Untuk sementara saya baru sampai tahap analisa. Berikut hasilnya :
Kategori : Trojan horse / bot jaringanMembuat folder dan file baru pada
lokasi C:\Windows\System32\MB\WORD.scr Menjalankan autorun dengan file
C:\Windows\System32\MB\WORD.scr melalui register pada lokasi
: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunName :
WORD.scrValue : C:\Windows\System32\MB\WORD.scrMelakukan komunikasi dibelakang
layar ke situs tertentu seperti
: klrffymyx.comvddjtezt.netznqpnzai.bizuqwaclchyug.orgrmgcfb.infoekiffhbfkh.orgnmantykggw.netxpvssybe.infomtceczv.infoddqsbi.orgtrafficconverter.bizqkixaisjm.infoorzmkesa.netcmuyqoqey.netmfyzmno.orggnijfif.orgflqowb.comqwrpuguoywt.bizcihloecywnf.bizheohi.biz
Demikian sbg langkah preventif silahkan hapus saja file diatas dan bersihkan
register yang diinjek.Sementara repair doc masih inProgress..hihi.....
Regard,Ahmad
syahruddinasm200...@yahoo.comwill be 3G iPhone User soon
--- On Fri, 10/16/09, Edri Yunizal <riyun...@gmail.com> wrote:
From: Edri Yunizal <riyun...@gmail.com>
Subject: Re: [YF] [JAWAB] Antivirus untuk trojan.win32.VB.kcd [2 Attachments]
To: yogyafree-perjuangan@yahoogroups.com
Cc: asm200...@yahoo.com
Date: Friday, October 16, 2009, 6:54 AM
[Attachment(s) from Edri Yunizal included below]
Terima kasih atas jawabannya teman-teman, tapi kayaknya memang
belum selesai masalahnya. Sekarang virusnya udah adapada saya. Dikirim dalam
bentuk rar (saya attach disini, password=123) . Sewaktu saya extract langsung
di quarantine dan terdeteksi sebagai Win32/VB.NXU trojan, saya menggunakan
NOD32.
Yang ingin saya tanyakan, kedua file yang terlampir ini, adalah aslinya file
.doc, bisakah dikembalikan ke .doc?,
Saya ucapkan terima kasih yang sebesar2nya atas respon yang diberikan.
Salam,
Edri Yunizal
--- @ WiseStamp Signature. Get it now
