Online Scanner Palsu


FakeAV-Downloader.L. Berawal dari e-mail yang di kirimkan menggunakan alamat e-mail salah satu kenalan dan anehnya hanyalah berisi sebuah URL. E-mail tanpa subjek tersebut dikirimkan juga (CC) ke beberapa alamat email lainnya dan diduga kuat e-mail pengirim sudah di bajak atau di salahgunakan oleh malware/pihak tertentu. Setelah URL itu di buka, justru mengarah kepada website lain (direct link) yang menampikan sebuah pesan bahwa komputer yang sedang digunakan telah terinfeksi virus.


A. Info Malware
Nama: FakeAV-Downloader.L
Asal: Chicago, Illinois (dugaan)
Ukuran File: 1.69 MB (1,781,760 bytes)
Packer: Asprotect ver 2
Pemrograman: Delphi
Icon: Installer (Unknown)
Tipe: Trojan Downloader

B. Tentang Malware


Seperti yang sudah dijelaskan sebelumnya bahwa email tersebut hanya berisikan sebuah URL yang jika dibuka maka akan mengarahkan ke website lain. Website tersebut langsung memberikan pesan seperti gambar di bawah ini:


Pesan tersebut berisi peringatan adanya virus di komputer yang sedang digunakan, dan sangat dianjurkan untuk melakukan scanning. User yang merasa bahwa ada yang tidak beres dengan komputernya atau penasaran karena pesan tersebut, kebanyakan akan menekan tombol OK pada halaman tersebut dan yang di dapat adalah:


Web tersebut memberikan gambaran seolah-olah sedang melakukan scanning secara online. Jika diperhatikan lebih detail, ada sedikit keganjilan terhada jumlah drive/local disk yang ditampilkan. Karena hanya menampilkan 2 buah local disk, sedangkan komputer yang kami jadikan pengujian terdiri dari 3 local disk. Yang menarik adalah kemampuan untuk memanipulasi tampilan untuk beberapa versi Windows karena setelah dilakukan pengujian terhdap Windows 7 dan Windows XP, tampilannya akan diubah sesuai dengan versi Windows yang digunakan. Pesan palsu lainnya juga ditampilkan dan dimaksudkan untuk lebih meyakinkan user bahwa terdapat banyak virus di komputernya.


Setelah itu, user akan mendownload sebuah file.


Setelah file tersebut selesai di download yangkemudian dijalankann, malware tersebut menyamar sebagai Microsoft Security Essentials. Selain itu berikut ini adalah berapa screenshot dari beberapa aktivitas “awal” dari Online Scan.






C. Companion/File yang dibuat

Setelah user menjalankan Online Scan, malware ini akan menghapus file aslinya dan langsung membuat host di:

C:\Documents and Settings\[nama user]\Application Data\Microsoft\[nama acak].exe


D. Hasil Infeksi

Inilah tampilah dari Online Scanner yang ternyata adalah antivirus palsu.


Sama seperti antivirus palsu yang lainnya, selalu meminta user memasukan serial number yang bisa didapatkan setelah melakukan pembayaran secara online. Harganyapun beragam, berikut adalah daftar harga yang ditawarkan untuk antivirus palsu ini:


Tanpa disadari, worm ini selalu melakukan koneksi ke beberapa IP, seperti yang terlihat pada gambar berikut.


Jika ditelusuri, IP tersebut mengarah ke beberapa kota seperti, Chicago (Illinois), Mountain View (California) dan Como (Lombardia).

Selain itu, beberapa system tools windows juga di anggap malware, contohnya seperti regedit.exe yang di dianggap sebagai Trojan-DDoS,Win32.


Pertahanan lainnya adalah mendisable setiap aplikasi yang mengancam keberadaan antivirus palsu ini. Berikut ini adalah value key yang dibuat oleh Online Scanner pada regsitry editor.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\afwserv.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avastsvc.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avastui.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\egui.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ekrn.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msascui.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msmpeng.exe]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msseces.exe]
“Debugger”=”svchost.exe”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
“EnableLUA”=dword:00000000
“ConsentPromptBehaviorAdmin”=dword:00000000
“ConsentPromptBehaviorUser”=dword:00000000

[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
“Shell”=”C:\\Documents and Settings\\Administrator\\Application Data\\Microsoft\\jakcbf.exe”.

0 komentar:

Posting Komentar

free counters

About Me

Followers