Minggu, April 10, 2011

Dhoos: Cara Berbisnis Worm


 Dhoos: Cara Berbisnis Worm




Dhoos.  Biasanya malware berniat untuk merusak komputer korban/mendapat informasi tertentu, akan tetapi hal ini sedikit berbeda dengan worm bernama Dhoos ini. Meskipun beberapa kebiasaan malware yang memanfaatkan website adalah mendownload file tertentu, worm Dhoos hanya seolah menawarkan beberapa produk yang bisa di beli secara online. Meskipun website yang di akses menggunakan bahasa China.

A. File Info

Nama: Dhoos
Asal: China
Ukuran File: 79.3 KB (81,245 bytes)
Packer: UPX
Pemrograman: Delphi
Icon: Folder
Tipe: Worm

 Dhoos: Cara Berbisnis Worm

B. Tentang Malware
 Dhoos: Cara Berbisnis Worm

Namanya di ambil dari bagian tubuhnya yang banyak menyebutkan Dhoos. Ukuran asli worm ini jika tanpa packer adalah 528 KB (540,672 bytes). Diduga worm ini mulai menyebar di Indonesia pada awal Januari 2011, akan tetapi beberapa antivirus sudah mampu mengenali worm ini dengan teknik heuristic-nya termasuk PCMAV. Meskipun demikian, ada saja user yang komputernya terinfeksi worm Dhoos kemudia mengirimkan sampelnya kepada kami. Pada komputer yang belum menginstall Windows Asian Language akan menyebabkan nama file worm seperti sebuah karakter acak.

C. Companion/File yang dibuat

  • Setelah aktif, worm ini akan membuat 4 buah shortcut URL pada desktop dan semuanya mengarah pada wesite : http://www.sfc***.com/
 Dhoos: Cara Berbisnis Worm
  • Disetiap driver terdapat file dari worm dengan nama My Documamts.exe.
  • Membuat file DLL dengan nama BOSC pada folder
    C:\Program Files\Common Files\BOSC.dll.
  • Membuat folder pada dengan “VSPS” pada drive C:\ dan membuat pula companion dengan nama VSPS.exe.
  • Membuat folder dengan nama acak seperti “gqyjwihwwn” dan “qloyaagnml” yang didalamnya terdapa host dari worm dengan nama “explorer.exe” sedangkan yang satunya adalah “smss.exe”.
  • Tidak membuat startup pada registry, worm ini mengcopykan companionnya ke folder startup
    C:\Documents and Settings\All Users\Start Menu\Programs\Startup\liyfmphhgv.exe.
D. Hasil Infeksi
Tidak tanggung-tangung worm ini belokan fungsi 187 file aplikasi dengan nama tertentu ke fungsi “ntsd –d”. 187 nama file yang tidak bisa di buka adalah:
1.~.exe
2.360rpt.exe
3.360Safe.exe
4.360safebox.exe
5.360sd.exe
6.360sdrun.exe
7.360tray.exe
8.799d.exe
9.adam.exe
10.AgentSvr.exe
11.AntiU.exe
12.AoYun.exe
13.appdllman.exe
14.AppSvc32.exe
15.ArSwp.exe
16.ArSwp2.exe
17.ArSwp3.exe
18.AST.exe
19.atpup.exe
20.auto.exe
21.AutoRun.exe
22.autoruns.exe
23.av.exe
24.AvastU3.exe
25.avconsol.exe
26.avgrssvc.exe
27.AvMonitor.exe
28.avp.com
29.avp.exe
30.AvU3Launcher.exe
31.CCenter.exe
32.ccSvcHst.exe
33.cross.exe
34.Discovery.exe
35.DSMain.exe
36.EGHOST.exe
37.FileDsty.exe
38.filmst.exe
39.FTCleanerShell.exe
40.FYFireWall.exe
41.ghost.exe
42.guangd.exe
43.HijackThis.exe
44.IceSword.exe
45.iparmo.exe
46.Iparmor.exe
47.irsetup.exe
48.isPwdSvc.exe
49.jisu.exe
50.kabaload.exe
51.KaScrScn.SCR
52.KASMain.exe
53.KASTask.exe
54.KAV32.exe
55.KAVDX.exe
56.KAVPF.exe
57.KAVPFW.exe
58.KAVSetup.exe
59.kavstart.exe
60.kernelwind32.exe
61.KISLnchr.exe
62.kissvc.exe
63.KMailMon.exe
64.KMFilter.exe
65.knsd.exe
66.knsdave.exe
67.knsdtray.exe
68.KPFW32.exe
69.KPFW32X.exe
70.KPfwSvc.exe
71.KRegEx.exe
72.KRepair.com
73.KsLoader.exe
74.KSWebShield.exe
75.KVCenter.kxp
76.KvDetect.exe
77.KvfwMcl.exe
78.KVMonXP.kxp
79.KVMonXP_1.kxp
80.kvol.exe
81.kvolself.exe
82.KvReport.kxp
83.KVScan.kxp
84.KVSrvXP.exe
85.KVStub.kxp
86.kvupload.exe
87.kvwsc.exe
88.KvXP.kxp
89.KvXP_1.kxp
90.KWatch.exe
91.KWatch9x.exe
92.KWatchX.exe
93.KWSMain.exe
94.kwstray.exe
95.KWSUpd.exe
96.loaddll.exe
97.logogo.exe
98.MagicSet.exe
99.mcconsol.exe
100.mmqczj.exe
101.mmsk.exe
102.Navapsvc.exe
103.Navapw32.exe
104.NAVSetup.exe
105.niu.exe
106.nod32.exe
107.nod32krn.exe
108.nod32kui.exe
109.NPFMntor.exe
110.pagefile.exe
111.pagefile.pif
112.pfserver.exe
113.PFW.exe
114.PFWLiveUpdate.exe
115.qheart.exe
116.QHSET.exe
117.QQDoctor.exe
118.QQDoctorMain.exe
119.QQDoctorRtp.exe
120.QQKav.exe
121.QQPCMgr.exe
122.QQPCRTP.exe
123.QQPCSmashFile.exe
124.QQPCTray.exe
125.QQSC.exe
126.qsetup.exe
127.Ras.exe
128.Rav.exe
129.ravcopy.exe
130.RavMon.exe
131.RavMonD.exe
132.RavStub.exe
133.RavTask.exe
134.RegClean.exe
135.rfwcfg.exe
136.rfwmain.exe
137.rfwProxy.exe
138.rfwsrv.exe
139.RsAgent.exe
140.Rsaupd.exe
141.rsnetsvr.exe
142.RsTray.exe
143.rstrui.exe
144.runiep.exe
145.safeboxTray.exe
146.safelive.exe
147.scan32.exe
148.ScanFrm.exe
149.ScanU3.exe
150.SDGames.exe
151.SelfUpdate.exe
152.servet.exe
153.shcfg32.exe
154.SmartUp.exe
155.sos.exe
156.SREng.EXE
157.SREngPS.EXE
158.stormii.exe
159.sxgame.exe
160.symlcsvc.exe
161.SysSafe.exe
162.tmp.exe
163.TNT.Exe
164.TrojanDetector.exe
165.Trojanwall.exe
166.TrojDie.kxp
167.TxoMoU.Exe
168.UFO.exe
169.UIHost.exe
170.UmxAgent.exe
171.UmxAttachment.exe
172.UmxCfg.exe
173.UmxFwHlp.exe
174.UmxPol.exe
175.upiea.exe
176.UpLive.exe
177.USBCleaner.exe
178.vsstat.exe
179.wbapp.exe
180.webscanx.exe
181.WoptiClean.exe
182.Wsyscheck.exe
183.XDelBox.exe
184.XP.exe
185.zhudongfangyu.exe
186.zjb.exe
187.zxsweep.exe

Memiliki kemampuan Rootkit yang bersembunyi pada Explorer.exe.
 Dhoos: Cara Berbisnis Worm

Dan ini adalah aktivitas worm yang terlihat pada Process Explorer:
 Dhoos: Cara Berbisnis Worm

Karena worm ini membuat user mengakses web dengan bahasa China, maka setiap membuka browser Internet Explorer, maka akan muncul peringatan untuk menginstall paket “Chinese Simplified” terlebih dahulu:
 Dhoos: Cara Berbisnis Worm

Untuk flash disk yang sudah terhubung dengan komputer yang terinfeksi maka smua foldernya akan di hidden dan digantikan dengan file worm.
 Dhoos: Cara Berbisnis Worm

E. Pembersihan
Berikut proses pembersihan dengan PCMAV.
 Dhoos: Cara Berbisnis Worm
 Dhoos: Cara Berbisnis Worm

PCMAV 4.6 Update Build2

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 4.6 Update Build2 telah hadir dengan penambahan 85 pengenal varian virus baru. Bagi Anda pengguna PCMAV 4.6, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.

Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:
SendSpace.com
ZippyShare.com (mirror)
Rapidshare.com (mirror)

Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.


http://pcmav.biz/

Reddit
Digg
Stumble
Delicious
Technorati
Twitter
Facebook

0 Comments:

Posting Komentar

Mengenai Saya

About This Blog

Blog ini adalah kumpulan artikel tentang berita, hal unik, sejarah, legenda, misteri dan fenomena baik yang sudah terpecahkan maupun yang masih diteliti dan pedebatan, dan legenda legenda.

Isi dari artikel adalah hasil penyuntingan dan penterjemahan dari artikel yang sudah ada diinternet. Kami hanya ingin mendedikasikan blog ini untuk penyebarluasan ilmu yang semoga bermanfaat dan dapat menjadi bahan renungan untuk pembaca bahwa masih banyak misteri/fenomena yang belum terjamah oleh pemikiran manusia dan sesungguhnya semua ilmu adalah milik Allah S.W.T.

Pemikiran tentang keberadaan manusia di alam semesta adalah rahasia-Nya, tetapi manusia diberi akal & pikiran untuk terus menimba ilmu bermanfaat darimanapun ilmu itu berasal.

Postingan di blog ini boleh di copy atau disebarluaskan asal dicantumkan link sumbernya.
 

Pristianpedia™ Copyright © 2010 LKart Theme is Edited by Pristian Hendra Pradana