Virus Gen.Autoit (Fake Webcam)

Posted in Virus Lokal on Feb 06, 2014

Beberapa akhir ini kami kembali banyak menerima sampel virus berikon kamera webcam. virus yang dibuat dengan menggunakan Autoit ini sebenarnya sudah pernah dibahas sebelumnya disini Virus Autoit menyamar sebagai webcam.

Rupanya pembuat virus ini terus memperbarui virusnya agar tetap eksis. terlihat dari sampel-sampel virus yg dikirim virus ini memiliki ukuran yang berbeda-beda tiap variantnya, dari tiap variant virus memiliki penambahan fungsi infeksi tertentu, seperti apakah variant virus ini, baca lebih lanjut..

   Karakteristik Virus 

  

Ukuran : 775 Kb (Ukuran berubah-ubah tiap variant)

Icon : WebCam

File Version : 3.3.6.1

Dibuat Menggunakan : Autoit v3

 

File Induk Virus

Saat aktif virus akan menanamkan file induknya disistem, lokasi file induk tersebut berada di :

  • C:\Windows\System32\system32_.exe

File induk tersebut akan dijadikan proses utama oleh virus, agar file induk bisa berjalan secara otomatis, virus membuat autorun diregistry berikut :

  • HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Winlogon\Shell = “Explorer.exe “C:\windows\system32_.exe
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Yahoo Messengger = “C:\windows\system32\system32_.exe”

 

Search Engine Virus

Saat pertama kali aktif, virus membuat beberapa shortcut yang mengarah langsung ke website search engine yang dibuat oleh pembuat virus, file-file shortcut tersebut berada dilokasi :

  • C:\Users\<NamaUser>\Desktop\Sioril.lnk
  • C:\ProgramData\Microsoft\Windows\StartMenu\Programs\Startup\Google.lnk
  • C:\Users\<NamaUser>\AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup\Gogle.lnk
  • C:\Users\<NamaUser>\Favorites\Make Friends.lnk
  • C:\Users\<NamaUser>\Documents\New Jobs info.lnk

Dari shortcut tersebut mengarah ke website search engine virus berikut :

Virus juga merubah search engine dan HomePage browser Internet Explorer & Firefox, serta menambahkan task scheduled yang mengarah pada website search engine virus.

 

Kill Process

Berikut beberapa program dan tools windows yang akan ditutup paksa oleh virus  :

  • game_y.exe
  • Bkav2006
  • System Configuration (Caption)
  • Registry (Caption)
  • [FireLion] (Caption)
  • cmd.exe

 

Infeksi seluruh drive & Network share

Virus ini mencoba menyebarkan dirinya secara menyeluruh pada setiap drive yang ada dikomputer korban, dengan membuat duplikat virus diroot drive dan sub folder yang ada didalam drive tersebut, jadi berapa banyak folder yang ada disetiap drive, maka segitu juga banyaknya duplikat virus :

  • New Folder.exe (Attribut Normal)
  • system32_.exe (Attribut Hidden)
  • <NamaFolder> \ <NamaFolder>.exe

Virus ini juga mencoba menginfeksi data / folder yang tersharing dijaringan, jika drive / folder sharing tersebut memiliki akses Full Access, maka virus akan membuat satu duplikat disana dengan nama New Folder.exe

 

Menyebar Via Instan Messaging

Sama seperti variant terdahulu virus ini mentargetkan beberapa aplikasi instan messaging yang biasa digunakan orang untuk chating, berikut ini daftar aplikasi yang menjadi target penyebaran virus :

  • Yahoo Messenger
  • Google Talk
  • Skype

Dengan mengirimkan pesan berbahasa inggris disertai link bervirus :

  • "Hey what are you doing Please test my new webcam using private application %UrlVirus%"
  • "Hey Please help me to test my new cam, (use deepika213 as passcode)  %UrlVirus%"
  • "The wisest mind has something yet to learn %UrlVirus%"
  • "Hey Please help me to test my new cam application %UrlVirus%"
  • "I was checking out yahoo members ENTER and i saw your page   yahoo says you are my top match        view my private cam via secured connection Luse password pass      %UrlVirus% Waiting for you, view my private cam via secured connection BIN"
  • "Happiness is not a destination. It is a method of life %UrlVirus%"
  • "View my private cam via secured connection %UrlVirus%"
  • "If you want truly to understand something, try to change it %UrlVirus%"
  • "asl please  I am 21 Female, Mumbai (India) and you  Hey View my private cam via secured connection %UrlVirus%"

Virus juga akan menambahkan akun si pembuat virus dengan ID foxjones9 didaftar kontak YM. jika ada permintaan dengan id tersebut segera tolak dan hapus dari list pertemanan anda.  

 

Auto Update Virus

Pada variant baru ini, pembuat virus menambahkan fungsi otomatis update variant virus, jika virus menemukan variant baru maka virus akan mendownload dan mengganti virus yang lama dengan variant terbarunya, hal ini dibuat tentunya untuk menghindari deteksi scaner Antivirus.

Link yg digunakan virus untuk mengupdate variantnya :

Dari analisa kami virus ini ada kemiripan dengan virus terdahulu yakni virus Sohanad, yang sempat membuat heboh dengan aksinya menyebar melalui YahooMessenger, Virus sohanad juga dibuat menggunakan Autoit, jadi ada kemungkinan variant virus Gen Autoit webcam ini hasil modifikasi dari virus Sohanad.

 

Pembersihan

Untuk membersihkan virus ini gunakan Smadav Revisi terbaru, anda bisa mendownloadnya di www.smadav.net. Pada Smadav Revisi terbaru virus ini sudah dapat terdeteksi dengan baik. harap ikuti cara-cara dibawah ini untuk pembersihan total virus dari sistem., apabila anda memiliki USB Flashdisk jangan lupa untuk menscan isi Flash Disk tersebut untuk mencegah virus kembali menginfeksi sistem.

  • Download / Update Smadav Revisi terbaru

  • Kemudian jalankan

  • Klik tombol Scanner > Pada pilihan Auto Checking > Pilih Full Scan

  • Beri centang pada Deep (Over 1500 Registry Values)

  • Kemudian klik tombol Scan >>

  • Jika Smadav beum mendeteksi variant terbaru virus ini, gunakan fitur One Virus By User, Klik pada tombol Tools > Tab One-Virus-By-User. Pada daftar file yang ada, Klik kanan pada file yang dicurigai sebagai virus, kemudian pilih Add As Virus untuk menambahkan database virus sementara. jika sudah dilakukan anda bisa kembali ke tombol Scanner, dan melakukan scanning ulang

  • Tunggu hingga proses scanning selesai, dan terakhir tinggal klik Tombol Bersihkan

 

One Response to “Virus Gen.Autoit (Fake Webcam)”




Leave a Reply to rental mobil kediri| herorentcarkediri.com


  • Search

    Loading
  • Wall

    Previous Next
    Latest on Thu, 03:22 pm

    welma: good

    ajibola: hello ajibola.....welcome your to come u know work computer not bad wrong u miss not wish cry now

    Noah Larbi: good but dont know how to update

    Michael Akol: Very good protector and scnanner

    tuxa: d0wnload

    denis: best assured

    abdoul bawan allah: code de tous partable

    Agent: grant

    yeshwanth: it is very fantastic

    jeoffrey: good and perfect

    » Tuliskan komentar Anda :