FontPorn. Sample virusnya pertama kali kami dapatkan dari user yang berada di daerah Jember, Jawa Timur. Sampai saat ini laporan akan adanya malware lokal semakin berkurang. Justru malware yang berasal dari luar negeri yang cukup banyak menyebar. Contohnya seperti FakeAV-Downloader yang didapatkan dari email. Atau malware yang masih menggunakan shortcut sebagai jalan pintas menjalankan file malwarenya seperti FontPorn. Malware ini mencoba mengakses IP yang setelah ditelusuri berasal dari Ukraina/Ukraine.
A. Info Malware
Nama: FontPorn
Asal: Ukraina (dugaan)
Ukuran File: 58.0 KB (59,392 bytes)
Packer: -
Pemrograman: Microsoft Visual C++
Icon: Font File
Tipe: Worm
B. Tentang Malware
Namanya di ambil dari iconnya yang seperti file Font dan selalu membuat shortcut dengan nama yang mengandung kata “Porn”. Dengan merubah ekstensi suatu file adalah cara lain untuk menyamar sehingga tidak dicurigai sebagai executable file. Seperti halnya Stuxnet, Delph-Shortcut, Fanny yang sebenarya adalah file DLL (Dynamic-link library). Untuk bisa aktif di memory, malware memanggil Rundll32.exe terlebih dahulu. Maka dari itu, shortcut dibuat untuk menjalankan file DLL dengan menggunakan Rundll32.exe. Contohnya adalah sebagai berikut:
C:\WINDOWS\system32\rundll32.exe [nama malware].*,[parameter dari malware sendiri]
Dengan begitu, apapun extensi file DLLnya tetap saja bisa dijalankan asalkan menggunakan perintah di atas. Shortcut dengan berbagai Icon dan nama yang mengandung unsur social engineering dapat juga digunakan sebagai media pemanggil pengganti autorun.
C. Companion/File yang dibuat
Membuat 2 buah file di folder:
C:\Documents and Settings\[nama user]\Local Settings\Temp\
Membuat 5 Buah file di flash disk.
1. autorun.inf
2. pornmovs.lnk (icon folder)
3. myporno.avi.lnk (icon file video)
4. setup50045.lnk (icon shortcut)
5. setup50045.fon (host dengan icon font file)
Semua shortcut yang dibuat, jika di jalankan akan mengaktifkan FontPorn. Seperti yang terlihat pada isi dari shortcutnya.
D. Hasil Infeksi
Ciri dari FontPorn, selalu membuat file host dengan nama yang diawali kata “srv”, seperti gambar di atas. Setelah akif di memory, proses worm FontPorn menempel pada proses spoolsv.exe atau pada svchost.exe.
Fontporn juga akan melakukan koneksi ke beberapa IP, dan mencoba mengakses sebuah url yang disisipkan pada file DLL yang lain.
http://195.14.xxx.xxx/service/scripts/files/aff_50045.dll
http://195.14.xxx.xxx/service/scripts/files/aff_50046.dll
E. Pembersihan
Worm ini telah dikenali dan dapat dibersihkan pada PCMAV 5.1 Update Build2 ini berikut ini.
PCMAV 5.1 Update Build2
Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 5.1 Update Build2 telah hadir dengan penambahan 75 pengenal varian virus baru. Bagi Anda pengguna PCMAV 5.1, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.
Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.
Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link dibawah ini:
Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.
Daftar tambahan virus hingga PCMAV 5.1 Update Build2 :
Adeied
Adeied.dll
Autoit.FJ
Autoit.FJ.inf
Autoit.FK
Autoit.FK.inf
AutoPah
BadShortcut
DeathDrive.G
Dhoos.C
Dhoos.C.dll
Dhoos.C.sys
Dini.vbs.A
Dini.vbs.B
Dini.vbs.inf
Dret
EGold
EGold.dll
EGold.drp
EGold.txt
Erci
Erci
Fadss
Fadss.bat
Fadss.bing
Fadss.inf.A
Fadss.inf.B
Fadss.inf.C
Fadss.inf.D
Fadss.inf.E
Fadss.junk
Fadss.pass
Fadss.php
Fadss.vbs
FakeAV-Downloader.K
FakeAV-Downloader.K.dat
FakeAV-Downloader.K.tmp
FontPorn
FontPorn.dll.A
FontPorn.dll.B
FontPorn.ini.A.ini
FontPorn.ini.B
FontPorn.lnk
Hyart
Kulion
Kulion.dll
Ramnit.G.Variant
Ramnit.H.Variant
Ramnit.I.Variant
Ramnit.J.Variant
Recycler.BP
Recycler.BP.inf
Seppeto
Serviks.D
Serviks.E
Serviks.E.exe.A
Serviks.E.exe.B
Serviks.E.inf
Serviks.E.ini
Serviks.F
Serviks.F.exe.A
Serviks.F.vbs
Serviks.G
Serviks.G.bmp.A
Serviks.G.bmp.B
Serviks.G.bmp.C
Serviks.G.inf
Serviks.G.txt
Serviks.H
Serviks.H.rar
Serviks.I
Svx
TeraBit
TeraBit.txt
X-Rown
PCMAV 5.0 Update Build2 telah tersedia dengan penambahan 68 database virus baru yang telah berhasil ditambahkan pada update build kali ini. Berarti ada penambahan 20 database virus dari build1 yang hanya 48 database. Update PCMAV dapat dilakukan secara otomatis dengan memilih “Update” pada menu klik kanan icon PCMAV di system tray, ini salah satu fitur yang telah berhasil ditambahkan pada rilis PCMAV 5.0 Jika Anda ingin mendownload update build secara manual dapat melalui link dibawah ini.
(Keterangan Lengkap Lihat Gambar Di Bawah) .........
>>> Selamat Mencoba <<<
Note (Penting) : - Setelah Download PCMAV 5.0 Valhalla extraks terlebih dahulu kemudian copy/cut seluruh Isi Yang Terdapat Dalam Folder ekstrakan tersebut kedalam folder PCMAV sebelumnya (PCMAV 4.7 Ragnarok 3), jika belum memiliki PCMAV 5.0 Valhalla silahkan Download disini PCMAV 5.0
- no.2 (Hanya update (.vdb) Build2) di Extract dahulu setelah itu dimasukan dalam folder PCMAV 5.1 Valhalla/vdb
Download Here
1. Hanya PCMAV 5.1 Valhalla :
Link 1 = PCMAV 5.1
Link 2 = PCMAV 5.1
2. Hanya update (.vdb) Build1 :
Link 1 = Update Build 2
Link 2 = Update Build 2
Link 2 = PCMAV 5.1
2. Hanya update (.vdb) Build1 :
Link 1 = Update Build 2
Link 2 = Update Build 2
Tidak ada komentar:
Posting Komentar