This is featured post 1 title

Replace these every slider sentences with your featured post descriptions.Go to Blogger edit html and find these sentences.Now replace these with your own descriptions.This theme is Bloggerized by Lasantha - Premiumbloggertemplates.com.

This is featured post 2 title

Replace these every slider sentences with your featured post descriptions.Go to Blogger edit html and find these sentences.Now replace these with your own descriptions.This theme is Bloggerized by Lasantha - Premiumbloggertemplates.com.

This is featured post 3 title

Replace these every slider sentences with your featured post descriptions.Go to Blogger edit html and find these sentences.Now replace these with your own descriptions.This theme is Bloggerized by Lasantha - Premiumbloggertemplates.com.

This is featured post 4 title

Replace these every slider sentences with your featured post descriptions.Go to Blogger edit html and find these sentences.Now replace these with your own descriptions.This theme is Bloggerized by Lasantha - Premiumbloggertemplates.com.

This is featured post 5 title

Replace these every slider sentences with your featured post descriptions.Go to Blogger edit html and find these sentences.Now replace these with your own descriptions.This theme is Bloggerized by Lasantha - Premiumbloggertemplates.com.

Virus Shortcut Yang Semakin Canggih

VB-Shortcut-WinLogon

VB-Shortcut-WinLogon. Gambar diatas adalah hasil infeksi dari worm VB-Shortcut-WinLogon yang sekarang masih banyak menyebar di masyarakat.  Sebelumnya PCMAV mengenal worm VB-Shortcut dengan nama Random8, dikarenakan selalu memiliki Properties Name yang terdiri dari 8 karakter dan selalu berubah-ubah pada setiap varian. Akan tetapi, semakin banyaknya user yang melaporkan varian VB-Shortcut, di forum virusindonesia.com ataupun mengirimkan email serta meng-submit menggunakan PCMAV, kami mendapatkan beberapa varian VB-Shortcut dengan kemampuan berbeda. Salah satunya adalah VB-Shortcut-WinLogon.
Masih menggunakan ciri khas yang sama seperti varian yang lain yaitu membuat shortcut di Removable Disk dan menggunakan icon aplikasi pemrograman Visual Basic. Perbedaan yang sangat terlihat adalah pada VB-Shortcut-WinLogon adalah :
1. Di-pack menggunakan UPX.
UPX1
Terlihat pada gambar di atas bahwa worm VB-Shortcut-WinLogon menggunakan UPX sebagai packernya. Berbeda dengan varian VB-Shortcut sebelumnya yang menyebar di masyarakat tanpa di-pack seperti pada gambar dibawah.
UPX2

2.  Menggunakan folder tempat persembunyian di flash disk.
Folder
Hampir sama dengan pola yang digunakan worm Recycler ataupun Conficker yaitu menggunakan folder yang sama dengan Recycler Bin. Caranya juga mirip, yaitu menambahkan file Desktop.ini yang berisi CLSID untuk Recycler Bin. Perbedaannya adalah biasanya folder persembunyian worm Recycler menggunakan nama folder “RECYCLER” pada root drive flash disk, sedangkan untuk worm VB-Shortcut-WinLogon folder yang mirip dengan Recycler Bin adanya di dalam folder dengan nama acak. Misal :
“a3ojiH9luFefkO0mG6Hl1XplgLV3L0YyVfdZRr3dtLhE6i0DnzEPQX8Y2sziakx2axTnS4SA0647SPkbMn4uN”

3. Isi autorun.inf.
Pada varian VB-Shortcut sebelumnya, isi autorun.inf biasanya hanya merubah besar kecil karakter didalamnya, seperti pada gambar dibawah ini.
Autorun.inf VB-Shorcut
Berbeda dengan file autorun.inf pada VB-Shortcut-WinLogon, yang memiliki lebih banyak karakter pengecoh teknik pendeteksian file autorun beberapa antivirus karena setiap kali autorun.inf dibuat selalu mengacak isi autorunnya. Contoh autorun.inf yang diciptakan VB-Shortcut-WinLogon adalah seperti pada gambar berikut, dibuka dengan hexa editor:
Autorun.inf VB-Shorcut-WinLogon
Beberapa hal di atas adalah ciri umum yang biasanya menjadi ciri khas dari worm VB-Shortcut-WinLogon. Selain itu ada beberapa yang tidak biasa ditemukan pada variant VB-Shortcut sebelumnya, antara lain:
- Merubah bentuk icon shortcut setiap jangka waktu tertentu. Jika varian VB-Shortcut sebelumnya membuat shortcut dengan nama Documents, Music, New Folder, Passwords, Pictures, dan Video atau membuat shortcut dengan nama acak yang terdiri dari 3 karakter dan dapat membuat shortcut sesuai dengan nama semua file dan folder pada flash disk, maka VB-Shortcut-WinLogon ini mampu mebuat shortcut yang berbeda-beda. Selama flash disk terhubung dengan komputer yang sudah terinfeksi worm ini, maka isi flash disknya akan berubah seperti pada dua gambar berikut.
Icon1
Icon2
- Memanfaatkan koneksi Internet untuk mengupdate otomatis. Dengan aplikasi CurrPorts dapat dilihat aktivitas worm VB-Shortcut-WinLogon setelah proses startup yang mencoba menggunakan koneksi internet agar bisa dikendalikan sesuai dengan hostnya.
CommPort
- Mendisable serta otomatis menutup 631 program dengan nama file dan nama caption khusus sepeti di bawah ini:
a2servic.exe, ackwin32.exe, acs.exe, advxdwin.exe, agentsvr.exe, agentw.exe, ahnsd.exe, alerter.exe, alertsvc.exe, alogserv.exe, amon.exe, amon9x.exe, anti-trojan.exe, antigen.exe, antivirus.exe, ants.exe, apimonitor.exe, aplica32.exe, apvxdwin.exe, ashWebSv.exe, atcon.exe, atguard.exe, atro55en.exe, atupdater.exe, atwatch.exe, aupdate.exe, autodown.exe, autotrace.exe, autoupdate.exe, avcenter.exe, avconfig.exe, avconsol.exe, ave32.exe, avgcc32.exe, avgctrl.exe, avgemc.exe, avgnt.exe, avgserv.exe, avgserv9.exe, avguard.exe, avgw.exe, avkpop.exe, avkserv.exe, avkservice.exe, avkwcl9.exe, avkwctl9.exe, avnotify.exe, avnt.exe, avp.exe, avp32.exe, avpcc.exe, avpdos32.exe, avpexec.exe, avpinst.exe, avpm.exe, avpmon.exe, avpnt.exe, avptc32.exe, avpupd.exe, avrescue.exe, avscanavshadow.exe, avsched32.exe, avsynmgr.exe, avupgsvc.exe, avwebloader.exe, avwin95.exe, avwinnt.exe, avwsc.exe, avwupd32.exe, avxmonitor9x.exe, avxmonitornt.exe, avxquar.exe, avxw.exe, azonealarm.exe, bd_professional.exe, bidef.exe, bidserver.exe, bipcp.exe, bipcpevalsetup.exe, bisp.exe, blackd.exe, blackice.exe, boot.exe, bootwarn.exe, borg2.exe, bs120.exe, BullGuard.exe, callmsi.exe, ccapp.exe, ccevtmgr.exe, cclaw.exe, ccpxysvc.exe, ccsetmgr.exe, ccshtdwn.exe, cdp.exe, cfgwiz.exe, cfiadmin.exe, cfiaudit.exe, cfind.exe, cfinet.exe, cfinet32.exe, chrome.exe, ChromeSetup.exe, clamauto.exe, claw95.exe, claw95cf.exe, claw95ct.exe, clean.exe, cleaner.exe, cleaner3.exe, cleanpc.exe, cmd.exe, cmgrdian.exe, cmon016.exe, connectionmonitor.exe, consent.exe, cpd.exe, cpdclnt.exe, cpf.exe, cpf9x206.exe, cpfnt206.exe, crashreporter.exe, csinject.exe, csinsm32.exe, css1631.exe, ctfmon.exe, ctrl.exe, cv.exe, cwnb181.exe, cwntdwmo.exe, defalert.exe, defscangui.exe, defwatch.exe, deputy.exe, Diskmon.exe, doors.exe, dpf.exe, drvins32.exe, drwatson.exe, drweb32.exe, dumphive.exe, dv95.exe, dv95_o.exe, dvp95.exe, dvp95_0.exe, earthagent.exe, ecengine.exe, ecls.exe, ecmd.exe, edi.exe, efinet32.exe, efpeadm.exe, egui.exe, EHttpSrv.exe, ekrn.exe, ent.exe, esafe.exe, escanh95.exe, escanhnt.exe, escanv95.exe, espwatch.exe, etrustcipe.exe, evpn.exe, ewido.exe, exantivirus-cnet.exe, exit.exe, expert.exe, explored.exe, f-agnt95.exe, f-prot.exe, f-prot95.exe, f-stopw.exe, fa-setup.exe, fact.exe, fameh32.exe, fast.exe, fch32.exe, fih32.exe, Filemon.exe, findviru.exe, firefox.exe, firewall.exe, FirewallControlPanel.exe, FirewallSettings.exe, fix-it.exe, flowprotector.exe, fnrb32.exe, fp-win.exe, fp-win_trial.exe, FPAVServer.exe, fprot.exe, fprot95.exe, frw.exe, fsaa.exe, fsav.exe, fsav32.exe, fsav530stbyb.exe, fsav530wtbyb.exe, fsav95.exe, fsave32.exe, fsgk32.exe, fslaunch.exe, fsm32.exe, fsma32.exe, fsmb32.exe, fssm32.exe, fwenc.exe, fwinstall.exe, gbmenu.exe, gbpoll.exe, GenericRenosFix.exe, generics.exe, gibe.exe, GoogleToolbarInstaller_download_signed.exe, gpedit.exe, guard.exe, guarddog.exe, guardgui.exe, guardhlp.exe, hacktracersetup.exe, helper.exe, HiJackThis.exe, HJTInstall.exe, HostsChk.exe, htlog.exe, hwpe.exe, iamapp.exe, iamserv.exe, iamstats.exe, ibmasn.exe, ibmavsp.exe, icload95.exe, icloadnt.exe, icmon.exe, icmoon.exe, icssuppnt.exe, icsupp.exe, icsupp95.exe, icsuppnt.exe, IEDFix.exe, iface.exe, ifw2000.exe, iomon98.exe, iparmor.exe, iris.exe, isrv95.exe, jammer.exe, jed.exe, jedi.exe, kav8.0.0.357es.exe, kavlite40eng.exe, kavpers40eng.exe, kavsvc.exe, kerio-pf-213-en-win.exe, kerio-wrl-421-en-win.exe, kerio-wrp-421-en-win.exe, killprocesssetup161.exe, kis8.0.0.506latam.exe, kpf.exe, kpfw32.exe, ldnetmon.exe, ldpro.exe, ldpromenu.exe, ldscan.exe, licmgr.exe, localnet.exe, lockdown.exe, lockdown2000.exe, lookout.exe, lsetup.exe, luall.exe, luau.exe, lucomserver.exe, luinit.exe, luspt.exe, mbam.exe, mbamgui.exe, mbamservice.exe, mcagent.exe, mcmnhdlr.exe, mcshield.exe, mctool.exe, mcuimgr.exe, mcupdate.exe, mcvsrte.exe, mcvsshld.exe, mdll.exe, mfw2en.exe, mfweng3.02d30.exe, mgavrtcl.exe, mgavrte.exe, mghtml.exe, mgui.exe, minilog.exe, monitor.exe, monsys32.exe, monsysnt.exe, monwow.exe, moolive.exe, mpfagent.exe, mpfservice.exe, mpftray.exe, mrflux.exe, MSASCui.exe, msblast.exe, msconfig.exe, msinfo32.exe, msn.exe, mspatch.exe, mssmmc32.exe, mu0311ad.exe, mwatch.exe, mxtask.exe, n32scan.exe, n32scanw.exe, nai_vs_stat.exe, nav32_loader.exe, nav80try.exe, navap.exe, navapsvc.exe, navapw32.exe, navauto-protect.exe, navdx.exe, naveng.exe, navengnavex15.exe, navex15.exe, navlu32.exe, navnt.exe, navrunr.exe, navsched.exe, navstub.exe, navw.exe, navw32.exe, navwnt.exe, nc2000.exe, ncinst4.exe, nd98spst.exe, ndd32.exe, ndntspst.exe, neomonitor.exe, neowatchlog.exe, netarmor.exe, netcfg.exe, netinfo.exe, netmon.exe, netscanpro.exe, Netscape.exe, netspyhunter-1.2.exe, netstat.exe, netutils.exe, nisserv.exe, nisum.exe, nmain.exe, nod32.exe, normist.exe, norton_internet_secu_3.0_407.exe, notstart.exe, npf40_tw_98_nt_me_2k.exe, npfmessenger.exe, nprotect.exe, npscheck.exe, npssvc.exe, nsched32.exe, ntdetect.exe, ntrtscan.exe, ntxconfig.exe, nui.exe, nupdate.exe, nupgrade.exe, nvapsvc.exe, nvarch16.exe, nvc95.exe, nvlaunch.exe, nvsvc32.exe, nwinst4.exe, nwservice.exe, nwtool16.exe, offguard.exe, ogrc.exe, opera.exe, Opera_964_int_Setup.exe, ostronet.exe, outpost.exe, outpostinstall.exe, outpostproinstall.exe, padmin.exe, panixk.exe, pathping.exe, pavcl.exe, pavproxy.exe, pavsched.exe, pavw.exe, pcc2002s902.exe, pcc2k_76_1436.exe, pccclient.exe, pccguide.exe, pcciomon.exe, pccmain.exe, pccntmon.exe, pccpfw.exe, pccwin97.exe, pccwin98.exe, pcdsetup.exe, pcfwallicon.exe, pcip10117_0.exe, pcscan.exe, pcscanpdsetup.exe, penis32.exe, periscope.exe, persfw.exe, perswf.exe, pf2.exe, pfwadmin.exe, ping.exe, pingscan.exe, platin.exe, pop3trap.exe, poproxy.exe, popscan.exe, portdetective.exe, portmon.exe, portmonitor.exe, ppinupdt.exe, pptbc.exe, ppvstop.exe, prckiller.exe, Process.exe, processmonitor.exe, procexp.exe, procexplorerv1.0.exe, Procmon.exe, programauditor.exe, proport.exe, protectx.exe, pspf.exe, purge.exe, pview.exe, pview95.exe, qconsole.exe, qserver.exe, rapapp.exe, rav.exe, rav7.exe, rav7win.exe, rav8win32eng.exe, realmon.exe, regedit.exe, regedt32.exe, Regmon.exe, rescue.exe, rescue32.exe, Restart.exe, route.exe, routemon.exe, rrguard.exe, rshell.exe, rstrui.exe, rtvscn95.exe, rulaunch.exe, Safari.exe, safeweb.exe, SandboxieBITS.exe, SandboxieCrypto.exe, SandboxieDcomLaunch.exe, SandboxieRpcSs.exe, SandboxieWUAU.exe, SbieCtrl.exe, SbieSvc.exe, sbserv.exe, scan32.exe, scan95.exe, scanpm.exe, sched.exe, schedapp.exe, scrscan.exe, scvhosl.exe, sd.exe, sdclt.exe, serv95.exe, setupvameeval.exe, setup_flowprotector_us.exe, sgssfw32.exe, sh.exe, sharedaccess.exe, shellspyinstall.exe, shn.exe, smc.exe, SmitfraudFix.exe, sofi.exe, spf.exe, sphinx.exe, spider.exe, spysweeper.exe, spyxx.exe, SrchSTS.exe, srwatch.exe, ss3edit.exe, st2.exe, supftrl.exe, supporter5.exe, sweep.exe, sweep95.exe, sweepnet.exe, sweepsrv.sys.exe, swnetsup.exe, swsc.exe, swxcacls.exe, symproxysvc.exe, symtray.exe, sysdoc32.exe, syshelp.exe, taskkill.exe, tasklist.exe, taskmgr.exe, taskmon.exe, taumon.exe, tauscan.exe, tbscan.exe, tc.exe, tca.exe, tcm.exe, tcpsvs32.exe, tds-3.exe, tds2-98.exe, tds2-nt.exe, tds2.exe, tfak.exe, tfak5.exe, tftpd.exe, tgbob.exe, titanin.exe, titaninxp.exe, tmlisten.exe, tmntsrv.exe, tracerpt.exe, tracert.exe, trjscan.exe, trjsetup.exe, trojantrap3.exe, UCCLSID.exe, UI0Detect.exe, undoboot.exe, unzip.exe, update.exe, updater.exe, UserAccountControlSettings.exe, VACFix.exe, vbcmserv.exe, vbcons.exe, vbust.exe, vbwin9x.exe, vbwinntw.exe, vccmserv.exe, vcleaner.exe, vcontrol.exe, vcsetup.exe, vet32.exe, vet95.exe, vet98.exe, vettray.exe, vfsetup.exe, vir-help.exe, virusmdpersonalfirewall.exe, vmsrvc.exe, vnlan300.exe, vnpc3000.exe, vpc32.exe, vpc42.exe, vpcmap.exe, vpfw30s.exe, vptray.exe, vscan.exe, vscan40.exe, vscenu6.02d30.exe, vsched.exe, vsecomr.exe, vshwin32.exe, vsisetup.exe, vsmain.exe, vsmon.exe, vsscan40.exe, vsstat.exe, vswin9xe.exe, vswinntse.exe, vswinperse.exe, vvstat.exe, w32dsm89.exe, w9x.exe, watchdog.exe, webscan.exe, webscanx.exe, webtrap.exe, WerFault.exe, wfindv32.exe, wgfe95.exe, whoswatchingme.exe, wimmun32.exe, wingate.exe, winhlpp32.exe, wink.exe, winmgm32.exe, winppr32.exe, winrecon.exe, winroute.exe, winservices.exe, winsfcm.exe, wmias.exe, wmiav.exe, wnt.exe, wradmin.exe, wrctrl.exe, WS2Fix.exe, wsbgate.exe, wuauclt.exe, wyvernworksfirewall.exe, xpf202en.exe, xscan.exe, zapro.exe, zapsetup3001.exe, zatutor.exe, zatutorzauinst.exe, zauinst.exe, zlh.exe, zonalarm.exe, zonalm2601.exe, zonealarm.exe, _avp.exe, _avp32.exe, _avpcc.exe, _avpm.exe, _findviru.exe
- Mendisable beberapa fungsi dan tools Windows seperti:
Hidden dan Superhidden
Hidden File Extension
Folder Option
No File
System Restore
Command Promt
Task Manager
Regedit
Run Command
- Merubah default homepage Internet Explorer ke beberapa website seperti: http://5g7p5rbtw7c12ao.xxx (dimana xxx adalah sebuah domain yang digunakan virus). Angka dan huruf pada subdomain dapat acak dan berbeda pada tiap penginfeksian. Alamat-alamat ini akan di-direct ke website pada tampilan pertama (gambar paling atas) yang mirip dengan search engine Google.
- Membuat file dengan nama winlogon.exe pada root drive C.

Sumber
VB-Shortcut-WinLogon

VB-Shortcut-WinLogon. Gambar diatas adalah hasil infeksi dari worm VB-Shortcut-WinLogon yang sekarang masih banyak menyebar di masyarakat.  Sebelumnya PCMAV mengenal worm VB-Shortcut dengan nama Random8, dikarenakan selalu memiliki Properties Name yang terdiri dari 8 karakter dan selalu berubah-ubah pada setiap varian. Akan tetapi, semakin banyaknya user yang melaporkan varian VB-Shortcut, di forum virusindonesia.com ataupun mengirimkan email serta meng-submit menggunakan PCMAV, kami mendapatkan beberapa varian VB-Shortcut dengan kemampuan berbeda. Salah satunya adalah VB-Shortcut-WinLogon.
Masih menggunakan ciri khas yang sama seperti varian yang lain yaitu membuat shortcut di Removable Disk dan menggunakan icon aplikasi pemrograman Visual Basic. Perbedaan yang sangat terlihat adalah pada VB-Shortcut-WinLogon adalah :
1. Di-pack menggunakan UPX.
UPX1
Terlihat pada gambar di atas bahwa worm VB-Shortcut-WinLogon menggunakan UPX sebagai packernya. Berbeda dengan varian VB-Shortcut sebelumnya yang menyebar di masyarakat tanpa di-pack seperti pada gambar dibawah.
UPX2

2.  Menggunakan folder tempat persembunyian di flash disk.
Folder
Hampir sama dengan pola yang digunakan worm Recycler ataupun Conficker yaitu menggunakan folder yang sama dengan Recycler Bin. Caranya juga mirip, yaitu menambahkan file Desktop.ini yang berisi CLSID untuk Recycler Bin. Perbedaannya adalah biasanya folder persembunyian worm Recycler menggunakan nama folder “RECYCLER” pada root drive flash disk, sedangkan untuk worm VB-Shortcut-WinLogon folder yang mirip dengan Recycler Bin adanya di dalam folder dengan nama acak. Misal :
“a3ojiH9luFefkO0mG6Hl1XplgLV3L0YyVfdZRr3dtLhE6i0DnzEPQX8Y2sziakx2axTnS4SA0647SPkbMn4uN”

3. Isi autorun.inf.
Pada varian VB-Shortcut sebelumnya, isi autorun.inf biasanya hanya merubah besar kecil karakter didalamnya, seperti pada gambar dibawah ini.
Autorun.inf VB-Shorcut
Berbeda dengan file autorun.inf pada VB-Shortcut-WinLogon, yang memiliki lebih banyak karakter pengecoh teknik pendeteksian file autorun beberapa antivirus karena setiap kali autorun.inf dibuat selalu mengacak isi autorunnya. Contoh autorun.inf yang diciptakan VB-Shortcut-WinLogon adalah seperti pada gambar berikut, dibuka dengan hexa editor:
Autorun.inf VB-Shorcut-WinLogon
Beberapa hal di atas adalah ciri umum yang biasanya menjadi ciri khas dari worm VB-Shortcut-WinLogon. Selain itu ada beberapa yang tidak biasa ditemukan pada variant VB-Shortcut sebelumnya, antara lain:
- Merubah bentuk icon shortcut setiap jangka waktu tertentu. Jika varian VB-Shortcut sebelumnya membuat shortcut dengan nama Documents, Music, New Folder, Passwords, Pictures, dan Video atau membuat shortcut dengan nama acak yang terdiri dari 3 karakter dan dapat membuat shortcut sesuai dengan nama semua file dan folder pada flash disk, maka VB-Shortcut-WinLogon ini mampu mebuat shortcut yang berbeda-beda. Selama flash disk terhubung dengan komputer yang sudah terinfeksi worm ini, maka isi flash disknya akan berubah seperti pada dua gambar berikut.
Icon1
Icon2
- Memanfaatkan koneksi Internet untuk mengupdate otomatis. Dengan aplikasi CurrPorts dapat dilihat aktivitas worm VB-Shortcut-WinLogon setelah proses startup yang mencoba menggunakan koneksi internet agar bisa dikendalikan sesuai dengan hostnya.
CommPort
- Mendisable serta otomatis menutup 631 program dengan nama file dan nama caption khusus sepeti di bawah ini:
a2servic.exe, ackwin32.exe, acs.exe, advxdwin.exe, agentsvr.exe, agentw.exe, ahnsd.exe, alerter.exe, alertsvc.exe, alogserv.exe, amon.exe, amon9x.exe, anti-trojan.exe, antigen.exe, antivirus.exe, ants.exe, apimonitor.exe, aplica32.exe, apvxdwin.exe, ashWebSv.exe, atcon.exe, atguard.exe, atro55en.exe, atupdater.exe, atwatch.exe, aupdate.exe, autodown.exe, autotrace.exe, autoupdate.exe, avcenter.exe, avconfig.exe, avconsol.exe, ave32.exe, avgcc32.exe, avgctrl.exe, avgemc.exe, avgnt.exe, avgserv.exe, avgserv9.exe, avguard.exe, avgw.exe, avkpop.exe, avkserv.exe, avkservice.exe, avkwcl9.exe, avkwctl9.exe, avnotify.exe, avnt.exe, avp.exe, avp32.exe, avpcc.exe, avpdos32.exe, avpexec.exe, avpinst.exe, avpm.exe, avpmon.exe, avpnt.exe, avptc32.exe, avpupd.exe, avrescue.exe, avscanavshadow.exe, avsched32.exe, avsynmgr.exe, avupgsvc.exe, avwebloader.exe, avwin95.exe, avwinnt.exe, avwsc.exe, avwupd32.exe, avxmonitor9x.exe, avxmonitornt.exe, avxquar.exe, avxw.exe, azonealarm.exe, bd_professional.exe, bidef.exe, bidserver.exe, bipcp.exe, bipcpevalsetup.exe, bisp.exe, blackd.exe, blackice.exe, boot.exe, bootwarn.exe, borg2.exe, bs120.exe, BullGuard.exe, callmsi.exe, ccapp.exe, ccevtmgr.exe, cclaw.exe, ccpxysvc.exe, ccsetmgr.exe, ccshtdwn.exe, cdp.exe, cfgwiz.exe, cfiadmin.exe, cfiaudit.exe, cfind.exe, cfinet.exe, cfinet32.exe, chrome.exe, ChromeSetup.exe, clamauto.exe, claw95.exe, claw95cf.exe, claw95ct.exe, clean.exe, cleaner.exe, cleaner3.exe, cleanpc.exe, cmd.exe, cmgrdian.exe, cmon016.exe, connectionmonitor.exe, consent.exe, cpd.exe, cpdclnt.exe, cpf.exe, cpf9x206.exe, cpfnt206.exe, crashreporter.exe, csinject.exe, csinsm32.exe, css1631.exe, ctfmon.exe, ctrl.exe, cv.exe, cwnb181.exe, cwntdwmo.exe, defalert.exe, defscangui.exe, defwatch.exe, deputy.exe, Diskmon.exe, doors.exe, dpf.exe, drvins32.exe, drwatson.exe, drweb32.exe, dumphive.exe, dv95.exe, dv95_o.exe, dvp95.exe, dvp95_0.exe, earthagent.exe, ecengine.exe, ecls.exe, ecmd.exe, edi.exe, efinet32.exe, efpeadm.exe, egui.exe, EHttpSrv.exe, ekrn.exe, ent.exe, esafe.exe, escanh95.exe, escanhnt.exe, escanv95.exe, espwatch.exe, etrustcipe.exe, evpn.exe, ewido.exe, exantivirus-cnet.exe, exit.exe, expert.exe, explored.exe, f-agnt95.exe, f-prot.exe, f-prot95.exe, f-stopw.exe, fa-setup.exe, fact.exe, fameh32.exe, fast.exe, fch32.exe, fih32.exe, Filemon.exe, findviru.exe, firefox.exe, firewall.exe, FirewallControlPanel.exe, FirewallSettings.exe, fix-it.exe, flowprotector.exe, fnrb32.exe, fp-win.exe, fp-win_trial.exe, FPAVServer.exe, fprot.exe, fprot95.exe, frw.exe, fsaa.exe, fsav.exe, fsav32.exe, fsav530stbyb.exe, fsav530wtbyb.exe, fsav95.exe, fsave32.exe, fsgk32.exe, fslaunch.exe, fsm32.exe, fsma32.exe, fsmb32.exe, fssm32.exe, fwenc.exe, fwinstall.exe, gbmenu.exe, gbpoll.exe, GenericRenosFix.exe, generics.exe, gibe.exe, GoogleToolbarInstaller_download_signed.exe, gpedit.exe, guard.exe, guarddog.exe, guardgui.exe, guardhlp.exe, hacktracersetup.exe, helper.exe, HiJackThis.exe, HJTInstall.exe, HostsChk.exe, htlog.exe, hwpe.exe, iamapp.exe, iamserv.exe, iamstats.exe, ibmasn.exe, ibmavsp.exe, icload95.exe, icloadnt.exe, icmon.exe, icmoon.exe, icssuppnt.exe, icsupp.exe, icsupp95.exe, icsuppnt.exe, IEDFix.exe, iface.exe, ifw2000.exe, iomon98.exe, iparmor.exe, iris.exe, isrv95.exe, jammer.exe, jed.exe, jedi.exe, kav8.0.0.357es.exe, kavlite40eng.exe, kavpers40eng.exe, kavsvc.exe, kerio-pf-213-en-win.exe, kerio-wrl-421-en-win.exe, kerio-wrp-421-en-win.exe, killprocesssetup161.exe, kis8.0.0.506latam.exe, kpf.exe, kpfw32.exe, ldnetmon.exe, ldpro.exe, ldpromenu.exe, ldscan.exe, licmgr.exe, localnet.exe, lockdown.exe, lockdown2000.exe, lookout.exe, lsetup.exe, luall.exe, luau.exe, lucomserver.exe, luinit.exe, luspt.exe, mbam.exe, mbamgui.exe, mbamservice.exe, mcagent.exe, mcmnhdlr.exe, mcshield.exe, mctool.exe, mcuimgr.exe, mcupdate.exe, mcvsrte.exe, mcvsshld.exe, mdll.exe, mfw2en.exe, mfweng3.02d30.exe, mgavrtcl.exe, mgavrte.exe, mghtml.exe, mgui.exe, minilog.exe, monitor.exe, monsys32.exe, monsysnt.exe, monwow.exe, moolive.exe, mpfagent.exe, mpfservice.exe, mpftray.exe, mrflux.exe, MSASCui.exe, msblast.exe, msconfig.exe, msinfo32.exe, msn.exe, mspatch.exe, mssmmc32.exe, mu0311ad.exe, mwatch.exe, mxtask.exe, n32scan.exe, n32scanw.exe, nai_vs_stat.exe, nav32_loader.exe, nav80try.exe, navap.exe, navapsvc.exe, navapw32.exe, navauto-protect.exe, navdx.exe, naveng.exe, navengnavex15.exe, navex15.exe, navlu32.exe, navnt.exe, navrunr.exe, navsched.exe, navstub.exe, navw.exe, navw32.exe, navwnt.exe, nc2000.exe, ncinst4.exe, nd98spst.exe, ndd32.exe, ndntspst.exe, neomonitor.exe, neowatchlog.exe, netarmor.exe, netcfg.exe, netinfo.exe, netmon.exe, netscanpro.exe, Netscape.exe, netspyhunter-1.2.exe, netstat.exe, netutils.exe, nisserv.exe, nisum.exe, nmain.exe, nod32.exe, normist.exe, norton_internet_secu_3.0_407.exe, notstart.exe, npf40_tw_98_nt_me_2k.exe, npfmessenger.exe, nprotect.exe, npscheck.exe, npssvc.exe, nsched32.exe, ntdetect.exe, ntrtscan.exe, ntxconfig.exe, nui.exe, nupdate.exe, nupgrade.exe, nvapsvc.exe, nvarch16.exe, nvc95.exe, nvlaunch.exe, nvsvc32.exe, nwinst4.exe, nwservice.exe, nwtool16.exe, offguard.exe, ogrc.exe, opera.exe, Opera_964_int_Setup.exe, ostronet.exe, outpost.exe, outpostinstall.exe, outpostproinstall.exe, padmin.exe, panixk.exe, pathping.exe, pavcl.exe, pavproxy.exe, pavsched.exe, pavw.exe, pcc2002s902.exe, pcc2k_76_1436.exe, pccclient.exe, pccguide.exe, pcciomon.exe, pccmain.exe, pccntmon.exe, pccpfw.exe, pccwin97.exe, pccwin98.exe, pcdsetup.exe, pcfwallicon.exe, pcip10117_0.exe, pcscan.exe, pcscanpdsetup.exe, penis32.exe, periscope.exe, persfw.exe, perswf.exe, pf2.exe, pfwadmin.exe, ping.exe, pingscan.exe, platin.exe, pop3trap.exe, poproxy.exe, popscan.exe, portdetective.exe, portmon.exe, portmonitor.exe, ppinupdt.exe, pptbc.exe, ppvstop.exe, prckiller.exe, Process.exe, processmonitor.exe, procexp.exe, procexplorerv1.0.exe, Procmon.exe, programauditor.exe, proport.exe, protectx.exe, pspf.exe, purge.exe, pview.exe, pview95.exe, qconsole.exe, qserver.exe, rapapp.exe, rav.exe, rav7.exe, rav7win.exe, rav8win32eng.exe, realmon.exe, regedit.exe, regedt32.exe, Regmon.exe, rescue.exe, rescue32.exe, Restart.exe, route.exe, routemon.exe, rrguard.exe, rshell.exe, rstrui.exe, rtvscn95.exe, rulaunch.exe, Safari.exe, safeweb.exe, SandboxieBITS.exe, SandboxieCrypto.exe, SandboxieDcomLaunch.exe, SandboxieRpcSs.exe, SandboxieWUAU.exe, SbieCtrl.exe, SbieSvc.exe, sbserv.exe, scan32.exe, scan95.exe, scanpm.exe, sched.exe, schedapp.exe, scrscan.exe, scvhosl.exe, sd.exe, sdclt.exe, serv95.exe, setupvameeval.exe, setup_flowprotector_us.exe, sgssfw32.exe, sh.exe, sharedaccess.exe, shellspyinstall.exe, shn.exe, smc.exe, SmitfraudFix.exe, sofi.exe, spf.exe, sphinx.exe, spider.exe, spysweeper.exe, spyxx.exe, SrchSTS.exe, srwatch.exe, ss3edit.exe, st2.exe, supftrl.exe, supporter5.exe, sweep.exe, sweep95.exe, sweepnet.exe, sweepsrv.sys.exe, swnetsup.exe, swsc.exe, swxcacls.exe, symproxysvc.exe, symtray.exe, sysdoc32.exe, syshelp.exe, taskkill.exe, tasklist.exe, taskmgr.exe, taskmon.exe, taumon.exe, tauscan.exe, tbscan.exe, tc.exe, tca.exe, tcm.exe, tcpsvs32.exe, tds-3.exe, tds2-98.exe, tds2-nt.exe, tds2.exe, tfak.exe, tfak5.exe, tftpd.exe, tgbob.exe, titanin.exe, titaninxp.exe, tmlisten.exe, tmntsrv.exe, tracerpt.exe, tracert.exe, trjscan.exe, trjsetup.exe, trojantrap3.exe, UCCLSID.exe, UI0Detect.exe, undoboot.exe, unzip.exe, update.exe, updater.exe, UserAccountControlSettings.exe, VACFix.exe, vbcmserv.exe, vbcons.exe, vbust.exe, vbwin9x.exe, vbwinntw.exe, vccmserv.exe, vcleaner.exe, vcontrol.exe, vcsetup.exe, vet32.exe, vet95.exe, vet98.exe, vettray.exe, vfsetup.exe, vir-help.exe, virusmdpersonalfirewall.exe, vmsrvc.exe, vnlan300.exe, vnpc3000.exe, vpc32.exe, vpc42.exe, vpcmap.exe, vpfw30s.exe, vptray.exe, vscan.exe, vscan40.exe, vscenu6.02d30.exe, vsched.exe, vsecomr.exe, vshwin32.exe, vsisetup.exe, vsmain.exe, vsmon.exe, vsscan40.exe, vsstat.exe, vswin9xe.exe, vswinntse.exe, vswinperse.exe, vvstat.exe, w32dsm89.exe, w9x.exe, watchdog.exe, webscan.exe, webscanx.exe, webtrap.exe, WerFault.exe, wfindv32.exe, wgfe95.exe, whoswatchingme.exe, wimmun32.exe, wingate.exe, winhlpp32.exe, wink.exe, winmgm32.exe, winppr32.exe, winrecon.exe, winroute.exe, winservices.exe, winsfcm.exe, wmias.exe, wmiav.exe, wnt.exe, wradmin.exe, wrctrl.exe, WS2Fix.exe, wsbgate.exe, wuauclt.exe, wyvernworksfirewall.exe, xpf202en.exe, xscan.exe, zapro.exe, zapsetup3001.exe, zatutor.exe, zatutorzauinst.exe, zauinst.exe, zlh.exe, zonalarm.exe, zonalm2601.exe, zonealarm.exe, _avp.exe, _avp32.exe, _avpcc.exe, _avpm.exe, _findviru.exe
- Mendisable beberapa fungsi dan tools Windows seperti:
Hidden dan Superhidden
Hidden File Extension
Folder Option
No File
System Restore
Command Promt
Task Manager
Regedit
Run Command
- Merubah default homepage Internet Explorer ke beberapa website seperti: http://5g7p5rbtw7c12ao.xxx (dimana xxx adalah sebuah domain yang digunakan virus). Angka dan huruf pada subdomain dapat acak dan berbeda pada tiap penginfeksian. Alamat-alamat ini akan di-direct ke website pada tampilan pertama (gambar paling atas) yang mirip dengan search engine Google.
- Membuat file dengan nama winlogon.exe pada root drive C.

Sumber
Diposting oleh dhoe di 14.04
Label:

Rahasia Kecil Di Balik Folder Recycler

Recycler

Recycler (Varian). Maraknya malware yang beredar di masyarakat dengan kemampuan baru dalam memanfaatkan celah keamanan Windows, membuat user sempat melupakan malware yang selalu besembunyi di balik folder Recycler ini. Awal kemunculannya di tahun 2008 seiring dengan datangnya worm Conficker, semakin banyak malware dengan tipe worm dan virus baru yang menggunakan folder dengan nama Recycler sebagain tempat persembunyiaannya.

Autorun.inf adalah jalan utama dari malware ini agar bisa berjalan dengan baik, seperti yang terlihat pada screenshot di atas. Teknik ini hampir sama dengan teknik autorun.inf buatan virus Alman seperti yang terlihat pada gambar dibawah.
Komparasi Kode Virus
Jika dilihat lebih dalam, coding Autorun.inf milik salah satu varian Recycler (Recycler.BA) ini mengubah default Context Menu dari Drive, yaitu menu Open dan Explore yang nantinya akan di arahkan pada malware tersebut. Banyak user yang tidak sadar dan justru menjalankan fungsi autorun.inf buatan Recycler. Malware ini banyak memiliki varian yang dibuat dengan pemrograman yang berbeda seperti C++, Borland Delphi, Visual Basic dan Autoit. Beberapa di temukan dalam keadaan di-pack menggunaka UPX, ASPack, PE Compact, MEW, dll.
Teknik lain yang digunakan worm ini adalah membuat  folder Recycler yang digunakan sebagai tempat persembunyian.  Sebagian besar menggunakan folder:
RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013
Folder ini berbentuk seperti Recycler Bin, sementara varian lain menggunakan icon yang berbeda.
Agar user tidak menemukan file asli dari malware yang nantinya akan di panggil oleh autorun.inf, worm membuat folder dengan nama Recycler yang terlihat dan berfungsi seakan-akan sama seperti Recycle Bin pada Windows. Ada beberapa cara agar bisa membuat folder seperti ini, salah satunya dengan membuat Folder yang setara dengan Special Folder dan menambahkan file Desktop.ini di dalamnya.
Berikut contoh desktop.ini yang berada pada special folder My Pictures.
Kode My Pictures
Jika desktop.ini diubah seperti pada gambar dibawah ini:
Desktop
Maka perubahannya terlihat seperti pada gambar berikut:
Perubahan pada My Pictures
Cara lainnya bisa dengan membuat folder dengan nama yang di gunakan oleh fungsi windows, contoh:
recycle.{645FF040-5081-101B-9F08-00AA002F954E}
Contoh Recycle
Dengan menggunakan nama folder seperti contoh di atas, tidak membutuhkan file desktop.ini atau harus pada Special Folder. Untuk membuktikan begitu sederhana teknik persembunyian di balik Recycler Bin, dijelaskan pada gambar di bawah.
Contoh Cara Mengubah Recycle

Sumber
Recycler

Recycler (Varian). Maraknya malware yang beredar di masyarakat dengan kemampuan baru dalam memanfaatkan celah keamanan Windows, membuat user sempat melupakan malware yang selalu besembunyi di balik folder Recycler ini. Awal kemunculannya di tahun 2008 seiring dengan datangnya worm Conficker, semakin banyak malware dengan tipe worm dan virus baru yang menggunakan folder dengan nama Recycler sebagain tempat persembunyiaannya.

Autorun.inf adalah jalan utama dari malware ini agar bisa berjalan dengan baik, seperti yang terlihat pada screenshot di atas. Teknik ini hampir sama dengan teknik autorun.inf buatan virus Alman seperti yang terlihat pada gambar dibawah.
Komparasi Kode Virus
Jika dilihat lebih dalam, coding Autorun.inf milik salah satu varian Recycler (Recycler.BA) ini mengubah default Context Menu dari Drive, yaitu menu Open dan Explore yang nantinya akan di arahkan pada malware tersebut. Banyak user yang tidak sadar dan justru menjalankan fungsi autorun.inf buatan Recycler. Malware ini banyak memiliki varian yang dibuat dengan pemrograman yang berbeda seperti C++, Borland Delphi, Visual Basic dan Autoit. Beberapa di temukan dalam keadaan di-pack menggunaka UPX, ASPack, PE Compact, MEW, dll.
Teknik lain yang digunakan worm ini adalah membuat  folder Recycler yang digunakan sebagai tempat persembunyian.  Sebagian besar menggunakan folder:
RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013
Folder ini berbentuk seperti Recycler Bin, sementara varian lain menggunakan icon yang berbeda.
Agar user tidak menemukan file asli dari malware yang nantinya akan di panggil oleh autorun.inf, worm membuat folder dengan nama Recycler yang terlihat dan berfungsi seakan-akan sama seperti Recycle Bin pada Windows. Ada beberapa cara agar bisa membuat folder seperti ini, salah satunya dengan membuat Folder yang setara dengan Special Folder dan menambahkan file Desktop.ini di dalamnya.
Berikut contoh desktop.ini yang berada pada special folder My Pictures.
Kode My Pictures
Jika desktop.ini diubah seperti pada gambar dibawah ini:
Desktop
Maka perubahannya terlihat seperti pada gambar berikut:
Perubahan pada My Pictures
Cara lainnya bisa dengan membuat folder dengan nama yang di gunakan oleh fungsi windows, contoh:
recycle.{645FF040-5081-101B-9F08-00AA002F954E}
Contoh Recycle
Dengan menggunakan nama folder seperti contoh di atas, tidak membutuhkan file desktop.ini atau harus pada Special Folder. Untuk membuktikan begitu sederhana teknik persembunyian di balik Recycler Bin, dijelaskan pada gambar di bawah.
Contoh Cara Mengubah Recycle

Sumber
Diposting oleh dhoe di 14.01
Label:

 
Design by Free WordPress Themes | Bloggerized by Lasantha - Premium Blogger Themes | SharePoint Demo