FontPorn.B. Masih ingat dengan worm yang iconnya mirip sebuah file font?, FontPorn yang pernah di bahas kini datang lagi dengan pola penyebaran dan teknik yang hampir sama. Nyaris tidak ada perbedaan dari varian sebelumnya. Yang menarik adalah, berbeda dengan FontPorn.A yang mengakses sebuah website yang berasal dari Ukraina/Ukraine, kali ini website yang berasal dari Romania.
A. Info File
Nama Worm : FontPorn.B
Asal : Romania
Ukuran File : 62.5 KB (64,000 bytes) / 64.0 KB (65,536 bytes)
Packer : ~
Pemrograman : Microsoft Visual C++ ver. ~6.0~7.10
Icon : Font File
Tipe : Worm
B. About Malware
FontPorn.A pernah di bahas di link berikut : http://virusindonesia.com/2011/05/24/font-porn/ , laporan akan adanya virus dengan icon font yang gejalanya mirip infeksi FontPorn, pertama kali kami dapatkan dari forum virusindonesia.com (http://virusindonesia.com/forum/viewtopic.php?id=1086) dan sampelnya kami dapatkan dari salah satu user yang berasal dari Surabaya. Selain itu, kami juga mendapatkan sampel dari Pekan Baru dan Riau. Hal ini menandakan bahwa worm FontPorn ini masih menyebar Indonesia.
C. Companion/File yang dibuat
Tidak jauh berbeda dengan varian sebelumnya, FontPorn membuat Host di folder Temporary
C:\Documents and Settings\Administrator\Local Settings\Temp\srv****.tmp (*** berisi angka acak, file ini sebenarnya merupakan file DLL)
Dan beberapa shortcut di Removable Disk :
- myporno.avi.lnk
- pornmovs.lnk
- setup1911.lnk
Autorun.inf, yang isi sourcenya terdiri dari beberapa karakter acak:
[AutoRuN]
AcTIon=OPeN
tostpqxvrjomspfti=nqrpswtrveposhyrvbvlpdmecbrnqsdw
icoN=%WIndIr%\SYsTem32\shELl32.dll,4
qguvwxwcrurfmlq=bqomtnxycqgkjdwovpppdri
USeAUtOPlaY=1
yhmprvxmaexaymhlkyuekgrqwyue=dgdthyfaxieuovqb
open=RunDLl32.exE SeTuP1911.foN,29dcC
dmcxuoyhxfu=rjhjwhlrmtusiwnvkovlxdmvggieoflt
sHeLl\exPLOrE\cOmmaND=RuNdll32.eXe SEtuP1911.FON,29DCC
lglhxb=sekxuadigguiboukpwqmoxikgmgggwqowsh
SheLl\opeN\cOMMand=RUNdll32.ExE setuP1911.FoN,29Dcc
ordshvveeefgmb=qwycdgrawtyymtscusyc
Yang ditampilkan pada AutoPlay adalah:
Dan yang terakhir adalah host yang dibuat nantinya akan dipanggil oleh shortcut atau autorun.inf dengan nama:
- setup1911.fon
D. Hasil Infeksi
1. Mencoba menyebar melalu jaringan dan menginfeksi komputer yang terhubung dengan jaringan tersebut.
2. Mencoba mengakses suatu website melalui porses svchost.exe atau spoolsv.exe dan melakukan pengiriman paket data tanpa sepengetahuan user.
Mengakses website melalui svchost.exe
Mengakses website melalui spoolsv.exe
Mengirimkan data paket ke website yang dituju.
3. Jika user dengan sengaja membuka Alamat yang diakses oleh FontPorn.B, maka user akan diminta untuk mendownload sebuah file dengan alasan browser yang sedang digunakan harus di-update. File yang di download tidak lain ada companion dari FontPorn.B sendiri.
tampilan website yang dituju oleh FontPorn.B
Tampilan Download Security Warning jika user mencoba mendownload file tersebut.
setelah diperhatikan lebih jauh, ternyata di dalam source code halaman website terdapat copyright pembuatnya. Serta pesan yang tidak ditampilkan.
E. Pembersihan
PCMAV 5.5 Update Build2
Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 5.5 Update Build2 telah hadir dengan penambahan 52 pengenal varian virus baru. Bagi Anda pengguna PCMAV 5.5, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.
Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.
Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link dibawah ini:
Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.
Daftar tambahan virus hingga PCMAV 5.5 Update Build2:
ErrorLove.vbs
ErrorLove.vbs.inf
ErrorLove.vbs.txt
FBSurprise
FBSurprise.drp
FBSurprise.exe.A
FBSurprise.exe.B
FBSurprise.job.A
FBSurprise.job.B
FBSurprise.jpg
FBSurprise.tmp.A
FBSurprise.tmp.B
FBSurprise.tmp.C
FontPorn.B
FontPorn.B.exe.A
FontPorn.B.exe.B
FontPorn.B.lnk
FontPorn.B.tmp
NgrBot.A.dat.variant
NgrBot.A.drp.A.variant
NgrBot.A.drp.B.variant
NgrBot.A.drp.C.variant
NgrBot.A.exe.A.variant
NgrBot.A.exe.B.variant
NgrBot.A.inf.variant
NgrBot.A.lnk.variant
NgrBot.A.variant
NgrBot.B.inf.variant
NgrBot.B.variant
NgrBot.C.variant
NgrBot.D.variant
NgrBot.E.variant
NgrBot.F.variant
NgrBot.G.variant
NgrBot.H.variant
None
Romantic
Romantic.inf
SmallSmile.vbs
SmallSmile.vbs.inf
TODO
TODO.drp
UltraSurf.A
UltraSurf.A.bat
UltraSurf.B
UltraSurf.C
UltraSurf.D
UltraSurf.D.bat
X-Sample.vbs.C
X-Sample.vbs.C.inf
X-Sample.vbs.C.ini
X-Sample.vbs.C.mp3
PCMAV 5.5 Update Build2 telah tersedia dengan penambahan 52 database virus baru yang telah berhasil ditambahkan pada update build kali ini. Berarti ada penambahan 26 database virus dari build1 yang hanya 26 database. Update PCMAV dapat dilakukan secara otomatis dengan memilih “Update” pada menu klik kanan icon PCMAV di system tray, ini salah satu fitur yang telah berhasil ditambahkan pada rilis PCMAV 5.5 Jika Anda ingin mendownload update build secara manual dapat melalui link dibawah ini.
(Keterangan Lengkap Lihat Gambar Di Bawah) .........
>>> Selamat Mencoba <<<
Note (Penting) : - Setelah Download PCMAV 5.5 Valhalla extraks terlebih dahulu kemudian copy/cut seluruh Isi Yang Terdapat Dalam Folder ekstrakan tersebut kedalam folder PCMAV sebelumnya (PCMAV 5.4 Valhalla), jika belum memiliki PCMAV 5.4 Valhalla silahkan Download disini PCMAV 5.4
- no.2 (Hanya update (.vdb) Build2) di Extract dahulu setelah itu dimasukan dalam folder PCMAV 5.5 Valhalla/vdb
Download Here
1. Hanya Download PCMAV 5.5 Valhalla :
PCMAV 5.5 (idws)
Mirror Link :
PCMAV 5.5 (4shared)
PCMAV 5.5 (ziddu)
2. Hanya Download update (.vdb) Build2 :
Update Build 2 (idws)
Mirror Link :
Update Build 2 (4shared)
Update Build 2 (ziddu)
Mirror Link :
PCMAV 5.5 (4shared)
PCMAV 5.5 (ziddu)
2. Hanya Download update (.vdb) Build2 :
Update Build 2 (idws)
Mirror Link :
Update Build 2 (4shared)
Update Build 2 (ziddu)
Tidak ada komentar:
Posting Komentar