Trojan.FakeAV.MJR

28 Maret 2012
Trojan.FakeAV.MJR
Preman dunia maya yang panjang umur
Kalau anda bertanya, malware apa yang sampai saat ini terus mengembangkan dirinya dan berani head to head melawan program antivirus dan berhasil survive dan menjadi ancaman nyata sampai hari ini bagi pengguna komputer di seluruh dunia ? Jawabannya bukan malware jawara seperti Stuxnet, Ramnit, Conficker atau Shortcut karena mayoritas program antivirus sudah mampu mendeteksi dan membasmi virus-virus jawara tersebut. Kasus infeksi yang terjadi karena malware di atas kemungkinan besar terjadi karena kesalahan pengguna komputer yang belum melakukan patch atas celah keamanan yang dieksploitasi oleh malware-malware tersebut. Tetapi jika kita menerawang sedikit ke belakang dunia pervirusan sejak tahun 2008 (jauh sebelum virus-virus jawara hari ini menampakkan dirinya) sampai hari ini ada satu trend yang terus bertahan dan sampai hari ini masih unjuk gigi menampilkan eksistensi dirinya. Tidak lain dan tidak bukan adalah Rogue Antivirus. Sampai tahun 2012 ini, ada lebih dari 300 jenis Rogue Antivirus yang jika masing-masing memiliki 10 varian, maka ada lebih dari 3.000 jenis Rogue Antivirus yang aktif menyebar di internet, siap menerkam mangsanya. Kali ini Vaksincom akan membahas Trojan.FakeAV.MJR yang dalam minggu-minggu pertama kemunculannya di akhir Maret 2012 tidak terdeteksi oleh program antivirus dan secara cerdik menyebarkan dirinya sebagai link html melalui email


Geliat malware Antivirus palsu atau biasa disebut Rogue Antivirus tampaknya semakin bervariasi dan mendominasi hegemoni virus-virus baru. Dominasi Rogue Antivirus pada hampir setiap kemunculan-nya memiliki berbagai metode yang cukup menarik. Salah satu Rogue Antivirus yang kami dapatkan pada beberapa hari belakangan ini yaitu Rogue Antivirus yang menamakan dirinya Windows Software Saver, sementara G Data mendeteksi malware ini sebagai Trojan.FakeAV.MJR. (lihat gambar 1)
20120328I_trojanfakeavmjr01
Gambar 1, Trojan FakeAV.MJR

Bagi anda yang ingin mencoba Trial G Data yang menurut pengetesan Virus Bulletin RAP dan AV-Comparatives mengalahkan antivirus lainnya dalam kemampuan mendeteksi malware, anda dapat mendownload installer G Data Antivirus yang dapat di instal tanpa perlu memasukkan Serial Number dan memberikan update selama 2 (dua) bulan sampai dengan 7 Juni 2012. Silahkan download installer G Data Antivirus (230 MB) di : (pilih salah satu)
Jika anda mendapatkan kiriman link URL baik melalui e-mail atau pun dari komentar dan pesan singkat maka harap berhati-hati, karena bisa saja anda justru mendapatkan sebuah "hadiah spesial" untuk komputer anda berupa Rogue Antivirus.

Jika anda terlanjur menjalankan link URL tersebut, maka browser akan membuka sebuah situs yang mirip tampilan Windows Explorer komputer kita. Hanya saja, tampilan browser tersebut memberi informasi bahwa komputer Anda telah terinfeksi berbagai macam virus, sehingga akan diarahkan untuk men-download sebuah file aplikasi untuk dijalankan. File aplikasi tersebut lah yang merupakan antivirus palsu yang mengelabui pengguna komputer akan adanya virus pada komputer. (lihat gambar 2)
20120328I_trojanfakeavmjr02
Gambar 2, FakeAV.MJR mengelabui korbannya untuk menjalankan file SETUP

Efek Trojan.FakeAV.MJR
Jika anda sudah men-download file dan mengeksekusi file Rogue Antivirus (setup.exe), maka beberapa hal yang terjadi yaitu diantaranya :

  • Shortcut & Icon mirip Antivirus
Jika sudah tereksekusi, Trojan.FakeAV.MJR akan membuat shortcut pada desktop, muncul icon pada taskbar dan membuat shortcut tambahan pada Start Menu. Hal ini seolah-olah Trojan.FakeAV.MJR sudah terinstall dan berjalan pada sistem komputer layaknya sebuah program Antivirus.
  • Tampilan program mirip Antivirus
Jika sudah tereksekusi, Trojan.FakeAV.MJR juga memiliki tampilan aplikasi yang mirip dengan program Antivirus, bahkan memiliki kesan yang lebih komplit dan terintegrasi dengan beberapa fitur yang lain.
  • Menampilkan notifikasi peringatan pada taskbar
Melalui icon yang berjalan pada taskbar, Trojan.FakeAV.MJR membuat berbagai macam notifikasi agar pengguna komputer percaya bahwa virus telah menginfeksi komputer dan harus segera dibersihkan. (lihat gambar 3)
20120328I_trojanfakeavmjr03
Gambar 3, Pesan palsu yang ditampilkan FakeAV.MJR

  • Menampilkan proses otomatis scan
Hal ini digunakan oleh Trojan.FakeAV.MJR agar dapat meyakinkan pengguna komputer bahwa komputer tersebut telah ber-virus dan harus segera dibersihkan.
  • Menampilkan informasi bahwa Firewall milik Rogue telah mencegah dari program tertentu
Trojan.FakeAV.MJR memberikan informasi palsu lain bahwa ada beberapa program berbahaya yang sedang berjalan pada komputer dan telah berhasil di cegah oleh Firewall. Selain itu Firewall juga akan memunculkan informasi tentang IP luar yang berusaha menggunakan akun bank milik anda.
  • Menampilkan informasi bahwa AntiSpam milik Rogue telah mencegah dari aksi spam
Trojan.FakeAV.MJR memberikan informasi palsu bahwa komputer anda telah terinfeksi malware yang berusaha melakukan aksi spam dan telah berhasil dicegah oleh Antispam.
  • Menampilkan informasi bahwa Link-Checker milik Rogue telah mencegah link yang bersifat ilegal (Torent)
Tampaknya pembuat Trojan.FakeAV.MJR sangat update informasi, sehingga turut menyertakan aturan SOPA pada Rogue yang dibuat sehingga pengguna komputer seolah-olah diingatkan bahwa mendownload konten ilegal dapat dikenakan dan tersangkut Cybercrime. (lihat gambar 4)
20120328I_trojanfakeavmjr04
 Gambar 4, Pesan palsu Torrent Alert yang dimunculkan FakeAV.MJR

  • Mengalihkan aplikasi Task Manager dengan membuka aplikasi Rogue yang memunculkan menu task manager
Seolah merupakan program yang komplit, Trojan.FakeAV.MJR mencoba mengalihkan aplikasi Windows Task Manager dengan aplikasi Rogue yang menampilkan menu Task manager yang disebut Advanced Proses Control.
  • Mengalihkan aplikasi Regedit dengan membuka aplikasi Rogue yang memunculkan menu startup
Hampir sama dengan Task Manager, Trojan.FakeAV.MJR juga mencoba mengalihkan aplikasi Windows Regedit dengan aplikasi Rogue yang menampilkan menu Start-Up yang disebut Autorun Manager. (lihat gambar 5)
20120328I_trojanfakeavmjr06
 Gambar 5, Regedit diganti dengan Autorun Manager

  • Mengalihkan semua fungsi aplikasi Windows dan semua aplikasi Security sehingga tidak berjalan
Semua fungsi Windows dan aplikasi keamanan akan dialihkan sehingga tidak berjalan dengan normal. Total executable yang dialihkan fungsi hingga mencapai 750 file.

  • Mematikan fungsi UAC (User Account Control)
Agar dapat mengambil alih kontrol komputer pada Windows 7, Vista dan Server 2008, Trojan.FakeAV.MJR berusaha mematikan fungsi UAC. Dengan mematikan fungsi UAC akan lebih mudah menginfeksi komputer.

  • Melakukan koneksi ke Remote Server untuk men-download file malware lain
Agar dapat terus menginfeksi komputer dan dapat mengirim informasi, Trojan.FakeAV.MJR melakukan koneksi ke Remote Server dan men-download file malware lain. Beberapa IP yang terkoneksi menggunakan port 80 yaitu diantaranya :
  • 95.143.37.154
  • 174.129.199.91
  • Memberikan informasi untuk melakukan pembayaran online untuk mengaktifkan Rogue yang masih trial
Untuk melakukan aktivasi, pengguna akan diarahkan pada browser yang berfungsi untuk melakukan aktivasi dan melakukan pembayaran secara online. Dengan melakukan hal ini seolah-olah pengguna akan dapat menggunakan produk “Windows Software Saver” yang sudah berjalan secara “full”, padahal hal ini hanya tipuan dari Trojan.FakeAV.MJR tersebut. (lihat gambar 6)
20120328I_trojanfakeavmjr07
 Gambar 6, Windows SoftwareSafer yang dipalsukan FakeAV.MJR guna membuat korbannya percaya melakukan transaksi finansial.

File Trojan.FakeAV.MJR

Trojan.FakeAV.MJR memiliki ciri-ciri sebagai berikut : (lihat gambar 7)
  •     Memiliki ukuran file sebesar 2,070 kb
  •     Memiliki nama file “setup.exe”
  •     Menggunakan icon “WinRAR SFX Archive”
  •     Memiliki tipe file “Application”
20120328I_trojanfakeavmjr08
Gambar 7, Contoh file FakeAV.MJR

  • Setelah file Trojan.FakeAV.MJR dijalankan, maka akan membuat beberapa file yaitu :
  •     C:\Documents and Settings\[user]\Application Data\Protector-[acak].exe
  •     C:\Documents and Settings\[user]\Application Data\result.db
  • Selain itu akan membuat file shortcut pada :
  •    C:\Documents and Settings\All Users\Start Menu\Programs\Windows Software Saver.lnk
  •     C:\Documents and Settings\[user]\Desktop\Windows Software Saver.lnk
  • Agar tetap dapat menginfeksi komputer, Trojan.FakeAV.MJR mencoba melakukan koneksi ke Remote Server dan men-download beberapa file malware yaitu :
  •     C:\Documents and Settings\[user]\Application Data\NPSWF32.dll
  •     C:\Documents and Settings\[user]\Application Data\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#local\settings.sol
  •     C:\Documents and Settings\[user]\Local Settings\Temporary Internet Files\galaint.coolsecupdate[1].htm
  •     C:\Documents and Settings\[user]\Local Settings\Temporary Internet Files\myipreal[1].htm
  •     C:\WINDOWS\system32\d3d9caps.dat
Modifikasi Registry

Beberapa key registry yang telah dilakukan modifikasi yaitu diantaranya :
  • Menambah Registry
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Inspector : C:\Documents and Settings\[user]\Application Data\Protector-[acak].exe

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Settings

UID : [acak]

ID : 0xB

GConfig

Net : [tanggal_infeksi]


HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings

WarnOnHTTPSToHTTPRedirect : 0x00000000


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options

Ad-Aware.exe, Agent.exe, AshAvast.exe, Avgnt.exe, bidef.exe, fsav.exe, kavpf.exe, kazaa.exe, kerio.exe, mcshield.exe, MSASCui.exe, nav.exe, nod32.exe, regedt32.exe, rtvscan.exe, vptray.exe, zonealarm.exe, dll (hingga 750 executable aplikasi).

Media Penyebaran
Trojan.FakeAV.MJR melakukan media penyebaran dengan memanfaatkan kiriman link URL baik melalui e-mail atau pun dari komentar dan pesan singkat. (lihat gambar 8)
20120328I_trojanfakeavmjr09
Gambar 8, Link FakeAV.MJR yang dikirimkan via email sehingga tidak terdeteksi

Jika tidak ingin menjadi korban dari Trojan.FakeAV.MJR, sebaiknya hati-hati jika mendapatkan kiriman link URL yang tidak jelas baik via e-mail maupun komentar dan pesan singkat.

Metode Pembersihan
Berikut langkah-langkah pembersihan Trojan.FakeAV.MJR :
  • Lakukan pembersihan Trojan.FakeAV.MJR menggunakan G Data BootCD
  • Download G Data BootCD pada alamat berikut
    • Jika sudah selesai men-download, burning ke dalam CD dan booting komputer melalui CD. Pada pilihan menu pilih “G Data BootCD”, biarkan proses hingga masuk. (lihat gambar 9)
20120328I_trojanfakeavmjr10
Gambar 9, Gunakan G Data Boot CD untuk membasmi FakeAV.MJR
    • Jalankan pilihan “Actions” pada “Checking Computer”, untuk membersihkan Trojan.FakeAV.MJR (lihat gambar 10)
20120328I_trojanfakeavmjr11
Gambar 10, G Data boot CD memberishkan FakeAV.MJR

Jika sudah selesai, klik “Close” dan “Reboot” G Data BootCD.

Dan kali ini booting komputer tanpa menggunakan CD atau langsung booting WINDOWS.

  • Hapus key registry yang dibuat Trojan.FakeAV.MJR
  • Download aplikasi Autoruns pada alamat berikut
  • Explore dan jalankan file “autoruns.exe”. Biarkan hingga proses scanning selesai.
  • Klik pada tab “Image Hijacks”, hapus seluruh entry yang ada. (lihat gambar 11)
20120328I_trojanfakeavmjr12
Gambar 11, Image Hijacks yang perlu dibersihkan

  • Klik pada tab “Logon”, hapus entry “Inspector”. Klik “Close” jika sudah selesai. (lihat gambar 12)
20120328I_trojanfakeavmjr13
Gambar 12, Hapus “inspector” pada registri logon.

  • Bersihkan temporary file Trojan.FakeAV.MJR
  •         Klik Menu Start -> Run
  •         Ketik perintah pada kotak open : cleanmgr , kemudian klik OK.
  •         Pada drive system (C) klik OK, biarkan proses scan drive.
  •         Setelah muncul jendela Disk Cleanup, beri tanda file yang akan di hapus (terutama Temporary Files), kemudian klik OK.
  •         Tunggu hingga selesai.
  • Untuk pembersihan yang optimal dan mencegah infeksi ulang, sebaiknya menggunakan antivirus yang ter-update dan mengenali malware ini dengan baik
Salam,

Adi Saputra
info@vaksin.com

PT. Vaksincom
Jl. R.P. Soeroso 7A Kav.A
Cikini, Jakarta 10330
Website : http://www.vaksin.com
http://www.virusicu.com
Fanpage : www.facebook.com/vaksincom

Twitter : @vaksincom
Ph : 021 3190 3800
Share by: