worm. Yang menarik adalah .MUPX1 karena jika section ini di pisahkan (dump) maka akan dihasilkan sebuah file dump yang berukuran 3.83 MB (4,016,640 bytes) dan salah satu penggalan isinya adalah seperti gambar di bawah:
C. Companion/File yang dibuat
Setelah aktif di memory, worm ini akan membuat beberapa file yang akan dijadikan hostnya seperti:
C:\WINDOWS\regsvr.exe
C:\WINDOWS\system32\regsvr.exe
C:\WINDOWS\system32\svchost .exe
C:\WINDOWS\system32\setting.ini
C:\WINDOWS\system32\setup.ini
Selain banyaknya file yang dibuat pada flash disk, worm ini akan membuat file autorun.inf dan 2 buah file utama yang salah satunya akan dieksekusi jika user menjalankan fungsi autoplaynya.
D. Hasil Infeksi
Agar bisa berjalan saat startup, worm ini membuat startup di registry.
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ Msn Messsenger
C:\WINDOWS\system32\regsvr.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = Explorer.exe, regsvr.exe
Diduga kuat worm ini menyebar juga melalui Email, terbukti dengan worm ini membaca seluruh nama user yang terdapat pada phone book serta mengakses beberapa IP dan website seperti:
67.195.xx.xx (disamarkan)
www.yahoo.com
yahoo.com
E. Pembersihan
Worm ini telah dikenali dan dapat dibersihkan pada PCMAV 5.0 update1 ini.
PCMAV 5.0 Update Build1
Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 5.0 Update Build1 telah hadir dengan penambahan 48 pengenal varian virus baru. Bagi Anda pengguna PCMAV 5.0, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.
Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.
Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link dibawah ini:
Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.
Daftar tambahan virus hingga PCMAV 5.0 Update Build1 :
Arzon.C
Autoit-ReplaceIcon.D
Autoit-ReplaceIcon.E
Autoit-ReplaceIcon.F
Autoit.FF
Autoit.FF.inf
CoolFace-Mutant.I
Crazya
Crazya.inf
Cronograma.A
Cronograma.A.dropper
Cronograma.A.hosts
Cronograma.B
Cronograma.B.dropper
Cronograma.B.hosts
DHelp
DHelp.exe
FakeCalc
FakeCalc.exe.A
FakeCalc.exe.B
Fanny.lnk.G
Gen.VBVimaker.setup
Gen.VBVimaker.setup.SN
Gen.VBVimaker.setup.txt.A
Gen.VBVimaker.setup.txt.B
Gen.VirVBS.B
Locatory.B
Ramnit.A.Variant
Ramnit.B.Variant
Ramnit.C.Variant
Ramnit.D.Variant
Ramnit.E.Variant
Ramnit.F.variant
Ronkor.C
Ronkor.C.htt
Ronkor.C.txt
SystemTools
ViewFiles
XSample.vbs
XSample.vbs.inf
XSample.vbs.ini
XSample.vbs.lnk.A
XSample.vbs.lnk.B
XSample.vbs.lnk.C
XSample.vbs.lnk.D
XSample.vbs.lnk.E
XSample.vbs.lnk.F
XSample.vbs.mp3
PCMAV 5.0 Update Build1 telah tersedia dengan penambahan 48 database virus baru yang telah berhasil ditambahkan pada update build kali ini. Update PCMAV dapat dilakukan secara otomatis dengan memilih “Update” pada menu klik kanan icon PCMAV di system tray, ini salah satu fitur yang telah berhasil ditambahkan pada rilis PCMAV 5.0 Jika Anda ingin mendownload update build secara manual dapat melalui link dibawah ini.
(Keterangan Lengkap Lihat Gambar Di Bawah) .........
>>> Selamat Mencoba <<<
Note (Penting) : - Setelah Download PCMAV 5.0 Valhalla extraks terlebih dahulu kemudian copy/cut seluruh Isi Yang Terdapat Dalam Folder ekstrakan tersebut kedalam folder PCMAV sebelumnya (PCMAV 4.7 Ragnarok 3), jika belum memiliki PCMAV 4.7 Ragnarok 3 silahkan Download disini PCMAV 4.7
- no.2 (Hanya update (.vdb) Build1) di Extract dahulu setelah itu dimasukan dalam folder PCMAV 4.6 Ragnarok 3/vdb
Download Here
1. Hanya PCMAV 5.0 Valhalla :
Link 1 = PCMAV 5.0
Link 2 = PCMAV 5.0
2. Hanya update (.vdb) Build1 :
Link 1 = Update Build 1
Link 2 = Update Build 1
Link 2 = PCMAV 5.0
2. Hanya update (.vdb) Build1 :
Link 1 = Update Build 1
Link 2 = Update Build 1
Tidak ada komentar:
Posting Komentar