Your PC is infected. The file called RUNLLD.EXE is considered unsafe and there may be other infections on your PC.
You should urgently check your PC and remove any malicious software including RUNLLD.EXE as soon as possible. The free version of Prevx CSI will scan your PC for millions of spyware and malware infections in less than 2 minutes. Don't put your confidential data, or your identity at risk, check your PC now with Prevx CSI.
Associated Malware Groups
The filename is associated with the malware groups:
* Cloaked Malware
* Fraudulent Security Program
File Behavior
RUNLLD.EXE has been seen to perform the following behavior:
* Executes a Process
* Writes to another Process's Virtual Memory (Process Hijacking)
RUNLLD.EXE has been the subject of the following behavior:
* Added as a Registry auto start to load Program on Boot up
* Executed as a Process
* Executed by Internet Explorer
* Deleted as a process from disk
* Created as a process on disk
Country Of Origin
The filename RUNLLD.EXE was first seen on Jan 5 2009 in the following geographical regions of the Prevx community:
* KUWAIT on Jan 5 2009
* The UNITED ARAB EMIRATES on Feb 1 2009
* INDONESIA on Mar 10 2009
* PAKISTAN on Mar 10 2009
File Name Aliases
RUNLLD.EXE can also use the following file names:
* HTI.EXE
* 84035352.EX_
* 67356852.SVD
* RUNDTL.EXE
* REG.EXE
* KHP.EXE
* ORH.EXE
* CRP.EXE
* TRO.EXE
* LNN.EXE
* LPM.EXE
* IJJ.EXE
* HQC.EXE
* SLO.EXE
Filesizes
The following file size has been seen:
* 91,648 bytes
* 136,192 bytes
Vendor, Product and Version Information
These files have no vendor, product or version information specified in the file header.
File Type
The filename RUNLLD.EXE refers to many versions of an executable program.
Rapid malware scanning and removal. Prevx CSI will thoroughly check your PC for malware infections in around 1 minute. It will also remove Adware infections for free! [Download Here]
Source: http://www.prevx.com/filenames/X2331159024562214914-X1/RUNLLD2EEXE.html
Update information about virus, spam, trojan, scam, malware, spyware and how to removal that all malicious program at your computer. Beside that also provide link for removal tool, update antivirus, best free antivirus software
Norton AntiVirus for Windows 2000/XP/Vista Updates Virus Definition
1. 20090323-050-v5i32.exe
Supports the following versions of Symantec antivirus software:
* Norton Antivirus 2009 for Windows XP Home/XP Pro/Vista
* Norton Internet Security 2009 for Windows XP/Home/XP Pro/Vista
* Norton Antivirus 2008 for Windows XP Home/XP Pro/Vista
* Norton Internet Security 2008 for Windows XP/Home/XP Pro/Vista
* Norton 360 version 3.0 for Windows XP/Vista
* Norton 360 version 2.0 for Windows XP/Vista
* Symantec Endpoint Protection 11.0
2. 20090323-003-i32.exe
Supports the following versions of Symantec antivirus software:
* Norton AntiVirus 2003 Professional Edition
* Norton AntiVirus 2003 for Windows 2000/XP Home/XP Pro
* Norton AntiVirus 2004 Professional Edition
* Norton AntiVirus 2004 for Windows 2000/XP Home/XP Pro
* Norton AntiVirus 2005 for Windows 2000/XP Home/XP Pro
* Norton AntiVirus 2006 for Windows 2000/XP Home/XP Pro
* Norton AntiVirus 2007 for Windows XP Home/XP Pro/Vista
* Norton 360 version 1.0 for Windows XP/Vista
* Norton AntiVirus for Microsoft Exchange (Intel)
* Norton SystemWorks (all versions)
* Symantec AntiVirus 3.0 for CacheFlow Security Gateway
* Symantec AntiVirus 3.0 for Inktomi Traffic Edge
* Symantec AntiVirus 3.0 for NetApp Filer/NetCache
* Symantec AntiVirus 9.0 Corporate Edition Client
* Symantec AntiVirus 10.0 Corporate Edition Client
* Symantec AntiVirus 10.1 Corporate Edition Client
* Symantec AntiVirus 10.2 Corporate Edition Client
* Symantec Mail Security for Domino v 5.x
* Symantec Mail Security for Microsoft Exchange v 5.x
3. 20090323-003-x86.exe
Supports the following versions of Symantec antivirus software:
* Norton AntiVirus 2003 Professional Edition
* Norton AntiVirus 2003 for Windows 2000/XP Home/XP Pro
* Norton AntiVirus 2004 Professional Edition
* Norton AntiVirus 2004 for Windows 2000/XP Home/XP Pro
* Norton AntiVirus 2005 for Windows 2000/XP Home/XP Pro
* Norton AntiVirus 2006 for Windows 2000/XP Home/XP Pro
* Norton AntiVirus 2007 for Windows XP Home/XP Pro/Vista
* Norton 360 version 1.0 for Windows XP/Vista
* Norton AntiVirus for Microsoft Exchange (Intel)
* Symantec AntiVirus 3.0 CacheFlow Security Gateway
* Symantec AntiVirus 3.0 for Inktomi Traffic Edge
* Symantec AntiVirus 3.0 for NetApp Filer/NetCache
* Symantec AntiVirus 9.0 Corporate Edition Client
* Symantec AntiVirus 10.0 Corporate Edition Client
* Symantec AntiVirus 10.1 Corporate Edition Client
* Symantec AntiVirus 10.2 Corporate Edition Client
* Symantec AntiVirus for Bluecoat Security Gateway for Windows 2000 Server/2003 Server
* Symantec AntiVirus for Clearswift MIMESweeper for Windows 2000 Server/2003 Server
* Symantec AntiVirus for Microsoft ISA Server for Windows 2000 Server/2003 Server
* Symantec Mail Security for Domino v 5.x
* Symantec Mail Security for Microsoft Exchange v 5.x
* Symantec Mail Security for SMTP v 5.x
* Symantec Web Security 3.0 for Windows
* Symantec AntiVirus Scan Engine for Windows
Source: http://www.symantec.com/business/security_response/definitions/download/detail.jsp?gid=n95
Supports the following versions of Symantec antivirus software:
* Norton Antivirus 2009 for Windows XP Home/XP Pro/Vista
* Norton Internet Security 2009 for Windows XP/Home/XP Pro/Vista
* Norton Antivirus 2008 for Windows XP Home/XP Pro/Vista
* Norton Internet Security 2008 for Windows XP/Home/XP Pro/Vista
* Norton 360 version 3.0 for Windows XP/Vista
* Norton 360 version 2.0 for Windows XP/Vista
* Symantec Endpoint Protection 11.0
2. 20090323-003-i32.exe
Supports the following versions of Symantec antivirus software:
* Norton AntiVirus 2003 Professional Edition
* Norton AntiVirus 2003 for Windows 2000/XP Home/XP Pro
* Norton AntiVirus 2004 Professional Edition
* Norton AntiVirus 2004 for Windows 2000/XP Home/XP Pro
* Norton AntiVirus 2005 for Windows 2000/XP Home/XP Pro
* Norton AntiVirus 2006 for Windows 2000/XP Home/XP Pro
* Norton AntiVirus 2007 for Windows XP Home/XP Pro/Vista
* Norton 360 version 1.0 for Windows XP/Vista
* Norton AntiVirus for Microsoft Exchange (Intel)
* Norton SystemWorks (all versions)
* Symantec AntiVirus 3.0 for CacheFlow Security Gateway
* Symantec AntiVirus 3.0 for Inktomi Traffic Edge
* Symantec AntiVirus 3.0 for NetApp Filer/NetCache
* Symantec AntiVirus 9.0 Corporate Edition Client
* Symantec AntiVirus 10.0 Corporate Edition Client
* Symantec AntiVirus 10.1 Corporate Edition Client
* Symantec AntiVirus 10.2 Corporate Edition Client
* Symantec Mail Security for Domino v 5.x
* Symantec Mail Security for Microsoft Exchange v 5.x
3. 20090323-003-x86.exe
Supports the following versions of Symantec antivirus software:
* Norton AntiVirus 2003 Professional Edition
* Norton AntiVirus 2003 for Windows 2000/XP Home/XP Pro
* Norton AntiVirus 2004 Professional Edition
* Norton AntiVirus 2004 for Windows 2000/XP Home/XP Pro
* Norton AntiVirus 2005 for Windows 2000/XP Home/XP Pro
* Norton AntiVirus 2006 for Windows 2000/XP Home/XP Pro
* Norton AntiVirus 2007 for Windows XP Home/XP Pro/Vista
* Norton 360 version 1.0 for Windows XP/Vista
* Norton AntiVirus for Microsoft Exchange (Intel)
* Symantec AntiVirus 3.0 CacheFlow Security Gateway
* Symantec AntiVirus 3.0 for Inktomi Traffic Edge
* Symantec AntiVirus 3.0 for NetApp Filer/NetCache
* Symantec AntiVirus 9.0 Corporate Edition Client
* Symantec AntiVirus 10.0 Corporate Edition Client
* Symantec AntiVirus 10.1 Corporate Edition Client
* Symantec AntiVirus 10.2 Corporate Edition Client
* Symantec AntiVirus for Bluecoat Security Gateway for Windows 2000 Server/2003 Server
* Symantec AntiVirus for Clearswift MIMESweeper for Windows 2000 Server/2003 Server
* Symantec AntiVirus for Microsoft ISA Server for Windows 2000 Server/2003 Server
* Symantec Mail Security for Domino v 5.x
* Symantec Mail Security for Microsoft Exchange v 5.x
* Symantec Mail Security for SMTP v 5.x
* Symantec Web Security 3.0 for Windows
* Symantec AntiVirus Scan Engine for Windows
Source: http://www.symantec.com/business/security_response/definitions/download/detail.jsp?gid=n95
Download Updates Avast
A feature of most of our programs is their ability to update themselves automatically. If you are connected to the Internet, virus database updates are downloaded and installed automatically without any user action. The availability of a new version is checked when an Internet connection is established, and every four hours afterwards. Update files can also be downloaded from these pages if required e.g. if your computer does not have an Internet connection. Updates are usually released on a daily basis.
The latest iAVS update was published on: 23.3.2009 version: 090323-0
Note: No reinstallation of the program is needed for virus database updates!
Virus Database Update [Download Here]
Source: http://www.avast.com/eng/updates.html
The latest iAVS update was published on: 23.3.2009 version: 090323-0
Note: No reinstallation of the program is needed for virus database updates!
Virus Database Update [Download Here]
Source: http://www.avast.com/eng/updates.html
Download update AVG
It is strongly recommended that you perform all updates from the AVG Free interface. The program can distinguish between full and differential updates; while this page offers only full update files for download.
1. Windows: 8.0.237 [Download]
2. Link Scanner DB: 8.0.103 [Download]
3. AVI: 270.11.25 [Download]
4. IAVI: / 2019 [Download]
Source: http://free.avg.com/download-update
1. Windows: 8.0.237 [Download]
2. Link Scanner DB: 8.0.103 [Download]
3. AVI: 270.11.25 [Download]
4. IAVI: / 2019 [Download]
Source: http://free.avg.com/download-update
Worm:Coutsonif.A
barat Joeniar Arief yang mengatakan bahwa pengguna internet sangat “Rapuh” terhadap serangan virus. Maka kini pengguna Messenger khususnya Yahoo Messenger dan Skype yang mendapatkan giliran menghadapi kiriman virus yang memalsukan dirinya seakan-akan sebagai pesan otentik yang dikirimkan oleh kontak dalam YM / Skype anda. Tetapi jangan sekali-kali anda mengklik link yang diberikan, sekalipun dikirimkan oleh teman anda di YM / Skype yang terpercaya karena sebenarnya pesan tersebut bukan dikirimkan oleh teman anda, melainkan oleh Penghianat Cinta ....... alias virus yang berhasil menginfeksi komputer teman anda. Selain mampu menyebar melalui YM dan Skype, virus ini juga menyebar melalui Flash Disk menggunakan fasilitas Autorun dan memiliki kemampuan mengupdate dirinya. Menurut pantauan terbaru Vaksincom tanggal 10 Februari 2009, link tersebut mulai di update oleh pembuat virus dan nama filenya diganti menjadi “Your_Dad_Has_Shit_Fetish_Too.PIF”
Read manual removal: http://vaksin.com/2009/0209/coutsonif/Coutsonif.html
Source: www.vaksin.com
Read manual removal: http://vaksin.com/2009/0209/coutsonif/Coutsonif.html
Source: www.vaksin.com
Worm:PIF/Starter.A Virus Shortcut
Di tengah gencarnya virus-virus Confiker melanda dunia persilatan jaringan, maka ada sebuah virus lokal yang tidak mau kalah untuk unjuk gigi. Virus ini penulis dapatkan secara tidak sengaja, ketika sedang beranjang sana di sebuah tempat kerja sahabat dekat, dia mengeluh kok banyak banget sih shortcut di komputernya.
Setelah diamati memang benar banyak sekali file-file shortcut yang bertebaran di setiap folder yang ada di dalam komputernya, seperti Microsoft.lnk, dan juga file shortcut dengan nama seperti nama folder yang dimiliki. Akhirnya dengan naluri vaksinis yang tidak bisa mendengar ada virus baru yang tidak terdeteksi oleh antivirus, maka dengan segera keluhan tersebut langsung dianalisa lebih lanjut dan dibuatkan cara mengatasinya.
Ciri-ciri dari virus tersebut adalah :
1.
Di folder My Documents terdapat sebuah file yang bernama database.mdb, dan ternyata ini adalah file induknya.
2.
File Autorun.inf, Thumb.db, Microsoft.lnk di setiap driver, folder dan flash disk sampai pada SUB Folder yang ke-2.
3.
Membuat File Duplikat setiap folder dengan extensi .lnk, maksimal 5 nama folder pertama, misalnya kalau di C:\Windows ada banyak maka hanya akan diambil 5 nama pertama saja. Dan berlaku sampai sub folder yang ke-2
4.
Mematikan fungsi dari file Registry (lihat gambar 3)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistrytools"=dword:00000001
5.
Menambahkan value di registry :
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"Explorer"="Wscript.exe //e:VBScript \"C:\Documents and Settings\Administrator\My Documents\database.mdb\""
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"WinUpdate"="Wscript.exe /e:VBScript \"C:\WINDOWS\:Microsoft Office
Update for Windows XP.sys\""
Untuk script yang terakhir mungkin sekali ini hanya script untuk mengecoh saja, tetapi
dalam prakteknya kita harus mendeletenya. Jika pada saat kita LogOn komputer, maka
akan didapat message error
Yang membuat kita menjadi geram adalah banyak sekali shortcut yang dibuat oleh virus tersebut. Dan hebatnya virus tersebut kalau cara penanganannya tidak tepat maka akan kembali lagi dan lagi. Oleh sebab itu ada beberapa cara yang harus dilakukan untuk memberantas virus yang menyebalkan ini :
1.
Matikan proses dari file WSCRIPT yang terletak di C:\Windows\System32, dengan cara menggunakan tools seperti CProcess, HijackThis atau dapat juga menggunakan Task Manager dari windows.
2.
Sebelumnya matikan dulu proses SYSTEM RESTORE.
3.
Setelah dimatikan proses dari Wscript tersebut, kita harus mendetele atau merename dari pada file tersebut agar tidak digunakan (untuk sementara) lagi oleh virus tersebut. Sebagai catatan, kalau kita merename dari file Wscript.exe tersebut dengan automatis akan dikopikan lagi di folder tersebut, oleh sebab itu kita harus mencari di mana file Wscript.exe yang lainnya biasanya ada di C:\Windows\$NtServicePackUninstall$, C:\Windows\ServicePackFiles\i386. Tidak seperti virus-virus VBS lainnya, kita bisa mengganti Open With dari file VBS menjadi Notepad, virus ini berextensi MDB yang berarti adalah file Microsoft Access. Jadi Wscript akan menjalankan file DATABASE.MDB seolah-olah dia adalah file VBS. (Virus pintar kan)
Wscript.exe //e:VBScript \"C:\Documents and Settings\Administrator\My Documents\database.mdb\""
4.
Delete file induknya yang ada di C:\Documents and Settings\\My Documents\database.mdb, agar setiap kali komputer dijalankan tidak akan meload file tersebut. Dan jangan lupa kita buka juga MSCONFIG, disable perintah yang menjalankannya.
5.
Sekarang kita akan mendelete file-file Autorun.INF. Microsoft.INF dan Thumb.db. dengan cara, klik tombol START, ketik CMD, pindah ke drive yang akan dibersihkan, misalnya drive C:\, maka yang harus kita lakukan adalah
Ketik C:\del Microsoft.inf /s = perintah ini akan mendelete semua file microsoft.inf di seluruh folder di drive C: , kalau mau pindah drive tinggal diganti nama drivenya saja contoh : D:\del Microsoft.inf /s
Untuk file autorun.inf, ketik C:\del autorun.inf /s /ah /f = perintah akan mendelete file autorun.inf (syntax /ah /f digunakan karena file tersebut memakai attrib RSHA, begitu juga untuk file Thumb.db lakukan juga hal yang sama
6.
Untuk mendelete file-file selain 4 file terdahulu, kita harus mencarinya dengan cara Search file dengan ekstensi .lnk ukurannya 1 KB, Pada “More advanced options”, pastikan option “Search system folders” dan “Search hidden files and folders” keduanya telah dicentang.
Harap berhati-hati, tidak semua file shortcut / file LNK yang berukuran 1 KB adalah virus, kita dapat membedakannya dari iconnya, size dan Type. Untuk shortcut yang diciptakan virus iconnya selalu menggunakan icon "folder", ukuran 1 KB dengan Type "Shortcut". Sedangkan folder yang benar harusnya tidak memiliki "size" dan Typenya adalah "File Folder". Contoh di bawah, gambar bagian kiri folder dengan nama "Music", "Video", "Programs", "Documents" dan "Compressed" sebenarnya adalah shortcut yang memalsukan diri sebagai icon folder yang diciptakan oleh virus dan harus dihapus karena memiliki size 1 KB dan Type "Shortcut". Sedangkan Folder dengan nama "Compressed", "Documents", "Music", "Programs", "Video" dan "Virus" yang tidak memiliki Size dan Type "File Folder" adalah folder asli yang namanya dicatut oleh virus. Sedangkan gambar kanan, shortcut yang asli dari program memiliki icon khusus sesuai icon programnya.
7.
Fix registry yang sudah di ubah oleh virus. Untuk mempercepat proses perbaikan registry salin script dibawah ini pada program “notepad” kemudian simpan dengan nama "Repair.inf". Jalankan file tersebut dengan cara:
- Klik kanan repair.inf
- Klik Install
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
[del]
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Winupdate
HKCU,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, explorer
Source: www.vaksin.com
Setelah diamati memang benar banyak sekali file-file shortcut yang bertebaran di setiap folder yang ada di dalam komputernya, seperti Microsoft.lnk, dan juga file shortcut dengan nama seperti nama folder yang dimiliki. Akhirnya dengan naluri vaksinis yang tidak bisa mendengar ada virus baru yang tidak terdeteksi oleh antivirus, maka dengan segera keluhan tersebut langsung dianalisa lebih lanjut dan dibuatkan cara mengatasinya.
Ciri-ciri dari virus tersebut adalah :
1.
Di folder My Documents terdapat sebuah file yang bernama database.mdb, dan ternyata ini adalah file induknya.
2.
File Autorun.inf, Thumb.db, Microsoft.lnk di setiap driver, folder dan flash disk sampai pada SUB Folder yang ke-2.
3.
Membuat File Duplikat setiap folder dengan extensi .lnk, maksimal 5 nama folder pertama, misalnya kalau di C:\Windows ada banyak maka hanya akan diambil 5 nama pertama saja. Dan berlaku sampai sub folder yang ke-2
4.
Mematikan fungsi dari file Registry (lihat gambar 3)
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableRegistrytools"=dword:00000001
5.
Menambahkan value di registry :
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"Explorer"="Wscript.exe //e:VBScript \"C:\Documents and Settings\Administrator\My Documents\database.mdb\""
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"WinUpdate"="Wscript.exe /e:VBScript \"C:\WINDOWS\:Microsoft Office
Update for Windows XP.sys\""
Untuk script yang terakhir mungkin sekali ini hanya script untuk mengecoh saja, tetapi
dalam prakteknya kita harus mendeletenya. Jika pada saat kita LogOn komputer, maka
akan didapat message error
Yang membuat kita menjadi geram adalah banyak sekali shortcut yang dibuat oleh virus tersebut. Dan hebatnya virus tersebut kalau cara penanganannya tidak tepat maka akan kembali lagi dan lagi. Oleh sebab itu ada beberapa cara yang harus dilakukan untuk memberantas virus yang menyebalkan ini :
1.
Matikan proses dari file WSCRIPT yang terletak di C:\Windows\System32, dengan cara menggunakan tools seperti CProcess, HijackThis atau dapat juga menggunakan Task Manager dari windows.
2.
Sebelumnya matikan dulu proses SYSTEM RESTORE.
3.
Setelah dimatikan proses dari Wscript tersebut, kita harus mendetele atau merename dari pada file tersebut agar tidak digunakan (untuk sementara) lagi oleh virus tersebut. Sebagai catatan, kalau kita merename dari file Wscript.exe tersebut dengan automatis akan dikopikan lagi di folder tersebut, oleh sebab itu kita harus mencari di mana file Wscript.exe yang lainnya biasanya ada di C:\Windows\$NtServicePackUninstall$, C:\Windows\ServicePackFiles\i386. Tidak seperti virus-virus VBS lainnya, kita bisa mengganti Open With dari file VBS menjadi Notepad, virus ini berextensi MDB yang berarti adalah file Microsoft Access. Jadi Wscript akan menjalankan file DATABASE.MDB seolah-olah dia adalah file VBS. (Virus pintar kan)
Wscript.exe //e:VBScript \"C:\Documents and Settings\Administrator\My Documents\database.mdb\""
4.
Delete file induknya yang ada di C:\Documents and Settings\
5.
Sekarang kita akan mendelete file-file Autorun.INF. Microsoft.INF dan Thumb.db. dengan cara, klik tombol START, ketik CMD, pindah ke drive yang akan dibersihkan, misalnya drive C:\, maka yang harus kita lakukan adalah
Ketik C:\del Microsoft.inf /s = perintah ini akan mendelete semua file microsoft.inf di seluruh folder di drive C: , kalau mau pindah drive tinggal diganti nama drivenya saja contoh : D:\del Microsoft.inf /s
Untuk file autorun.inf, ketik C:\del autorun.inf /s /ah /f = perintah akan mendelete file autorun.inf (syntax /ah /f digunakan karena file tersebut memakai attrib RSHA, begitu juga untuk file Thumb.db lakukan juga hal yang sama
6.
Untuk mendelete file-file selain 4 file terdahulu, kita harus mencarinya dengan cara Search file dengan ekstensi .lnk ukurannya 1 KB, Pada “More advanced options”, pastikan option “Search system folders” dan “Search hidden files and folders” keduanya telah dicentang.
Harap berhati-hati, tidak semua file shortcut / file LNK yang berukuran 1 KB adalah virus, kita dapat membedakannya dari iconnya, size dan Type. Untuk shortcut yang diciptakan virus iconnya selalu menggunakan icon "folder", ukuran 1 KB dengan Type "Shortcut". Sedangkan folder yang benar harusnya tidak memiliki "size" dan Typenya adalah "File Folder". Contoh di bawah, gambar bagian kiri folder dengan nama "Music", "Video", "Programs", "Documents" dan "Compressed" sebenarnya adalah shortcut yang memalsukan diri sebagai icon folder yang diciptakan oleh virus dan harus dihapus karena memiliki size 1 KB dan Type "Shortcut". Sedangkan Folder dengan nama "Compressed", "Documents", "Music", "Programs", "Video" dan "Virus" yang tidak memiliki Size dan Type "File Folder" adalah folder asli yang namanya dicatut oleh virus. Sedangkan gambar kanan, shortcut yang asli dari program memiliki icon khusus sesuai icon programnya.
7.
Fix registry yang sudah di ubah oleh virus. Untuk mempercepat proses perbaikan registry salin script dibawah ini pada program “notepad” kemudian simpan dengan nama "Repair.inf". Jalankan file tersebut dengan cara:
- Klik kanan repair.inf
- Klik Install
[Version]
Signature="$Chicago$"
Provider=Vaksincom Oyee
[DefaultInstall]
AddReg=UnhookRegKey
DelReg=del
[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKLM, SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, Shell,0, "Explorer.exe"
HKLM, SYSTEM\ControlSet001\Control\SafeBoot, AlternateShell,0, "cmd.exe"
HKLM, SYSTEM\ControlSet002\Control\SafeBoot, AlternateShell,0, "cmd.exe"
[del]
HKLM,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, Winupdate
HKCU,SOFTWARE\Microsoft\Windows\CurrentVersion\Run, explorer
Source: www.vaksin.com
W32/Sality.AE
Kalau Conficker dapat dikatakan sebagai worm nomor satu di Indonesia, maka predikat virus yang paling merepotkan dan paling banyak ditemui Vaksincom di Indonesia pantas di sandang oleh Sality. Virus yang disinyalir berasal dari Taiwan / Cina ini secara meyakinkan menempati ranking pertama dalam infeksi virus yang diterima oleh Vaksincom bersama-sama dengan Conficker.
Memang menyebalkan jika semua program kita ikut dimakan oleh virus [di infeksi], disamping sulit dalam memberantas virusnya terkadang juga file yang sudah di injeksi tersebut tidak dapat digunakan alias rusak setelah di scan dan dibersihkan oleh antivirus, alhasil harus reinstall semua program yang error atau download ulang file yang sudah di injenksi tersebut.
Ukuran file yang sudah terinfeksi W32/Sality.AE akan bertambah besar beberapa KB dan file yang sudah terinfeksi W32/Sality.AE ini masih dapat di jalankan seperti biasa. Biasanya virus ini akan mencoba untuk blok program antivirus atau removal tools saat dijalankan serta mencoba untuk blok task manager atau “registry editor” Windows. Untuk mempermudah dalam proses penyebarannya selain memanfaatkan “File Sharing” dan “Default Share” virus ini juga akan memanfaatkan media Flash Disk dengan cara membuat file acak yang mempunyai ekstensi exe/com/scr/pif serta menambahkan file autorun.inf yang memungkinkan virus dapat aktif secara otomatis setiap kali user mengakses Flash Disk.
Untuk blok task manager atau Registry tools, W32/Sality.AE ini akan membuat string pada registry berikut:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system
*
DisableRegistryTools
*
DisableTaskMgr
Pada saat file yang terinfeksi W32/Sality.AE, ia akan mendekrip dirinya dan mencoba untuk kopi beberapa file *.dll (acak) file DLL kemudian akan menginjeksi file lain yang aktif di memori serta file lain yang terdapat di komputer dan jaringan (file sharing) serta menginfeksi file *.exe yang terdapat dalam list registry berikut sehingga memungkinkan virus dapat aktif secara otomatis setiap kali komputer dinyalakan.
*
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
*
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
*
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
Berikut beberapa contoh file *.dll yang akan di drop oleh W32/Sality.AE.
*
C:\Windows\system32\syslib32.dll
*
C:\Windows\system32\oledsp32.dll
*
C:\Windows\system32\olemdb32.dll
*
C:\Windows\system32\wcimgr32.dll
*
C:\Windows\system32\wmimgr32.dll
Selain membuat file DLL, sality juga akan membuat file *.sys [acak] di direktori “C:\Windows\system32\drivers” [contoh: kmionn.sys]
Blok Antivirus dan software security
Seperti yang sudah dijelaskan di atas bahwa untuk mempermudah proses penyebaran ia juga akan mencoba untuk mematikan proses yang berhubungan dengan program security khususnya antivirus dengan cara mematikan proses yang mempunyai nama dibawah ini:
ALG
InoRPC
aswUpdSv
InoRT
avast! Antivirus
InoTask
avast! Mail Scanner
ISSVC
avast! Web Scanner
KPF4
AVP
LavasoftFirewall
BackWeb Plug-in - 4476822
LIVESRV
bdss
McAfeeFramework
BGLiveSvc
McShield
BlackICE
McTaskManager
CAISafe
navapsvc
ccEvtMgr
NOD32krn
ccProxy
NPFMntor
ccSetMgr
NSCService
F-Prot Antivirus Update Monitor
Outpost Firewall main module
fsbwsys
OutpostFirewall
FSDFWD
PAVFIRES
F-Secure Gatekeeper Handler Starter
PAVFNSVR
fshttps
PavProt
FSMA
PavPrSrv
PAVSRV
Symantec Core LC
PcCtlCom
Tmntsrv
PersonalFirewal
TmPfw
PREVSRV
tmproxy
ProtoPort Firewall service
UmxAgent
PSIMSVC
UmxCfg
RapApp
UmxLU
SmcService
UmxPol
SNDSrvc
vsmon
SPBBCSvc
VSSERV
WebrootDesktopFirewallDataService
WebrootFirewall
XCOMM
Selain mematikan proses antivirus di atas, ia juga akan berupaya untuk blok agar user tidak dapat mengakses web dari beberapa antivirus berikut:
*
Cureit
*
Drweb
*
Onlinescan
*
Spywareinfo
*
Ewido
*
Virusscan
*
Windowsecurity
*
Spywareguide
*
Bitdefender
*
Panda software
*
Agnmitum
*
Virustotal
*
Sophos
*
Trend Micro
*
Etrust.com
*
Symantec
*
McAfee
*
F-Secure
*
Eset.com
*
Kaspersky
W32/Sality.AE juga akan mencoba untuk merubah regisrty berikut:
*
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Setting\"GlobalUserOffline" = "0"
*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"EnableLUA" = "0"
*
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xxx [xxx adalah acak, contoh : abp470n5]
*
HKEY_CURRENT_USER\Software\[USER NAME]914
*
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMI_MFC_TPSHOKER_80
*
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPFILTERDRIVER
Selain itu ia juga akan mencoba untuk merubah beberapa string registry Windows Firewall berikut dengan menambahkan value dari 0 menjadi 1:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
*
AntiVirusDisableNotify
*
AntiVirusOverride
*
FirewallDisableNotify
*
FirewallOverride
*
UacDisableNotify
*
UpdatesDisableNotify
dan membuat key “SVC” serta string berikut dengan value 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
*
AntiVirusDisableNotify
*
AntiVirusOverride
*
FirewallDisableNotify
*
FirewallOverride
*
UacDisableNotify
*
UpdatesDisableNotify
Tak cuma itu W32/s\Sality.AE juga akan menghapus key “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ALG”.
ALG atau Application Layer Gateway Service adalah services yang memberikan support untuk plug-in protokol aplikasi dan meng-enable konektivitas jaringan / protokol. Service ini boleh saja dimatikan. Dampaknya adalah program seperti MSN Messenger dan Windows Messenger tidak akan berfungsi. Service ini bisa dijalankan, tetapi hanya jika menggunakan firewall, baik firewall bawaan Windows atau firewall lain. Jika tidak komputer yang terinfeksi virus ini akan mengalami celah keamanan yang serius.
Blok akses “safe mode”
Dalam rangka “mempertahankan” dirinya, W32/Sality.AE juga akan mencoba untuk blok akses ke mode “safe mode” sehingga user tidak dapat booting pada mode “safe mode” dengan menghapus key yang berada di lokasi di bawah ini :
*
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
*
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot
*
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
Injeksi file exe/com/scr
Tujuan utama dari virus ini adalah mencoba untuk menginjeksi program instalasi dan file yang mempunyai ekstensi exe/com/scr yang ada di drive C - Y terutama file hasil instalasi (file yang berada di direktori C:\Program Files) dan file-file portable (file yang langsung dapat dijalankan tanpa perlu instal), ia juga akan menginfeksi file yang mempunyai ekstensi “.exe” yang terdapat dalam list registry berikut sehingga memungkinkan virus dapat aktif secara otomatis setiap kali komputer dinyalakan.
*
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
*
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
*
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
File yang berhasil di injeksi biasanya ukurannya akan bertambah sekitar 68 - 80 KB dari ukuran semula. Program yang telah terinfeksi ini akan tetap dapat di jalankan seperti biasa sehingga user tidak curiga bahwa file tersebut sebenarnya telah di infeksi oleh W32/Sality.AE. Salah satu kecanggihan Sality adalah kemampuannya menginjeksi file tumpangannya sehingga ukuran file bervirus tidak seragam, jelas lebih sulit diidentifikasi dibandingkan virus lain yang menggantikan file yang ada sehingga ukuran filenya akan sama besar.
Harap berhati-hati, tidak semua program antivirus dapat membersihkan file yang sudah terinfeksi W32/Sality.AE, bisa-bisa file tersebut akan rusak setelah di scan dan di bersihkan oleh antivirus tersebut.
Tidak mau kalah dengan virus mancanegara lain, untuk memperlancar aksinya ia akan mencoba untuk melakukan koneksi ke sejumlah alamat web yang sudah ditentukan dengan tujuan untuk memanggil/mendownload trojan/virus lainnya yang di sinyalir merupakan varian dari versi sebelumnya yang memungkinkan virus ini dapat mengupdate dirinya.
[http://]pedmeo222nb.info
[http://]pzrk.ru
[http://]technican.w.interia.pl
[http://]www.kjwre9fqwieluoi.info
[http://]bpowqbvcfds677.info
[http://]bmakemegood24.com
[http://]bperfectchoice1.com
[http://]bcash-ddt.net
[http://]bddr-cash.net
[http://]btrn-cash.net
[http://]bmoney-frn.net
[http://]bclr-cash.net
[http://]bxxxl-cash.net
[http://]balsfhkewo7i487fksd.info
[http://]buynvf96.info
[http://]89.119.67.154/tes[xxx]
[http://]oceaninfo.co.kr/picas[xxx]
[http://]kukutrustnet777.info/home[xxx]
[http://]kukutrustnet888.info/home[xxx]
[http://]kukutrustnet987.info/home[xxx]
[http://]kukutrustnet777.info
[http://]www.kjwre9fqwieluoi.info
[http://]kjwre77638dfqwieuoi.info
http://mattfoll.eu.interia.pl/[sensor]
http://st1.dist.su.lt/l[sensor]
http://lpbmx.ru/[sensor]
http://bjerm.mass.hc.ru/[sensor]
http://SOSiTE_AVERI_SOSiTEEE.[sensor]
Mengeksploitasi Default Share dan Full Sharing
W32/Sality.AE akan menyebar dengan cepat melalui jaringan dengan memanfaatkkan default share windows atau share folder yang mempunyai akses full dengan cara menginfeksi file yang mempunyai ekstensi exe/com/scr. Karena itu, Vaksincom menyarankan pengguna komputer untuk menonaktifkan Default Share (C$, D$ .. dst) dan hindari Full Sharing folder anda di jaringan.
Selain menyebar dengan menggunakan jaringan, ia juga akan memanfaatkan flash disk yakni dengan cara kopi dirinya dengan nama file acak dengan ekstensi exe/cmd/pif serta membuat file autorun.inf agar dirinya dapat aktif secara otomatis tanpa harus menjalankan file yang sudah terinfeksi virus, selain itu ia juga akan menginfeksi file yang mempunyai ekstensi exe/com/scr yang terdapat dalam flash disk tersebut.
Selain itu Sality.AE juga akan menambahkan string [MCIDRV_VER] dan DEVICEMB=xxx, dimana xxx menunjukan karakter acak ke dalam file C:\Windows\system.ini.
How to remove: http://vaksin.com/2009/0309/Sality/sality.html
Source: www.vaksin.com
Memang menyebalkan jika semua program kita ikut dimakan oleh virus [di infeksi], disamping sulit dalam memberantas virusnya terkadang juga file yang sudah di injeksi tersebut tidak dapat digunakan alias rusak setelah di scan dan dibersihkan oleh antivirus, alhasil harus reinstall semua program yang error atau download ulang file yang sudah di injenksi tersebut.
Ukuran file yang sudah terinfeksi W32/Sality.AE akan bertambah besar beberapa KB dan file yang sudah terinfeksi W32/Sality.AE ini masih dapat di jalankan seperti biasa. Biasanya virus ini akan mencoba untuk blok program antivirus atau removal tools saat dijalankan serta mencoba untuk blok task manager atau “registry editor” Windows. Untuk mempermudah dalam proses penyebarannya selain memanfaatkan “File Sharing” dan “Default Share” virus ini juga akan memanfaatkan media Flash Disk dengan cara membuat file acak yang mempunyai ekstensi exe/com/scr/pif serta menambahkan file autorun.inf yang memungkinkan virus dapat aktif secara otomatis setiap kali user mengakses Flash Disk.
Untuk blok task manager atau Registry tools, W32/Sality.AE ini akan membuat string pada registry berikut:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system
*
DisableRegistryTools
*
DisableTaskMgr
Pada saat file yang terinfeksi W32/Sality.AE, ia akan mendekrip dirinya dan mencoba untuk kopi beberapa file *.dll (acak) file DLL kemudian akan menginjeksi file lain yang aktif di memori serta file lain yang terdapat di komputer dan jaringan (file sharing) serta menginfeksi file *.exe yang terdapat dalam list registry berikut sehingga memungkinkan virus dapat aktif secara otomatis setiap kali komputer dinyalakan.
*
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
*
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
*
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
Berikut beberapa contoh file *.dll yang akan di drop oleh W32/Sality.AE.
*
C:\Windows\system32\syslib32.dll
*
C:\Windows\system32\oledsp32.dll
*
C:\Windows\system32\olemdb32.dll
*
C:\Windows\system32\wcimgr32.dll
*
C:\Windows\system32\wmimgr32.dll
Selain membuat file DLL, sality juga akan membuat file *.sys [acak] di direktori “C:\Windows\system32\drivers” [contoh: kmionn.sys]
Blok Antivirus dan software security
Seperti yang sudah dijelaskan di atas bahwa untuk mempermudah proses penyebaran ia juga akan mencoba untuk mematikan proses yang berhubungan dengan program security khususnya antivirus dengan cara mematikan proses yang mempunyai nama dibawah ini:
ALG
InoRPC
aswUpdSv
InoRT
avast! Antivirus
InoTask
avast! Mail Scanner
ISSVC
avast! Web Scanner
KPF4
AVP
LavasoftFirewall
BackWeb Plug-in - 4476822
LIVESRV
bdss
McAfeeFramework
BGLiveSvc
McShield
BlackICE
McTaskManager
CAISafe
navapsvc
ccEvtMgr
NOD32krn
ccProxy
NPFMntor
ccSetMgr
NSCService
F-Prot Antivirus Update Monitor
Outpost Firewall main module
fsbwsys
OutpostFirewall
FSDFWD
PAVFIRES
F-Secure Gatekeeper Handler Starter
PAVFNSVR
fshttps
PavProt
FSMA
PavPrSrv
PAVSRV
Symantec Core LC
PcCtlCom
Tmntsrv
PersonalFirewal
TmPfw
PREVSRV
tmproxy
ProtoPort Firewall service
UmxAgent
PSIMSVC
UmxCfg
RapApp
UmxLU
SmcService
UmxPol
SNDSrvc
vsmon
SPBBCSvc
VSSERV
WebrootDesktopFirewallDataService
WebrootFirewall
XCOMM
Selain mematikan proses antivirus di atas, ia juga akan berupaya untuk blok agar user tidak dapat mengakses web dari beberapa antivirus berikut:
*
Cureit
*
Drweb
*
Onlinescan
*
Spywareinfo
*
Ewido
*
Virusscan
*
Windowsecurity
*
Spywareguide
*
Bitdefender
*
Panda software
*
Agnmitum
*
Virustotal
*
Sophos
*
Trend Micro
*
Etrust.com
*
Symantec
*
McAfee
*
F-Secure
*
Eset.com
*
Kaspersky
W32/Sality.AE juga akan mencoba untuk merubah regisrty berikut:
*
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Setting\"GlobalUserOffline" = "0"
*
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\"EnableLUA" = "0"
*
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\xxx [xxx adalah acak, contoh : abp470n5]
*
HKEY_CURRENT_USER\Software\[USER NAME]914
*
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_WMI_MFC_TPSHOKER_80
*
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_IPFILTERDRIVER
Selain itu ia juga akan mencoba untuk merubah beberapa string registry Windows Firewall berikut dengan menambahkan value dari 0 menjadi 1:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
*
AntiVirusDisableNotify
*
AntiVirusOverride
*
FirewallDisableNotify
*
FirewallOverride
*
UacDisableNotify
*
UpdatesDisableNotify
dan membuat key “SVC” serta string berikut dengan value 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc
*
AntiVirusDisableNotify
*
AntiVirusOverride
*
FirewallDisableNotify
*
FirewallOverride
*
UacDisableNotify
*
UpdatesDisableNotify
Tak cuma itu W32/s\Sality.AE juga akan menghapus key “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ALG”.
ALG atau Application Layer Gateway Service adalah services yang memberikan support untuk plug-in protokol aplikasi dan meng-enable konektivitas jaringan / protokol. Service ini boleh saja dimatikan. Dampaknya adalah program seperti MSN Messenger dan Windows Messenger tidak akan berfungsi. Service ini bisa dijalankan, tetapi hanya jika menggunakan firewall, baik firewall bawaan Windows atau firewall lain. Jika tidak komputer yang terinfeksi virus ini akan mengalami celah keamanan yang serius.
Blok akses “safe mode”
Dalam rangka “mempertahankan” dirinya, W32/Sality.AE juga akan mencoba untuk blok akses ke mode “safe mode” sehingga user tidak dapat booting pada mode “safe mode” dengan menghapus key yang berada di lokasi di bawah ini :
*
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
*
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\SafeBoot
*
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
Injeksi file exe/com/scr
Tujuan utama dari virus ini adalah mencoba untuk menginjeksi program instalasi dan file yang mempunyai ekstensi exe/com/scr yang ada di drive C - Y terutama file hasil instalasi (file yang berada di direktori C:\Program Files) dan file-file portable (file yang langsung dapat dijalankan tanpa perlu instal), ia juga akan menginfeksi file yang mempunyai ekstensi “.exe” yang terdapat dalam list registry berikut sehingga memungkinkan virus dapat aktif secara otomatis setiap kali komputer dinyalakan.
*
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
*
HKCU\Software\Microsoft\Windows\CurrentVersion\Run
*
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
File yang berhasil di injeksi biasanya ukurannya akan bertambah sekitar 68 - 80 KB dari ukuran semula. Program yang telah terinfeksi ini akan tetap dapat di jalankan seperti biasa sehingga user tidak curiga bahwa file tersebut sebenarnya telah di infeksi oleh W32/Sality.AE. Salah satu kecanggihan Sality adalah kemampuannya menginjeksi file tumpangannya sehingga ukuran file bervirus tidak seragam, jelas lebih sulit diidentifikasi dibandingkan virus lain yang menggantikan file yang ada sehingga ukuran filenya akan sama besar.
Harap berhati-hati, tidak semua program antivirus dapat membersihkan file yang sudah terinfeksi W32/Sality.AE, bisa-bisa file tersebut akan rusak setelah di scan dan di bersihkan oleh antivirus tersebut.
Tidak mau kalah dengan virus mancanegara lain, untuk memperlancar aksinya ia akan mencoba untuk melakukan koneksi ke sejumlah alamat web yang sudah ditentukan dengan tujuan untuk memanggil/mendownload trojan/virus lainnya yang di sinyalir merupakan varian dari versi sebelumnya yang memungkinkan virus ini dapat mengupdate dirinya.
[http://]pedmeo222nb.info
[http://]pzrk.ru
[http://]technican.w.interia.pl
[http://]www.kjwre9fqwieluoi.info
[http://]bpowqbvcfds677.info
[http://]bmakemegood24.com
[http://]bperfectchoice1.com
[http://]bcash-ddt.net
[http://]bddr-cash.net
[http://]btrn-cash.net
[http://]bmoney-frn.net
[http://]bclr-cash.net
[http://]bxxxl-cash.net
[http://]balsfhkewo7i487fksd.info
[http://]buynvf96.info
[http://]89.119.67.154/tes[xxx]
[http://]oceaninfo.co.kr/picas[xxx]
[http://]kukutrustnet777.info/home[xxx]
[http://]kukutrustnet888.info/home[xxx]
[http://]kukutrustnet987.info/home[xxx]
[http://]kukutrustnet777.info
[http://]www.kjwre9fqwieluoi.info
[http://]kjwre77638dfqwieuoi.info
http://mattfoll.eu.interia.pl/[sensor]
http://st1.dist.su.lt/l[sensor]
http://lpbmx.ru/[sensor]
http://bjerm.mass.hc.ru/[sensor]
http://SOSiTE_AVERI_SOSiTEEE.[sensor]
Mengeksploitasi Default Share dan Full Sharing
W32/Sality.AE akan menyebar dengan cepat melalui jaringan dengan memanfaatkkan default share windows atau share folder yang mempunyai akses full dengan cara menginfeksi file yang mempunyai ekstensi exe/com/scr. Karena itu, Vaksincom menyarankan pengguna komputer untuk menonaktifkan Default Share (C$, D$ .. dst) dan hindari Full Sharing folder anda di jaringan.
Selain menyebar dengan menggunakan jaringan, ia juga akan memanfaatkan flash disk yakni dengan cara kopi dirinya dengan nama file acak dengan ekstensi exe/cmd/pif serta membuat file autorun.inf agar dirinya dapat aktif secara otomatis tanpa harus menjalankan file yang sudah terinfeksi virus, selain itu ia juga akan menginfeksi file yang mempunyai ekstensi exe/com/scr yang terdapat dalam flash disk tersebut.
Selain itu Sality.AE juga akan menambahkan string [MCIDRV_VER] dan DEVICEMB=xxx, dimana xxx menunjukan karakter acak ke dalam file C:\Windows\system.ini.
How to remove: http://vaksin.com/2009/0309/Sality/sality.html
Source: www.vaksin.com
W32/Xirtem@MM!8b1f20b9
Description
W32/Xirtem@MM!8b1f20b9 is a mass mailing worm
Indication of Infection
# Network activity on TCP port 25 due to e-mails being sent by the worm.
# Presence of the files and registry entries mentioned above.
W32/Xirtem@MM!8b1f20b9 is a mass mailing worm
Indication of Infection
# Network activity on TCP port 25 due to e-mails being sent by the worm.
# Presence of the files and registry entries mentioned above.
FakeAlert-BX
Description
This is a Trojan detection that displays fake alert messages on user's machine.
Indication of Infection
Symptoms are as follows:
* Fake pop up messages about the system being infected.
* Presence of aforementioned files and folder.
Methods of Infection
Trojans do not self-replicate. They spread manually, often under the premise that the executable is something beneficial. Distribution channel include IRC,peer to peer networks,newsgroup postings, etc.
Aliases
AntiVirus2008 (Symantec), TR/Crypt.XPACK.Gen (Avira), Trojan-Banker.Win32.Banbra.gpl (Kaspersky)
This is a Trojan detection that displays fake alert messages on user's machine.
Indication of Infection
Symptoms are as follows:
* Fake pop up messages about the system being infected.
* Presence of aforementioned files and folder.
Methods of Infection
Trojans do not self-replicate. They spread manually, often under the premise that the executable is something beneficial. Distribution channel include IRC,peer to peer networks,newsgroup postings, etc.
Aliases
AntiVirus2008 (Symantec), TR/Crypt.XPACK.Gen (Avira), Trojan-Banker.Win32.Banbra.gpl (Kaspersky)
Subscribe to:
Posts (Atom)