Kalau antivirus palsu (Rogue Antivirus) yang lain memiliki ciri khas menakut-nakuti korbannya dengan laporan infeksi virus yang palsu, maka antivirus palsu yang satu ini memiliki hobi melakukan blokir atas segambreng software sekuriti dan pengalihan file hosts Windows sehingga komputer korbannya yang berhasil di infeksinya tidak dapat mengakses situs-situs penyedia jasa sekuriti. Pengalihan Hosts file ini yang perlu diwaspadai oleh para pengguna komptuer, khususnya pengguna internet banking karena dengan pengalihan hosts, phishing website dan teknik rekayasa sosial yang tepat, hal ini berpotensi menyebabkan pembobolan pada akun internet banking. Sekalipun sudah dilengkapi dengan yang perlindungan Kalkulator PIN / Token (two factor authentication). Karena itulah penting bagi anda yang menggunakan Internet Banking untuk menggunakan antivirus yang memiliki fitur Proteksi Hosts file seperti yang diberikan oleh Dr Web Security Space.
Ciri-ciri dan gejala virus
Virus ini dibuat dengan menggunakan bahasa pemograman Visual Basic dengan ukuran sekitar 62 KB dengan menggunakan icon Visual Basic. (lihat gambar 1)
Gambar 1, virus induk Trojan.FakeAV.3510
Salah satu ciri yang dapat dikenali adalalah, setiap user membuka Internet explorer akan muncul website [http://www.qseach.com/?ref=kzCXow==] yang menyerupai website search engine www.google.com (lihat gambar 2). Selain itu akan muncul beberapa file shortcut dengan icon yang berbeda-beda, kabar baiknya file shortcut ini sementara hanya akan muncul di USB Flash. File shortcut ini merupakan file duplikat dari file/direktori yang disembunyikan oleh virus dengan tujuan untuk mengelabui user. (lihat gambar 3)
Gambar 2, Halaman utama Internet Explorer yang sudah di ubah
Gambar 3, file shortcut hasil duplikasi dari file yang disembunyikan oleh virus Trojan.FaveAV.3510
Dengan update terbaru Dr.Web antivirus sudah mendeteksi virus ini sebagai Trojan.FaveAV.3510 (lihat gambar 4)
Gambar 4, hasil deteksi Dr.Web anti-virus
File induk virus
Pada saat user menjalankan file induk virus, maka akan muncul pesan error (lihat gambar 5) kemudian ia akan membuat file induk yang akan di jalankan secara otomatis pada saat komputer booting.
Gambar 5, pesan error saat komputer booting
Berikut beberapa file yang akan dibuat oleh virus:
- C:\Documents and Settings\%user%\132616c4\winlogon.exe
Catatan: %user%, adalah user yang digunakan pada saat login Windows
Registri Windows
Agar file tersebut dapat di aktifkan secara otomatis pada saat komputer booting, ia akan membuat beberapa registri berikut:
- HKCU\Software\Microsoft\WIndows\CurrentVersion\Run
- 74e4144414 = C:\Documents and Settings\%user%\132616c4\winlogon.exe
-
- HKLM\Software\Microsoft\WIndows\CurrentVersion\Run
- 74e4144414 = C:\Documents and Settings\%user%\132616c4\winlogon.exe
-
Catatan: %user% adalah user yang digunakan pada saat login Windows
Blok Fungsi Windows
Agar user kesulitan dalam melakukan pembersihan, ia akan melakukan blok beberapa fungsi Windows seperti Task Manager, MSConfig, CMD (Command Prompt), Regedit atau Folder Options dengan melakukan perubahan pada registry berikut:
- HKCU\Software\Microsoft\WIndows\CurrentVersion\Policies\Associations
- LowRiskFileTypes = .exe
-
- HKCU\Software\Microsoft\WIndows\CurrentVersion\Policies\Explorer
- NoFile = 1
- NoFolderOptions = 1
- NoRun = 1
-
- HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
- DisableRegistryTools = 1
- DisableTaskMgr = 1
-
- HKCU\Software\Policies\Microsoft\Windows\System
- DisableCMD = 1
-
- HKLM\Software\Microsoft\WIndows\CurrentVersion\Policies\Explorer
- NoFolderOptions = 1
-
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\DomainProfile
- EnableFirewall = 1
-
- HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\WindowsFirewall\StandardProfile
- EnableFirewall = 1
-
Selain itu ia jug akan membuat string pada registry berikut agar file virus diaktifkan pada layer administrator serta mendaftarkan pada list Firewall agar tidak di blok oleh Firewall Windows.
- HKCU\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\layers
- C:\Documents and Settings\%user%\132616c4\winlogon.exe = RUNASADMIN
-
- HKLM\Software\Microsoft\Windows NT\CurrentVersion\AppCompatFlags\layers
- C:\Documents and Settings\%user%\132616c4\winlogon.exe = RUNASADMIN
-
- HKLM\SYSTEM\ControlSet001\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
- C:\Documents and Settings\%user%\132616c4\winlogon.exe = C:\Documents and Settings\%user%\132616c4\winlogon.exe:*:Enabled:@xpsp2res.dll,-53342401
-
- HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
- C:\Documents and Settings\%user%\132616c4\winlogon.exe = C:\Documents and Settings\%user%\132616c4\winlogon.exe:*:Enabled:@xpsp2res.dll,-53342401
-
- HKLM\SYSTEM\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
- C:\Documents and Settings\%user%\132616c4\winlogon.exe = C:\Documents and Settings\%user%\132616c4\winlogon.exe:*:Enabled:@xpsp2res.dll,-53342401
-
Blok Software Security
Selain blok fungsi Windows tersebut, ia akan melakukan blok terhadap tools/software security termasuk program antivirus dengan membaca “caption text Windows” serta dengan melakukan debugger (pengalihan) untuk menjalankan file virus yang berada di direktori [C:\Documents and Settings\%user%\132616c4\winlogon.exe]. Untuk melakukan debugger (pengalihan) tersebut, ia akan membuat string pada registry berikut:
Alamat Key:
HKEY_LOCAL_MACHINE\Software\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\
Alamat sub key:
_apv.exe
_avp32.exe
_apvcc.exe
_apvm.exe
_findviru.exe
a2servic.exe
ackwin32.exe
acs.exe
advxdwin.exe
agentsvr.exe
agentw.exe
ahnsd.exe
alerter.exe
alertsvc.exe
alogserv.exe
amon.exe
amon9x.exe
antigem.exe
anti-trojan.exe
antivirus.exe
ants.exe
apimonitor.exe
aplica32.exe
apvxdwin.exe
ashwebsv.exe
atcon.exe
atguard.exe
atro55en.exe
atupdates.exe
atwatch.exe
aupdate.exe
autodown.exe
autotrace.exe
autoupdate.exe
avcenter.exe
avconfig.exe
avconsol.exe
ave32.exe
avgcc32.exe
avgctrl.exe
avgmc.exe
avgnt.exe
avgserv9.exe
avguard.exe
avgw.exe
avkserv.exe
avkpop.exe
avkservice.exe
avkwcl9.exe
avkwtl9.exe
avnotify.exe
avnt.exe
avp.exe
avp32.exe
avpccc.exe
avpdos32.exe
avpexec.exe
avpinst.exe
avpm.exe
avpmon.exe
avpnt.exe
avptc32.exe
avpupd.exe
avrescue.exe avscanavsha-
dow.exe
avsched32.exe
avsynmgr.exe
avupgsvc.exe
avwebloader.exe
avwin95.exe
avwinnt.exe
avwsc.exe
avwupd32.exe
avxmonitor9x.exe
avxmonitornt.exe
avxquar.exe
avxw.exe
azonealarm.exe bd_professional.exe
bidef.exe
bidserver.exe
bipcp.exe bipcpevalsetup.exe
bisp.exe
blackd.exe
blackice.exe
boot.exe
bootwarn.exe
borg2.exe
bs120.exe
BullGuard.exe
callmsi.exe
ccapp.exe
ccevtmgr.exe
cclaw.exe
ccpsetmgr.exe
ccshtdwn.exe
cdp.exe
cfgwiz.exe
cfiadmin.exe
cfiaudit.exe
cfind.exe
cfinet.exe
cfinet32.exe
ChromeSetup.exe
clamauto.exe
claw95.exe
claw95cf.exe
claw95ct.exe
Clean.exe
clear.exe
clear3.exe
cleanpc.exe
cmd.exe
cmgrdian.exe
cmon016.exe
combofix.exe connectionmoni-
tor.exe
cpd.exe
cpdclnt.exe
cpf.exe
cpf9x206.exe
cpfnt206.exe
csinject.exe
cdinsm32.exe
css1631.exe
ctfmon.exe
ctrl.exe
cv.exe
cwntdwmo.exe
defalert.exe
defscangui.exe
defwatch.exe
deputy.exe
Diskmon.exe
doors.exe
dpf.exe
drvins32.exe
drwatson.exe
drweb32.exe
dumphive.exe
dv95.exe
dv95_o.exe
dvp95.exe
dvp95_0.exe
earthagent.exe
ecengine.exe
ecls.exe
ecmd.exe
edi.exe
efinet32.exe
efpeadm.exe
egui.exe
EHttpSrv.exe
ekrn.exe
ent.exe
esafe.exe
escanhnt.exe
escanv95.exe
espwatch.exe
etrustcip.exe
evpn.exe
ewido.exe
exanantivirus-cnet.exe
exit.exe
expert.exe
explored.exe
fact.exe
f-agnt95.exe
fameh32.exe
fa-setup.exe
fast.exe
fch32.exe
fih32.exe
filemon.exe
findviru/exe
firewall.exe
FirewallCOntrolPanel.exe FirewallSettings.exe
fix-it.exe
flowprotector.exe
fnrb32.exe
FPAVServer.exe
fprot.exe
f-prot95.exe
fp-win.exe
fp-win_trial.exe
frw.exe
fsaa.exe
fsav.exe
fsav32.exe
fsav530stbyb.exe
fsav530wtbyb.exe
fsav95.exe
fsave32.exe
fsgk32.exe
fslaunch.exe
fsm32.exe
fsma32.exe
fsmb32.exe
fssm32.exe
f-stopw.exe
fwenc.exe
fwinstall.exe
gbmenu.exe
gbpoll.exe GenericRenosFix.exe
generics.exe
gibe.exe GoogleToolsbalInstaller_download_signed.exe
gpedit.exe
guard.exe
guarddog.exe
guardgui.exe
guardhlp.exe hacktracersetup.exe
HelpPane.exe
hidec.exe
HijackThis.exe
HJTInstall.exe
HostsCHK.exe
htlog.exe
hwpe.exe
iamapp.exe
iamserv.exe
iamstats.exe
ibmasn.exe
ibmasn.exe
ibmavsp.exe
icloadnt.exe
icmon.exe
icmoon.exe
icssuppnt.exe
icsupp.exe
icsupp95.exe
icsuppnt.exe
IEDFix.exe
iface.exe
ifw2000.exe
iomon98.exe
iparmor.exe
iris.exe
isrv95.exe
jammer.exe
jed.exe
jedi.exe kav8.0.0.357es.exe
kavlite40eng.exe
kacpers40eng.exe
kavsvc.exe
kerio-pf-213-en-win.exe
kerio-wrl.421-en-win.exe
kerio-wrp-421-en-win.exe killprocesssetup-
161.exe
kiss8.0.0.50gla-
tam.exe
kpf.exe
kpfw32.exe
ldnetmon.exe
ldpro.exe
dpromenu.exe
ldscan.exe
licmgr.exe
localnet.exe
lockdown.exe
lockdown2000.exe
lookout.exe
lsetup.ese
luall.exe
luau.exe
lucomserver.exe
luinit.exe
lispt.exe
mbam.exe
mbamgui.exe
mbabservice.exe
mcagent.exe
mcmnhdlr.exe
mcshield.exe
mctool.exe
mcuimgr.exe
mcupdate.exe
mcvsrte.exe
mcvsshld.exe mfw2en.exe
mfweng3.02d30.exe
mgavrtcl.exe
mgahtml.exe
mgui.exe
minilog.exe
monitor.exe
monsys32.exe
monsysnt.exe
monwow.exe
moolive.exe
mpfagent.exe
mpfservice.exe
mpftray.exe
mrflux.exe
MSASCui.exe
msblast.exe
msconfig.exe
msinfo32.exe
msn.exe
mspatch.exe
mssmmc32.exe
mu0311ad.exe
mwatch.exe
mxtask.exe
n32scan.exe n32scanw.exe
nai_vs_stst.exe
nav32_loader.exe
nav8-try.exe
navap.exe
navapsvc.exe
navvapw32.exe
navauto-protect.exe
navdx.exe
naveng.exe navengnavex15.exe
navex15.exe
navlu32.exe
navnt.exe
navrunr.exe
navsched.exe
navstub.exe
navw.exe navw32.exe
navwnt.exe
nc2000.exe
ncinst4.exe
nd98spst.exe
ndntspst.exe
neomonitor.exe
neowatchlog.exe
netarmor.exe
netcfg.exe
netinfo.exe
netmon.exe
netscanpro.exe
Netscape/exe
netspyhunter-1.2exe
netstat.exe
netutils.exe
nisserv.exe
nisum.exe
nmain.exe
nod32.exe
normist.exe norton_internet_sec_3.0_407.exe
notstart.exe npf40_tw_98_nt_me_2k.exe
npfmessenger.exe
nprotect.exe
npscheck.exe
npssvc.exe
nsched32.exe
ntdetect.exe
ntrtscan/exe
ntxconfig.exe
nui.exe
nupdate.exe
nupgrade.exe
nvapsvc.exe
nvarch16.exe
nvc95.exe
nvlaunch.exe
nvsvc32.exe
nwinst4.exe
nwservice.exe
nwtools16/exe
offguard.exe
ogrc.exe
opera.exe opera_964_int_Setup.exe
ostronet.exe
outpost.exe outpostproinstall.exe
padmin.exe
panixk.exe
pathping.exe
pavcl.exe
pavproxy.exe
pavsched.exe
pavw.exe
pcc2002s902.exe
pccclient.exe
pccguide.exe
pcciomon.exe
pccmain.exe
pccntmon.exe
pccpfw.exe
pccwin97.exe
pccwin98.exe
pcdsetup.exe
pcfwallicon.exe
pcp10117_0.exe
pcscan.exe pcscanpdsetup.exe
penis32.exe
periscope.exe
persfw.exe
pev.exe
pf2.exe
pfwadmin.exe
ping.exe
pingscan.exe
platin.exe
pop3trap.exe
poproxy.exe
popscan.exe
portdetective.exe
portmon.exe
portmonitor.exe
ppinupdt.exe
pptbc.exe
ppvstop.exe
prckiller.exe
process.exe processmonitor.exe
procexp.exe
procexplorerv1.0.exe
procmon.exe
programauditor.exe
proport.exe
protectx.exe
pspf.exe
purge.exe
pview.exe
pview95.exe
qconsole.exe
qserver.exe
rapapp.exe
rav.exe
rav7.exe
rav7win.exe
rav8win32eng.exe
realmon.exe
regedt32.exe
rescue.exe
rescue32.exe
restart.exe
route.exe
routemon.exe
rrguard.exe
rshell.exe
rstrui.exe
rtvscn95.exe
rulaunch.exe
safari.exe
safeweb.exe
SandboxieBITS.exe
sandboxieCrypto.exe
sandboxieRPcSs.exe
sandboxieWUAU.exe
SbieCtrl.exe
SBieSvc.exe
sbserv.exe
scan32.exe
scan 95.exe
scanpm.exe
sched.exe
schedapp.exe
scrscan.exe
scvhosl.exe
sd.exe
sdclt.exe
serv95.exe
setup_flowprotector_us.exe
setupvameeval.exe
sgssfw32.exe
sh.exe
sharedaccess.exe
shellspyinstall.exe
shn.exe
smc.exe
SmitfraudFix.exe
sofi.exe
spf.exe
sphinx.exe
spider.exe
spysweeper.exe
spyxx.exe
SrchSTS.exe
srwatch.exe
ss3edit.exe
st2.exe
supftrl.exe
supporter5.exe
sweep.exe
sweep95.exe
sweepnet.ese
sweepsrv.sys.exe
swnetup.exe
swreg.exe
swsc.exe
swxcacls.exe
symprxysvc.exe
symtray.exe
sysdoc32.exe
syshelp.exe
taskkill.exe
tasklist.exe
taskmgr.exe
taskmon.exe
taumon.exe
tauscan.exe
tbscan.exe
tc.exe
tca.exe
tcm.exe
tcpsvs32.exe
tds2.exe
tds2-98.exe
tds2-nt.exe
tds-3.exe
tfak.exe
tfak5.exe
tftpd.exe
tgbob.exe
titain.exe
titainxp.exe
tmlisten.exe
tmntsrv.exe
tracertpt.exe
trjscan.exe
trjsetup.exe
trojantrap3.exe
UCCLSID.exe
Ui0Detect.exe
undoboot.exe
unzip.exe
update.exe
UserAccountControlSettings.exe
VACFix.exe
vbcmserv.exe
vbcons.exe
vbust.ese
vbwin9x,exe
vbwinntw.exe
vccmserv.exe
vcontrol.exe
vcsetup.exe vet32.exe
vet98.exe
vettray.exe
vfsetup.exe
vir-help.exe
virusmdpersonalfirewall.exe
vmsrvc.exe
vlan300.exe
vnpc3000.exe
vpc32.exe
vpc42.exe
vpcmap.exe
vpfw30s.exe
vtray.exe
vscan.exe
vscan40.exe
vscan6.02d30.exe
vsched.exe
vsecomr.exe
vshwin32.exe
vsisetup.exe
vsmain.exe
vsmon.exe
vsscan40.exe
vsstat.exe
vswin9xe.exe
vswinntse.exe
vswinperse.exe
vvstat.exe
w32dsm89.exe
w9x.exe
eatchdog.exe
webscan.exe
webscanx.exe
webtrap.exe
WerFault.exe
wfindv32.exe
whoswatchingme.exe
wingate.exe
winhlpp32.exe
wink.exe
winmgm32.exe
winppr32.exe
winrecon.exe
Winroute.exe
winservices.exe
winsfcm.exe
wmias.exe
wnt.exe
wradmin.exe
wrctrl.exe
WS2Fix.exe
wsbgate.exe
wuauclt.exe
wyvernworksfirewall.exe
xpf202en.exe
xscan.exe
zapro.exe
zapsetup3001.exe
zatutor.exe
zatutorzauinst.exe
zauinst.exe
zlh.exe
zonalarm.exe
zobalm2601.exe
zonealarm.exe
Alamat String dan value
Debugger = "C:\Documents and Settings\%user%\132616C4\winlogon.exe"
Catatan: %user% ini adalah user/account yang digunakan pada saat login Windows
Ubah halaman utama Internet Explorer
Selain itu, ia juga akan melakukan perubahan pada halaman utama Internet Explorer dengan menampilkan website yang telah ditentukan. Untuk melakukan hal tersebut ia akan merubah string registry berikut:
- HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel
- HomePage = 1
-
- HKCU\Software\Microsoft\Internet Explorer\main
- Start Page = http://768yeh1j7yj5t07.directorio-w.com
- Search Page = http://e1hhl4a03j39jb3.directorio-w.com
- Local Page = http://nm17u2g9x4l2nj3.directorio-w.com
- Default_Search_URL = http://82580978n05e6zb.directorio-w.com
- Default_Page_URL = http://6448664he9p069e.directorio-w.com
-
Merubah icon USB Flash
Virus ini juga akan merubah icon USB Flash menjadi icon Folder dan blok akses USB Flash jika user mengakses dengan cara double click pada USB Flash tersebut. Dengan melakukan double click pada USB Flash tersebut maka secara otomatis akan mengaktifkan virus. (lihat gambar 6)
Gambar 6, Drive USB Flash yang diubah oleh virus
Menyembunyikan file/folder
Lagi-lagi USB Flash menjadi korban, kali ini ia akan menyembunyikan semua file/folder yang ada di USB Flash dan sebagai gantinya ia akan membuat file duplikat yang mempunyai nama yang sama dengan file/folder yang disembunyikan berupa file shortcut dengan ciri-ciri
- Jika yang disembunyikan berupa Folder
- Icon Folder
- Mempunyai ekstensi .LNK
- Ukuran 1 KB
-
- Jika yang disembunyikan berupa File
- Icon acak
- Mempunyai ekstensi %ekstensi asal%.lnk, dimana %ekstensi asal% adalah ekstensi asli yang dimiliki oleh file tersebut, contohnya: lamaran.doc.lnk
- Ukuran 1 KB
-
Untuk setiap file shortcut yang dibuat akan mempunyai target untuk menjalankan file virus (Ua3kmh73O3jyut4Iok.exe) yang sudah dipersiapkan bila di jalankan, file target tersebut biasanya akan di simpan di USB Flash. (lihat gambar 7)
Gambar 7, File Shortcut yang dibuat oleh virus untuk manipulasi user
Ubah Hosts File Windows
Ia juga akan melakukan perubahan terhadap file Hosts Windows [C:\Windows\System32\Drivers\Etc\Hosts] yang mengakibatkan sejumlah website tidak dapat di akses. Berikut beberapa alamat website yang akan di blok. (lihat gambar 8)
208.109.220.97 viabcp.com
208.109.220.97 www.viabcp.com
208.109.220.97 bcpzonasegura.viabcp.com
173.236.65.144 www.produbanco.com
173.236.65.144 produbanco.com
173.236.65.144 www.pichincha.com
173.236.65.144 pichincha.com
173.236.65.144 wwwp1.pichincha.com
173.236.65.144 wwwp2.pichincha.com
173.236.65.144 wwwp3.pichincha.com
173.236.65.144 wwwp4.pichincha.com
173.236.65.144 wwww01.pichincha.com
173.236.65.144 wwww02.pichincha.com
173.236.65.144 wwww03.pichincha.com
173.236.65.144 wwww04.pichincha.com
173.236.65.144 www.bancoguayaquil.com
173.236.65.144 bancoguayaquil.com
216.245.208.36 bn.com.pe
216.245.208.36 www.bn.com.pe
216.245.208.36 zonasegura1.bn.com.pe
216.245.208.36 www.zonasegura1.bn.com.pe
151.164.123.246 iniciorapido.info
65.29.206.117 www.iniciorapido.info
129.230.114.137 buscalo.in
205.0.103.170 www.buscalo.in
107.39.173.27 buscafacil.com
21.160.69.154 www.buscafacil.com
85.105.233.106 emsisoft.com
161.131.222.207 ahnlab.com
63.171.36.253 antivir.es
234.35.119.192 antiy.net
41.236.27.143 authentium.com
118.7.16.176 avast.com
19.46.86.34 avg.com
190.234.237.229 bitdefender.com
253.112.145.181 quickheal.com
74.138.134.213 clamav.net
232.245.204.71 comodo.com
146.110.31.198 drweb.com
210.55.195.218 aladdin.com
30.13.184.251 ca.com
120.120.254.41 f-prot.com
102.241.82.235 f-secure.com
98.186.58.187 fortinet.com
242.212.47.220 gdata.es
76.252.49.78 ikarus.at
59.116.200.17 jiangmin.com
54.61.108.224 kaspersky.com
199.88.97.1 mcafee.com
32.127.167.115 microsoft.com
15.247.250.242 eset.es
10.193.226.6 norman.com
87.219.215.38 nprotect.com
245.2.217.84 pandasecurity.com
227.123.112.23 pctools.com
223.68.20.231 prevx.com
43.94.9.8 rising-global.com
201.201.79.121 sophos.com
183.66.163.60 sunbeltsoftware.com
179.11.71.12 symantec.com
255.225.60.45 hacksoft.com.pe
157.77.130.159 trendmicro.com
140.197.25.30 anti-virus.by
135.142.189.49 hauri.net
212.101.178.82 virusbuster.hu
113.208.248.196 www.emsisoft.com
96.72.75.67 www.ahnlab.com
91.18.239.19 www.antivir.es
168.44.228.51 www.antiy.net
70.83.42.165 www.authentium.com
52.204.125.104 www.avast.com
48.149.101.56 www.avg.com
124.175.90.89 www.bitdefender.com
26.214.92.202 www.quickheal.com
8.79.244.73 www.clamav.net
4.24.152.93 www.comodo.com
80.50.141.126 www.drweb.com
238.90.211.240 www.aladdin.com
221.22.38.111 www.ca.com
216.223.14.62 www.f-prot.com
37.182.3.95 www.f-secure.com
194.33.5.209 www.fortinet.com
109.153.156.148 www.gdata.es
172.99.64.100 www.ikarus.at
249.57.53.132 www.jiangmin.com
151.164.123.246 www.kaspersky.com
65.29.206.117 www.mcafee.com
129.230.114.137 www.microsoft.com
205.0.103.170 www.eset.es
107.39.173.27 www.norman.com
21.160.69.154 www.nprotect.com
85.105.233.106 www.pandasecurity.com
161.131.222.207 www.pctools.com
63.171.36.253 www.prevx.com
234.35.119.192 www.rising-global.com
41.236.27.143 www.sophos.com
118.7.16.176 www.sunbeltsoftware.com
19.46.86.34 www.symantec.com
190.234.237.229 www.hacksoft.com.pe
253.112.145.181 www.trendmicro.com
74.138.134.213 www.anti-virus.by
232.245.204.71 www.hauri.net
146.110.31.198 www.virusbuster.hu
210.55.195.218 www.emsisoft.com
30.13.184.251 www.anti-trojan.net
120.120.254.41 malwarescan.emsisoft.com
102.241.82.235 forum.emsisoft.com
98.186.58.187 www.emsisoft.net
242.212.47.220 www.emsisoft.it
76.252.49.78 www.emsisoft.de
59.116.200.17 www.anti-trojan-software.net
54.61.108.224 mamutu.com
199.88.97.1 www.emsisoft.es
32.127.167.115 malwarescan.emsisoft.de
15.247.250.242 ww.emsisoft.com
10.193.226.6 www.emsisoft.fr
87.219.215.38 www.emsisoft.nl
245.2.217.84 onlinecheck.emsisoft.com
227.123.112.23 onlinecheck.emsisoft.de
223.68.20.231 www.emsisoft.org
43.94.9.8 scan.anti-trojan.net
201.201.79.121 www.trojaner.info
183.66.163.60 onlinecheck.emsisoft.org
179.11.71.12 onlinecheck.emsisoft.net
255.225.60.45 blitzblank.com
157.77.130.159 www.emsisoft.at
140.197.25.30 www.emsisoft.jp
135.142.189.49 www.mamutu.com
212.101.178.82 malwarescan.emsisoft.es
113.208.248.196 www.mamutu.de
96.72.75.67 download5.emsisoft.com
91.18.239.19 download1.emsisoft.com
168.44.228.51 download4.emsisoft.com
70.83.42.165 global.ahnlab.com
52.204.125.104 www.hackshields.com
48.149.101.56 www.internationalservicecheck.com
124.175.90.89 www.irangoals.com
26.214.92.202 ixomodels.com
8.79.244.73 www.indielisboa.com
4.24.152.93 www.latin-mass-society.org
80.50.141.126 www.arpia.be
238.90.211.240 www.owen.org
221.22.38.111 www.prdouglas.co.uk
216.223.14.62 www.zarya.info
37.182.3.95 www.willsee.com
194.33.5.209 halmapr.com
109.153.156.148 karuna-shechen.org
172.99.64.100 www.barder.com
249.57.53.132 www.antivir.es
151.164.123.246 www.buraka.tv
65.29.206.117 www.dr-bull.com
129.230.114.137 www.manchester-offices.co.uk
205.0.103.170 saverssite.com
107.39.173.27 canada.karuna-shechen.org
21.160.69.154 developmentdrums.org
85.105.233.106 www.imddomains.co.uk
161.131.222.207 cutlines.org
63.171.36.253 elblogdemanu.com
234.35.119.192 ruben.bzin.net
41.236.27.143 welkam.co.jp
118.7.16.176 www.cambridge-steiner-school.co.uk
19.46.86.34 naturesimages.net
190.234.237.229 www.1stavenuelimousines.co.uk
253.112.145.181 www.mtr-design.com
74.138.134.213 dev.depeuter.org
232.245.204.71 www.emeraldclassic.co.uk
146.110.31.198 www.peterhearnwaste.co.uk
210.55.195.218 etrr.co.uk
30.13.184.251 www.avoncourt.com
120.120.254.41 sarahmcconnellphotography.net
102.241.82.235 www.ixomodels.com
98.186.58.187 natsko.com
242.212.47.220 www.nottinghampoetryseries.com
76.252.49.78 www.sheffieldmind.co.uk
59.116.200.17 ixostore.ixomodels.com
54.61.108.224 www.flairweddings.co.uk
199.88.97.1 www.fimasys.com
32.127.167.115 cohartuk.com
15.247.250.242 qqjkw.net
10.193.226.6 vivo-austin.com
87.219.215.38 www.freeality.com
245.2.217.84 bestofewan.com
227.123.112.23 www.handwritingforkids.com
223.68.20.231 cowsmo.com
43.94.9.8 www.2xlgames.com
201.201.79.121 kimzimmer.net
183.66.163.60 basetendencies.com
179.11.71.12 trackingtheworld.com
255.225.60.45 www.reviewsofbooks.com
157.77.130.159 www.collectedcurios.com
140.197.25.30 www.renningers.com
135.142.189.49 ccslaughterspdx.com
212.101.178.82 www.briarhurst.com
113.208.248.196 www.smf.org
96.72.75.67 ribbonwarehouse.com
91.18.239.19 www.garryowen.com
168.44.228.51 45pounds.com
70.83.42.165 isotopecomics.com
52.204.125.104 roysephotos.com
48.149.101.56 www.stadiumpage.com
124.175.90.89 www.elvis-express.com
26.214.92.202 www.tomorrowsedge.net
8.79.244.73 www.beautybar.com
4.24.152.93 pineleafboys.com
80.50.141.126 www.mountainlakeslodge.com
238.90.211.240 pvtc.org
29.255.89.75 scan4you.net
187.38.159.188 www.scan4you.net
169.227.242.59 avhide.com
165.172.31.79 www.avhide.com
53.198.20.112 anubis.iseclab.org
211.50.22.226 iseclab.org
126.170.173.165 www.iseclab.org
189.115.81.116 threatexpert.com
10.74.70.149 www.threatexpert.com
167.181.140.7 forospyware.com
82.45.223.134 www.forospyware.com
145.247.131.154 in.answers.yahoo.com
222.17.120.186 es.answers.yahoo.com
123.56.190.44 kioskea.net
38.176.85.171 www.kioskea.net
102.122.249.123 es.kioskea.net
178.148.238.224 mygeekside.com
80.187.52.13 www.mygeekside.com
250.52.135.208 www.tecniservicioslys.com
58.253.44.160 tecniservicioslys.com
134.23.33.193 virusfreezone.info
36.63.103.51 www.virusfreezone.info
207.251.254.246 intranet.cidiroax.ipn.mx
14.128.162.197 spycheck.es
91.155.151.230 www.spycheck.es
248.6.221.88 antivirus.hispavista.com
163.126.48.215 computing.net
226.72.212.235 www.computing.net
47.30.201.11 spycheck.co.uk
137.137.15.57 www.spycheck.co.uk
119.1.98.252 midescargas.com
115.203.74.204 www.midescargas.com
3.229.63.237 static.yoreparo.com
93.12.65.94 softfaq.com
75.133.216.33 www.softfaq.com
71.78.125.241 configurarequipos.com
215.104.114.18 www.configurarequipos.com
49.144.184.132 seasonsecurity.com
32.8.11.3 www.seasonsecurity.com
27.209.243.22 removetrojanvirus.org
104.236.232.55 www.removetrojanvirus.org
5.19.234.101 ibusca.me
244.139.129.40 www.ibusca.me
WARNINGG !!!! MASIH BANYAK LAGI YANG DI BLOK VIRUS Trojan.FakeAV.3510
Gambar 8, Host file Windows
Media penyebaran
Untuk menyebarkan dirinya, ia akan menggunakan media USB Flash dengan memanfaatkan fitur autorun Windows dengan membuat 2 buah file yakni:
- autorun.inf
- 85luFefZ08lzEPQXsS014zzp9LV3F54yhE0zz5k0g\S-1-3-01-4639134501-7494416267-104346834-7052\Ua3kmh73O3jyut4Iok.exe
File [autorun.inf] ini berisi script untuk menjalankan file [Ua3kmh73O3jyut4Iok.exe] yang akan di aktifkan secara otomatis pada saat user mengakses USB Flash. (lihat gambar 9)
Gambar 9, Isi script autorun.inf
Selain itu untuk “menjebak” user ia akan membuat file duplikat berupa shortcut yang akan mempunyai nama file yang sama dengan nama file yang disembunyikan, file shortcut ini akan mempunyai icon acak (lihat gambar 10)
Gambar 10, File Shortcut yang dibuat oleh virus
Cara pembersihan Trojan.FakeAV.3510
- Untuk pembersihan, Anda dapat menggunakan Tools Dr.Web CureIt! dari antivirus Dr.Web. Silahkan download tools tersebut di alamat berikut:
Setelah tools tersebut berhasil di download, jalankan tools tersebut dengan cara double click pada file Dr.Web CureIt!. Pada saat muncul konfirmasi “DrWeb CureIt! – Enhanced Protection Mode”, klik tombol [OK], pada saat Anda memilih mode ini Anda tidak akan dapat melakukan aktifitas di komputer hal ini di lakukan agar proses pembersihan dapat dilakukan lebih optimal. (lihat gambar 11)
Gambar 11, Dr.Web CureIt! – Enhanced Protection Mode
Kemudian akan muncul layar scan “Dr.Web Scanner for Windows – Express Scan”, biarkan sampai proses scan selesai dilakukan. Jika muncul proses pembersihan pada saat proses scan dilakukan, klik tombol [Yes to All), lihat gambar 12.
Gambar 12, konfirmasi pembersihan virus
Untuk pembersihan optimal, scan semua Drive termasuk USB Flash/HDD eksternal dengan memilih opsi [Scan complete] (lihat gambar 13)
Gambar 13, Scan dengan menggunakan Dr.Web CureIt!
Catatan:
Dr.Web antivirus juga akan secara otomatis mengembalikan HOSTS file Windows yang sudah di ubah oleh Trojan.fakeAV.3510 ke setting awal. Jika muncul konfirmasi perbaikan terhadap file HOSTS Windows yang sudah diubah oleh virus, klik tombol [Yes]. (Lihat gambar 14)
Gambar 14, Restore HOSTS File Windows dengan menggunakan Dr.Web CureIt!
Klik Restart, jika muncul konfirmasi restart dari antivirus Dr.Web
- Fix Registry Windows yang sudah di ubah oleh virus, untuk mempercepat proses perbaikan salin script di bawah ini pada program Notepad dan simpan dengan nama REPAIR.INF, jalankan file tersebut dengan cara
- Klik kanan REPAIR.INF
- Klik INSTALL
[Version]
Signature="$Chicago$"
Provider=Vaksincom
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKCU, Software\Microsoft\Internet Explorer\main, Start Page,0, "about:blank"
HKCU, Software\Microsoft\Internet Explorer\main, Search Page,0,"about:blank"
HKCU, Software\Microsoft\Internet Explorer\main, Local Page,0, "about:blank"
HKCU, Software\Microsoft\Internet Explorer\main, Default_Search_URL,0, "about:blank"
HKCU, Software\Microsoft\Internet Explorer\main, Default_Page_URL,0, "about:blank"
[del]
HKCU, Software\Microsoft\WIndows\CurrentVersion\Run, 74e4144414
HKCU, Software\Microsoft\WIndows\CurrentVersion\Policies\Associations
HKCU, Software\Microsoft\WIndows\CurrentVersion\Policies\Explorer, NoFile
HKCU, Software\Microsoft\WIndows\CurrentVersion\Policies\Explorer, NoFolderOptions
HKCU, Software\Microsoft\WIndows\CurrentVersion\Policies\Explorer, NoRun
HKCU, Software\Microsoft\WIndows\CurrentVersion\Policies\System, DisableRegistryTools
HKCU, Software\Microsoft\WIndows\CurrentVersion\Policies\System, DisableTaskMgr
HKCU, Software\Policies\Microsoft\Windows\System, DisableCMD
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
HKLM, SOFTWARE\Policies\Microsoft\WindowsFirewall
HKCU, Software\Policies\Microsoft\Internet Explorer\Control Panel, HomePage
HKLM, Software\Microsoft\WIndows\CurrentVersion\Run, 74e4144414
HKLM, Software\Microsoft\WIndows\CurrentVersion\Policies\Explorer, NoFolderOptions
Tidak ada komentar:
Posting Komentar