Senin, 28 Februari 2011

Dhoos: Cara Berbisnis Worm

Dhoos
Dhoos.  Biasanya malware berniat untuk merusak komputer korban/mendapat informasi tertentu, akan tetapi hal ini sedikit berbeda dengan worm bernama Dhoos ini. Meskipun beberapa kebiasaan malware yang memanfaatkan website adalah mendownload file tertentu, worm Dhoos hanya seolah menawarkan beberapa produk yang bisa di beli secara online. Meskipun website yang di akses menggunakan bahasa China.

A. File Info
Nama: Dhoos
Asal: China
Ukuran File: 79.3 KB (81,245 bytes)
Packer: UPX
Pemrograman: Delphi
Icon: Folder
Tipe: Worm
Dibuat Dengan Delphi
B. Tentang Malware
Properties
Namanya di ambil dari bagian tubuhnya yang banyak menyebutkan Dhoos. Ukuran asli worm ini jika tanpa packer adalah 528 KB (540,672 bytes). Diduga worm ini mulai menyebar di Indonesia pada awal Januari 2011, akan tetapi beberapa antivirus sudah mampu mengenali worm ini dengan teknik heuristic-nya termasuk PCMAV. Meskipun demikian, ada saja user yang komputernya terinfeksi worm Dhoos kemudia mengirimkan sampelnya kepada kami. Pada komputer yang belum menginstall Windows Asian Language akan menyebabkan nama file worm seperti sebuah karakter acak.

C. Companion/File yang dibuat

  • Setelah aktif, worm ini akan membuat 4 buah shortcut URL pada desktop dan semuanya mengarah pada wesite : http://www.sfc***.com/
Shortcut
  • Disetiap driver terdapat file dari worm dengan nama My Documamts.exe.
  • Membuat file DLL dengan nama BOSC pada folder
    C:\Program Files\Common Files\BOSC.dll.
  • Membuat folder pada dengan “VSPS” pada drive C:\ dan membuat pula companion dengan nama VSPS.exe.
  • Membuat folder dengan nama acak seperti “gqyjwihwwn” dan “qloyaagnml” yang didalamnya terdapa host dari worm dengan nama “explorer.exe” sedangkan yang satunya adalah “smss.exe”.
  • Tidak membuat startup pada registry, worm ini mengcopykan companionnya ke folder startup
    C:\Documents and Settings\All Users\Start Menu\Programs\Startup\liyfmphhgv.exe.
D. Hasil Infeksi
Tidak tanggung-tangung worm ini belokan fungsi 187 file aplikasi dengan nama tertentu ke fungsi “ntsd –d”. 187 nama file yang tidak bisa di buka adalah:
1.~.exe
2.360rpt.exe
3.360Safe.exe
4.360safebox.exe
5.360sd.exe
6.360sdrun.exe
7.360tray.exe
8.799d.exe
9.adam.exe
10.AgentSvr.exe
11.AntiU.exe
12.AoYun.exe
13.appdllman.exe
14.AppSvc32.exe
15.ArSwp.exe
16.ArSwp2.exe
17.ArSwp3.exe
18.AST.exe
19.atpup.exe
20.auto.exe
21.AutoRun.exe
22.autoruns.exe
23.av.exe
24.AvastU3.exe
25.avconsol.exe
26.avgrssvc.exe
27.AvMonitor.exe
28.avp.com
29.avp.exe
30.AvU3Launcher.exe
31.CCenter.exe
32.ccSvcHst.exe
33.cross.exe
34.Discovery.exe
35.DSMain.exe
36.EGHOST.exe
37.FileDsty.exe
38.filmst.exe
39.FTCleanerShell.exe
40.FYFireWall.exe
41.ghost.exe
42.guangd.exe
43.HijackThis.exe
44.IceSword.exe
45.iparmo.exe
46.Iparmor.exe
47.irsetup.exe
48.isPwdSvc.exe
49.jisu.exe
50.kabaload.exe
51.KaScrScn.SCR
52.KASMain.exe
53.KASTask.exe
54.KAV32.exe
55.KAVDX.exe
56.KAVPF.exe
57.KAVPFW.exe
58.KAVSetup.exe
59.kavstart.exe
60.kernelwind32.exe
61.KISLnchr.exe
62.kissvc.exe
63.KMailMon.exe
64.KMFilter.exe
65.knsd.exe
66.knsdave.exe
67.knsdtray.exe
68.KPFW32.exe
69.KPFW32X.exe
70.KPfwSvc.exe
71.KRegEx.exe
72.KRepair.com
73.KsLoader.exe
74.KSWebShield.exe
75.KVCenter.kxp
76.KvDetect.exe
77.KvfwMcl.exe
78.KVMonXP.kxp
79.KVMonXP_1.kxp
80.kvol.exe
81.kvolself.exe
82.KvReport.kxp
83.KVScan.kxp
84.KVSrvXP.exe
85.KVStub.kxp
86.kvupload.exe
87.kvwsc.exe
88.KvXP.kxp
89.KvXP_1.kxp
90.KWatch.exe
91.KWatch9x.exe
92.KWatchX.exe
93.KWSMain.exe
94.kwstray.exe
95.KWSUpd.exe
96.loaddll.exe
97.logogo.exe
98.MagicSet.exe
99.mcconsol.exe
100.mmqczj.exe
101.mmsk.exe
102.Navapsvc.exe
103.Navapw32.exe
104.NAVSetup.exe
105.niu.exe
106.nod32.exe
107.nod32krn.exe
108.nod32kui.exe
109.NPFMntor.exe
110.pagefile.exe
111.pagefile.pif
112.pfserver.exe
113.PFW.exe
114.PFWLiveUpdate.exe
115.qheart.exe
116.QHSET.exe
117.QQDoctor.exe
118.QQDoctorMain.exe
119.QQDoctorRtp.exe
120.QQKav.exe
121.QQPCMgr.exe
122.QQPCRTP.exe
123.QQPCSmashFile.exe
124.QQPCTray.exe
125.QQSC.exe
126.qsetup.exe
127.Ras.exe
128.Rav.exe
129.ravcopy.exe
130.RavMon.exe
131.RavMonD.exe
132.RavStub.exe
133.RavTask.exe
134.RegClean.exe
135.rfwcfg.exe
136.rfwmain.exe
137.rfwProxy.exe
138.rfwsrv.exe
139.RsAgent.exe
140.Rsaupd.exe
141.rsnetsvr.exe
142.RsTray.exe
143.rstrui.exe
144.runiep.exe
145.safeboxTray.exe
146.safelive.exe
147.scan32.exe
148.ScanFrm.exe
149.ScanU3.exe
150.SDGames.exe
151.SelfUpdate.exe
152.servet.exe
153.shcfg32.exe
154.SmartUp.exe
155.sos.exe
156.SREng.EXE
157.SREngPS.EXE
158.stormii.exe
159.sxgame.exe
160.symlcsvc.exe
161.SysSafe.exe
162.tmp.exe
163.TNT.Exe
164.TrojanDetector.exe
165.Trojanwall.exe
166.TrojDie.kxp
167.TxoMoU.Exe
168.UFO.exe
169.UIHost.exe
170.UmxAgent.exe
171.UmxAttachment.exe
172.UmxCfg.exe
173.UmxFwHlp.exe
174.UmxPol.exe
175.upiea.exe
176.UpLive.exe
177.USBCleaner.exe
178.vsstat.exe
179.wbapp.exe
180.webscanx.exe
181.WoptiClean.exe
182.Wsyscheck.exe
183.XDelBox.exe
184.XP.exe
185.zhudongfangyu.exe
186.zjb.exe
187.zxsweep.exe
Memiliki kemampuan Rootkit yang bersembunyi pada Explorer.exe.
Rootkit
Dan ini adalah aktivitas worm yang terlihat pada Process Explorer:
Process Explorer
Karena worm ini membuat user mengakses web dengan bahasa China, maka setiap membuka browser Internet Explorer, maka akan muncul peringatan untuk menginstall paket “Chinese Simplified” terlebih dahulu:
Installation Pack
Untuk flash disk yang sudah terhubung dengan komputer yang terinfeksi maka smua foldernya akan di hidden dan digantikan dengan file worm.
Flash Disk
E. Pembersihan
Berikut proses pembersihan dengan PCMAV.
Cleaner 1
Cleaner 2

PCMAV 4.6 Update Build2
Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 4.6 Update Build2 telah hadir dengan penambahan 85 pengenal varian virus baru. Bagi Anda pengguna PCMAV 4.6, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.
Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.
Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:
SendSpace.com
ZippyShare.com (mirror)
Rapidshare.com (mirror)
Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.
Daftar tambahan virus hingga PCMAV 4.6 Update Build2:
Acehku.vbs
Amoumain
BlackId
Delp-Shortcut
Delp-Shortcut.lnk.A
Delp-Shortcut.lnk.B
Delp-Shortcut.lnk.C
Delp-Shortcut.lnk.D
Delp-Shortcut.lnk.E
Dhoos
Dhoos.dll
Dhoos.url.A
Dhoos.url.B
Dhoos.url.C
Ebetazijl.A
Ebetazijl.A.inf
Ebetazijl.B
Ebetazijl.B.lnk
FakeAV-Downloader.G
FakeAV-Downloader.H
FakeAV-Downloader.H.job
FakeAV-Downloader.H.lnk.A
FakeAV-Downloader.H.lnk.B
FakeAV-Downloader.H.lnk.C
FakeAV-Downloader.H.msi
FakeAV-Downloader.H.setup
FakeAV-Downloader.H.url
FakeAV-Downloader.H.xml
FakeAV-Downloader.I
FakeAV-Downloader.I.dat
FakeAV-Downloader.I.job
FakeAV-Downloader.I.lnk.
FakeAV-Downloader.I.lnk.A
FakeAV-Downloader.I.lnk.B
FakeAV-Downloader.I.lnk.C
FakeAV-Downloader.I.ref
FakeAV-Downloader.I.rtf
FakeAV-Downloader.I.setup
FakeDownloader.A
FakeDownloader.B
FakeDownloader.B.dll.A
FakeDownloader.B.dll.B
FakeDownloader.C
FakeDownloader.C.dll.A
FakeDownloader.C.dll.B
FakeDownloader.D
FakeDownloader.D.dll
FakeDownloader.D.exe
FakeDownloader.E
FakeDownloader.F
FakeDownloader.F.bat
FakeDownloader.F.job
FakeDownloader.G
FakeDownloader.G.DLL
FakeDownloader.H
FakeDownloader.H.bat
FakeDownloader.H.job
FakeDownloader.H.sim
FakeDownloader.I
FakeDownloader.J
FakeDownloader.K
FakeDownloader.L
FakeDownloader.L.exe
FakeDownloader.M
FakeDownloader.N
FakeDownloader.O
HoneyMoon.vbs
HoneyMoon.vbs.inf
Khetex.B
NDI.vbs
NDI.vbs.gen
NDI.vbs.inf
NDI.vbs.txt
NineOClock
Rascal.B
Restore.D
Restore.D.inf
Restore.E
Restore.E.inf
SkyNet.F
Spesial
VB-Shortcut-1.lnk
Vedasetion
Vedasetion.tmp
Vemo-AV
sumber : http://virusindonesia.com/2011/02/02/dhoos-cara-berbisnis-worm/
Read more!
di 06.57 0 komentar
Label: ,

Memperbaiki Flash Disk yang tiba-tiba mati

Pernakah kamu mengalami kejadian seperti ini:

“Saat flash disk tertancap di komputer win XP, sedang dipakai namun tiba-tiba windows hank alias frozen. Setelah komputer di booting paksa dan di hidupkan lagi, ternyata flash disk yang tertancap tadi mati. Falsh disk tidak bisa bekerja lagi. Windows mendeteksi kapasitasnya 0 MB dan mengeluarkan pesan untuk memformatnya. Dicoba untuk di format gagal juga. Akhirnya gak terpakai lagi deh tuh Flash disk”
Kalau memang kasus seperti ini yang anda alami terhadap kerusakan flash disk anda. jangan khawatir kita masih bisa coba untuk menyelamatkan dan menghidupkanya lagi. Berikut ini langkah-langkah untuk memperbaikinya:
  1. Softawre yang kita perlukan untuk keperluan ini adalah HP Drive Boot Utility (buatan HP namun jangan khawatir ternyata bisa kita gunakan untuk merek yang lainya. Bahkan untuk memory kamera juga). Anda bisa download di sini.
  2. Setelah di download, jalankan dan pilih drive untuk falsh disk yang akan diperbaiki.
  3. Pilih tipe format disk yang mau di gunakan (FAT, FAT32 atau NTFS)
  4. Pilih Quick Format
  5. Kemudian pilih start untuk memulainya.
sumber : http://maztikno.wordpress.com/2007/07/26/memperbaiki-flash-disk-yang-tiba-tiba-mati/
Read more!
di 06.52 0 komentar
Label:

Pindah Mac/network address! Why Not!

Terkadang kalo kita menggunakan internet di kantor atau di kampus biasanetwork addess menjumpai masalah dengan sistem pengaturan. Kadang kala sampai nomor IP kita terlalu over dibatasi (diplenet) atau bahkan di block.
Pembatasan itu tidak hanya pada nomor ip komputer kita, bisa juga pada alamat mac komputer kita. Untuk menggati nomor ip memang sudah lazim dijumpai, namun untuk penggantian alamat mac perlu pengetahuan atau bisa menggnakan software khusus.
Berikut ini conto salah satu cara mengganti alamat mac komputer kita secara manual

cara ini bekerja untuk windows XP, langkah-langkahnya adalah sbb:
  • Cari alamat mac addres yang sekarang (bisa menggunakan fasilitas dos ipconfig /all catat physical address contoh (Physical Address = 00-30-85-2B-41-5D) atau menggunakan cara yang lainya
  • Pada windows masuk ke local area connection properties
  • Pilih configure pada kartu jaringan yang dipake
  • Pilih tab advanced
  • Pada properties pilih network address
  • Pada value isikan 12 angka alamat network addess yang baru tidak perlu mamakai tanda “-”
  • Usahakan alamat yang baru tidak usah berbeda jauh dengan yang lama (biasanya admin dalam melakukan scaning alamat ini masih secara manual dalam melihatnya dan kadang tidak dicatat, hanya sebatas hafalan, jadi kalo tidak berbeda jauh bisa dianggap alamat yang lama)
Ini bisa membantu bukan hanya bila masalah tersebut kita hadapi, bisa juga saat kita menghadapi masalah terjadinya duplikat alamat network.

sumber :http://maztikno.wordpress.com/2007/05/28/pindah-macnetwork-address-why-not/
Read more!
di 06.49 0 komentar
Label:

Toggle

About Me

Unknown
Lihat profil lengkapku

jQuery