Malware Lokal Yang Masih Bertahan Hidup


ScreaM: Malware Lokal Yang Masih Bertahan Hidup


Salah satu ciri malware lokal yang masih melekat pada ScreaM adalah trik social engineering yang terlalu “kaku” dan menonjol. Malware berukuran  56.0 KB (57344 bytes ) ini masih dibuat dengan Microsoft Visual Basic 6 dan tanpa di-pack. ScreaM dibuat pada tanggal 29.11.2012 10:07 sesuai time date stamp-nya.
ScreaM memiliki 3 icon yang berbeda pada dirinya,seperti terlihat berikut ini
Pertama adalah Icon Folder jika dilihat menggunakan tipe mode Icons [Windows 7 ] atau Tiles [Windows XP ] pada Explorer
Kedua adalah Icon Microsoft Office Word jika dilihat pada mode Content [Windows 7] dan Icons [Windows XP]
Dan terakhir Icon  Blank Executable jika dilihat pada mode List atau Details [Windows 7 dan XP]
 
Tentang Malware
 
File yang dibuat 
ScreaM menduplikasi diri ke folder WINDOWS dengan path
 C:\WINDOWS\ScreaM.exe
Aksi
Memblokir proses dan Window yang mempunyai nama atau caption sebagai berikut :
vir,av,safe,pcmav,master,utility,hijack,patrol,Firewall,TaskManager,config,folder
option,security,remov,scan,option,kill,anti,ansav,system32,Setup,Windows,Mcafee,norman,Norton,avg,nod32,fix,system,installer,install,avi-gen,virus,protect,recycle,Smadav,task
 ScreaM juga diduga hanya mengkode ulang Malware Nabe,terlihat dari string yang ada pada dirinya sebagai berikut
Untuk berjalan saat Startup, ScreaM masih mengandalkan Registry seperti Malware Lokal pada umumnya.
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\dllhost
Value: C:\WINDOWS\ScreaM.exe

PCMAV 8.7 Update Build1
Untuk membasmi malware ini ataupun varian malware lainnya, PCMAV 8.7 Update Build1 telah hadir dengan penambahan 13 pengenal varian malware baru. Bagi Anda pengguna PCMAV 8.7, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi malware lebih banyak lagi.
Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada menu Setup – Updater. Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik tombol “Check for Updates” pada menu Update.
Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui link ini:
Download vx1.sig:
Letakkan file hasil download tersebut (vx1.sig) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah vx1.sig, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.
File-file berikut harus update manual:
Download RTPScan.rar:
Ekstrak dan letakkan file hasil download tersebut (RTPScan.dll) ke dalam folder \lib. Jika sebelumnya telah terdapat file yang lama, Anda cukup menimpanya.
Download vx.sig:
Ekstrak dan letakkan file hasil download tersebut (vx.sig) ke dalam folder \vdb. Jika sebelumnya telah terdapat file yang lama, Anda cukup menimpanya.
Daftar tambahan virus hingga PCMAV 8.7 Update Build1:
Ardamax.C
Ardamax.C.lnk
Autorun-aarw
Buzus
Cacing-X2.vbs
CintaFitri.C
CintaFitri.D
CintaFitri.D.bat
CintaFitri.E
FakeAV-MXAntiSpy
Keylog
Recycler.FB
ScreaM
http://virusindonesia.com/2013/02/28/scream-malware-lokal-yang-masih-bertahan-hidup/#more-3006


Post a Comment

0 Comments