Pernah kah anda ketika FB an muncul chat dari seseorang dan beriikan link seperti ini:
haha be http://www.muzika.cc/files/dl.php?id4v5h3=Picture45.JPG
kemudian anda click, dan apa jadinya? haha... selamat, anda mendapat virus baru dari fb, dan datanya sebagai berikut seperti yang dikutip dari dr web:
Win32.HLLW.Autoruner1.23
Added to Dr.Web virus database: 2011-10-23
informasi teknis
untuk memastikan autorun dan distribusi file:
memodifikasi Registry sebagai berikut:
* [<hklm>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Intel Service Monitor' = '<system32>\igfxvtk2.exe'</system32></hklm>
Membuat file-file berikut ini di removable media:
* <nama drive="">:\af48.lnk</nama>
* <nama drive="">:\af47.lnk</nama>
* <nama drive="">:\Autorun.inf</nama>
* <nama drive="">:\SysConfig.{645FF040-5081-101B-9F08-00AA002F954E}\sysconfig-x930517.dat</nama>
* <nama drive="">:\r.cpl</nama>
* <nama drive="">:\vsntcp.exe</nama>
* <nama drive="">:\af46.lnk</nama>
* <nama drive="">:\af45.lnk</nama>
fungsi malisius:
untuk membobol firewall, Menghapu atau memodifikasi registry berikut ini:
* [<hklm>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] '<system32>\igfxvtk2.exe' = '<system32>\igfxvtk2.exe:*:Enabled:bLAN'</system32></system32></hklm>
* [<hklm>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<system32>\igfxvtk2.exe' = '<system32>\igfxvtk2.exe:*:Enabled:bLAN'</system32></system32></hklm>
Membuat dan mengeksekusi file berikut ini:
* <system32>\igfxvtk2.exe <full path="" to="" virus=""></full></system32>
Memasukkan kode berikut ini
kedalam proses:
* %WINDIR%\Explorer.EXE
menjelajahi windows untuk mencari analisis:
* ClassName: 'PROCMON_WINDOW_CLASS' WindowName: 'Process Monitor - Sysinternals: www.sysinternals.com'
mendeteksi program dan games:
* ClassName: 'gdkWindowToplevel' WindowName: 'The Wireshark Network Analyzer'
menyembunyikan file proses berikut ini:
* <full path="" to="" virus=""></full>
* <system32>\igfxvtk2.exe</system32>
memodifikasi sistem :
membuat file berikut ini:
* %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\5x2[1].zip
* %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\rdat02[1].txt
* <system32>\igfxvtk2.exe</system32>
* %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\5x2[1].zip
mengeset atribut hidden pada file ini:
* <drive name="" for="" removable="" media="">:\r.cpl</drive>
* <system32>\igfxvtk2.exe</system32>
menghapus file berikut ini:
* %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\5x2[1].zip
* %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\5x2[1].zip
Deletes itself.
Network activity:
Connects to:
* 's5#.##telprog.su':6303
* 's2#.##telcore.su':4502
* '14#.#48.35.28':80
* 's1#.##telcore.su':5781
* 'vp####.#ntelbackupsrv.su':80
* 's7#.##telprog.su':4502
* 's8#.##telprog.su':3654
TCP:
HTTP GET requests:
* 14#.#48.35.28/awstats/rdat02.txt
* vp####.#ntelbackupsrv.su/net/5x2.zip
UDP:
* DNS ASK s8#.##telprog.su
* DNS ASK s1#.##telcore.su
* DNS ASK s5#.##telprog.su
* DNS ASK s2#.##telcore.su
* DNS ASK vp####.#ntelbackupsrv.su
* DNS ASK s7#.##telprog.su
* '<private ip="" address="">':1036</private>
* '<private ip="" address="">':1035</private>
Miscellaneous:
Searches for the following windows:
* ClassName: 'TCPViewClass' WindowName: ''
* ClassName: '#32770' WindowName: 'Regshot 1.8.2'
* ClassName: 'PROCEXPL' WindowName: ''
* ClassName: 'CNetmonMainFrame' WindowName: 'Microsoft Network Monitor 3.3'
* ClassName: 'SmartSniff' WindowName: 'SmartSniff'
* ClassName: 'CurrPorts' WindowName: 'CurrPorts'
nah, itulah pekerjaannya, jika ingin lebih lanjut mengetahui, buka aja di Dr. Web, ada solusinya juga kok, heheheh
http://vms.drweb.com/virus/?i=1542668
haha be http://www.muzika.cc/files/dl.php?id4v5h3=Picture45.JPG
kemudian anda click, dan apa jadinya? haha... selamat, anda mendapat virus baru dari fb, dan datanya sebagai berikut seperti yang dikutip dari dr web:
Win32.HLLW.Autoruner1.23
Added to Dr.Web virus database: 2011-10-23
informasi teknis
untuk memastikan autorun dan distribusi file:
memodifikasi Registry sebagai berikut:
* [<hklm>\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 'Intel Service Monitor' = '<system32>\igfxvtk2.exe'</system32></hklm>
Membuat file-file berikut ini di removable media:
* <nama drive="">:\af48.lnk</nama>
* <nama drive="">:\af47.lnk</nama>
* <nama drive="">:\Autorun.inf</nama>
* <nama drive="">:\SysConfig.{645FF040-5081-101B-9F08-00AA002F954E}\sysconfig-x930517.dat</nama>
* <nama drive="">:\r.cpl</nama>
* <nama drive="">:\vsntcp.exe</nama>
* <nama drive="">:\af46.lnk</nama>
* <nama drive="">:\af45.lnk</nama>
fungsi malisius:
untuk membobol firewall, Menghapu atau memodifikasi registry berikut ini:
* [<hklm>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] '<system32>\igfxvtk2.exe' = '<system32>\igfxvtk2.exe:*:Enabled:bLAN'</system32></system32></hklm>
* [<hklm>\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] '<system32>\igfxvtk2.exe' = '<system32>\igfxvtk2.exe:*:Enabled:bLAN'</system32></system32></hklm>
Membuat dan mengeksekusi file berikut ini:
* <system32>\igfxvtk2.exe <full path="" to="" virus=""></full></system32>
Memasukkan kode berikut ini
kedalam proses:
* %WINDIR%\Explorer.EXE
menjelajahi windows untuk mencari analisis:
* ClassName: 'PROCMON_WINDOW_CLASS' WindowName: 'Process Monitor - Sysinternals: www.sysinternals.com'
mendeteksi program dan games:
* ClassName: 'gdkWindowToplevel' WindowName: 'The Wireshark Network Analyzer'
menyembunyikan file proses berikut ini:
* <full path="" to="" virus=""></full>
* <system32>\igfxvtk2.exe</system32>
memodifikasi sistem :
membuat file berikut ini:
* %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\5x2[1].zip
* %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\rdat02[1].txt
* <system32>\igfxvtk2.exe</system32>
* %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\5x2[1].zip
mengeset atribut hidden pada file ini:
* <drive name="" for="" removable="" media="">:\r.cpl</drive>
* <system32>\igfxvtk2.exe</system32>
menghapus file berikut ini:
* %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\0D6B6PI5\5x2[1].zip
* %HOMEPATH%\Local Settings\Temporary Internet Files\Content.IE5\69I9OPW5\5x2[1].zip
Deletes itself.
Network activity:
Connects to:
* 's5#.##telprog.su':6303
* 's2#.##telcore.su':4502
* '14#.#48.35.28':80
* 's1#.##telcore.su':5781
* 'vp####.#ntelbackupsrv.su':80
* 's7#.##telprog.su':4502
* 's8#.##telprog.su':3654
TCP:
HTTP GET requests:
* 14#.#48.35.28/awstats/rdat02.txt
* vp####.#ntelbackupsrv.su/net/5x2.zip
UDP:
* DNS ASK s8#.##telprog.su
* DNS ASK s1#.##telcore.su
* DNS ASK s5#.##telprog.su
* DNS ASK s2#.##telcore.su
* DNS ASK vp####.#ntelbackupsrv.su
* DNS ASK s7#.##telprog.su
* '<private ip="" address="">':1036</private>
* '<private ip="" address="">':1035</private>
Miscellaneous:
Searches for the following windows:
* ClassName: 'TCPViewClass' WindowName: ''
* ClassName: '#32770' WindowName: 'Regshot 1.8.2'
* ClassName: 'PROCEXPL' WindowName: ''
* ClassName: 'CNetmonMainFrame' WindowName: 'Microsoft Network Monitor 3.3'
* ClassName: 'SmartSniff' WindowName: 'SmartSniff'
* ClassName: 'CurrPorts' WindowName: 'CurrPorts'
nah, itulah pekerjaannya, jika ingin lebih lanjut mengetahui, buka aja di Dr. Web, ada solusinya juga kok, heheheh
http://vms.drweb.com/virus/?i=1542668
