Ayo Gabung Segera Di JBP Terbaru

Sabtu, 31 Desember 2011

Downlaod PCMAV 6.2 Build 1 : Basmi Tuntas Virus Angel2 Worm as Facebook Hacking Tool

Kali ini PCMAV mengeluarkan update terbaru build 1
untuk pcmav 6.2.
dengan penambahan data virus sebanyak 29 jenis virus terbaru yang mampu dibaca dan dibasmi secara tuntas oleh PCMAV 6.2 Build 1. PCMAV 6.2 Build 1 terbaru ini mampu membasmi tuntas virus  Angel2 :Worm as Facebook Hacking Tool, yang menyebar luas saat ini dan sangat meresahkan para pengguna komputer baik intenet maupun tidak, apalagi yang hobby berfacebookan.

Download PCMAV 6.2 Build 1 di sini 

Berikut spesifikasi virus angel2 menurut situs resmi pcmav :
A. Info File
Nama Worm : Angel2
Asal : Makasar, Sulawesi Selatan
Ukuran File : 324 KB (331,776 bytes)
Packer : ~
Pemrograman : Microsoft Visual Basic 5.0 -6.0
Icon : Malware Icon
Tipe : Worm

B. About Malware
“Download Facebook Hacking Tools” atau “How to Hack Facebook” bisa dikatakan adalah keyword yang jika diketikkan pada search engine, akan menampikan banyak hasil yang bisa dijadikan pilihan dan mungkin akan sesuai dengan keinginan user yang membutuhkannya. Untuk sebagian virus maker, hal ini bisa dijadikan kesempatan untuk menyebarkan malware buatannya. Sama seperti Angel2 yang sampelnya kami dapatkan dari Makasar dan diduga kuat merupakan malware yang menyebar dengan memanfaatkan social engineering berupa tool untuk melakukan hacking pada Facebook.
1
2
3
4
5
6
7
8
9
10
11
12
13
14
000000039366   000000439366      0   VS_VERSION_INFO
0000000393C2   0000004393C2      0   VarFileInfo
0000000393E2   0000004393E2      0   Translation
000000039406   000000439406      0   StringFileInfo
00000003942A   00000043942A      0   040904B0
000000039442   000000439442      0   CompanyName
00000003946A   00000043946A      0   ProductName
000000039484   000000439484      0   Trojan
00000003949A   00000043949A      0   FileVersion
0000000394C6   0000004394C6      0   ProductVersion
0000000394F6   0000004394F6      0   InternalName
000000039510   000000439510      0   Facebook Hacking
00000003953A   00000043953A      0   OriginalFilename
00000003955C   00000043955C      0   Facebook Hacking.exe
Icon Angel2 yang menyerupai permainan Angry Birds Rio ini akan semakin membuat user menjadi sedikit penasaran kemudian menjalankannya. Namanya diambil dari salah satu string yang terdapat pada tubuh malware.


C. Companion/File yang dibuat
Angle2 hanya membuat 2 buah file companion, antara lain Angel2.exe dan window.exe. Akan tetapi, dengan modul membuat file dengan nama yang sama seperti nama folder akan membuat malware ini menjadi sangat banyak.


D. Hasil Infeksi
Berbeda dengan worm yang menggandakan file dengan nama folder lainnya, Angel2 melakukan overwrite terhadap file yang sama. Dengan kata lain, jika di dalam folder Winamp terdapat winamp.exe, maka file winamp.exe yang asli akan diubah dengan file winamp.exe buatan Angel2. Maka dari itu, bisa dikatakan Angel2 adalah worm yang cukup berbahaya.

Payload yang dibuat oleh Angel2 ini cukup banyak memakan resource memory, sehingga komputer yang sudah terinfeksi akan sangat terasa lambat. Dan terbukt denga CPU Usagenya yang mencapai 100 %.


Selain memperbanyak companion, Angel2 juga melakukan injeksi serta memodifikasi entry pada registry. Berikut ini adalah beberapa value key yang dibuat.
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
# Created and Modified DWord
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
- DisableThumbnailCache
- Hidden
     
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\system
- DisableTaskMgr
- DisableRegistryTools
     
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
- NoFolderOptions
     
HKEY_CURRENT_USER\Software\Policies\Microsoft\Windows\System
- DisableCMD
     
# Modified value key in CLSID for My Computer
HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}
- LocalizedString = @%SystemRoot%\system32\SHELL32.dll,-8964
- InfoTip = @%SystemRoot%\system32\SHELL32.dll,-22913
     
HKEY_CLASSES_ROOT\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\DefaultIcon
- (Default) = %SystemRoot%\System32\shell32.dll,31
     
# Modified value key in CLSID for Recycle Bin
HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}
- LocalizedString = @%SystemRoot%\system32\shell32.dll,-9216
- InfoTip = @%SystemRoot%\system32\SHELL32.dll,-22915
     
HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\DefaultIcon
- (Default) = %SystemRoot%\Explorer.exe,0
- Empty = %SystemRoot%\Explorer.exe,0
- Full = %SystemRoot%\Explorer.exe,0
     
# Create Value Key In Startup
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
- gpmce = \Angel2.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- gpmce = \Angel2.exe
     
# Modified
- HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main
- Start Page = www.gpmce.net
- Search Page = www.booble.com
Hasil infeksi yang paling terlihat adalah berubahnya Icon My Computer dan Recycle Bin pada Windows Explorer, serta diikuti dengan perubahan nama pada keduanya.


E. Pembersihan




Daftar tambahan virus hingga PCMAV 6.2 Update Build1:
BlackLabel.drp
BlackLabel.A
BlackLabel.B
BlackLabel.C
BlackLabel.C.tmp
BlackLabel.D
BlackLabel.D.exe
BlackLabel.E
BlackLabel.F.exe
BlackLabel.F
BlackLabel.G
BlackLabel.H
BlackLabel.I
WmplayerC.lnk
Serviks.vbs.D
Serviks.vbs.D.vbe
Serviks.vbs.D.doc
Serviks.vbs.D.tmp
Persist
Angel2
NgrBot.V
NgrBot.V.drp
NgrBot.V.exe.A
NgrBot.V.exe.B
NgrBot.W
NgrBot.E.inf
Sality.drp
VB-Shortcut-1.lnk.D
VB-Shortcut-4

0 komentar:

Poskan Komentar

 
Design by Free WordPress Themes | Bloggerized by Lasantha - Premium Blogger Themes | cheap international calls