Berikut adalah kutipan dari detikinet tentang Virus Facebook yang mulai mengancam pengguna facebook.
Security Tools, spyware yang menyamar sebagai program Antispyware
Email yang dikirimkan oleh virus Facebook ini akan mempunyai ciri-ciri berikut:
File yang di sertakan dalam email tersebut mempunyai ukuran sekitar 24 KB (ZIP) atau 30 KB (exe), file dalam bentuk exe akan mempunyai icon MS.Excel dengan type file sebagai “Application”
File induk virus
Dengan update terbaru Norman Security Suite mendeteksi virus tersebut sebagai W32/Obfuscated.D2!genr sedangkan untuk file [reader_s.exe] dikenali sebagai W32/Pandex.YE. Dengan teknologi Sanbox Norman Security Suite juga mengenali varian baru dari virus ini [possible new, unknown virus].
Jika file tersebut dijalankan ia akan membuat beberapa file induk yang akan di jalankan pertama kali pada saat komputer dinyalakan:
C:\Documents and Settings\%user%\reader_s.exe
C:\Documents and Settings\%user%\Start Menu\Programs\Startup\isqsys32.exe
C:\WINDOWS\system32\reader_s.exe
C:\Windows\system32\wbem\proquota.exe
C:\windows\system32\sdra64.exe
C:\Windows\system32\lowsec
local.ds
user.ds
user.ds.lll
C:\Documents and Settings\Elvina\Application Data\wiaservg.log
Registry
Virus ini tidak banyak bermain dengan registri karena tujuannya adalah untuk mendownload scareware yang “jika” berhasil dijalankan akan merubah segambreng regisrti, walaupun demikian ia akan tetap mencoba untuk melakukan perubahan pada registry khususnya agar file yang dibuat tersebut dapat dijalankan pertama kali saat komputer di nyalakan, yakni:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
reader_s = C:\Documents and Settings\Elvina\reader_s.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
reader_s = C:\Wincdows\system32\reader_s.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
C:\WINDOWS\System32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
EnableProfileQuota =1
HKEY_LOCAL_MACHINE\SOFTWARE\AGProtect
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{43BF8CD1-C5D5-2230-7BB2-98F22C2B7DC6}
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\{8FFA689D-2C2B-2B2E-D865-74C04CA4EF06}
Download Trojan/spyware
Virus ini akan mencoba untuk melakukan koneksi ke beberapa alamat yang telah ditentukan dengan tujuan untuk mendownload trojan/spyware lain yang kemudian akan dijalankan secara otomatis, file yang berhasil di download akan di simpan di direktori berikut:
C:\Windows\temp
Wp%xxx%.exe (xxx ini berbeda-beda, contohnya wpv271256600826.exe)
_ex-08.exe
C:\Documents and Settings\Elvina\Local Settings\Temp\*.tmp
C:\Documents and Settings\All Users\Application Data\47543326\ 47543326.exe
Berikut beberapa alamat server yang akan dituju oleh virus tersebut
202.39.17.53
217.23.7.162
95.211.27.211
202.169.46.56
Ia juga akan mencoba untuk melakukan koneksi ke beberapa web server berikut:
http://mmsfoundsystem.ru/public/controller.php?action=bot&entity_list=&uid=&first=1&guid=13441600&v=15&rnd=8520045
http://hostvegass.ru/cman/receiver/online
http://wapdodoit.ru/mn/base.cfg
http://www.whatsmyipaddress.com
Ia juga akan melakukan DNS query ke sejumlah alamat MX domain yang ditentukan.
0 komentar:
Posting Komentar