23 November 2008

+ Trojan Terbaru Infeksi Sistem Windows

Trojan Terbaru Infeksi Sistem Windows

Berikut daftar Trojan Terbaru yang dapat menginfeksi Sistem Windows:

W32/Poison.ELL. Trojan ini akan menginfeksi system Windows. Trojan Poison.ELL dimasukkan oleh malware lain atau dapat didownload tanpa sengaja dari remote website dengan malware yang lain. Trojan ini akan menginfeksi file sysqaz.exe dan sysqaz di dalam folder system Windows. Trojan ini juga dikenal dengan nama Backdoor.Poison.ell, Backdoor.Win32.Hupigon.mrv, Win32/Small.NCK, dan W32/PoisonIvy.CWY.

W32/Enfal.Q. Trojan ini dapat didownload dari remote website oleh malware atau ketika user tidak sengaja mengunjungi website ‘jahat’. Trojan ini akan menginfeksi file msjava.exe dan dump.exe dari folder system Windows. Trojan ini juga dikenal dengan nama Win32/Enfal.F, Win32/Dorcown.B, Trojan.Enfal, dan W32/Backdoor2.BRQW.

W32/Agent.WWK. Trojan ini hampir sama dengan W32/Enfal.Q, namun file yang diinfeksi adalah CbEvtSvc.exe dalam folder system Windows. Trojan ini juga dikenal dengan nama I-Worm/Nuwar.V, Trojan-Downloader:W32/Exchanger.AB, dan Trojan.Crypt.XPACK.

W32/AutoIt.AA. Trojan ini dikenal dengan nama Trojan-Downloader.Win32.AutoIt.aa, Win32.Sohanad.R, dan W32/Sohanat.CM.worm. Trojan ini akan membuat file berisi malware dalam folder system Windows yakni :

  • autorun.ini
  • setting.ini
  • nhatquanglan18.exe
  • SCVHSOT.exe
  • test1.exe
  • SSVICHOSST.exe (folder Windows)

Trojan ini memiliki jadwal untuk mengeksekusi file SSVICHOSST.exe sekali seminggu. Trojan W32/AutoIt.AA juga akan membuat register di lokasi yang telah dipilihnya untuk memproduksi dirinya selama proses startup, seperti di bawah ini :
HKEY_USERS\S-1-5-21-606747145-602162358-682003330 -1000\Software\Microsoft\Windows\CurrentVersion\Run

Selain itu, Trojan W32/AutoIt.AA juga akan memodifikasi register ketika user me-load explorer.exe.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell

W32 /Delf.DGY.Downloader. Trojan ini akan meng-copy dirinya sendiri sebagai wbcmgr.exe dalam folder system Windows rekaannya. Trojan Delf.DGY.Downloader juga akan memodifikasi register untuk me-load dirinya selama startup.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur rentVersion\Run\Wbcmgr

Trojan Delf.DGY.Downloader dikenal dengan nama Trojan-Downloader.Win32.Delf.dgy, Trojan.Dropper.Agent.ZZ.8, Downloader.Generic6.YFQ, dan Win32/Slenfbot.AW.

W32/Agent.Enu.Dropper. Trojan ini datang sebagai file yang berisi malware atau ketika user mendownload file tersebut dari Internet. Trojan ini akan menginfeksi file fservice.exe, winkey.dll, reginv.dll, sservice.exe dalam folder Windows. Trojan ini juga dapat menginfeksi register untuk memastikan adanya eksekusi otomatis dari dirinya.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Cur rentVersion\policies\Explorer\Run
Nama lain dari Trojan Agent.Enu.Dropper adalah Win32:Agent-PZM, Dropped:Backdoor.Prorat.DZ, Win32.Prorat.dz, Win32/VMalum.BWHW, Trojan.Agent.j, W32/Agent.GIF!tr, Trojan-Dropper.Win32.Agent.enu, Backdoor.Win32.Ciadoor.13, Trojan-Dropper.Win32.Agent.enu, Trojan:Win32/Agent, W32/Prorat.GKC, Troj/Prorat-DN, Trojan.BAT.Agent.j (vf), dan Trojan.Dropper.Prorat.DZ.29.

W32/Peacomm!ZIP. Trojan ini akan menginfeksi system Windows dan menyebar melalui email. Subject dari email yang terinfeksi, akan terdapat kata sebagai berikut :

  • ATTN!
  • Virus Alert!
  • Worm Alert!
  • Spyware Detected!
  • Virus Activity Detected!
  • Warning!

Body email yang telah terinfeksi akan mendapatkan kombinasi dua string. String atau kata pertama dari email yang terkena Trojan Peacomm!ZIP yakni :

  • Report
  • Warning
  • AutoCompla int
  • AbuseNotice
  • UrgentNotice
  • No tice
String kedua dalam bentuk format gambar yang bertuliskan :
Dear Customer,
Our robot has detected an abnormal activity from your IP
address on sending e-mails. Probably it is connected with
the last epedemic of a worm which does not have official
patches at the moment.
We recommend you to install this patch to remove worm files
and stop emai sending, otherwise your account will be
blocked.
We had archived the patch because the worm can modify
upoacked exe files. You should open the archive file, enter
the password and run the patch immediately.
Password: [random characters]
Customer Support Center Robot

Password tersebut telah di-protect oleh si Trojan dan password tersebut akan dikirimkan ke body email.

Nama attachment yang terinfeksi seperti :
removal-[random number].zip
patch-[random number].zip
hotfix-[random number].zip
bugfix-[random number].zip

Trojan Peacomm!ZIP akan meng-copy wincom32.sys dalam folder system Windows (yang terdeteksi sebagai W32/Peacomm.CQ). Trojan ini juga dikenal dengan nama Trojan.Peacomm!zip dan WORM_NUWAR.AOP.