1. W32/Poison.ELL
Trojan ini akan menginfeksi system Windows. Trojan Poison.ELL dimasukkan oleh malware lain atau dapat didownload tanpa sengaja dari remote website dengan malware yang lain. Trojan ini akan menginfeksi file sysqaz.exe dan sysqaz di dalam folder system Windows. Trojan ini juga dikenal dengan nama Backdoor.Poison.ell, Backdoor.Win32.Hupigon.mrv, Win32/Small.NCK, dan W32/PoisonIvy.CWY.
2. W32/Enfal.Q
Trojan ini dapat didownload dari remote website oleh malware atau ketika user tidak sengaja mengunjungi website ‘jahat’. Trojan ini akan menginfeksi file msjava.exe dan dump.exe dari folder system Windows. Trojan ini juga dikenal dengan nama Win32/Enfal.F, Win32/Dorcown.B, Trojan.Enfal, dan W32/Backdoor2.BRQW.
3. W32/Agent.WWK
Trojan ini hampir sama dengan W32/Enfal.Q, namun file yang diinfeksi adalah CbEvtSvc.exe dalam folder system Windows. Trojan ini juga dikenal dengan nama I-Worm/Nuwar.V, Trojan-Downloader:W32/Exchanger.AB, dan Trojan.Crypt.XPACK.
4. W32/AutoIt.AA
Trojan ini dikenal dengan nama Trojan-Downloader.Win32.AutoIt.aa, Win32.Sohanad.R, dan W32/Sohanat.CM.worm. Trojan ini akan membuat file berisi malware dalam folder system Windows yakni :
- autorun.ini
- setting.ini
- nhatquanglan18.exe
- SCVHSOT.exe
- test1.exe
- SSVICHOSST.exe (folder Windows)
Trojan ini memiliki jadwal untuk mengeksekusi file SSVICHOSST.exe sekali seminggu. Trojan W32/AutoIt.AA juga akan membuat register di lokasi yang telah dipilihnya untuk memproduksi dirinya selama proses startup, seperti di bawah ini : HKEY_USERS\S-1-5-21-606747145-602162358-682003330 -1000\Software\Microsoft\Windows\CurrentVersion\Run.
Selain itu, Trojan W32/AutoIt.AA juga akan memodifikasi register ketika user me-load explorer.exe.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
5. W32 /Delf.DGY.Downloader
Trojan ini akan meng-copy dirinya sendiri sebagai wbcmgr.exe dalam folder system Windows rekaannya. Trojan Delf.DGY.Downloader juga akan memodifikasi register untuk me-load dirinya selama startup.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Wbcmgr
TrojanDelf.DGY.Downloader dikenal dengan nama :
- Trojan-Downloader.Win32.Delf.dgy
- Trojan.Dropper.Agent.ZZ.8
- Downloader.Generic6.YFQ
- Win32/Slenfbot.AW.
6. W32/Agent.Enu.Dropper
Trojan ini datang sebagai file yang berisi malware atau ketika user mendownload file tersebut dari Internet. Trojan ini akan menginfeksi file fservice.exe, winkey.dll, reginv.dll, sservice.exe dalam folder Windows. Trojan ini juga dapat menginfeksi register untuk memastikan adanya eksekusi otomatis dari dirinya.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run.
Nama lain dari Trojan Agent.Enu.Dropper adalah :
Win32:Agent-PZM
Dropped:Backdoor.Prorat.DZ
Win32.Prorat.dz
Win32/VMalum.BWHW
Trojan.Agent.j
W32/Agent.GIF!tr
Trojan-Dropper.Win32.Agent.enu
Backdoor.Win32.Ciadoor.13
Trojan-Dropper.Win32.Agent.enu
Trojan:Win32/Agent
W32/Prorat.GKC
Troj/Prorat-DN
Trojan.BAT.Agent.j (vf)
Trojan.Dropper.Prorat
7. DZ.29.W32/Peacomm!ZIP
Trojan ini akan menginfeksi system Windows dan menyebar melalui email. Subject dari email yang terinfeksi, akan terdapat kata sebagai berikut :
- ATTN!
- Virus Alert!
- Worm Alert!
- Spyware Detected!
- Virus Activity Detected!
- Warning!
Body email yang telah terinfeksi akan mendapatkan kombinasi dua string. String atau kata pertama dari email yang terkena Trojan Peacomm!ZIP yakni :
- Report
- Warning
- AutoCompla int
- AbuseNotice
- UrgentNotice
- No tice
String kedua dalam bentuk format gambar yang bertuliskan :
Dear Customer,
Our robot has detected an abnormal activity from your IPaddress on sending e-mails. Probably it is connected withthe last epedemic of a worm which does not have officialpatches at the moment.We recommend you to install this patch to remove worm filesand stop emai sending, otherwise your account will beblocked.We had archived the patch because the worm can modifyupoacked exe files. You should open the archive file, enterthe password and run the patch immediately.
Password: [random characters]
Customer Support Center Robot
Password tersebut telah di-protect oleh si Trojan dan password tersebut akan dikirimkan ke body email.
Nama attachment yang terinfeksi seperti :
removal-[random number].zip
patch-[random number].zip
hotfix-[random number].zip
bugfix-[random number].zip
Trojan Peacomm!ZIP akan meng-copy wincom32.sys dalam folder system Windows (yang terdeteksi sebagai W32/Peacomm.CQ). Trojan ini juga dikenal dengan nama Trojan.Peacomm!zip dan WORM_NUWAR.AOP.
salam Trojan
..LIA..
News
Site map
SitemapIndex
RSS Feed