Mar 18, 2011

System Tools AntiVirus palsu

SystemTools
SystemTools. Beberapa hari yang lalu, sebagian user di kagetkan dengan adanya aplikasi SystemTools yang tanpa mereka sadari aplikasi tersebut adalah “FakeAntivirus” atau “Antivirus Palsu”. Malware sejenis pernah di bahas pada postingan sebelumnya yang berjudul FakeAV-Downloader.G. Laporan di dapat dari user yang mendownload salah satu antivirus lokal dari website resminya yang kemudian justru menjalankan antivirus palsu.

A. Info Malware
Nama: SystemTools
Asal: Belum diketahui
Ukuran File: 397 KB (407,040 bytes)
Packer: -
Pemrograman: Visual C++
Icon: Random
Tipe: Trojan
B. Tentang Malware
Awalnya, kami mendapat laporan mengenai user yang mendapat pesan di Facebook dan isinya adalah sebuah link yang jika dibuka maka akan mendownload sebuah file dengan nama surprise.exe. Setelah file tersebut di jalankan, user merasakan keanehan yang terjadi pada komputernya. Contohnya seperti Firefox tidak bisa di buka, juga Task Manager dan beberapa file aplikasi lainnya.
Selain beberapa aplikasi tidak bisa di buka, wallpaper pada desktop komputer user berubah seperti pada gambar berikut.
Wallpaper SystemTools
Malware tipe Trojan ini mengingatkan kita pada salah satu virus yang sempat menghebohkan Indonesia yaitu Windx-Maxtrox pada tahun 2008 yang juga mengubah desktop. Kesuksesan SystemTools ini menyebar di indonesia adalah:
1. Menyebar melalui Facebook dan salah satu website yang menyediakan fasilitas download gratis.
2. Pada saat pengguna mengunduh SystemTools ini dari Internet, beberapa antivirus luar negeri belum ada yang mendeteksinya sebagai malware.
Exeinfo PE
Dibuat menggunakan C++ tanpa di-pack, malware ini juga memiliki keistimewaan lain. Yaitu kemampuan untuk merubah DateTimeStamp pada informasi headernya. Sehingga hash MD5nya selalu berubah meskipun ukuran filenya sama.
DateTimeStamp
Harga antivirus palsu ini juga tidak tanggung-tanggung.
1 tahun lisensi: $ 59.95
2 tahun lisensi: $ 69.95
Lifetime lisensi: $ 79.95
Lifetime premium support: $ 19.95
C. Companion/File yang dibuat
Setelah aktif di memory, system tools akan membuat beberapa file seperti:
1. Membuat file [nama acak].tmp yang sebenarnya adalah file gambar (BMP / Bitmap) dan nantinya akan dijadikan wallpaper dekstop pada folder C:\Documents and Settings\[nama user]\Local Settings\Temp
2. Membuat file yang akan di jalankan setelah startup dengan nama acak dan file lain tanpa ekstensi pada folder C:\Documents and Settings\All Users\Application Data\[folder dengan nama acak]
D. Hasil Infeksi
Setelah aktif di memory, malware ini akan memblok setiap file aplikasi, kecuali file dengan nama file system seperti pada gambar di bawah:
Aplikasi yang di-blok
Malware juga memunculkan pesa-pesan palsu seperti gambar berikut:
False Warning 1
False Warning 2
Selain menampilkan wallpaper yang berubah seperti yang telah ditampilkan sebelumnya, malware juga terkadang menampilkan pesan Blue Screen Of Death (BSOD) yang menandakan seolah olah sistem komputer sudah benar-benar rusak.
BSOD
Memaksa user untuk melakukan registrasi agar mendapatkan kode aktivasi dan membersihkan semua malware yang di laporkan oleh SystemTools.
Activation
Agar bisa berjalan saat startup, SystemTools membuat value registry baru di:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\[nama acak], “C:\Documents and Settings\All Users\Application Data\[nama folder aca]\[nama acak].exe”
E. Pembersihan
Untuk pembersihan, kami menyarankan anda menggunakan PCMAV, tetapi dapat dilakukan dengan 2 cara, yaitu dengan cara manual dan cara langsung menggunakan PCMAV.
Cara manual:
1.Cari file task manager (taskmgr.exe) yang terdapat pada folder
C:\WINDOWS\system32\taskmgr.exe
Step 1
2.Copy file tersebut ke My Documents, dengan klik kanan lalu pilih menu
Send to My Documents.
3.Buka folder My Documents, kemudian Rename file “taskmgr.exe” menjadi “Explorer.exe” dan jalankan file tersebut, maka akan tampil Task Manager.
Step 2
4.Cari proses dengan nama aneh misalnya “eImHbDk02400.exe” kemudian kill proses tersebut (End Process).
Step 3
5.Buka Windows Explorer, aktifkan fungsi “Show Hidden Files and Folders” pada “Folder Options” dengan memilih menu Tools – Folder Options – View, pilih Show Hidden Files and Folders, lalu klik OK.
Step 4
6. Masuk ke folder “C:\Documents and Settings\All Users\Application Data” cari dan hapus folder dengan nama aneh, misalnya “eImHbDk02400″ yang di dalamnya terdapat file dari SystemTools.
Step 5
7. (Opsional, jika boleh dilakukan atau tidak masalah jika tidak dilakukan) Masuk ke folder “C:\Documents and Settings\[nama user]\Local Settings\Temp“, cari dan hapus file Temporary (tmp) yang ukurannya tidak wajar (2MB ~ ) karena file tersebut adalah file bitmap yang dijadikan wallpaper pada desktop user yang terinfeksi.
Step 6
8.Aktifkan Kembalikan fungsi “Do not show hidden files and folders“.
Pilih menu Tools – Folder Options – View, pilih “Do not show hidden files and folders“, dan klik OK.
Step 7
9.Log Off Komputer.
10.Komputer kembali normal.
Pembersihan menggunakan PCMAV:
Jalankan PCMAV dan scan seperti biasa dan lakukan scan menyeluruh.
Deteksi

0 comments:

Post a Comment

    Blogger news

    Back to top
notifikasi
close