Senin, 22 Agustus 2011

Virus FakeAV-Downloader : Anti Virus Security Proctection Palsu Dari Rusia

Hati-hati bila anda menerima email, yang isinya berupa email kosong dengan attachment yang isinya antivirus, bisa jadi itu sejenis virus malware yang menyamar sebagai antivirus Security Protection.

Hari ini saya dibuat bingung dan kewalahan, salah satu laptop kami terkena virus yang belum dikenal. Virus tersebut menyerang seluruh aplikasi dalam sistem komputer. Saya tidak bisa menjalankan aplikasi office (MS Word, MS Excel) bahkan notepad.exe sekalipun. Awalnya kami dapat kiriman email dari seseorang yang menggunakan alamat kantor yang berada di Surabaya (Jatim). Karena penasaran, maka kami buka dan tidak ada isinya, hanya sebuah file kecil dalam attachment. Ketika kami buka, ternyata muncul sebuah aplikasi semacam antivirus yang bernama Security Protection yang telah mendeteksi ribuan virus cacing. Yang lebih kaget dan bikin jengkel lagi, semua aplikasi dalam komputer di-blok oleh virus tersebut.

Saya mencoba melakukan unistall antivirus tersebut, namun dalam system program, antivirus tersebut tidak ada. Artinya program antivirus tersebut tidak pernah terinstall dalam komputer tersebut. Saya mulai curiga, jangan-jalan ini bukan program antivirus, atau sudah include dalam system operasi? Tak berpikir panjang saya coba install antivirus andalanku, MCAfee Sdat87i. Boro-boro dapat menginstallnya, menjalankannya saja tidak bisa, karena bentuk aplikasi exe di-blok oleh virus.

Tadinya saya menduga, antivirus tersebut berasal dari microsoft yang selalu diupdate yang dapat mendeteksi virus, namun tidak mampu men-CLEAN kan atau men-DELETE nya. Antivirus tersebut meminta untuk online dan user dipaksa untuk mengisi alamat email dan key produk. Namun ternyata antivirus tersebut ternyata palsu, ketika saya membaca salah satu artikel dari virusindonesia.com


















FakeAV-Downloader.N sejenis malware yang tidak lain adalah antivirus palsu. Metode penyebaran yang sama, dengan teknik mengelabui user yang sama pula. Perbedaan terbesar hanyalah pada tampilan yang selalu diubah-ubah. Kemungkinan besar selalu dibuat ulang dengan di tambahkan kemampuan agar tidak dapat terdeteksi oleh teknik heuristik antivirus.












Nama aslinya virus tersebut adalah Worm : FakeAV-Downloader.N (BitDefender Core / Security Protection). Virus tersebut diduga berasal dari Rusia. Ukuran File dari virus tersebut cukup kecl, hanya berkisar 854 KB (874,496 bytes), namun kecil-kecil cabe rawit bikin kesel dan mengebalkan si pengguna komputer. Sedangkan si pembuatnya menamakan dirinya Markus dan Laszlo, dengan kode packer : UPX 0.89 – 3.xx -> Markus & Laszlo ver. [ 3.07 ]. Virus tersebut dibuat dengan bahasa program Dephi, dengan icon malware. Type virus tersebut berjenis trojan, yang sangat mengganggu.































Tanpa packer, malware ini berukuran 1.66 MB (1,751,552 bytes) dan diduga kuat berasal dari Rusia. Karena malware ini berusaha mengakses salah satu website yang setelah ditelusuri lebih jauh berasal dari Rusia





































Berikut ini adalah rincian dari user registrannya.

Domain name: protection-sec.com

Name servers:
ns1.nameself.com
ns2.nameself.com
Registrar: Regtime Ltd.
Creation date: 2011-05-17
Expiration date: 2012-05-17
Status: active

Registrant:
Eduard Aleksandrov
Email: crisissmula@gmail.com
Organization: Private person
Address: Latishskih-Strelkov 1-48
City: Kazan
State: RU
ZIP: 420087
Country: RU
Phone: +7.8432964725

Sampai serkarang website tersebut masih aktif, akan tetapi user tidak perlu takut karena website tersebut tidak menyediakan download untuk FakeAV-Downloader.N.

Setelah aktif, malware ini tidak membuat banyak companion, berdiri sendiri dan hanya melakukan payload secara terus-menerus yang cukup mengganggu user.

Sama seperti trojan pada umumnya yang mencoba mengambil informasi dari korban tanpa diketahui. Hal itu bisa meyebabkan korban kehilangan akun pribadi, kehilangan uang yang tidak diketahui penyebabnya dengan jelas. Begitu juga dengan user yang terinfeksi FakeAV-Downloader.N yang selalu memaksa user untuk membeli serial number dari antivirus palsu tersebut.

Bukan hanya itu, pesan pesan yang berisikan peringatan palsu juga tidak ada hentinya dari malware ini.

FakeAV-Downloader.N hanya membuat 1 buah value key baru pada registry yang bertujuan untuk menjalankan otomatis saat proses startup.

HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run\Security Protection

Value : URL / Alamat malware.

Bagaimana membersihkannya?

Untuk membersihkannya sebenarnya cukup gampang. Tadinya saya mengikuti langkah-langkah yang disarankan dalam artikel tersebut, dengan menggunakan PCMav53 dengan update yang terbaru. Namun bagaimana harus menginstallnya, untuk menjalankan exe saja tidak bisa. bahkan saya coba menggunakan flashdisk, eh malah pcmav53.exe yang kena virus, program exenya justru dirusak virus...

Saya juga sudah mencoba jalankan regedit untuk menghapus registry yang ada dalam system namun perintah itupun di-blok oleh virus. bahkan Task maneger pun juga di-blok virus trojan tersebut.

Trus bagaimana membersihkan dan menghapus virus tersebut? Ikuti langkah-langkahnya.

1. Restart komputer/laptop yang terkena virus FakeAV-Downloader.
2. Tekan F8 beberapa kali untuk menjalankan system safe mode, karena pada umumnya virus system tidak bisa berjalan pada kondisi safe mode.
3. Klik start -> run -> regedit untuk masuk registry : HKEY_CURRENT_USER\software\Microsoft\Windows\CurrentVersion\Run\Security Protection
4. Hapus Security Protection dari registry
5. Kemudian keluar dari sytem registry
6. Hapus file Defender.exe pada folder C:\Document and Settings\All user\Application Data, karena file tersebut di-hidden, maka sebelum mencari munculkan dulu hidden file, dengan cara pada windows explorer klik tool -> folder option -> view -> kemudian centang show hidden file
7. Langkah selanjutnya, restart kembali komputer/laptop
8. Sekarang tampilan "Antivirus : Security Protection " palsu sudah tidak muncul lagi
9. Kemudian baru install antivirus yang handal, disarankan menggunakan PCMav53 yang terbaru, mengingat antivirus tersebut sangat mudah, tidak perlu melakukan instalasi, namun cukup klik PCMav53.exe saja, dan bisa jalan di-CD sehingga tidak muncah terserang virus.

Anti Virus PCMav53 Built 1

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 5.3 Update Build1 telah hadir dengan penambahan 46 pengenal varian virus baru. Bagi Anda pengguna PCMAV 5.3, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.

Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:

http://www.ziddu.com/download/16134243/update_pcmav53.rar.html

Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Bagi yang ingin software antivirusnya silakan download di URL :

http://www.ziddu.com/download/16134022/pcmav53_baru.rar.html


Daftar tambahan virus hingga PCMAV 5.3 Update Build1:

BadShortcut
BancosKernel
BancosKernel.dat
CryptocX
CryptocX.dll
FakeAV-Downloader.N
FakeAV-Downloader.N.dat
FakeAV-Downloader.N.dll.A
FakeAV-Downloader.N.dll.B
FakeAV-Downloader.N.drp
FakeAV-Downloader.N.exe
FakeAV-Downloader.N.lnk.A
FakeAV-Downloader.N.lnk.B
FakeAV-Downloader.N.lnk.C
FakeAV-Downloader.N.tmp
FakeDownloader.BL
FakeDownloader.BL.drp
FakeDownloader.BL.exe.A
FakeDownloader.BL.exe.B
FakeDownloader.BL.exe.C
FakeDownloader.BL.tmp
FakeDownloader.BL.zip
FightingDreamer.vbe.inf
NgrBot
NgrBot.bat
NgrBot.dat
NgrBot.drp.A
NgrBot.drp.B
NgrBot.exe.A
NgrBot.exe.B
NgrBot.inf
NgrBot.lnk
Proklamasi
Proklamasi.exe
Proklamasi.lnk
Qvod
Qvod.A.dll.A
Qvod.A.dll.B
Qvod.A.dll.C
Qvod.A.inf
Qvod.A.local
Qvod.B
Qvod.B.dll
Qvod.exe.A
TeraBit.txt
Wukill.D

Semoga bermanfaat..........

---


Artikel Terkait



Tidak ada komentar:

Posting Komentar