Pages

Kamis, 29 Desember 2011

Cara Memperbaiki Extensi .exe

Posting Kali ini adalah bagaimana cara mengembalikan Extensi (.exe) yang dikarenakan :
  1. Virus
  2. Social Engineering/Penipuan
Kalau Dari Virus Biasanya Dilakukan Oleh Worm. Tapi Kalau Social Engineering Biasanya Berupa Penipuan

Penanggulangannya Secara Manual Bisa Memakai (.bat file) berikut caranya :
  1. cari file (.txt) untuk acuan
  2. Klik Kanan File
  3. Pilih Edit
  4. Lalu anda akan diarahkan ke program notepad
  5. lalu klik File > New
  6. Lalu Ketikan kode ini :
    7. assoc.exe=exefile
  7. Lalu Save Dengan Extensi ".bat" < Baca Step 8 Dahulu !
  8. Pada Saat Dialog save di bagian save as type diubah menjadi "all file" dan baca step 9
  9. Tak Lupa Di Bagian File Name Ketikan "terserah anda.bat"
  10. Lalu Klik 2x File Itu. Dan Exe File Sudah Bisa Dijalankan.
Secara Otomatis :
  1. Bisa Memakai Fitur Antivirus (klo seperti ini kaspersky yang ada fitur system restornya)
  2. Cara Otomatis Saya Hanya Menemukan 1 saja....
  3. Mungkin Antivirus Lain Juga Punya Fitur yang sama
Sekian Dari Saya,
Klo Mau Copaz Saya Saranin Pasang credit dan berlink ya... :D
Diposting oleh David Layardi di 23.11 0 komentar
Label: ,

Jumat, 09 Desember 2011

Black Label | Dari Content Dewasa Menjadi Online Virus Scanner

Terkadang kita mendapatkan sesuatu yang tidak pernah kita bayangkan atau kita minta. Bahkan ada kalanya kita mendapatkan sesuatu yang tidak kita inginkan. Sama seperti kejadian yang dilaporkan oleh salah satu user kepada kami, yang katanya sedang mencari sebuah gambar dengan menggunakan keyword yang sebenarnya amat jauh dari kesan malware.

A. Info File
Nama Worm : BlackLabel
Asal : ~
Ukuran File : random
Packer : UPX
Pemrograman : Microsoft Visual C++
Icon : Old Application
Tipe : Trojan, Worm

B. About Malware
Seperti yang sudah dijelaskan di atas, malware yang diberi nama BlackLabel ini berasal dari salah satu website yang diluar dugaan justru mengarahkan pada situs yang berisi malware. Wajar jika seorang user akan langsung kaget setelah ditemukan adanya virus di komputernya. Padahal, sebenarnya user tersebut sedang membuka browser dan mengakses website yang mensimulasikan sebuah antivirus melakukan proses scanning. Website ini akan memaksa user untuk mendownload file yang nantinya jika di jalankan akan mendownload varian malware yang lain.
Sebelum user mendapatkan komputernya seolah-olah terinfeksi oleh banyak malware, terdapat 1 buah halaman webiste yang dibuat sengaja untuk mengarahkan user agar tertarik dan mengakses website yang sudah ditentukan.

Jika user memilih YES, akan muncul sebuah pesan peringatan adanya malware yang sedang aktif di komputernya.

Apapun pilihan user, baik itu menekan tombol OK atau Cancel, maka akan tetap masuk ke halaman yang sama. Dan pada akhirnya, user akan dipaksa untuk mendownload file yang sudah disiapkan oleh website tersebut.

C. Companion/File yang dibuat
Sampai saat ini PCMAV bisa mendeteksi sampai 9 varian. Hal ini dikarenakan begitu banyak file yang didownload oleh BlackLabel ini. Berikut ini adalah companion BlackLabel yang terdapat pada folder temporary. Menariknya, BlackLabel sudah menyiapkan 1 buah file dengan nama 123.tmp yang isinya adalah list alamat companion yang akan didownload. Hebatnya, bukan hanya 1 alamat website yang dijadikan tempat menyimpan companion yang akan di download. Hal ini menyebabkan sulit ntuk melacak keberadaan host BlackLabel yang sebenarnya.

D. Hasil Infeksi
Payload yang lain dari malware ini adalah melakukan koneksi Internet untuk mendownload beberapa file companion yang nantinya akan diaktifkan dan saling melindungi proses hostnya.

Meskipun mendownload companion, hanya beberapa yang diaktifkan saat proses startup. Terhitung hanyak 2 companion dan 1 lagi adalah dropper yang bertugas untuk mendownload file-file tersebut.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\[nama acak 1]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\[nama acak 2]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\[nama acak 3]
E. Pembersihan
Dengan Antivirus Lokal Pc Media 6.1 / Smadav 8.7 / Antivirus Yang Sudah Di Update
Diposting oleh David Layardi di 04.49 1 komentar
Label:

MateInfect | Dibuat Untuk Koruptor



Gambar di atas adalah pesan yang disampaikan oleh MateInfect. Mungkin masih ingat dengan UltraSurf, yang memformat setiap local drive yang ada kecuali drive system-nya. MateInfect justru merupakan kebalikan dari UltraSurf karena kerusakan yang dihasilkan hampir tidak bisa diperbaiki, karena terhapusnya hampir secara keseluruhan file yang terdapat pada drive C:\ dan seolah mengizinkan file host maupun companionnya dihapus seiring dengan terhapusnya seluruh file system Windows.

A. Info File
Nama Malware : MateInfect
Asal : Bandung, Indonesia
Ukuran File : 221 KB (227,092 bytes)
Packer : ~
Pemrograman : Microsoft Visual C++
Icon : Malware Icon
Tipe : Worm, Trojan

B. About Malware
Sampelnya pertama kami dapatkan dari user yang IP-nya berasal dari kota Bandung. Sekilas seperti sebuah aplikasi biasa, namun hasil yang diakibatkan sangat diluar dugaan. Terhitung cukup jarang malware yang dibuat menggunakan C++ dan berasal dari Indonesia belakangan ini. Namun seperti biasa, ciri khas dari malware lokal adalah adanya pesan dari sang pembuat virus. Bisa dikatakan bahwa MateInfect hadir dengan membawa tema yang mengandung unsur politik seperti yang terlihat pada gambar di atas.
Seperti yang sudah dijelaskan sebelumnya, MateInfect menjalankan payload yang terbilang tidak wajar. File Windows baik itu *. exe ataupun *.dll, dihapus secara total. Dan akibatnya tidak diragukan lagi, sudah tentu akan mengakibatkan komputer tidak bisa melakukan proses booting ke sistem operasi Windows. Seperti pada gambar di bawah ini.


Namanya diambil dari companionnya yang tidak ditemukan keberadaannya, kemungkinan file tersebut memang tidak tercipta.



C. Companion/File yang dibuat
Sebelum memulai aksinya, MateInfect membuat beberapa companion yang cukup banyak keberadaannya.
MateInfect.bat
File bat dengan nama history.bat ini tidak akan muncul jika user sengaja melakukan analisa menggunakan Sandboxie. Dan dengan terpaksa harus dilakukan pengetesan secara langsung dengan cara mengaktifkan malware ini.
MateInfect.html
Pesan yang tergambarkan pada file HTML yang dibuat di folder system32 dengan nama HukumanBuatKoruptor.html.
MateInfect.lnk.A & MateInfect.lnk.B
Shortcut juga dibuat agar payload yang belum dilakukan oleh malware tetap dijalankan. Seperti salah satu shortut yang terdapat di folder startup dengan nama WinCleaner.lnk.
MateInfect.vbs.A & MateInfect.vbs.B
File VBS yang dibuat terdiri dari 2 buah fungsi. Pada variant A, berfungsi utuk mengeksekusi host dengan nama sMaD.jp dan file html yang dibuat. Sedangkan variant B memiliki peran sebagai pembuat file shortcut pada folder startup.
MateInfect.zip.A, MateInfect.zip.B & MateInfect.zip.C
Berisi host dari MateInfect yang kemudian di ekstrak dan dieksekusi.

D. Hasil Infeksi
Jika pada saat komputer korban terdapat flash disk yang sedang terhubung, MateInfect akan membuat folder RECYCLER yang didalamnya terdapat 2 buah folder yang tidak bisa dihapus secara manual.

Selain itu, tanpa disadari seluruh file yang terdapat di drive [C:\] satu persatu dihapus oleh MateInfect dengan perintah seperti ini:

  • @echo off
  • C:
  • cd \
  • cd "%USERPROFILE%\Application Data\Mozilla\Firefox\Profiles\*.default"
  • del *.* /s /q /f


E. Pembersihan
Bisa Memakai Antivirus SMADAV 8.6 / PCMAV 6.0
Diposting oleh David Layardi di 04.39 0 komentar
Label:

Sabtu, 03 Desember 2011

Virus Dan Worm

Penjelasan kali ini diberi materi oleh informan antivirus Internasional. Yang Pasti dibahas tentang Virus Dan Worm. Jadi Klo Tidak jelas silahkan comment di buku tamu.

Virus dan worm adalah program berbahaya yang mereplikasi diri pada komputer atau melalui jaringan komputer tanpa pengguna menyadari; setiap salinan berikutnya dari program jahat tersebut<'2Fspan> juga mampu mereplikasi diri.

Program jahat yang menyebar melalui jaringan atau menginfeksi mesin remote ketika diperintahkan untuk melakukannya oleh "pemilik" (misalnya Backdoors) atau program yang membuat beberapa salinan yang mampu mereplikasi diri bukan/bagian dari Virus dan Worms subclass.

Karakteristik utama yang digunakan untuk menentukan apakah atau tidak program diklasifikasikan sebagai perilaku yang terpisah dalam Virus dan Worms subclass adalah bagaimana menyebarkan program (yaitu bagaimana program berbahaya menyebar salinan dirinya melalui sumber daya lokal atau jaringan.)

Worm paling dikenal tersebar sebagai file dikirim sebagai lampiran email, melalui link ke sumber daya web atau FTP, melalui link yang dikirimkan dalam pesan ICQ atau IRC, melalui jaringan P2P file sharing dll

Beberapa Worm menyebar sebagai paket jaringan, ini langsung menembus memori komputer, dan kode worm ini kemudian diaktifkan.

Worm menggunakan teknik-teknik berikut untuk menembus komputer remote dan peluncuran salinan sendiri: rekayasa sosial (misalnya, pesan email menyarankan pengguna membuka file terlampir), memanfaakan kesalahan jaringan konfigurasi (seperti menyalin ke disk sepenuhnya dapat diakses), dan pemanfaatan celah dalam sistem operasi dan keamanan aplikasi.

Virus dapat dibagi sesuai dengan metode yang digunakan untuk menginfeksi :

     * File virus
     * Boot Sector Virus
     * Virus macro
     * Script virus

Setiap program dalam subclass ini dapat memiliki fungsi Trojan tambahan.

Hal ini juga harus dicatat bahwa banyak Worm menggunakan lebih dari satu metode dalam rangka untuk menyebarkan salinan melalui jaringan. Aturan untuk mengklasifikasikan objek terdeteksi dengan beberapa fungsi harus digunakan untuk mengklasifikasikan jenis worm.

lanjutanya nanti :)
sekian....
copas boleh tapi bersumber ya.... :)
Diposting oleh David Layardi di 03.33 0 komentar
Label:
Langganan: Postingan (Atom)